HERSTELLERERKLÄRUNG. Der Hersteller. erklärt hiermit gemäß 17 Abs. 4 Satz 2 SigG 1 in Verbindung mit 15 Abs. 5 SigV 2, dass sein Produkt

Transkript

1 HERSTELLERERKLÄRUNG Der Hersteller secrypt GmbH Bessemer Straße 82, Berlin erklärt hiermit gemäß 17 Abs. 4 Satz 2 SigG 1 in Verbindung mit 15 Abs. 5 SigV 2, dass sein Produkt digiseal server Version Signaturanwendungskomponente den nachstehenden Anforderungen des SigG und der SigV entspricht. Diese Herstellererklärung hat die Dokumentennummer DECLMAN-010-DSS1.7.1_v1.3 und enthält 14 Seiten. Berlin, den Matthias Schlede Geschäftsführer Patrick Lieberkühn Geschäftsführer 1 Gesetz über Rahmenbedingungen für elektronische Signaturen ( Signaturgesetz - SigG ) in der Fassung vom 16. Mai 2001( BGBl. Jahrgang 2001 Teil I Nr. 22 ) zuletzt geändert durch Art. 1 des Ersten Gesetzes zur Änderung des Signaturgesetzes (1. SigÄndG) vom 04. Januar 2005 (BGBl. I S. 2) 2 Verordnung zur elektronischen Signatur ( Signaturverordnung - SigV ) in der Fassung vom 16. November 2001 ( BGBl. Jahrgang 2001 Teil I Nr. 59 ) zuletzt geändert durch Art. 1 des Ersten Gesetzes zur Änderung des Signaturgesetzes (1. SigÄndG) vom 04. Januar 2005 (BGBl. I S. 2) DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 1 von 14

2 Revisionshistorie Datum Dokument- Version Beschreibung Autor(en) Initialversion EE Prüfung und Ergänzung TM Prüfung und Freigabe MS, PL Ergänzungen EE Prüfung und Freigabe MS, PL Ergänzungen EE Prüfung und Freigabe MS, PL Ergänzungen EE Prüfung und Freigabe MS, PL DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 2 von 14

3 Beschreibung des Produktes: 1 Handelsbezeichnung des Produktes und Lieferumfang: Signaturanwendungskomponente digiseal server Version Auslieferung: Als Produkt an Endanwender durch den Hersteller oder Vertriebspartner auf einer CD-ROM und per Download. Lieferumfang: Nr. Art Name Version Lieferform 1 Software digiseal server CD-ROM 2 Dokumentation Technische Dokumentation / Benutzeranleitung digiseal server Version PDF-Datei Hersteller des Produktes digiseal server: secrypt GmbH Bessemer Straße 82, Berlin, Deutschland DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 3 von 14

4 2 Funktionsbeschreibung 2.1 Allgemein Das Produkt digiseal server Version ist Teil einer Signaturanwendungskomponente gemäß 2 Abs. 11 SigG, die auf der Open-Source-Funktionsbibliothek crypto++ 3 Version 4.1 aufbaut. Die Signaturanwendungskomponente digiseal server versieht zusammen mit einer vom Zertifizierungsdiensteanbieter D-TRUST GmbH (gemäß 4 Abs. 3 SigG angezeigter ZDA) herausgegebenen sicheren Signaturerstellungseinheit gemäß 2 Nr. 10 SigG (Signaturkarte D-TRUST Card_MS, Version 1.0), Registrierungsnummer: TUVIT TE , beliebige elektronische Dateien mit einer qualifizierten elektronischen Signatur im Sinne des Signaturgesetzes. Dies gilt auch für die nachfolgend aufgeführten Signaturkarten: - sichere Signaturerstellungseinheit gemäß 2 Nr. 10 SigG (Signaturkarten) Telesec Signaturkarte PKS-Card, Version 3.0 und E4NetKeyCard, Version 3.0, Registrierungsnummer: TUVIT TE , - sichere Signaturerstellungseinheit gemäß 2 Nr. 10 SigG (Signaturkarten) SEA-Card, Version 2.0, Registrierungsnummer: TUVIT TU und - sichere Signaturerstellungseinheit gemäß 2 Nr. 10 SigG (Signaturkarte) DATEV Signaturkarte e:secure-card, Version 1.0, Registrierungsnummer: TUVIT TE Der digiseal server arbeitet autorisierte Signaturaufträge ab. Ein Signaturauftrag besteht aus der zu signierenden Datei, dem gewünschten Signaturaustauschformat und der Zieldatei zur Ablage der signierten Datei. Als Hilfsmittel zur Steuerung von Signaturaufträgen werden Mandantenprofile definiert. Ein Mandantenprofil beinhaltet ein Eingangsverzeichnis, ein Ausgangsverzeichnis, ein Signaturaustauschformat und eine Log-Datei. Mithilfe eines Mandantenprofils lassen sich Regelwerke für Signaturaufträge definieren. Eine Datei im Eingangsverzeichnis eines Mandanten, wird entsprechend dem Signaturaustauschformat des Mandanten signiert und unter gleichem Namen im Ausgangsverzeichnis des Mandanten abgelegt. Dies entspricht einem Signaturauftrag. Der Zertifikatsinhaber definiert zur Aktivierung der sicheren Signaturerstellungseinheit die dieser zugeordneten Signaturaufträge. Die definierten Signaturaufträge werden dem Zertifikatsinhaber vor Aktivierung der sicheren Signaturerstellungseinheit eindeutig angezeigt und müssen von ihm bestätigt werden. Dabei erfolgt eine eindeutige Zuordnung des Signaturauftrages zum signierenden Zertifikat. Der Prozess der Aktivierung wird durch den Nachweis der PIN abgeschlossen. Die Signaturanwendungskomponente digiseal server kann mehrere sichere Signaturerstellungseinheiten parallel ansprechen. Für jede sichere Signaturerstellungseinheit erfolgt vor dem Nachweis der PIN die Begrenzung der Signaturaktivitäten über ein Zeitfenster und / oder eine maximale Signaturanzahl. Nach Ablauf des Zeitfensters oder mit dem Erreichen der maximalen Signaturanzahl wird der Signaturprozess beendet. Das Entfernen einer sicheren Signaturerstellungseinheit aus dem jeweiligen Kartenlesegerät führt zur Beendigung des Signaturprozesses. Ein erneuter Signaturprozess macht, bei technisch ansprechbarer sicherer Signaturerstellungseinheit, den Nachweis der PIN notwendig. Die zu signierenden Daten werden der Signaturanwendungskomponente digiseal server über ein Eingangsverzeichnis oder mehrere Eingangsverzeichnisse übergeben. digiseal server kann dabei mehrere Eingangsverzeichnisse parallel abarbeiten. Signierte Daten werden in einem Ausgangsverzeichnis oder mehreren Ausgangsverzeichnissen abgelegt. Die Festlegung eines Ein- und Ausgangsverzeichnisses sowie eines Signaturaustauschformates und die Angabe einer Protokolldatei ist innerhalb eines Mandantenprofils (Mandant) definiert. 3 DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 4 von 14

5 Die zu signierenden bzw. die signierten Daten können mit den jeweilig zuständigen Programmen vor bzw. nach dem Signaturprozess eingesehen werden. Signaturgegenstand können elektronische Daten der nachfolgend aufgeführten Formate sein. Eingangsformat des Signaturgegenstandes Binärdatei Portable Document Format (PDF) Ausgabeformat signeddata gemäß RFC 2630 (Dateiendung *.pk7 und *.p7s) oder signeddata mit multipart-signed -Content gemäß RFC 2633 (Dateiendung *.p7m) PDF (PKCS#7-konforme Signatur entsprechend Adobe-Reference 1.6) Die Signaturerzeugung erfolgt konform zum PKCS#7-Standard. Es sind unterschiedliche Kodierungen entsprechend dem Standard PKCS#7 wählbar. Es werden die Ausgabeformate für signierte Daten signeddata gemäß RFC 2630 und signeddata mit multipart-signed - Content gemäß RFC 2633 unterstützt. Darüber hinaus wird die Signaturerzeugung innerhalb von PDF-Dokumenten entsprechend dem Standard Adobe-Reference 1.6 unterstützt. Die Komponente digiseal server protokolliert die durchgeführten Signaturerzeugungen wie folgt: Signaturzeitpunkt, Hashwert, Signaturzertifikatsinhaber, Mandant, Name des Signaturgegenstands, verbleibende mögliche Signaturanzahl, verbleibender Signaturzeitraum, Status des Signaturauftrages. Zum Schutz vor Ausspähungen der PIN ermöglicht die Signaturanwendungskomponente digiseal server die sichere PIN-Eingabe am Kartenlesegerät. Die Signaturanwendungskomponente digiseal server verfügt entsprechend 15 Abs. 4 SigV über Selbstprüfungsmechanismen zum Schutz vor der Manipulation der Software. Die Programmbestandteile des digiseal server sind signiert. Diese Signaturen werden bei jedem Programmstart durch die Komponente selbständig auf Integrität geprüft. Im Falle einer Manipulation wird dies dem Anwender eindeutig angezeigt und das Programm beendet. Als Anwendungsbereich ist die Nutzung in größeren Infrastrukturen, z.b. im privatwirtschaftlichen und behördlichen Umfeld, in einem geschützten Einsatzbereich anzusehen. Weitere Funktionen der Signaturanwendungskomponente digiseal server sind nicht Gegenstand dieser Herstellererklärung. Anwendungen, die das Produkt digiseal server nutzen, sind nicht Gegenstand der Herstellererklärung. DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 5 von 14

6 2.2 Aufbau der Signaturanwendungskomponente digiseal server Die Signaturanwendungskomponente digiseal server ist modular aufgebaut und besteht aus den Komponenten: - digiseal server.exe, - dsserverui.dll, - messageboxui.dll, - digiseal worker.exe, - digiseal server configurator.exe und - mandantui.dll. Diese Komponenten sind ausführbare Programme (executables) bzw. dynamisch geladene Bibliotheken (dynamic link libraries). digiseal server verfügt entsprechend 15 Abs. 4 SigV über Selbstprüfungsmechanismen zum Schutz vor der Manipulation der Software. Darüber hinaus sind die ausführbaren Programme und dynamisch geladenen Bibliotheken konform zum PKCS#7-Standard elektronisch signiert. Eine Prüfung der elektronischen Signaturen ist jederzeit mit einer ISIS- MTT-konformen Signaturprüfsoftware, die konform zum PKCS#7-Standard signierte Dateien verifizieren kann, möglich Funktionalität der Komponente digiseal server.exe Die Komponente digiseal server.exe stellt die folgenden Funktionen zur Verfügung: - Integritätsprüfung des Produktes beim Programmstart, - Signaturkartenansprache zur Ermittlung verfügbarer Signaturerstellungseinheiten, - Aufruf der digiseal worker.exe, zur Aktivierung der Signatureinheiten, - Überwachung der Eingangsverzeichnisse der aktiven Mandanten, - Intelligenz zur Verwaltung der aktivierten Signaturerstellungseinheiten, - Verteilung der Signaturaufträge an die Komponente digiseal worker.exe, - Anzeige der zu signierenden Daten (Signaturauftrag) und der Statusmeldung nach erfolgtem Signaturprozess (Konsolenfenster) und - Protokollierung der Aktivierung von sicheren Signaturerstellungseinheiten und der durchgeführten Signaturerstellungsprozesse Funktionalität der Komponente dsserverui.dll Die Komponente dsserverui.dll ist die Oberflächenkomponente des digiseal server. Sie dient zur Interaktion des Nutzers mit dem digiseal server und stellt die folgenden Funktionen zur Verfügung: - Informationsanzeige, - Konfiguration und Steuerung der Art und Weise des Betriebes digiseal server (Start, Stop, Beenden), - Steuerung der Aktivierung der Signaturerstellungseinheit(en) und - Visualisierung der Zertifikate. DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 6 von 14

7 Funktionalität der Komponente messageboxui.dll Die Komponente messageboxui.dll dient zur Visualisierung von Benachrichtigungen der Komponente an den Nutzer Funktionalität der Komponente digiseal worker.exe Die Komponente digiseal worker.exe kommuniziert mit der digiseal server.exe und nimmt von dieser die Signaturaufträge entgegen. Sie stellt die folgenden Funktionen zur Verfügung: - Kommunikation mit der digiseal server.exe, - Ansprache und Steuerung (Aktivierung und Deaktivierung) der sicheren Signaturerstellungseinheit(en), - Hashwert-Berechnung nach dem SHA-1-Algorithmus, - Erzeugung elektronischer Signaturen auf Basis von Signaturkarten unter Verwendung eines Kartenlesegerätes, - Erzeugung der unterstützten Signaturaustauschformate, - Ausgabe bestimmter signierter Dateien in einem graphischen Speicher und - Schutz vor Hashwert-Verfälschung Funktionalität der Komponente digiseal server configurator.exe Die Komponente digiseal server configurator.exe stellt die folgenden Funktionalitäten zur Verfügung: - Definition von Mandantenprofilen (Anlegen, Konfigurieren und Löschen), - Prüfung auf Vollständigkeit der Parameter beim Anlegen von Mandantenprofilen, - Prüfung auf Existenz der angegebenen Verzeichnisse, - Prüfung auf Verschiedenheit der Eingangsverzeichnisse unterschiedlicher Mandanten, - Schreiben und Lesen der Mandanteninformationen in eine Datei und - Kommunikation mit der mandantui.dll (grafische Benutzerschnittstelle) Funktionalität der Komponente mandantui.dll Die Komponente mandantui.dll ist die Oberflächenkomponente zur Durchführung der Funktionen der Komponente digiseal server configurator.exe. Die Komponente stellt die folgenden Funktionalitäten zur Verfügung: - Darstellung der Mandantenliste, - Funktionen zur Bearbeitung der Mandantenliste (Hinzufügen, Löschen, Speichern), - Visualisierung der Eigenschaften des in der Mandantenliste ausgewählten Mandanten (Anzeige der Konfigurationsparameter eines Mandantenprofils) und - Funktionen zur Bearbeitung der Parameter eines Mandantenprofils. DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 7 von 14

8 2.3 Abgrenzung Die folgenden Merkmale kann das Produkt digiseal server nicht leisten: - Schutz des privaten Schlüssels Diese Funktion gewährleistet ausschließlich die sichere Signaturerstellungseinheit. - Sicherung der Integrität des CTAPI-Treibers Der digiseal server enthält keine Funktionen zur Sicherung der Integrität des CTAPI- Treibers des Kartenlesegeräteherstellers. - Sicherung der Integrität des Betriebssystems (Systemumgebung) Der digiseal server enthält keine Funktionen zur Sicherung der Integrität des Betriebssystems (Systemumgebung). Die Sicherung der Integrität des Betriebssystems obliegt dem Anwender bzw. dem Systemadministrator. Sie müssen geeignete Maßnahmen treffen, um eine Bewahrung des Betriebssystems vor Beeinträchtigungen und Manipulationen sicherzustellen. - Sicherheit der kryptographischen Funktionen Das Produkt digiseal server benutzt zur Erzeugung elektronischer Signaturen das RSA Public Key Verfahren. Der digiseal server kann die Stärke der kryptografischen Mechanismen des RSA Public Key Verfahrens nicht garantieren und keine Aussagen über die Stärke der kryptografischen Funktionen des RSA Public Key Verfahrens postulieren. Die Signaturanwendungskomponente digiseal server dient ausschließlich zur Erstellung von elektronischen Signaturen. Dazu übernimmt der digiseal server folgende Teilaufgaben: Hashwert-Bildung, Kommunikation mit der sicheren Signaturerstellungseinheit zur Signierung des Hashwertes (Bildung einer elektronischen Signatur), Verifikation des signierten Hashwertes (Signatur) und Speicherung der signierten Datei im gewünschten Signaturaustauschformat. Der digiseal server kann die Protokollierung elektronischer Signaturvorgänge auf dem Rechner des Anwenders nicht verhindern. DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 8 von 14

9 3 Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung 3.1 Erfüllte Anforderungen Das Produkt digiseal server erfüllt unter Einhaltung der Sicherheitsempfehlungen aus Kapitel 3.2 die Anforderungen gemäß - 17 Abs. 2 Satz 1 SigG, Für die Darstellung zu signierender Daten sind Signaturanwendungs-komponenten erforderlich, die die Erzeugung einer qualifizierten elektronischen Signatur vorher eindeutig anzeigen und feststellen lassen, auf welche Daten sich die Signatur bezieht Abs. 2 Satz 3 SigG, Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu signierenden oder signierten Daten hinreichend erkennen lassen Abs. 2 Nr. 1 SigV und Signaturanwendungskomponenten nach 17 Abs. 2 des Signaturgesetzes müssen gewährleisten, dass 1. bei der Erzeugung einer qualifizierten elektronischen Signatur a) die Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren Signaturerstellungseinheit gespeichert werden, b) eine Signatur nur durch die berechtigt signierende Person erfolgt, c) die Erzeugung einer Signatur vorher eindeutig angezeigt wird und (...) - 15 Abs. 4 SigV. Signaturanwendungskomponenten nach 17 Abs. 2 des Signaturgesetzes müssen gewährleisten, dass (...) 3. Sicherheitstechnische Veränderungen an technischen Komponenten nach den Absätzen 1 bis 3 müssen für den Nutzer erkennbar werden. DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 9 von 14

10 3.2 Einsatzbedingungen Technische Einsatzumgebung Vorgesehen ist für den Einsatz von digiseal server ein IBM-kompatibler Personalcomputer ab Pentium 3 (Empfehlung: Pentium 4 / 2 GHz) mit mindestens 256 MB Arbeitsspeicher (RAM) und ausreichend freiem Festplattenspeicher (abhängig vom Speicherort der zu signierenden und signierten Daten), einem CD-ROM-Laufwerk für die Installation, Betriebssystem Windows 2000 SP4, Windows XP Professional Edition SP2, Windows 2000 Server SP4 oder Windows 2003 Server SP1. Zur Sicherstellung der sicheren PIN-Eingabe wird der Einsatz der folgenden Lesegeräte empfohlen: 1. das Kartenlesegerät SPR 132, SPR 332, SPR 532 der Firma SCM Microsystems GmbH, Registrierungsnummer : TUVIT TE , 2. das Kartenlesegerät CyberJack pinpad, Version 3.0 der Firma Reiner Kartengeräte GmbH & Co KG, Registrierungsnummer : TUVIT TU und 3. das Chipkartenterminal der Familie SmartBoard xx44 der Firma Cherry GmbH, Registrierungsnummer: BSI TE Weiterhin muss eine personenbezogene Signaturkarte eines Zertifizierungsdiensteanbieters entsprechend Kapitel 2 zum Einsatz kommen. DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 10 von 14

11 3.2.2 Art des Einsatzbereiches Grundlage dieser Herstellererklärung ist der Einsatz von digiseal server in einem geschützten Einsatzbereich. Für einen sicheren Betrieb ist es erforderlich, dass die Empfehlungen des Benutzerhandbuches eingehalten und die Anforderungen an die Einsatzumgebung beachtet werden. Dies setzt u.a. voraus, dass während des Betriebes des digiseal server keine unberechtigten Personen Zugriffsmöglichkeiten auf die Art und Weise der Signaturprozesse haben. Für den sicheren Einsatz von digiseal server und zur Verhinderung von erfolgreichen Angriffen mit den Zielen, dass: - Daten signiert werden, die nicht signiert werden sollen und - die Geheimhaltung des Identifikationsmerkmals (PIN) nicht gewährleistet ist, sollten folgende Auflagen beachtet werden: - Befolgung der Anweisungen der Benutzeranleitung. - Installation der Software nur vom Originaldatenträger (einmal beschreibbare CD-ROM). - Einsatz des Kartenlesers bzw. der Kartenleser entsprechend den Vorgaben des Herstellers. - Volle Kontrolle des Benutzers über genutzte Datenträger und Netzwerkfreigaben. - Sicherung der korrekten Uhrzeit auf dem Rechnersystem, auf dem der digiseal server installiert ist. - Sicherstellung, dass sich auf dem Rechner keine sogenannten Viren, trojanischen Pferde oder andere Software befinden, die zur Kompromittierung der Sicherheit der technischen Einsatzumgebung geeignet sind. - Sicherstellung, dass keine Hardwaremanipulationen (z.b. am Kartenlesegerät) vorgenommen wurden, die Manipulationen ermöglichen. - Ergreifen einer geeigneten Kombination personeller, materieller und organisatorischer Maßnahmen, um Manipulationen an der Einsatzumgebung entgegenzuwirken. Dies könnten u.a. der Einsatz eines Kartenlesegerätes mit sicherer PIN-Eingabe sein. - Beachtung der Empfehlungen des IT-Grundschutzhandbuches des BSI 4 bei der Umsetzung der Maßnahmen zur Abwehr möglicher Manipulationen und Angriffe. Das für diese Signaturanwendungskomponente einzusetzende Zertifikat muss in seiner Wirksamkeit auf das Signieren von einem bestimmten Dokumententyp beschränkt werden (z.b. "Dieses Zertifikat gilt nur für das Signieren von Ausgangsrechnungen"). Sofern es bei dem zu unterzeichnenden Dokumententyp sinnvoll ist, ist auch eine monetäre Beschränkung des Zertifikats auf den Betrag von Null Euro notwendig. Sollte der Rechner, auf dem der digiseal Server installiert ist, über einen Internet- und / oder einen Intranetzugang verfügen, so ist durch geeignete organisatorisch-technische Maßnahmen sicherzustellen, dass jegliche unautorisierte Zugriffe über das Internet und / oder Intranet unterbunden werden, so dass z.b. keine Systemdienste oder Systemkomponenten kompromittiert werden können. Dies kann z.b. mittels einer Firewall erfolgen. Durch geeignete personelle und organisatorisch-technische Maßnahmen ist sicherzustellen, dass nicht autorisierte Programme bzw. Programmbestandteile auf den Rechner aufgebracht werden können, wie z.b. Programme zum Abhören von Tastaturanschlägen oder zum Abhören der Kommunikation über PC-Schnittstellen. 4 DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 11 von 14

12 Weiterhin muss ein Virenscanner sicherstellen, dass sowohl klassische Virenprogramme als auch Backdoor-Programme erkannt werden und der Anwender bzw. der Systemadministrator im Falle eines Angriffs über diesen Zustand in Kenntnis gesetzt wird. Es muss durch geeignete organisatorische Maßnahmen sichergestellt werden, dass alle Komponenten des Betriebssystems und der sonstig installierten Softwareprodukte korrekt und vertrauenswürdig sind. Es muss durch geeignete personelle, materielle und organisatorische Maßnahmen sichergestellt werden, dass zu signierende Daten nur durch den hierfür berechtigten Anwender bzw. durch hierfür durch den Anwender berechtigte Applikationen in die Eingangsund Ausgangsverzeichnisse des digiseal server geschrieben bzw. aus den Eingangs- und Ausgangsverzeichnissen des digiseal server gelesen und/ oder gelöscht werden können. Über organisatorisch-technische Maßnahmen (z.b. Zugangskontrolle, abgeschlossener Raum) muss sichergestellt werden, dass nur autorisiertes Personal physischen Zugang zum Computer, auf dem digiseal server betrieben wird, erhält. DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 12 von 14

13 3.2.3 Updates, Wartung und Reparatur Update Updates für die Signaturanwendungskomponente digiseal server sind möglich. Dadurch werden grundsätzlich keine Funktionen und Funktionalitäten beeinflusst, die Gegenstand der Herstellererklärung sind. Das Update ist ausschließlich per Download von der Internetseite oder auf einem Originaldatenträger (CD-ROM) der secrypt GmbH erhältlich. Bei Updates ist grundsätzlich die ältere Version zu deinstallieren bevor die neue Version installiert wird. Updates, die dieser Herstellererklärung unterliegende Funktionen verändern, werden dann in einer gesonderten oder aktualisierten Herstellererklärung berücksichtigt. Wartung /Reparatur Die Programmbestandteile des digiseal server sind signiert. Sollte trotz aller Sicherheitsmaßnahmen diese korrumpiert oder die zur Prüfung der Signatur notwendigen Dateien entfernt oder manipuliert worden sein, dann ist keine Nutzung der Signaturanwendungskomponente digiseal server möglich. Dies wird dem Benutzer beim Start des Programms unmissverständlich angezeigt. Das Programm digiseal server ist zu deinstallieren und der Rechner auf Viren und Trojaner zu prüfen. Im Anschluss ist digiseal server neu von dem Originaldatenträger (CD-ROM) entsprechend der Benutzeranleitung zu installieren. DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 13 von 14

14 3.3 Algorithmen und zugehörige Parameter Zur Erzeugung qualifizierter elektronischer Signaturen werden von digiseal server - die Hash-Funktionen SHA-1 und RIPEMD-160 bereitgestellt. Zur Prüfung qualifizierter elektronischer Signaturen werden von digiseal server - die Hash-Funktion SHA-1 und - der RSA-Algorithmus mit der Schlüssellänge von 1024 Bit bereitgestellt. Diese kryptographischen Algorithmen sind in der Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen), veröffentlicht am 30. März 2005 im Bundesanzeiger Nr. 59, S als geeignet zur Erfüllung der Anforderungen nach 17 Abs. 1 bis 3 SigG in der Fassung vom 16. Mai 2001 (BGBl. Jahrgang 2001 Teil I Nr. 22) zuletzt geändert durch Art. 1 des Ersten Gesetzes zur Änderung des Signaturgesetzes (1. SigÄndG) vom 04. Januar 2005 (BGBl. I S. 2) in Verbindung mit Anlage 1 Abschnitt 1 Nr. 2 SigV vom 22. November 2001 aufgeführt worden. Die verwendeten Hashalgorithmen RIPEMD-160 und SHA-1 gelten bis Ende 2010 als geeignet. Der RSA-Algorithmus mit einer Schlüssellänge von 1024 Bit gilt bis Ende 2007 als geeignet. 4. Anlagen und Gültigkeit der Herstellererklärung Für diese Herstellererklärung gelten die folgenden Anlagen: - Sicherheitstechnische Produktvorgaben / SP digiseal server / D-SIGN server Version 1.7.1, Version Prüfbericht digiseal server / D-SIGN server Version 1.7.1, Version 1.0 Diese Erklärung ist bis zu ihrem Widerruf, längstens jedoch bis zum gültig. Der aktuelle Status der Gültigkeit der Erklärung ist bei der zuständigen Behörde (Bundesnetzagentur, Referat Elektronische Signatur) zu erfragen. Zusätzlich gibt der Hersteller eine telefonische Auskunft unter +49-(0) Ende der Herstellererklärung DECLMAN-010-DSS1.7.1_v1.3.rtf Seite 14 von 14