Bestätigung von Produkten für qualifizierte elektronische Signaturen

Transkript

1 Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. 7 S. 1, 17 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen 1 und 11 Abs. 3 und 15 Signaturverordnung 2 Bundesamt für Sicherheit in der Informationstechnik 3 Godesberger Allee Bonn bestätigt hiermit gemäß 15 Abs. 7 S. 1, 17 Abs. 2 SigG sowie 11 Abs.3, 15 Abs. 2 und 4 SigV, dass die Sichere Signaturerstellungseinheit STARCOS 3.2 QES Version 1.1 den nachstehend genannten Anforderungen des SigG und der SigV entspricht. Die Dokumentation zu dieser Bestätigung ist registriert unter: BSI TE Bonn, den 24. November 2008 gez. Bernd Kowalski Im Auftrag Bernd Kowalski AP Das Bundesamt für Sicherheit in der Informationstechnik ist auf Grundlage des BSI-Errichtungsgesetzes vom , Bundesgesetzblatt I S und gemäß der Veröffentlichung im Bundesanzeiger Nr. 31 vom 14. Februar 1998, Seite 1787, zur Erteilung von Bestätigungen für Produkte gemäß 15 Abs. 7 S. 1 (oder 17 Abs. 4) SigG ermächtigt. 1 Gesetz über die Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG) in der Fassung vom 16. Mai 2001 (BGBl. Jahrgang 2001 Teil I Nr. 22) geändert durch Erstes Gesetz zur Änderung des Signaturgesetzes (1. SigÄndG) vom (BGBl. I S. 2) 2 Verordnung zur elektronischen Signatur (Signaturverordnung - SigV) in der Fassung vom 16. November 2001 (BGBl. Jahrgang 2001 Teil I Nr. 59) geändert durch 1. SigÄndG 3 Bundesamt für Sicherheit in der Informationstechnik, Godesberger Allee , Bonn, Postfach , Bonn, Tel: +49(0) , Fax: +49(0) , bsi@bsi.bund.de, Web: Die besteht aus 11 Seiten.

2 Beschreibung des Produktes für qualifizierte elektronische Signaturen: Seite 2 von 11 Seiten 1 Handelsbezeichnung des Produktes und Lieferumfang: Sichere Signaturerstellungseinheit STARCOS 3.2 QES, Version der Giesecke & Devrient GmbH Auslieferung und Lieferumfang: Die SSEE STARCOS 3.2 wird an Zertifizierungsdiensteanbieter ausgeliefert. Um für den Endbenutzer verwendbar zu sein, muss die SSEE STARCOS 3.2 nach der Fabrikation durch den Hersteller von einer Stelle (z.b. dem Zertifizierungsdiensteanbieter oder G&D) initialisiert und personalisiert werden. Der Hersteller G&D liefert dazu in einem ersten Schritt die Spezifikation der Generischen Applikation (Punkt 6 in Tabelle 1) an den Zertifizierungsdiensteanbieter aus, der unter Beachtung der Vorgaben der Spezifikation noch konfigurierbare Felder der Initialisierungstabelle festlegt. Nach der Festlegung dieser Felder erstellt G&D nach Kontrolle der Zulässigkeit der spezifizierten Werte die Initialisierungstabelle, die unveränderbar und authentisch dem Initialisierer zugeschickt wird. Dieser bringt die Tabelle in die SSEE STARCOS 3.2 ein, verpackt den Chip in eine entsprechende Plastikarte und liefert das gesamte Paket ggf. per Kurier an den Zertifizierungsdiensteanbieter aus. Gemäß der Herstellerinformationen für den Personalisierer (Punkte 4 und 5 in Tabelle 1) übernimmt dieser die letzten Schritte für die Übergabe an den Endbenutzer. Die folgende Tabelle beschreibt den Auslieferungsumfang: Nr. Typ Beschreibung Version Datum Auslieferungsart 1. HW Prozessorchip Infineon SLE66CX680PE Chipkarte 2. SW Chipkartenbetriebssystem STARCOS 3.2 Im ROM der Chipkarte 3. SW QES-Applikation entsprechend der Vorgaben aus der Generischen Spezifikation (s. Punkt 6) 1.1 Skripte zur Einrichtung der Datenstrukturen 4. DOK Administratorhandbuch STARCOS 3.2 egk; STARCOS 3.2 QES V DOK Benutzerhandbuch STARCOS 3.2 QES V DOK Spezifikation Generische Applikation STARCOS 3.2 QES V DOK Installation, generation and start up of the STARCOS 3.2 egk / QES Papier/PDF Papier/PDF Papier/PDF Papier/PDF Tabelle 1: Auslieferungsumfang 4 Im Folgenden SSEE STARCOS 3.2 genannt. 5 Im Folgenden G&D genannt.

3 1.2 Antragsteller dieser Bestätigung und Hersteller des Produktes: Giesecke & Devrient GmbH Prinzenregentenstraße München 2 Funktionsbeschreibung 2.1 Kurzbeschreibung Seite 3 von 11 Seiten Gegenstand dieser Bestätigung ist die SSEE STARCOS 3.2, bestehend aus dem Chipkartenbetriebssystem und der Anwendung zur Erstellung von elektronischen Signaturen auf einer Prozessorchipkarte. Dabei erzeugt und speichert die SSEE STARCOS 3.2 Signaturschlüssel für den RSA-Algorithmus mit einer Modulus-Länge von 1024 bis 2048 Bit. Die SSEE STARCOS 3.2 nutzt den Prozessorchip SLE66CX680PE der Infineon AG, der unter der Kennung BSI-DSZ-CC zertifiziert wurde. Zusätzlich zur Anwendung für digitale Signaturen können weitere Anwendungen auf der ausgelieferten Chipkarte enthalten sein, wie z.b. Anwendungen für das Deutsche Gesundheitswesen. Diese zusätzlichen Anwendungen sind nicht Bestandteil dieser Bestätigung. 2.2 Funktionsbeschreibung des Produkts Verwaltung durch einen Administrator Die SSEE STARCOS 3.2 unterstützt die Rolle eines Administrators. Ein Administrator benutzt dafür ein Gerät, das sich gegenüber der SSEE STARCOS 3.2 mit Hilfe von kryptographischen Verfahren authentisiert und den Administrator bei der Ausführung der folgenden Funktionen unterstützt: Erzeugung des Signaturschlüsselpaares. Während der Initialisierungs- und Personalisierungsphase können mehrmals Schlüssel generiert werden, wobei ein neuer Signaturschlüssel immer den vorher generierten Schlüssel überschreibt. Die SSEE STARCOS 3.2 stellt sicher, dass ein Signaturschlüssel vor dem ersten Gebrauch erst freigeschaltet werden muss. Export des öffentlichen Signaturschlüssels. Für diesen Export bietet die SSEE STARCOS 3.2 verschiedene kryptographische Sicherungsmechanismen an. Erstellung einer Transport-PIN im Rahmen der Personalisierung der SSEE STARCOS 3.2, mit der ein Signaturschlüsselinhaber die Funktionalität zur Erstellung von Signaturen freischalten kann Zugriffskontrolle des Signaturschlüsselinhabers Der Signaturschlüsselinhaber authentisiert sich gegenüber der SSEE STARCOS 3.2 durch Eingabe einer PIN 6. Dabei setzt die Chipkarte die folgenden Bedingungen durch: Vor der Nutzung der Signaturfunktion muss der Signaturschlüsselinhaber die Sigantur-PIN setzen. Zur Sicherung des Transports unterstützt die SSEE STARCOS 3.2 entweder eine mindestens 5-stellige Transport-PIN, die nach 6 PIN = Personal Identification Number

4 Seite 4 von 11 Seiten dreimaliger Fehleingabe die Signaturfunktion dauerhaft sperrt. Alternativ kann die Transportsicherung auch darin bestehen, dass anfangs keine Signaturen erstellt werden können, sondern lediglich das Setzen einer mindestens 6- stelligen Signatur-PIN möglich ist (sog. leere Transport-PIN 7 ). Mit Hilfe der Transport-PIN kann keine Signatur erstellt, sondern lediglich die Signatur-PIN gesetzt werden. Nach dem erstmaligen Setzen einer Signatur- PIN ist eine Rückkehr zur Transport-PIN ausgeschlossen. Zur Nutzung der Signaturfunktion muss der Signaturschlüssel-Inhaber seine Signatur-PIN eingeben. Diese kann eine Länge von 6-12 Ziffern oder 6-8 ASCII-Zeichen haben. Nach dreimaliger Eingabe einer falschen Signatur-PIN hintereinander ist diese gesperrt und kann nur durch Rücksetzen des Fehlbedienungszählers mit Hilfe des PUK 8 wieder freigeschaltet werden. Der PUK kann insgesamt höchstens 10mal eingegeben werden und ist nicht veränderbar. Er kann weder zur Erstellung von Signaturen noch zur Änderung der Signatur-PIN verwendet werden. Die Signatur-PIN kann geändert werden. Dazu ist die Kenntnis der vorherigen Signatur-PIN oder bei erstmaliger Eingabe ggf. die Kenntnis der Transport-PIN notwendig Erstellung von digitalen Signaturen Zur Erstellung von digitalen Signaturen stellt die SSEE STARCOS 3.2 die folgenden Funktionen bereit: Empfang eines Hashwertes über die entsprechende Schnittstelle zum Kartenleser. Berechnung eines Hashwertes gemäß den unterstützten Hash-Algorithmen (s. Kapitel und Kapitel 3 in dieser Bestätigungsurkunde). Schutz des auf der SSEE STARCOS 3.2 zwischengespeicherten Hashwertes vor nachträglichen Manipulationen. Erzeugung von digitalen Signaturen gemäß den Standards: DSI gemäß ISO/IEC 9796/2 mit Zufallszahlen, spezifiziert in Anhang A, Kapitel der DIN V EMSA-PKCS1-v1_5 gemäß Kapitel 9.2 des PKCS#1-Standards. EMSA-PSS gemäß Kapitel 9.1 des PKCS#1-Standards Kryptographische Algorithmen Diese Sicherheitsfunktion umfasst die folgenden kryptographischen Algorithmen, mit denen elektronische Signaturen erstellt werden können oder die für einen integeren und vertraulichen Datenaustausch benötigt werden: 1. Hashalgorithmen SHA-1 und SHA-2 mit 224, 256, 384, 512 Bit sowie RIPEMD RSA-Verschlüsselung mit Schlüssellängen von 1024 bis 2048 Bit. 7 Mit dem Begriff Transport-PIN ist im Folgenden auch die leere Transport-PIN gemeint. 8 PUK = Personal Unblocking Key

5 Seite 5 von 11 Seiten 3. Erzeugung von RSA-Schlüsselpaaren mit Schlüssellängen von 1024 bis 2048 Bit. 4. Erzeugung von Zufallszahlen zur Schlüsselgenerierung. 5. Verschlüsselung von Daten mit dem DES-Algorithmus im EBC und CBC- Modus z.b. für das Secure Messaging zum sicheren Schlüsselexport. 6. Checksummenberechnung zu Sicherung der Integrität von Daten Vertraulicher Datenaustausch im Rahmen der Administration Diese Sicherheitsfunktion ist für den Aufbau von sicheren Kanälen sowie der Sicherung von Integrität und Vertraulichkeit der übertragenen Daten zuständig. Darunter fällt: 1. Aufbau eines sicheren Kanals mit gegenseitiger Authentisierung und Austausch von symmetrischen Schlüsseln zur vertraulichen Datenübertragung für die Vorbereitung von Secure Messaging. 2. Sicherstellung der Vertraulichkeit von Kommunikationsdaten beim Secure Messaging im Rahmen der Administration der SSEE STARCOS Sicherstellung der Integrität von Kommunikationsdaten durch kryptographische Prüfsummen oder die Erstellung und Prüfung von digitalen Signaturen im Rahmen der Administration der SSEE STARCOS 3.2 (z.b. für das Laden von Initialisierungstabellen oder des Exports des öffentlichen Signaturschlüssels) Schutz der Sicherheitsfunktionalität Die SSEE STARCOS 3.2 verfügt über umfangreiche Maßnahmen, einen sicheren Betrieb zu gewährleisten. Darunter fällt: 1. Physikalisches Überschreiben von Schlüsseln oder PINs, bevor ein neues Schlüsselpaar erzeugt oder eine neue PIN gesetzt wird. 2. Ausschließliche Verwendung von integritätsgeprüften geheimen oder öffentlichen Schlüssel und auf der Karte gespeicherten PINs. 3. Kontinuierliche Überprüfung der ordnungsgemäßen Funktion des Prozessorchips mit Hilfe von Sensoren und Tests für den Zufallszahlengenerator. 4. Sicherstellung der Integrität des Chipkartenbetriebssystems und der Signaturapplikation sowie Verhinderung des Einschleusens von Fehlern in die Kommandoabarbeitung. 5. Verschleierung von Stromverbrauch und Ausführungszeiten von Komandos, so dass keine Rückschlüsse auf Schlüssel oder PIN möglich sind. 6. Einnahme eines sicheren Zustands, falls Fehler in die Kommandoabarbeitung eingeschleust oder Unregelmäßigkeiten bei der Erstellung von digitalen Signaturen bemerkt werden Nutzung der Sicherheitsfunktionen des Prozessorchips Die SSEE STARCOS 3.2 nutzt die im Prozessorchip SLE66CX680PE der Infineon AG enthaltenen Sicherheitsfunktionen konsequent zur Durchsetzung der eigenen Sicherheitsziele. Dazu gehören:

6 Seite 6 von 11 Seiten 1. Entdeckung von Verfälschungen an der Spannungsversorgung, Taktrate, Temperatur und aufgrund von elektromagnetischer Strahlung mit Hilfe von Sensoren. Sobald Werte außerhalb eines zulässigen Bereichs erkannt werden, führt die Chipkarte einen Reset durch und kann erst dann wieder benutzt werden, wenn die Werte alle wieder im zulässigen Bereich liegen. 2. Nutzung des Hardware-Zufallszahlengenerators z.b. für die Schlüsselerzeugung. 3. Verwendung der Hardwareunterstützung für die Berechnung von DES- Operationen bis zu einer Schlüssellänge von 112 Bit sowie RSA- Berechnungen mit Schlüsseln von 1024 bis 2048 Bit.

7 Seite 7 von 11 Seiten 3 Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung 3.1 Erfüllte Anforderungen Das Produkt erfüllt die Anforderungen nach: SigG, 17, Abs. 1: (1) Für die Speicherung von Signaturschlüsseln sowie für die Erzeugung qualifizierter elektronischer Signaturen sind sichere Signaturerstellungseinheiten einzusetzen, die Fälschungen der Signaturen und Verfälschungen signierter Daten zuverlässig erkennbar machen und gegen unberechtigte Nutzung der Signaturschlüssel schützen. Werden die Signaturschlüssel auf einer sicheren Signaturerstellungseinheit selbst erzeugt, so gilt Absatz 3 Nr. 1 entsprechend. SigG, 17, Abs. 3, Satz 1: (3) Die technischen Komponenten für Zertifizierungsdienste müssen Vorkehrungen enthalten, um 1. bei Erzeugung und Übertragung von Signaturschlüsseln die Einmaligkeit und Geheimhaltung der Signaturschlüssel zu gewährleisten und eine Speicherung außerhalb der sicheren Signaturerstellungseinheit auszuschließen, SigV, 15, Abs. 1: (1) Sichere Signaturerstellungseinheiten nach 17 Abs. 1 Satz 1 des Signaturgesetzes müssen gewährleisten, dass der Signaturschlüssel erst nach Identifikation des Inhabers durch Besitz und Wissen oder [...] angewendet werden kann. Der Signaturschlüssel darf nicht preisgegeben werden. [...] Die zur Erzeugung und Übertragung von Signaturschlüsseln erforderlichen technischen Komponenten nach 17 Abs. 1 Satz 2 oder Abs. 3 Nr. 1 des Signaturgesetzes müssen gewährleisten, dass aus einem Signaturprüfschlüssel oder einer Signatur nicht der Signaturschlüssel errechnet werden kann und die Signaturschlüssel nicht dupliziert werden können. SigV, 15, Abs. 4: (4) Sicherheitstechnische Veränderungen an technischen Komponenten nach den Absätzen 1 bis 3 müssen für den Nutzer erkennbar werden. 3.2 Einsatzbedingungen Dies gilt unter der Voraussetzung, dass folgende Einsatzbedingungen gewährleistet sind: Auflagen für die Initialisierung 1. Der Initialisierer muss die Hinweise und Auflagen im Handbuch für den Administrator 9 und der Beschreibung der generischen Applikation 10 beachten. 9 Administratorhandbuch STARCOS 3.2 egk; STARCOS 3.2 QES V1.0, Version 0.9, Spezifikation Generische Applikation STARCOS 3.2 QES V1.1, Version 0.9,

8 Seite 8 von 11 Seiten 2. Der Initialisierer behandelt die Geheimnisse vertraulich, mit denen er sich gegenüber der Chipkarte authentisiert und danach die Initialisierungstabelle laden kann. 3. Für die Erstellung der Initialisierungstabelle ist eine ausreichend sichere Umgebung mit geeigneten personellen, organisatorischen und technischen Sicherheitsmaßnahmen aufzusetzen. Ausschließlich autorisiertes und erfahrenes Personal, das für die definierten Sicherheitsmaßnahmen ausreichend geschult ist, darf in den Initialisierungs- und Testaktivitäten eingesetzt werden. Das Sicherheitskonzept für die Initialisierung und Personalisierung der SSEE STARCOS 3.2 muss als Anlage zum Sicherheitskonzept des Zertifizierungsdiensteanbieters angefügt werden, das der Bundesnetzagentur vorzulegen ist. 4. Für die Erstellung und Absicherung der Initialisierungstabelle dürfen ausschließlich sichere Systeme innerhalb eines separaten Netzwerks, die unautorisierten Zugriff verhindern, eingesetzt werden Auflagen zur Nutzung des Signaturzählers Im Rahmen der Initialisierung wird festgelegt, wieviele Signaturen n nach einmaliger Eingabe der PIN erstellt werden können 11. Dabei gilt generell, dass eine Anzahl größer als Eins nur unter den folgenden Bedingungen erlaubt ist: Der Zertifizierungsdiensteanbieter ist verpflichtet, den Antragsteller über die besonderen Sicherheitsanforderungen für die Einsatzumgebung der SSEE mit mehrfacher oder unbegrenzter Signaturerzeugungsmöglichkeit (Multisignatur-SSEE) im Rahmen des 6 Abs. 1 SigG zu unterrichten. Die Unterrichtung muss vor Ausstellung des qualifizierten Zertifikats erfolgen und soll die besonderen Sicherheitsanforderungen, die sich aus dem hohen Angriffspotenzial ergeben, im Einzelnen auflisten. Insbesondere, jedoch nicht ausschließlich, sind alle Sicherheitsanforderungen an die Umgebung anzugeben, die in der Bestätigung genannt sind. Die Einsatzumgebung muss durch den Signaturschlüssel-Inhaber unter Berücksichtigung der vorliegenden Gegebenheiten und des geplanten Einsatzzweckes physisch und logisch so abgesichert werden, dass ein Missbrauch der Signaturfunktionalität der Multisignatur-SSEE und die Ausspähung der zugehörigen Identifikationsdaten (Signatur-PIN) durch Angreifer mit hohem Angriffspotential praktisch ausgeschlossen sind und damit die alleinige Kontrolle des Signaturschlüssel-Inhabers über den Prozess der Signaturerzeugung gegeben ist. Der Zertifizierungsdiensteanbieter ist verpflichtet, mindestens eine Einsatzumgebung anzugeben, die diese Anforderungen erfüllt. Zu den physischen Sicherungsmaßnahmen gehört der physikalische Schutz gegen unbefugten Zugriff auf die SSEE, insbesondere bei einem unbeaufsichtigten Betrieb. In der Unterrichtung des Zertifizierungsdiensteanbieters gemäß 6 Abs. 2 SigG soll in diesem Zusammenhang auf die Zurechnung der qualifizierten elektronischen Signaturen besonders hingewiesen werden. Zu den logischen Sicherungsmaßnahmen gehören die Sicherstellung, dass ausschließlich bestätigte Produkte gemäß 15 Abs. 7 Satz 1 oder 17 Abs. 4 Satz 1 SigG oder hinreichend geprüfte Produkte mit Herstellererklärung gemäß 17 Abs. 4 Satz 2 SigG zur Signaturanwendung eingesetzt werden, sowie zusätzlich die folgenden Punkte: 11 Die Anzahl n stellt den Wert des sog. Signaturzählers dar.

9 Seite 9 von 11 Seiten 1. Ordnungsgemäße Installation des Produktes und Einhaltung der vorgesehenen Einsatzumgebung gemäß der Sicherheitshinweise aus den zugehörigen Handbüchern und den Bestätigungen, 2. regelmäßige Überprüfung der Integrität des Produktes und der zugrunde liegenden Plattform (Hardware und Betriebssystem), 3. Schutz der IT-Plattform vor Schadsoftware, 4. vertrauenswürdige Sicherheitsadministration, 5. vertrauenswürdige Netzinfrastruktur, falls der Einsatz der SSEE in einem IT-Netz erfolgt, 6. vertrauenswürdige Anbindung an externe Kommunikationsnetze, falls die SSEE in einem IT-Netz mit Anbindung an externe Kommunikationsschnittstellen eingesetzt wird. Der Zertifizierungsdiensteanbieter sollte den Signaturschlüssel-Inhaber einer Multisignatur-SSEE darauf hinweisen, dass er bei Zweifeln an der ausreichenden Sicherheit seiner Einsatzumgebung eine anerkannte Prüf- und Bestätigungsstelle gemäß 18 SigG kontaktieren möge Auflagen für die Personalisierung 1. Der Personalisierer behandelt die Geheimnisse zur Authentisierung gegenüber der Chipkarte vertraulich. 2. Der Personalisierer muss den öffentlichen Signaturschlüssel nach dem Export aus der Chipkarte heraus gegen Veränderungen schützen. Der öffentliche Signaturschlüssel muss eindeutig einer bestimmten SSEE STARCOS 3.2 zugeordnet sein. 3. Vor der Erstellung des qualifizierten Zertifikats muss sich der Zertifizierungsdiensteanbieter von der Integrität und Authentizität des öffentlichen Signaturschlüssels überzeugen. 4. Zur Erstellung des qualifizierten Zertifikats überprüft der Zertifizierungsdiensteanbieter die Identität des Kartenempfängers gemäß den gesetzlichen Vorgaben. 5. Für den Personalisierungsprozess muß eine ausreichend sichere Umgebung mit geeigneten personellen, organisatorischen und technischen Sicherheitsmaßnahmen aufsetzen. Hierfür muss ein sicheres Key Management (insbesondere für Authentisierungs- und Personalisierungsschlüssel) eingerichtet und die ausreichende Sicherung des Datentransfers innerhalb des Personalisierungsprozesses sichergestellt sein. Ausschließlich autorisiertes und erfahrenes Personal, das für die definierten Sicherheitsmaßnahmen ausreichend geschult ist, darf in den Personalisierungs- und Testaktivitäten eingesetzt werden. Das Sicherheitskonzept für die Personalisierung der SSEE STARCOS 3.2 muss als Anlage zum Sicherheitskonzept des Zertifizierungsdiensteanbieters angefügt werden, das der Bundesnetzagentur vorzulegen ist. 6. Aus Sicherheitsgründen dürfen für den Personalisierungsprozess ausschließlich sichere Systeme innerhalb eines separaten Netzwerks, die unautorisierten Zugriff verhindern, eingesetzt werden. 7. Die kryptographischen Schlüssel, die zur Administration der SSEE STARCOS 3.2 berechtigen, sind sicher und vertraulich zu behandeln. Hierbei sind die

10 Seite 10 von 11 Seiten Regelungen aus dem Sicherheitskonzept, das der Bundesnetzagentur vorgelegt wurde, einzuhalten. 8. Der Herausgeber der SSEE STARCOS 3.2 informiert den Empfänger der SSEE STARCOS 3.2 gemäß den Vorgaben aus dem Benutzerhandbuch 12. Dabei unterscheidet der Herausgeber zwischen Anwendungsentwicklern, welche die SSEE STARCOS 3.2 in ihre Applikation einbinden wollen, und Signaturschlüssel-Inhabern, welche die Signaturapplikation nutzen. 9. Falls nach einmaliger Eingabe der PIN mit der SSEE STARCOS 3.2 mehrere Signaturen erstellt werden können, informiert der Herausgeber der SSEE STARCOS 3.2 den Endanwender entsprechend den Informationen im Sicherheitskonzept des Zertifizierungsdiensteanbieters Allgemeine Auflagen an den Signaturschlüssel-Inhaber/Endanwender Nachfolgend werden Auflagen genannt, die der Signaturschlüssel-Inhaber auf jeden Fall beachten muss. Darüber hinaus sind die Punkte relevant, die ihm der Chipkartenherausgeber mitteilt. 1. Der Signaturschlüssel-Inhaber muss die Signatur-PIN sowie ggf. die Transport- PIN gegen Kompromittierung schützen. Er darf die Signatur-PIN und die Transport-PIN anderen Personen nicht mitteilen und muss die zuvor genannten Daten ausreichend sicher verwahren. 2. Der Signaturschlüsselinhaber muss überprüfen, dass noch keine Signatur-PIN gesetzt ist. Je nach Auslieferungsart des Zertifizierungsdiensteanbieters muss er entweder eine ihm vorab mitgeteilte Transport-PIN eingeben oder bei einer leeren Transport-PIN darauf achten, dass lediglich das Setzen der Signatur- PIN möglich ist. 3. Der Signaturschlüssel-Inhaber muss die Signatur-PIN in regelmäßigen Abständen oder immer dann, wenn er eine Kompromittierung vermutet, wechseln. 4. Der Signaturschlüssel-Inhaber ist verantwortlich für den Wechsel der Transport-PIN und für die Wahl einer zufälligen und geheimen Signatur-PIN, deren Mindestlänge 6 Ziffern beträgt. 5. Der Signaturschlüssel-Inhaber muss die SSEE STARCOS 3.2 so behandeln und aufbewahren, dass Missbrauch und Manipulation nicht möglich sind. 6. Zur Erstellung qualifizierter elektronischer Signaturen dürfen ausschließlich vertrauenswürdige Signaturanwendungskomponenten verwendet werden, die gemäß Signaturgesetz von einer Bestätigungsstelle bestätigt wurden. Bestätigte Signaturanwendungskomponenten werden auf den Internetseiten der Bundesnetzagentur ( aufgeführt. 7. Der Signaturschlüssel-Inhaber muss überprüfen, dass die Umgebung, in der die Signaturkarte genutzt wird, ausreichend bzgl. Vertraulichkeit und Integrität der Authentisierungsdaten (z.b. der PIN) sowie bzgl. Integrität der zu signierenden Daten abgesichert ist. 12 Benutzerhandbuch STARCOS 3.2 QES V1.0, Version 0.8,

11 3.3 Algorithmen und zugehörige Parameter Seite 11 von 11 Seiten Die SSEE STARCOS 3.2 unterstützt zur Erstellung von elektronischen Signaturen die Hashalgorithmen SHA-1 und SHA-2 mit 224, 256, 384, 512 Bit sowie RIPEMD 160 und den RSA-Algorithmus mit einer Bitlänge von Bit. Gemäß der Veröffentlichung der Bundesnetzagentur 13 dürfen für die qualifizierte elektronische Signatur die folgenden Hashalgorithmen eingesetzt werden: Algoritmus Einsetzbar bis RIPEMD 160 Ende 2010 SHA-2 mit 224, 256, 384, 512 Bit Ende 2014 Tabelle 2: Zugelassene Hashfunktionen Die Hashfunktion SHA-1 darf lediglich für die Erzeugung und Prüfung qualifizierter Zertifikate (d.h. nicht zur Erzeugung und Prüfung anderer qualifiziert signierter Daten) bis Ende 2009 verwendet werden. Unter der zusätzlichen Voraussetzung, dass mindestens 20 Bit Entropie in die Generierung der Seriennummer eines qualifizierten X.509-Zertifikats eingehen, ist SHA-1 bis auf weiteres bis Ende 2010 geeignet für die Erzeugung solcher Zertifikate. Für den RSA-Algorithmus sind die folgenden Schlüssellängen vorgeschrieben: Schlüssellänge Einsetzbar bis 1280 bis Ende bis Ende bis Ende bis Ende 2014 Tabelle 3: Zulässige Schlüssellängen Für die Gewährleistung eines langfristigen Sicherheitsniveaus wird die Verwendung von Schlüsseln mit einer Schlüssellänge von 2048 Bit empfohlen. 3.4 Prüfstufe und Mechanismenstärke Das Produkt Signaturerstellungseinheit STARCOS 3.2 QES, Version 1.1 wurde erfolgreich nach den Common Criteria (CC) mit der Prüfstufe EAL4+ (EAL4 mit Zusatz AVA_VLA.4 (gegen ein hohes Angriffspotential) und AVA_MSU.3 (eine vollständige Missbrauchsanalyse)) evaluiert. Der Prozessorchip Infineon SLE66CX680PE wurde im Zertifizierungsverfahren zur ID BSI-DSZ-CC erfolgreich nach den Common Criteria (CC) mit der Prüfstufe EAL5+ (EAL5 mit Zusatz AVA_VLA.4 (gegen ein hohes Angriffspotential), AVA_MSU.3 (eine vollständige Missbrauchsanalyse) und ALC_DVS.2 (Ausreichende Sicherheitsmaßnahmen)) evaluiert. Die eingesetzten Sicherheitsfunktionen erreichen die Stärke hoch. Ende der Bestätigung 13 Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen) vom 17. Dezember 2007, veröffentlicht am 05. Februar 2008 im Bundesanzeiger Nr. 19, Seite 376