Bestätigung für technische Komponenten gemäß 14 (4) Gesetz zur digitalen Signatur und 16 und 17 Signaturverordnung

Transkript

1 Bestätigung für technische Komponenten gemäß 14 (4) Gesetz zur digitalen Signatur und 16 und 17 Signaturverordnung Bundesamt für Sicherheit in der Informationstechnik -Bestätigungsstelle für technische Komponenten- Godesberger Allee Bonn bestätigt hiermit, daß das Chipkartenlesegerät cyberjack, Version 3.0 der Reiner SCT Kartengeräte GmbH & Co. KG Baumannstrasse 16, Furtwangen den nachfolgend beschriebenen Anforderungen des Artikels 3 des Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (Gesetz zur digitalen Signatur) vom 01. August 1997 bzw. der Signaturverordnung vom 01. November 1997 entspricht und bei sachgemäßen Einsatz im Wirkungsbereich der genannten Rechtsvorschriften eingesetzt werden kann. Die Dokumentation zu dieser Bestätigung ist unter BSI TE registriert. In Vertretung Bonn gez. Hange (Behördenstempel) (Ort, Datum) Hange, Vizepräsident Das Bundesamt für Sicherheit in der Informationstechnik -Bestätigungsstelle für technische Komponenten- ist, auf Grundlage des BSI-Errichtungsgesetzes vom , Bundesgesetzblatt I S. 2834, und der Anerkennung durch die Regulierungsbehörde für Telekommunikation und Post, veröffentlicht im Bundesanzeiger Nr. 31 vom 14. Februar 1998, Seite 1787, zur Erteilung von Bestätigungen für technische Komponenten gemäß 14 Abs. 4 des Gesetzes zur digitalen Signatur ermächtigt. Die Bestätigung zur Registrierungsnummer BSI TE besteht aus 5 Seiten.

2 Bestätigung zur Registrierungsnummer BSI TE Seite 2 von 5 Beschreibung der technischen Komponente: 1 Handelsbezeichnung der technischen Komponente und Lieferumfang: Evaluationsgegenstand dieser Bestätigung ist das Chipkartenlesegerät cyberjack, Version 3.0. Im Lieferumfang sind enthalten: - 1 cyberjack (versiegelt) inkl. PS/2 Y-Anschlusskabel, Version Standfuss - 1 Klettband - 1 SIM-Adapterkarte - 1 Treiberdiskette - 1 Installationsanleitung, Version Funktionsbeschreibung 2.1 Allgemein Der Chipkartenleser cyberjack, Version 3.0 kann als Leser für Anwendungen der digitalen Signatur gemäß Signaturgesetz vom 01. August 1997 eingesetzt werden. Diese Einsatzart setzt jedoch voraus, dass die verwendete Applikation ebenfalls gemäß Signaturgesetz bestätigt ist. Als Erfassungseinheit ist eine Standard PC-Tastatur vorgesehen. Diese Erfassungseinheit ist nicht Bestandteil dieser Bestätigung. Andere Einsatzarten (z.b. Auslesen von GeldKarten) sind ebenfalls möglich. Innerhalb des Anwendungsbereiches der digitalen Signatur dient das Lesegerät der sicheren Übermittlung von PIN-Daten zu einer Signierkomponente. Der Chipkartenleser cyberjack befindet sich in einem geschlossenen und versiegelten Kunststoffgehäuse. Er verfügt über zwei Leuchtdioden (grün und gelb) und ein Anschlußkabel mit einem Stecker und einer Buchse, über welche er an die Tastaturschnittstelle von PCs angeschlossen werden kann. Des weiteren verfügt das Gerät über eine Kontaktierschnittstelle für Chipkarten. Nachfolgend werden die verschiedenen Nutzungsarten beschrieben: Modus Transparentleser Der Chipkartenleser ermöglicht es einer Applikation, transparent lesend und schreibend auf eine Chipkarte zuzugreifen. Diese Funktion kann sowohl durch Applikationen, die gemäß Signaturgesetz bestätigt sind, als auch durch nicht bestätigte Applikationen genutzt werden. In dieser Nutzungsart werden Kommandos der Applikation vollständig zur Karte durchgereicht. Analog werden die Antwortdaten der Karte an die Applikation weitergegeben. Modus Sichere PIN-Eingabe Beim Einsatz von cyberjack für digitale Signaturen gemäß Signturgesetz schickt die verwendete, gemäß Signaturgesetz bestätigte Applikation ein Kommando an den Chipkartenleser, welches diesen dazu veranlaßt, die Kommunikation zum PC zu trennen. Die daraufhin eingegebene PIN wird an den Kartenleser übertragen, dort für den Zeitraum der Authentisierung zwischengespeichert und anschließend durch Überschreiben gelöscht (Wiederaufbereitung).

3 Bestätigung zur Registrierungsnummer BSI TE Seite 3 von 5 Das Vorhandensein eines sicheren Kanals zwischen der Erfassungseinheit (Tastatur) und dem Chipkartenleser wird dem Benutzer durch das Blinken der gelben LED am Lesegerät visualisiert. Bevor die Kommunikationsverbindung zum PC wiederhergestellt ist, erlischt die gelbe LED. Dieser Ablauf ist folgendermaßen definiert: 1. Die Applikation schickt das Kommando zur Einleitung der Sicheren PIN Eingabe an den cyberjack. 2. cyberjack trennt die Kommunikationsleitungen zum PC für eingehende Signale logisch ab. 3. cyberjack schaltet die gelbe LED am Lesegerät in den Blinkmodus. 4. Der Benutzer gibt seine PIN an der Tastatur des PC ein. Jedes Einzelzeichen wird in Echtzeit über den sicheren Kanal an den cyberjack übermittelt und dort zwischengespeichert. Für jede eingegebene PIN-Ziffer wird ein * -Zeichen an die Applikation gesendet. 5. Sobald die Eingabe der PIN abgeschlossen ist, schickt der cyberjack diese an die Chipkarte zur Überprüfung weiter. Die Antwortdaten der Chipkarte werden zwischengespeichert. Fehlerhafte PIN-Eingaben führen zu entsprechenden Antworten der Chipkarte. Wird die Eingabe der PIN mit ESC abgebrochen, werden die PIN-Daten nicht an die Chipkarte weitergeleitet und der cyberjack generiert stattdessen eine entsprechende Antwort. 6. Nach dem Absenden der PIN oder nach Abbruch mit ESC wird der Teil des RAM-Speichers des cyberjack, welcher die zwischengespeicherte PIN (oder Teile davon) enthält, aufbereitet. 7. cyberjack schaltet den Blinkmodus der gelben LED ab. Die gelbe LED erlischt. 8. Die Kommunikation zum PC wird aktiviert und die zwischengespeicherten Antwortdaten der Chipkarte bzw. des cyberjack (bei Abbruch mit ESC) werden an die Applikation weitergeleitet. 2.2 Funktionen im Sinne des Gesetzes zur digitalen Signatur bzw. der Signaturverordnung Der Chipkartenleser cyberjack, Version 3.0 erfüllt einschränkend folgende Anforderungen aus der Signaturverordnung vom 1. November 1997, 16 (2) Satz 4 und 5: 4 (1) Nr. 2 SigV Persönliche Identifikationsnummern oder andere Daten zur Identifikation gegenüber dem Datenträger mit dem privaten Signaturschlüssel sind geheim zu halten. Die zum Erfassen von Identifikationsdaten erforderlichen technischen Komponenten müssen so beschaffen sein, daß sie die Identifikationsdaten nicht preisgeben und diese nur auf dem Datenträger mit dem privaten Signaturschlüssel gespeichert werden. Sicherheitstechnische Veränderungen an den technischen Komponenten müssen für den Nutzer erkennbar werden. Hier gilt eine Einschränkung für die Bestätigung des Chipkartenlesers cyberjack, Version 3.0 aus Satz 4: Das Erfassen von Identifikationsdaten wird in dieser Bestätigung ausgeschlossen. Der Maßnahmenkatalog für technische Komponenten nach dem Signaturgesetz (Stand: 15. Juli 1998) präzisiert die Anforderungen wie folgt (Abschnitt 1.4):

4 Bestätigung zur Registrierungsnummer BSI TE Seite 4 von 5 Einsatz von Sicherheitsvorkehrungen, die sicherheitstechnische Veränderungen (...) für den Nutzer erkennbar machen(...). Soweit die sicherheitstechnische Veränderung nicht unmittelbar erkennbar ist, muß sie zumindest mittelbar (...) erkennbar sein. Des weiteren gilt (Abschnitt 2.5): Sicherung der Identifikationsdaten auf eine Weise, daß diese in der Erfassungseinheit, auf der Übertragungsstrecke und in der Speichereinheit nicht preisgegeben we rden. Die Anforderung...dass sie (die technische Komponente) die Identifikationsdaten nicht preisgeben... wird durch die Sicherheitsfunktion SF1 (siehe Sicherheitsvorgaben) Nach Anstoßen der Funktion Sichere PIN-Eingabe durch die Applikation wird die direkte Kommunikation zwischen Tastatur und PC unterbrochen, indem sie zum Leser umgeleitet und danach die gelbe LED in den Blinkmodus geschaltet wird. erfüllt. D.h. die Identifikationsdaten (PIN-Daten) werden von der PC-Tastatur direkt an den Chipkartenleser und von dort an die Chipkarte übertragen. Die weitere Anforderung... und diese (die Identifikationsdaten) nur auf dem Datenträger mit dem privaten Signaturschlüssel gespeichert werden. wird durch die Sicherheitsfunktion SF2 Nach erfolgter Übertragung der PIN zur Signierkomponente (Chipkarte) wird der interne Speicherbereich des Kartenlesers aufbereitet bevor die Kommunikation zum PC wieder freigegeben und die blinkende gelbe LED abgeschaltet wird. erfüllt. Eine dauerhafte Speicherung der Identifikationsdaten findet auf dem Chipkartenleser nicht statt. Die weitere Anforderung...sicherheitstechnische Veränderungen an den technischen Komponenten müssen für den Nutzer erkennbar werden. wird durch die Sicherheitsfunktion SF3 Bei absichtlich herbeigeführten oder aufgrund technischen Versagens entstehenden Störungen des cyberjack erfolgt eine Sperrung der Kommunikation zum Chipkartenleser, d.h. eine Applikation kann nicht mehr über den Chipkartenleser auf die Chipkarte zugreifen. Dieses wird dem Benutzer durch Dauerleuchten der gelben LED angezeigt. Die Kommunikation zum PC bleibt erhalten, um die Funktionsfähigkeit der Tastatur zu gewährleisten. erfüllt. Bei einer gezielten oder willkürlichen Manipulation oder technischen Störung wird durch eine in Hard- u. Software implementierte Funktion die Kommunikation zur Chipkarte unterbrochen. Vor unerkanntem und unautorisiertem Öffnen des Lesegerätes schützt eine Versiegelung. 3 Beschreibung der Anforderungen an die Einsatzumgebung 3.1 Technische Einsatzumgebung Das technische Umfeld für den cyberjack, Version 3.0 bildet ein sog. IBM-kompatibler PC (Industriestandard) mit einer Standard-PC-Tastatur.

5 Bestätigung zur Registrierungsnummer BSI TE Seite 5 von 5 Werden andere Tastaturen als Standard PC-Tastaturen verwendet, so ist durch Einsichtnahme in die Bedienungsanleitung dieser Tastatur bzw. durch Nachfrage beim Hersteller sicherzustellen, dass keine Tastatureingaben zwischengespeichert werden, welche nach Beendigung des Modus Sichere PIN-Eingabe PC-seitig ausgelesen werden können. Die auf einem Datenträger mitgelieferten Treiber sind für Microsoft Windows 95/98, NT 4.0 und Windows 2000 ausgelegt. Die Hinweise in der Installationsanleitung sind zu beachten. 3.2 Organisatorische Einsatzumgebung und sachgemäßer Einsatz Beim Betrieb des cyberjack, Version 3.0 ist stets auf eine saubere Verbindung zwischen Tastatur und Lesegerät zu achten, d.h. dass keine Aufzeichnungsgeräte zwischengeschaltet sind, welche Tastatureingaben unautorisiert aufzeichnen. In Verbindung mit einer Standard PC-Tastatur ist gewährleistet, dass nach Beendigung des Modus Sichere PIN-Eingabe keine vertraulichen Daten in der Tastatur zwischengespeichert sind, welche PC-seitig ausgelesen werden können. In einer Standard PC-Tastatur werden Zeichen sofort gelöscht, sobald Sie übertragen worden sind, was auch bei der Übertragung von Zeichen an den cyberjack gilt. Bei der Verwendung des cyberjack, Version 3.0 im Sinne des Signaturgesetzes werden folgende Einsatzumgebungen unterschieden: SingleUser-PC im privaten Bereich und in der normalen Büroumgebung Der SingleUser-PC im privaten Bereich ist dadurch gekennzeichnet, dass für den PC nur die Rolle des Benutzers existiert. Neben der gemäß Signaturgesetz bestätigten Anwendung können auf dem PC andere Applikationen installiert sein. Die klassische Anwendung liegt im häuslichen Bereich und in der normalen Büroumgebung. MultiUser-PC im privaten Bereich und in der normalen Büroumgebung Der MultiUser-PC im privaten Bereich ist dadurch gekennzeichnet, dass für den PC verschiedene Rollen wie Benutzer, Administrator, Revisor, Wartungstechniker etc. existieren. Neben der gemäß Signaturgesetz bestätigten Anwendung können auf dem PC andere Applikationen installiert sein. Die klassische Anwendung liegt in der normalen Büroumgebung. Für beide Einsatzumgebungen ist ein geschäftsmäßiges Überlassen des Gerätes an Dritte nicht vorgesehen. 4 Eingesetzte Algorithmen und Parameter mit Gültigkeit Nach den Vorgaben des Signaturgesetzes und der Signaturverordnung kommt die Verwendung von Algorithmen und Parametern für den Chipkartenleser cyberjack, Version 3.0 nicht in Betracht. Eine zeitliche Befristung dieser Bestätigung ist daher nicht erforderlich. Diese Bestätigung ist gültig bis: entfällt. 5 Prüfstufe und Mechanismenstärke Die Evaluierung wurde über den gesetzlichen Vorgaben hinaus (E2/hoch) mit der Evaluationsstufe E2 plus 1 und der Mechanismenstärke hoch durchgeführt. 1 Die Prüfung des Quellcodes wurde bei der Evaluierung des cyberjack, Version 3.0 mit einbezogen.