Bestätigung von Produkten für qualifizierte elektronische Signaturen

Transkript

1 Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. S. 1, 1 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen 1 und 11 Abs. 3 und 15 Signaturverordnung 2 3 Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee Bonn bestätigt hiermit gemäß 15 Abs. S. 1, 1 Abs. 2 SigG sowie 11 Abs.3, 15 Abs. 2 und 4 SigV, dass die Virtuelle Poststelle des Bundes (Verifikationsmodul), Version den nachstehend genannten Anforderungen des SigG und der SigV entspricht. Die Dokumentation zu dieser Bestätigung ist registriert unter: BSI.0201.TE Bonn, den 2. November 200 gez. Helmbrecht Dr. Helmbrecht Präsident Das Bundesamt für Sicherheit in der Informationstechnik ist auf Grundlage des BSI-Errichtungsgesetzes vom , Bundesgesetzblatt I S und gemäß der Veröffentlichung im Bundesanzeiger Nr. 31 vom 14. Februar 1998, Seite 18, zur Erteilung von Bestätigungen für Produkte gemäß 15 Abs. S. 1 (oder 1 Abs. 4) SigG ermächtigt. 1 Gesetz über die Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG) in der Fassung vom 16. Mai 2001 (BGBl. Jahrgang 2001 Teil I Nr. 22) geändert durch Erstes Gesetz zur Änderung des Signaturgesetzes (1. SigÄndG) vom (BGBl. I S. 2) 2 Verordnung zur elektronischen Signatur (Signaturverordnung - SigV) in der Fassung vom 16. November 2001 (BGBl. Jahrgang 2001 Teil I Nr. 59) geändert durch 1. SigÄndG 3 Bundesamt für Sicherheit in der Informationstechnik, Godesberger Allee , 5315 Bonn, Postfach , Bonn, Tel: +49(0) , Fax: +49(0) , bsi@bsi.bund.de, Web: Die Bestätigung zur Registrierungsnummer BSI.0201.TE besteht aus 11 Seiten.

2 Beschreibung des Produktes für qualifizierte elektronische Signaturen: Seite 2 von 11 Seiten 1 Handelsbezeichnung des Produktes und Lieferumfang: Signaturanwendungskomponente, Virtuelle Poststelle des Bundes (Verifikationsmodul), Version Auslieferung und Lieferumfang: Das Produkt wird auf CD-ROM oder online über eine gesicherte Webseite als Archiv an einen Betreiber ausgeliefert. Separat von der Auslieferung wird der SHA-1-Wert über die ausgelieferten Anteile auf einer gesicherten Webseite veröffentlicht und dem Empfänger auf einem separaten Weg (z.b. per oder Fax) mitgeteilt. Er ist im Anschluss an Tabelle 1 aufgeführt. Bei beiden Auslieferungswegen wird der Empfänger darauf hingewiesen, dass er mit einem geeigneten Werkzeug 5 den Hashwert über das Archiv bilden und mit dem veröffentlichten Wert vergleichen muss. 1.2 Antragsteller dieser Bestätigung: Bundesministerium des Innern Alt-Moabit 101D Berlin, Deutschland 1.3 Hersteller und Vertreiber des Produkts: bremen online services GmbH & Co. KG Am Fallturm Bremen, Deutschland 1.4 Lieferumfang des Produktes: Das Verifikationsmodul besteht aus den folgenden Anteilen: Eine Client-Applikation (Verifikationsanwendung) zur Installation auf dezentral verteilten Arbeitsplatzrechnern, mit der ein Endbenutzer qualifizierte elektronische Signaturen prüfen und die Ergebnisse der Prüfung anzeigen kann. Eine Serverkomponente (Verifikationsserver), mit der Anfragen der Client- Applikation zur Validierung von Zertifikaten an die Basiskomponente weitergeleitet und deren Rückgabe zurück an die Client-Applikation übermittelt werden. Ein Werkzeug (Prüftool), das vom Betreiber des Verifikationsmoduls dem Endbenutzer über eine gesicherte Webseite zur Verfügung gestellt wird und die Integrität der Verifikationsanwendung prüft. Die folgende Tabelle beschreibt den Lieferumfang des Produktes: 4 5 Im Weiteren Verifikationsmodul genannt. Der Hersteller nennt als Beispiel das Tool sha1sum, das unter der GPL im Sourcecode und als Binary für alle unterstützten Betriebssysteme erhältlich ist.

3 Seite 3 von 11 Seiten Nr System Art Teil Version Datum Art der Auslieferung 1 Software VPS Verifikationsmodul Verifikations anwendung 2 Dokument Benutzerhandbuch der Verifikationsanwendung 6 3 Software VPS Verifikationsmodul Verifikations server 4 Dokument Betriebshandbuch Software VPS Verifikationsmodul Prüftool 6 Dokument Benutzer- und Betriebshandbuch Prüfwerkzeug auf CD-ROM oder als pdf-datei auf CD- ROM oder als auf CD-ROM oder als pdf-datei auf CD- ROM oder als auf CD-ROM oder als pdf-datei auf CD- ROM oder als Tabelle 1: Lieferumfang des Verifikationsmoduls Der SHA1-Hashwert über das Archiv, das den Lieferumfang des Verifikationsmoduls darstellt, ist: 2 Funktionsbeschreibung 2.1 Kurzbeschreibung dc1325ba2bf098d229f322b64e6d425a5e622 Im Rahmen des Projektes BundOnline 2005 wurde die Virtuelle Poststelle des Bundes entwickelt. Sie stellt als zentrales Kommunikations-Gateway Sicherheitsdienste für die gesicherte Kommunikation zwischen Behörden und externen Kommunikationspartnern (Bürger, Wirtschaft und andere Behörden) bereit. Dieses komplexe Produkt wird in drei Verfahren mit den Evaluationsgegenständen Basiskomponente (EVG 1, blau markiert in Abbildung 1), OSCI 9 -Komponente (EVG 2, gelb markiert in Abbildung 1) und Verifikationsmodul (EVG 3, orange markiert in Abbildung 1 und Gegenstand dieser Bestätigung) evaluiert, zertifiziert und bestätigt. Ausschließlich die in Abbildung 1 farblich gekennzeichneten Teile der Virtuellen Poststelle des Bundes werden für die Erstellung der qualifizierten elektronischen Signatur benötigt und sind daher Bestandteil von Evaluierungs- und Bestätigungsverfahren. Alle weiteren Anteile, die in Abbildung 1 nicht farblich markiert sind, sind demzufolge nicht Gegenstand einer Evaluierung und Bestätigung Benutzerhandbuch der Verifikationsanwendung, Dokument-Version 2.2.5, ; bremen online services GmbH & Co. KG Betriebshandbuch, Dokument-Version 2.2.5, ; bremen online services GmbH & Co. KG Benutzer- und Betriebshandbuch Prüfwerkzeug, Dokument-Version 2.3.4, ; bremen online services GmbH & Co. KG Online Services Computer Interface, siehe auch

4 Seite 4 von 11 Seiten Abbildung 1 stellt den Aufbau der Virtuellen Poststelle des Bundes schematisch dar und zeigt zum besseren Überblick nicht alle Anteile der evaluierten und bestätigten Komponenten. Diese sind der entsprechenden Bestätigungsurkunde zu entnehmen. Virtuelle Poststelle des Bundes Web-Client Anwendungen OSCI- Bibliothek OSCI-Client- Enabler Authentisierungsanwendung Verifikationsanwendung MTA SMTP Proxy Mail Interface (MI) Mail Anwendung Backend / Fachverfahren Web-Server Anwendungen Entry OSCI- Backend-Enabler Entry OSCI- Manager OSCI- Postfächer Authentifizierungsserver Verifikationsserver Document Interface (DI) Kernsystem NetSigner fachspezifisch zu implementieren: Verwaltung Externe Benutzer Verwaltung Postbücher Directory Externe Benutzer Directory Interne Benutzer Log-Server Zeit-Server (NTP) Externer Zeitstempeldienst Virenscanner OCSP/CRL- Relay Kartenleser Trust-Center Abbildung 1: Schematischer Aufbau der Virtuellen Poststelle des Bundes Die Basiskomponente (EVG 1) wird zentral in einem gesicherten Bereich (z.b. in einem Rechenzentrum) betrieben und stellt folgende Funktionalitäten zur Verfügung: Unterstützung bei der Erzeugung qualifizierter elektronischer Batchsignaturen 10, mathematische Prüfung qualifizierter elektronischer Signaturen (Verifikation) und Statusprüfung qualifizierter Zertifikate (Validierung). Sowohl die OSCI-Komponente als auch das Verifikationsmodul greifen zur Bereitstellung ihrer eigenen Funktionalität auf die im Sinne eines Servers betriebene Basiskomponente zurück, so dass die Evaluierung der Basiskomponente eine Voraussetzung für den sicheren Einsatz von EVG 2 und EVG 3 darstellt. Die OSCI-Komponente (EVG 2) beinhaltet eine Funktionsbibliothek (OSCI-Client- Enabler) für die sichere Anzeige und das Signieren von Dokumenten am Arbeitsplatz sowie zur Kommunikation über das OSCI-Protokoll. Die weiteren Anteile der OSCI- Komponente bilden eine Funktionsbibliothek zur Integration in ein Fachverfahren (OSCI-Backend-Enabler), die eine Anbindung über das OSCI-Protokoll erlaubt, sowie die zentrale Serverkomponente für den Betrieb einer OSCI-konformen IT-Infrastruktur (OSCI-Manager). Bestandteil dieser Bestätigung ist das Verifikationsmodul (EVG 3), das aus den folgenden Anteilen besteht (s. auch Tabelle 1): Der Verifikationsserver nimmt Anfragen der Verifikationsanwendung zur Validierung von qualifizierten Zertifikaten entgegen und leitet diese an eine für ihn 10 Eine Batchsignatur ist eine serverbasiert erzeugte SigG-konforme qualifizierte elektronische Signatur, bei der eine große Anzahl praktisch gleicher Vorgänge z. B. Rechnungen, die sich nur im Betrag und der Zustelladresse unterscheiden in einer besonders gesicherten Umgebung automatisiert abgearbeitet werden.

5 Seite 5 von 11 Seiten erreichbare Basiskomponente weiter. Es handelt sich dabei um eine Java- Anwendung, die auf einem Server in einem geschützten Bereich (z. B. einem Rechenzentrum) betrieben wird. Die Bedienung erfolgt durch vertrauenswürdiges Fachpersonal über Web-Oberflächen (GUIs) der Administrationsanwendung. Die Verifikationsanwendung wird auf einem Rechner am Arbeitsplatz des Endbenutzers betrieben. Die Verifikationsanwendung prüft qualifizierte elektronische Signaturen, zeigt die gemäß Signaturgesetz relevanten Angaben wie z.b. den Inhalt des qualifizierten Zertifikats, das Ergebnis der Signatur- und Zertifikatsprüfung sowie den Inhalt von Text-Dateien vertrauenswürdig an. Weiterhin schützt die Verifikationsanwendung wichtige Konfigurationsdaten vor unbefugter Veränderung, die für die vertrauenswürdige Kommunikation mit dem Verifikationsserver und der Basiskomponente benötigt werden. Das Prüftool stellt ein Java-Applet dar, das vom Betreiber des Verifikationsservers den Endbenutzern über eine gesicherte Webseite zur Verfügung gestellt wird. Der Endbenutzer kann mit Hilfe des Prüftools die Integrität der installierten Verifikationsanwendung auf seinem Arbeitsplatz-PC überprüfen und somit sicherheitstechnische Veränderungen erkennen. Abbildung 2 stellt das Verifikationsmodul schematisch dar. Abbildung 2: Schematische Darstellung des Verifikationsmoduls Die Validierung qualifizierter Zertifikate wird durch die Basiskomponente übernommen, die Anfragen der Verifikationsanwendung über den Verifikationsserver übermittelt bekommt. Das Ergebnis der Validierung wird von der Basiskomponente elektronisch mit Hilfe eines Serverzertifikats signiert. Die Verifikationsanwendung prüft diese elektronische Signatur um sicherzustellen, dass die Ergebnisse auf dem Übertragungsweg nicht manipuliert wurden. Das Serverzertifikat mit dem dazugehörigen öffentlichen Schlüssel muss somit der Verifikationsanwendung zugänglich sein. Serverzertifikate sind nicht öffentlich zugänglich und nicht auf eine Person ausgestellt, so dass mit ihnen nur elektronische Signaturen erstellt werden können. Da Serverzertifikate nicht öffentlich abprüfbar sind, verfügen sie über keine zeitliche Begrenzung und werden nicht gesperrt. Liegt der Verdacht der Kompromittierung vor, so müssen sie ausgetauscht werden. Für die Beschaffung, sichere Verteilung und ggf. den Austausch der Serverzertifikate ist vertrauenswürdiges Personal zuständig. Die eingesetzten Algorithmen zur Signatur von Daten mit Hilfe der Serverzertifikate sind

6 Seite 6 von 11 Seiten durch die Bundesnetzagentur als geeignet für die Verwendung bei der qualifizierten elektronischen Signatur eingestuft. 2.2 Funktionsbeschreibung des Produkts Die Verifikationsanwendung stellt insgesamt fünf Sicherheitsfunktionen zur Verfügung, die im Folgenden aufgeführt sind: SF1 Verifikation einer qualifizierten elektronischen Signatur : Die Verifikationsanwendung verifiziert eine qualifizierte elektronische Signatur mit dem mitgelieferten zugehörigen Zertifikat nebst Prüfschlüssel sowie den Verifikationsalgorithmus RSA und die Hashfunktion SHA-1. Benutzte Schlüssellängen sind entsprechend der X.509-Zertifikate derzeit 1024 oder 2048 Bit. Die Sicherheitsfunktion SF3 erlaubt dann eine sichere Anzeige des Verifikationsergebnisses. SF2 Verifikation einer OCSP/CRL-Relay-Antwort bei der Validierung eines qualifizierten Zertifikats : Die Verifikationsanwendung verifiziert die elektronische Signatur des Validierungsergebnisses mit dem Serverzertifikat der Basiskomponente (d.h. des OCSP/CRL-Relays als Teil der Basiskomponente). Dann zeigt die Verifikationsanwendung das Validierungsergebnis mit Hilfe der Sicherheitsfunktion SF3 an. SF3 Sichere und zuverlässige Anzeige : Die Verifikationsanwendung bietet eine sichere Anzeige von signierten Daten im plaintext (UTF-8-codiert)-Format. Darüber hinaus bietet die Verifikationsanwendung eine sichere Anzeige der folgenden signaturrelevanten Informationen: Verweis, auf welche Daten sich eine Signatur bezieht; der Signatur zugeordnete Signaturschlüssel-Inhaber; Inhalte des zugehörigen qualifizierten Zertifikats. Die Verifikationsanwendung bietet des Weiteren hinreichende Anzeigen für folgende Prozesse: Verifikationsprozess: Das Ergebnis der Verifikation wird angezeigt, d. h. es wird angezeigt, ob die Daten unverändert sind. Validierungsprozess: Das Ergebnis der Validierung wird angezeigt, d. h. es wird angezeigt, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen Zertifikatsverzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren. Die Verifikationsanwendung bietet eine Anzeige der folgenden Konfigurationsparameter, die zur integren Kommunikation mit dem richtigen Verifikationsserver dienen: Adresse des Verifikationsservers mit Proxy-Information; Serverzertifikat des OCSP/CRL-Relays.

7 Seite von 11 Seiten SF4 Prüftool : Das Prüftool dient dazu, die Integrität der Verifikationsanwendung sicherzustellen. Dazu überprüft es die elektronischen Signaturen der Dateien, die zur Verifikationsanwendung gehören. Die zugehörigen Zertifikate des Herstellers, welche die öffentlichen Schlüssel zur Verifikation enthalten, sind im Prüftool enthalten. Dem Anwender wird zu jeder überprüften Datei der Dateiname, der Dateipfad, die Version, das jeweilige Prüfergebnis (Signatur korrekt, Signatur nicht korrekt) sowie das Gesamtergebnis (Produktintegrität bestätigt, Produktintegrität nicht bestätigt) angezeigt. SF5 Schutz der Konfigurationsdaten : Eine integre Kommunikation zwischen der Verifikationsanwendung und dem Verifikationsserver bzw. der Basiskomponente ist notwendig, damit die serverseitig durch die Basiskomponenten erstellten Ergebnisse einer Zertifikatsvalidierung unverfälscht übermittelt und entsprechend angezeigt werden können. Dafür müssen der Verifikationsanwendung die Konfigurationsdaten für den richtigen Verifikationsserver vorliegen und das Serverzertifikat bekannt sein, mit dem die Validierungsergebnisse signiert sind. Daher bietet die Verifikationsanwendung einen Integritätsschutz der folgenden Konfigurationsdaten: Adresse des Verifikationsservers, Serverzertifikat der Basiskomponente (d.h. des OCSP/CRL-Relays). Beim Erstellen der Konfigurationsdaten mit Hilfe der Verifikationsanwendung muss der Benutzer ein Passwort angeben, dessen Qualität von der Verifikationsanwendung geprüft wird. Auf die Kombination von Passwort und Konfigurationsdaten wendet die Verifikationsanwendung die Hashfunktion SHA-1 an und legt das Ergebnis im Dateisystem ab. Beim Start der Verifikationsanwendung muss immer ein Passwort angegeben werden. Die Verifikationsanwendung bildet den Hashwert aus der Kombination von eingegebenem Passwort und Konfigurationsdaten und vergleicht ihn mit dem hinterlegten Hashwert. Schlägt die Prüfung fehl, so werden die Konfigurationsdaten gelöscht und müssen vom Benutzer neu eingegeben und mit einem Passwort geschützt werden. Damit wird sichergestellt, dass Manipulationen an den Konfigurationsdaten vom Benutzer erkannt werden können.

8 Seite 8 von 11 Seiten 3 Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung 3.1 Erfüllte Anforderungen Das Produkt erfüllt die Anforderungen nach: SigG 1, Abs. 2, Satz 2, Für die Überprüfung signierter Daten sind Signaturanwendungskomponenten erforderlich, die feststellen lassen, 1. auf welche Daten sich die Signatur bezieht, 2. ob die signierten Daten unverändert sind, 3. welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist, 4. welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht [...] aufweisen und 5. zu welchem Ergebnis die Nachprüfung von Zertifikaten nach 5 Abs. 1 Satz 2 geführt hat. SigV 15, Abs. 2, Nr. 2 bei der Prüfung einer qualifizierten elektronischen Signatur a) die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird und b) eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen Zertifikat-Verzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren. 15, Abs. 4, Sicherheitstechnische Veränderungen an technischen Komponenten [...] müssen für den Nutzer erkennbar werden. Das Prüftool erlaubt nur eine Integritätsprüfung der Verifikationsanwendung. Die Integrität des Verifikationsservers muss durch die Einsatzumgebung sichergestellt werden. Siehe dazu die Anforderungen an den Betrieb der Server. 3.2 Einsatzbedingungen Diese Bestätigung gilt unter der Voraussetzung, dass folgende Einsatzbedingungen gewährleistet sind: a) Anforderungen an die technischen Einsatzbedingungen Die für den Betrieb der Virtuellen Poststelle notwendigen Systemkomponenten der Public-Key-Infrastruktur (PKI) sind vorhanden: qualifizierte Zertifikate; private Schlüssel und Serverzertifikate (zur Gewährleistung der Systemsicherheit);

9 Seite 9 von 11 Seiten die evaluierte und bestätigte Basiskomponente 11 der Virtuellen Poststelle des Bundes für die Validierung von qualifizierten Zertifikaten. Der Verifikationsserver wird auf einer der folgenden Plattformen betrieben: Betriebssysteme Hardware Sonstiges Linux (SuSE Linux Enterprise Server 9) Solaris 9 Windows 2003 Server i386-architektur (Intel Xeon o.ä) Sun UltraSparc- Architektur i386-architektur (Intel Xeon o.ä) Java: SUN 1.4.2_04 Application Server: JBoss inkl. Tomcat Datenbank: MySQL 4.1 Browser zur Administration Tabelle 2: Hard- und Softwareanforderungen für den Verifikationsserver Die Verifikationsanwendung und das Prüftool sind für die folgenden Plattformen vorgesehen: Betriebssysteme Hardware Sonstiges Linux (SuSE Linux Professional 9.x) Windows 2000 Windows XP i386-architektur (Intel Xeon o.ä) Java: SUN 1.4.2_04 Tabelle 3: Hard- und Softwareanforderungen für die Client-Anwendungen b) Anforderungen an die organisatorische und administrative Einsatzumgebung Anforderungen an den Betrieb der Server Für den Betrieb der Server ist vertrauenswürdiges Personal eingesetzt, das einen Beitrag zur Sicherheit leistet, und die notwendigen räumlichen Gegebenheiten sowie Hard- und Software für den sicheren Betrieb der serverseitigen Komponenten des EVG sind vorhanden. Es sind verschiedene Administratoren für die verschiedenen Aufgaben benannt, die einen Beitrag zur Sicherstellung einer vertraulichen und integren Betriebsumgebung des EVG leisten. Ein Vier-Augen-Prinzip mit Revisor ist für wichtige Aktivitäten organisatorisch realisiert. Es wird gewährleistet, dass das System korrekt aufgebaut ist, inkl. Einhaltung der Vorgaben hinsichtlich der räumlichen Gegebenheiten und für die Realisierung der Netzwerkarchitektur und der internen Verbindungen zwischen den einzelnen Systemkomponenten mit Firewall, Demilitarisierter Zone (DMZ) etc. 12. Der Verifikationsserver und die Basiskomponente werden zusammen innerhalb eines vertrauenswürdigen Netzes betrieben. Die Anforderungen der Bundesnetzagentur 13 an einen geschützten Einsatzbereich (Regelfall/Standardlösung) werden insbesondere durch die folgenden Maßnahmen umgesetzt: Siehe die Bestätigung zur ID BSI.0200.TE Vgl. BundOnline 2005, Bundesamt für Sicherheit in der Informationstechnik, bremen online services GmbH & Co. KG, datenschutz nord GmbH, Generisches Sicherheitskonzept für die Kern- und Webkomponenten der Virtuellen Poststelle, 2004, Siehe Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (Bundesnetzagentur), Einheitliche Spezifizierung der Einsatzkomponenten für Signaturanwendungskomponenten Arbeitsgrundlage für Entwickler/ Hersteller und Prüf-/Bestätigungsstellen, Version 1.4,

10 Seite 10 von 11 Seiten Auflagen zur Anbindung an das Internet/Intranet: Es wird angenommen, dass Netzwerkverbindungen so abgesichert sind, dass Angriffe erkannt bzw. unterbunden werden z. B. durch eine geeignet konfigurierte Firewall, geeignete Absicherung des LAN und durch die Verwendung geeigneter Anti-Viren- Programme. Auflagen zur Sicherheit der IT-Plattform und Applikationen: Es wird angenommen, dass gewährleistet ist, dass von der Hardware, auf der der EVG betrieben wird, keine Angriffe ausgehen. Insbesondere ist sicherzustellen, dass die auf dem eingesetzten Computer installierte Software nicht böswillig manipuliert oder verändert werden kann, auf dem Computer keine Viren oder Trojanischen Pferde eingespielt werden können, die Hardware des Computers nicht unzulässig verändert werden kann. Auflagen zum Schutz vor manuellem Zugriff Unbefugter und Datenaustausch per Datenträger: Es wird angenommen, dass die folgenden baulichen, personellen und organisatorischen Anforderungen umgesetzt sind: Rechner, Monitor und Tastatur befinden sich in einem Betriebsraum. Für die Administratoren müssen Vertreterregelungen für Krankheit und Urlaub bestehen. Wartungs- bzw. Reinigungspersonal erhält den Zugang zum zugriffssicheren Betriebsraum nur durch einen Administrator, der den Aufenthalt überwacht. Anforderungen an den Betrieb der Clients Es wird gewährleistet, dass die Verifikationsanwendung korrekt installiert ist inklusive der Einhaltung von Vorgaben hinsichtlich der räumlichen Gegebenheiten und für die Realisierung der Netzwerkarchitektur mit Firewall etc. 12. Die Anforderungen der Bundesnetzagentur 13 an einen geschützten Einsatzbereich (Regelfall/Standardlösung) werden insbesondere durch die folgenden Maßnahmen erfüllt: Auflagen zur Anbindung an das Internet/Intranet: Es wird angenommen, dass Netzwerkverbindungen so abgesichert sind, dass Angriffe erkannt bzw. unterbunden werden, z. B. durch eine geeignet konfigurierte Firewall und durch die Verwendung geeigneter Anti-Viren-Programme. Auflagen zur Sicherheit der IT-Plattform und Applikationen: Es wird angenommen, dass gewährleistet wird, dass von der Hardware, auf der der EVG betrieben wird, keine Angriffe ausgehen. Insbesondere ist sicherzustellen, dass die auf dem eingesetzten Computer installierte Software nicht böswillig manipuliert oder verändert werden kann, auf dem Computer keine Viren oder Trojanischen Pferde eingespielt werden können, die Hardware des Computers nicht unzulässig verändert werden kann, der verwendete Chipkartenleser nicht böswillig manipuliert wurde, um Daten (z. B. PIN, Hashwerte etc.) auszuforschen oder zu verändern. Auflagen zum Schutz vor manuellem Zugriff Unbefugter und Datenaustausch per Datenträger: Es wird angenommen, dass die folgenden baulichen, personellen und organisatorischen Anforderungen umgesetzt sind: Raum des Arbeitsplatzes: Es ist Sorge zu tragen, dass ein Zugriff Unbefugter ausgeschlossen ist oder zumindest mit hoher Sicherheit erkennbar wird.

11 Seite 11 von 11 Seiten Der Benutzer hat erstmalig bei der Installation und vor Gebrauch mit dem vom Hersteller zur Verfügung gestellten Prüftool die Integrität der Verifikationsanwendung zu prüfen. 3.3 Algorithmen und zugehörige Parameter Gemäß dem aktuell veröffentlichten Katalog der Bundesnetzagentur 14 sind die Algorithmen bis zu den nachfolgend aufgeführten Terminen zur Erstellung von qualifizierten elektronischen Signaturen geeignet: Hashfunktion: SHA-1: Ende 2009 Erstellen von Signaturen: RSA mit einer Bitlänge von 1024 Bit: Ende 200 RSA mit einer Bitlänge von 2048 Bit: Ende Prüfstufe und Mechanismenstärke Das Produkt Virtuelle Poststelle des Bundes Version (Verifikationsmodul) wurde erfolgreich nach den Common Criteria (CC) mit der Prüfstufe EAL3+ (EAL3 mit Zusatz 15 AVA_VLA.4 (gegen ein hohes Angriffspotential), AVA_MSU.3 (eine vollständige Missbrauchsanalyse), ADV_IMP.1, ADV_LLD.1 und ALC_TAT.1, ADO_DEL.2 (Erkennung von Manipulation)) evaluiert. Die eingesetzten Sicherheitsfunktionen erreichen die Stärke hoch. Ende der Bestätigung Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung (Übersicht über geeignete Algorithmen) vom 22. Februar 200, veröffentlicht am 12. April 200 im Bundesanzeiger Nr. 69, S. 359 Gemäß 11 Abs. 3 in Verbindung mit Anlage 1 Abschnitt I Nr. 1 SigV.