Anlage TV4 DIGANT DIGANT -Softwaremodule BUDS, D-SAFE und KOMSYS Leistungsbeschreibung Stand: 01.08.2004
1 DIGANT -Software Die DIGANT -Software besteht aus den Funktionsmoduln B UDS, D-SAFE und KOMSYS. Das DIGANT -Bildbearbeitungsmodul BUDS realisiert die produktionsgerechte Digitalisierung von Paßbildern und Unterschriften und wird am Arbeitsplatz zur Erfassung der personenbezogenen Antragsdaten eingesetzt. Das DIGANT -Signatur- und Verschlüsselungsmodul D-SAFE dient zur elektronischen Signatur des Bestellformulars und zur Verschlüsselung des Bestellformulars und der zur Bestellung gehörenden elektronischen Antragsdaten. Der Einsatz von D-SAFE erfordert eine DIGANT -Behördenkarte und ein geeignetes Chipkartenlesegerät. Das DIGANT -Kommunikationsmodul KOMSYS dient zur Übertragung der verschlüsselten Bestelldaten an die Bundesdruckerei GmbH. Das KOMSYS wird nach den Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) in einer gesicherten Umgebung in der Paß- und Ausweisbehörde oder in einem Rechenzentrum betrieben. Neben dem D IGANT -Kommunikationsmodul wird eine grafische Benutzeroberfläche für den Kommunikations-Server ausgeliefert. Mit Hilfe des KS-Monitors kann der Kommunikations-Server übersichtlich und einfach konfiguriert werden. Zusätzlich sind statistische Auswertungen möglich Stand: 01.08.2004 Seite 2 von 11
2 Leistungsbeschreibung Bild- und Unterschriften-Digitalisiersystem BUDS 2.1 Funktionsweise Das Modul BUDS dient zur Digitalisierung von Paßfotos in einem Format von 35 x 45 mm und zur Digitalisierung von Unterschriften. BUDS-Funktionen werden als DLL s für WINDOWS NT 4.0, WINDOWS 2000 Professional oder WINDOWS XP geliefert, die von Host-Programmen aufgerufen und genutzt werden. Der Datenaustausch mit dem Host-Programmen erfolgt über Dateischnittstellen. Die Ergebnisse des Digitalisierprozesses werden im JPEG-Datenformat bereitgestellt. Als Digitalisier-Hardware für Paßfotos und Unterschriften werden TWAIN-fähige Scanner oder Digitalisier-Tabletts für die Unterschriftenerfassung unterstützt. BUDS arbeitet für die Datenakquisition mit selbsterzeugten Formularen. Die Formulare sind an die unterschiedlichen Erfassungsanforderungen angepasst. Weitere Formulare können von der Bundesdruckerei angepasst werden. Ein Formular wird vor Ort über einen Laserdrucker ausgegeben und dient als Trägermedium für die zu digitalisierenden Bildinformationen wie z.b. das Paßbild oder die Unterschrift. Formulare enthalten Hilfen zur Lageerkennung und -korrektur der Scanobjekte. BUDS bietet parametrisierbare Funktionen zur Bilderfassung für verschiedene Erfassungs- bzw. Ausgabemedien. Toleranzen bei Erfassungsgeräten können über die Parameter kompensiert werden. 2.2 Technische Beschreibung der BUDS-Funktionen - DRUCK-Funktion zum Ausdruck der Formulare und von Bild und Unterschrift - SCAN-Funktion zur Erfassung von Paßbildern, Unterschriften oder frei definierbaren Bereichen auf Formularblättern Stand: 01.08.2004 Seite 3 von 11
- EDIT-Funktion gesperrt (für andere Anwendungen außer Digant freigegeben) - SIGN-Funktion zur Erfassung von Unterschriften von Digitalisiertabletts - KAMERA-Funktion gesperrt (für andere Anwendungen außer Digant freigegeben zur Erfassung von Bildern mit Hilfe eine digitalen Kamera über USB- oder seriellen Anschluss) - ADMINISTRATIONS-Funktionen für Systemeinstellungen zur interaktiven Definition von Druckern, zur Anpassung der Bildverarbeitung und unterschiedlicher Erfassungsquellen 2.3 Hard- und Softwarevoraussetzungen für die Nutzung von BUDS Software: WINDOWS NT 4.0, WINDOWS 2000 Professional und WINDOWS XP, Workstation oder Server Host-Programm mit BUDS-Schnittstellen Treiber für verwendete Peripheriegeräte Hardware: WINDOWS NT, WINDOWS 2000 Professional oder WINDOWS XP -fähiger Standard PC SCSI-Anschluss bzw. USB-Anschluss für Scanner freier serieller Anschluß für Digitalisier-Tablett Laserdrucker, 600 dpi Eine Auflistung der unterstützten Hardware finden sie unter www.bundesdruckerei.de oder als Anlage zu diesem Dokument. Stand: 01.08.2004 Seite 4 von 11
2.4 Lieferumfang BUDS wird in Form von unter WINDOWS NT 4.0, WINDOWS 2000 Professional oder WINDOWS XP - lauffähigen DLL s geliefert. Die Lieferung beinhaltet eine Testumgebung, in der alle Funktionen dialoggesteuert aufgerufen werden können. Als Dokumentation wird ein technisches Handbuch für die Integration der Komponenten geliefert. Zur Integration werden die erforderlichen Library- und Header-Dateien für MS Visual C++ und Borland Delphi mitgeliefert. Zum Druck von Sonderzeichen wird ein erweiterter UNICODE Zeichensatz LA8 Passport mitgeliefert. Die Lieferung umfaßt eine Nutzung gemäß zu vereinbarender Lizenzregelungen. Stand: 01.08.2004 Seite 5 von 11
3 Leistungsbeschreibung Signatur- und Verschlüsselungsmodul D-SAFE 3.1 Funktionsweise Das Modul D-SAFE dient zur elektronischen Signierung, zur Verschlüsselung und zur Konvertierung und Integration von Daten mit Text- und Graphikanteil in ein definiertes Dateiformat. Die D-SAFE-Funktionen sind im DIGANT -Ablauf abgestimmt auf die von B UDS erzeugten Datenformate und die durch den DIGANT -Kommunikationsserver K OMSYS zu transportierenden Bestelldaten. Die D-SAFE-Funktionalität ist gekapselt und wird von einem Host-Programm (z.b. einem Verfahren zur Verwaltung von Paßregistern) über einen einfachen Funktionsaufruf aktiviert. Das D-SAFE-Modul übernimmt die komplette Steuerung des Signier- und Verschlüsselungsvorgangs. Der Datenaustausch zwischen dem D-SAFE-Modul und dem Host-Programm erfolgt über eine Dateischnittstelle. Als Ergebnis des D-SAFE-Aufrufs liegt eine verschlüsselte und signierte Datei mit kompletten Anträgen für ID-Dokumente vor (siehe Bild 1). Die D-SAFE-verschlüsselte Datei kann nur durch einen geeigneten privaten Krypto-Schlüssel entschlüsselt und für die Produktion nutzbar gemacht werden. Die elektronische Signierung und die Verschlüsselung erfolgen mittels einer SmartCard, auf der die kryptographischen Schlüssel sicher permanent gespeichert sind. Die authentisierte Nutzung der SmartCard wird über eine sechsstellige PIN sichergestellt. Stand: 01.08.2004 Seite 6 von 11
3.2 Technische Beschreibung der D-SAFE- Funktionen - digitale Signierung eines elektronischen Bestellformulars im UNICODE UCS2 Format auf der Basis von RSA-Algorithmen mit 1024 Bit Schlüssellänge, - Erzeugung von symmetrischen, randomisierten Session-Keys zur sicheren Verschlüsselung umfangreicher Datenpakete, - Generierung eines Datenformats zur Integration von Text- und Bilddaten in einem einzigen Dateipaket, - Visualisierung eines elektronisch zu signierenden Dokuments wie z.b. eines Bestellformulars für Pässe und Ausweise. 3.3 Hard- und Softwarevoraussetzungen für die Nutzung von D-SAFE Software: WINDOWS NT 4.0, WINDOWS 2000 Professional oder WINDOWS XP, Workstation oder Server Host-Programm mit D-SAFE-Schnittstellen Treiber für verwendete Peripheriegeräte Hardware: WINDOWS NT, WINDOWS 2000 Professional oder WINDOWS XP -fähiger Standard PC freier serieller Anschluß für Kartenlesegerät D-SAFE-SmartCard Eine Auflistung der unterstützten Hardware finden sie unter www.bundesdruckerei.de oder als Anlage zu diesem Dokument. Stand: 01.08.2004 Seite 7 von 11
3.4 Leistungsumfang D-SAFE als Setup für WINDOWS NT 4.0 ab Service Pack 4, WINDOWS 2000 Professional oder WINDOWS XP mit den notwendigen zur Integration in ein Host- Programm ausgeliefert. Die Lieferung umfaßt eine technische Spezifikation und ein Handbuch mit einer Anleitung zur Integration von D-SAFE. Die Lieferung umfaßt eine Nutzung gemäß zu vereinbarender Lizenzregelungen. Stand: 01.08.2004 Seite 8 von 11
4 Leistungsbeschreibung Kommunikationsserver KOMSYS 4.1 Funktionsweise Das KOMSYS-Paket umfaßt Programme und Module, die eine Übertragung von Daten in einem definierten Format in das Postfach eines entsprechend konfigurierten Mailservers durchführen und steuern. Datenpakete, die Bestelldaten für ID -Dokumenten enthalten, werden im MIME Format per e-mail über eine authentifizierte ISDN-Verbindung versendet. Der Verbindungsaufbau erfolgt zeit- oder benutzergesteuert vom KOMSYS-Rechner zu einem zentralen Mailserver, in der Regel der Server einer zentralen Personalisierung oder Produktion. KOMSYS bietet Hash-Summen-basierte Verfahren zur Kontrolle der Datenpakete. KOMSYS realisiert einen Quittungsbetrieb zwischen der versendenden dezentralen Antragstelle und der zentralen Dokumentenproduktion über definierte Message- Objekte. KOMSYS protokolliert auftretende Fehler oder Störungen in Logdateien und sendet eine Nachricht an einen eingetragenen Systemadministrator. 4.2 Technische Kurzbeschreibung - SMTP-Protokoll zur Übertragung von Bestelldaten - POP3 Protokoll zur Abholung von Message-Objekten - Verwendung von MIME-Bodyparts Stand: 01.08.2004 Seite 9 von 11
4.3 Hard- und Softwarevoraussetzungen Software: WINDOWS NT 4.0, WINDOWS 2000 Professional oder WINDOWS XP Server oder Workstation Treiber für verwendete ISDN-Karte Hardware: WINDOWS NT 4.0, WINDOWS 2000 Professional oder WINDOWS XP -fähiger Standard PC, 128 Mbyte Hauptspeicher passive ISDN-Karte Ethernet Karte (Kombi 10/100) PCI 4.4 Lieferumfang KOMSYS wird als unter WINDOWS NT 4.0, WINDOWS 2000 Professional oder WINDOWS -lauffähiges Softwarepaket geliefert. Als Dokumentation wird ein Technisches Handbuch mitgeliefert. Die Lieferung umfaßt eine Nutzung gemäß zu vereinbarender Lizenzregelungen. Stand: 01.08.2004 Seite 10 von 11
INPUT Verschlüsselung OUTPUT Datei mit n Antragsdatensätzen Datei mit Bestellformular für n An träge SmartCard für Kryptogrpahie Antragsdatensatz 1 Antragsdatensatz 2 Antragsdatensatz n Datei Unterschrift zu Datensatz 1 Datei mit Paßfoto zu Datensatz 1 Datei mit Paßfoto zu Datensatz 2 Datei Unterschrift zu Datensatz 2 Datei Unterschrift zu Datensatz n D-SAFE Datei mit n verschlüsselten Antragsdaten und signiertem Bestellformular Datei mit Paßfoto zu Datensatz n Bild 1: Funktionsdiagramm D-SAFE Stand: 01.08.2004 Seite 11 von 11