Bestätigungsurkunde T

Bestätigung
von Produkten für qualifizierte elektronische Signaturen
gemäß §§ 15 Abs. 7 S. 1, 17 Abs. 4 Gesetz über Rahmenbedingungen
für elektronische Signaturen1 und §§ 11 Abs. 2 und 15
Signaturverordnung2
Bundesamt für Sicherheit in der Informationstechnik
Godesberger Allee 185-189
53175 Bonn
bestätigt hiermit gemäß
§§ 15 Abs. 7 S. 1, 17 Abs. 2 SigG sowie §§ 15 Abs. 2 und 4, § 11 Abs. 3 SigV,
dass die
Signaturanwendungskomponente
T-TeleSec Signet
Version 1.6.0.4
den nachstehend genannten Anforderungen des SigG und der SigV entspricht.
Die Dokumentation zu dieser Bestätigung ist registriert unter:
BSI.02049.TE.07.2004
Bonn, den 22.07.2004
gez. Dr. Helmbrecht
_______________________________
Dr. Helmbrecht, Präsident
Das Bundesamt für Sicherheit in der Informationstechnik ist, auf Grundlage des BSI-Errichtungsgesetzes vom
17.12.1990, Bundesgesetzblatt I S. 2834 und gemäß der Veröffentlichung im Bundesanzeiger Nr. 31 vom 14.
Februar 1998, Seite 1787, zur Erteilung von Bestätigungen für Produkte gemäß § 15 Abs. 7 S. 1 (oder § 17 Abs.
4) SigG ermächtigt.
1
Gesetz über die Rahmenbedingungen für elektronische Signaturen (Signaturgesetz - SigG) in der Fassung vom 16. Mai
2001 (BGBl. Jahrgang 2001 Teil I Nr. 22)
2
Verordnung zur elektronischen Signatur (Signaturverordnung - SigV) in der Fassung vom 16. November 2001 (BGBl.
Jahrgang 2001 Teil I Nr. 59)
Die Bestätigung zur Registrierungsnummer BSI.02049.TE.07.2004 besteht aus 10 Seiten.
Bestätigung zur Registrierungsnummer BSI.02049.TE.07.2004
Seite 2 von 10 Seiten
Beschreibung der technischen Komponente:
1
Handelsbezeichnung der technischen Komponente und
Lieferumfang:
Signaturanwendungskomponente, T-TeleSec Signet, Version 1.6.0.4 3
Auslieferung und Lieferumfang:
Das Produkt T-TeleSec Signet 1.6.0.4 ist eine Softwareapplikation und wird auf einer
einmal beschreibbaren CD-ROM (Master) mit zugehörigem Installations- und Prüfprogramm von der Firma SignCubes GmbH an den OEM- Partner T-Systems
International GmbH durch persönliche Übergabe ausgeliefert. Die Firma SignCubes
GmbH (Hersteller des o.g. Produkts) selbst liefert die Softwareapplikation nicht an
Endnutzer.
Für den Vertrieb des Produktes im Verbrauchermarkt wird der Handel (insbesondere
der stationäre Handel der Deutschen Telekom, wie T-Punkt Business, T-Punkt,
Megastores usw.) genutzt. Dabei wird dem Endkunden/Verbraucher das Produkt mit der
Installations-CD und der zugehörigen Benutzerdokumentation direkt ausgehändigt. Im
Projektgeschäft und Partnervertrieb wird ebenfalls die Installations-CD mit der
zugehörigen Benutzerdokumentation direkt ausgehändigt oder in einer versiegelten Hülle
über einen vertrauenswürdigen Kurierdienst versandt.
Die Installation der Softwareapplikation wird über das T-TeleSec SignCubes
Installationsprogramm vorgenommen. Es existiert keine Möglichkeit, das Produkt TTeleSec Signet 1.6.0.4 ohne Verwendung des Installationsprogramms auf dem Rechner
des Anwenders zu installieren.
Die CD-ROM verbleibt beim Endkunden, da die CD-ROM auch ein Prüfprogramm
enthält, welches die Unversehrtheit der Softwareapplikation auf dem Rechner des
Endkunden auf Anforderung (siehe – T-TeleSec Signet 1.6 - Benutzerdokumentation)
überprüft.
Die Benutzerdokumentation wird ausschließlich in elektronischer Form ausgeliefert und
befindet sich gleichfalls auf der CD-ROM und wird bei der Installation auf den PC des
Endkunden kopiert.
Vertreiber des Produkts T-TeleSec Signet 1.6.0.4:
T-Systems International GmbH
BU ITC Security, TeleSec
Untere Industriestrasse 20
57250 Netphen
2
Funktionsbeschreibung
Kurzbeschreibung:
Das Produkt T-TeleSec Signet 1.6.0.4 ist eine modulare4 Client Applikation. Sie bietet
folgende Sicherheitsfunktionalitäten:
3
4
Im Weiteren T-TeleSec Signet 1.6.0.4 genannt.
Im Weiteren als Komponente bezeichnet.
Bestätigung zur Registrierungsnummer BSI.02049.TE.07.2004
Seite 3 von 10 Seiten
•
Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit
Zertifikaten unter Verwendung eines Kartenterminals und einer Smartcard.
•
Prüfung von Hashwerten und Signaturen unter Verwendung von Sperrlisten und
optionaler OCSP5-Abfrage.
•
Erkennung der Manipulation von Komponenten (Modulen) an der Applikation TTeleSec Signet 1.6.0.4.
•
Sicherstellung der Unversehrtheit des Produkts T-TeleSec Signet 1.6.0.4.
•
Sichere Anzeige der zu signierenden und signierten Daten.
•
Schutz vor Hashwertverfälschungen.
Das Produkt T-TeleSec Signet 1.6.0.4 läuft auf Basis von Microsoft Windows Systemen
ab Windows 98 (s. u.). In der Sicherheitsumgebung der Applikation werden eine
Smartcard und ein Kartenleser mit sicherer Pin- Eingabe benötigt, um die
kryptografischen Operationen zur Signaturerzeugung auf sichere Art und Weise
durchzuführen. Das Produkt T-TeleSec Signet 1.6.0.4 kann sowohl einfache,
fortgeschrittene als auch qualifizierte elektronische Signaturen verarbeiten. Für die
Erzeugung elektronischer Signaturen sind für die drei Fälle, immer eine Smartcard und
ein Kartenleser mit sicherer Pin- Eingabe erforderlich. Die vorliegende Bestätigung
betrachtet allerdings nur die Anwendung auf qualifizierte elektronische Signaturen nach
dem Signaturgesetz (SigG) und der Signaturverordnung (SigV), (siehe Fußnote 1 und 2).
Das Produkt T-TeleSec Signet 1.6.0.4 selbst beschränkt sich auf die Erzeugung von
kryptografischen Prüfsummen (Hashwerten) nach den Algorithmen SHA1 und RIPE MD
160 und kann somit die Integrität und Vertrauenswürdigkeit signierter Daten gemeinsam
mit den Komponenten für Sperrlistenprüfung, OCSP-Abfrage und gesicherter
Anzeigeeinheit für TIFF und Text Dokumente sicherstellen.
Das Produkt T-TeleSec Signet 1.6.0.4 erfüllt die Anforderungen gemäß §17 Absatz 2
SigG und §15 Absatz 2 und Absatz 4 SigV.
Funktionsbeschreibung des Produkts T-TeleSec Signet 1.6.0.4
Das Produkt T-TeleSec Signet 1.6.0.4 besteht aus mehreren Komponenten (Modulen),
die in der folgenden Auflistung aufgeführt werden:
•
T-TeleSec Signet Basiskomponenten für die Erzeugung und Verifikation elektronischer Signaturen (T-TeleSec Signet Manager).
•
T-TeleSec Signet Viewer zur Visualisierung von zu signierenden Dokumenten und zur
Anzeige signierter Dokumente auf Text und TIFF Basis.
•
T-TeleSec Crypto-Service-Provider (CSP) zum Einsatz mit Microsoft Outlook und
Microsoft Outlook Express.
•
T-TeleSec Signet Shell Extension zur Erweiterung der Funktionen der Microsoft
Explorer Kontextmenüs.
•
T-TeleSec Signet Integritätscheck zur Überprüfung der Integrität der installierten
Software auf dem Rechner des Anwenders.
Das Produkt T-TeleSec Signet 1.6.0.4 ist eine Anwendung, die zur Erzeugung und
Verifikation elektronischer Signaturen durch den Inhaber eines Signaturzertifikates
5
Online Certificate Status Protocol. Dies ist ein Mechanismus der eine Positiv-Abfrage zu einem gegebenen
Zertifikat ermöglicht.
Bestätigung zur Registrierungsnummer BSI.02049.TE.07.2004
Seite 4 von 10 Seiten
bestimmt ist. Der Anwender arbeitet mit verschiedenen grafischen Schnittstellen, die als
Produktbestandteile dem Anwender den Zugang zu den Sicherheitsfunktionen des
Produktes erlauben. Als Anwendungsbereich ist sowohl der Einsatz durch den
Heimanwender als auch der Einsatz in größeren Infrastrukturen, z.B. im behördlichen
Umfeld, anzusehen.
Der T-TeleSec Signet Manager ist das Kernstück des Produkts T-TeleSec Signet
1.6.0.4 und stellt die folgenden Funktionen zur Verfügung:
•
Errechnung kryptografischer Prüfsummen (Hashwerte) nach den Algorithmen SHA1
und RIPE MD 160.
•
Erzeugung elektronischer Signaturen auf Basis einer Smartcard und eines
Kartenterminals mit sicherer Pin-Eingabe.
•
Verifikation einer elektronischen Signatur, inklusive Prüfung der Zertifikatskette
(Sperrlisten und OCSP sind ebenfalls enthalten).
•
Bereitstellung eines Application Programming Interfaces (API) für aufsetzende
Komponenten.
•
Verifikation und Verwaltung von dynamischen Bibliotheken des Produkts T-TeleSec
Signet 1.6.0.4.
Durch die T-TeleSec Signet Shell Extension wird die nahtlose Integration des Produktes
in den Kontext des Microsoft Explorers vorgenommen, die sichere Anzeigeeinheit (TTeleSec Signet Viewer) stellt die Funktionen einer Betrachtung und Untersuchung der zu
signierenden bzw. signierten TIFF- und Textdokumente zur Verfügung. Der T-TeleSec
CSP erlaubt die Integration von Signaturmechanismen in die Umgebung eines E-Mail
Clients und damit verbunden die Verwendung einer Smartcard für Email Signaturen.
Sicherheitsfunktionen
Hashwertberechnung und Anstoß der Erzeugung elektronischer Signaturen mit
Zertifikaten unter Verwendung eines Kartenterminals und einer Smartcard
Der T-TeleSec Signet Manager erzeugt Hashwerte von beliebigen Dateien nach dem
SHA1 Algorithmus. Nach Erzeugung des Hashwertes nutzt die T-TeleSec Signet
Manager-Komponente die PC/SC- oder die CT-API- Mechanismen, um den Hashwert
von einer Smartcard in einem Smartcard Terminal (Chipkartenleser) mit sicherer PinEingabe (s. u.) nach dem RSA Verfahren verschlüsseln zu lassen und so eine
elektronische Signatur zu erzeugen. Der T-TeleSec Signet Manager fügt dem
verschlüsselten Hashwert das Zertifikat des unterschreibenden hinzu. Insgesamt wird
durch die Verschlüsselung (Signatur) des Hashwertes der Nachweis als
Gültigkeitsgarantie der Datei und durch das Zertifikat die Verifizierung des
Gültigkeitsnachweises bereitgestellt.
Vor der Erzeugung des Hashwertes nach dem SHA1 Algorithmus zeigt T-TeleSec
Signet 1.6.0.4 dem Benutzer mit einer eindeutigen Textmeldung an, dass eine
elektronische Signatur erzeugt werden soll. Dabei ist eindeutig erkennbar, auf welche
Daten sich die Signatur beziehen soll, da der T-TeleSec Signet Manager dem Anwender
mitteilt, welche Applikation (z. B. Microsoft (Datei-)Explorer) welche Datei signieren will.
Im gleichen Dialog ist der Aufruf der sicheren Anzeigeeinheit (T-TeleSec Signet Viewer)
möglich, so dass der Inhalt der zu signierenden Daten hinreichend zu erkennen ist. Durch
die Verwendung eines sicheren Signaturerzeugungssystems, bestehend aus einem
Kartenleser mit sicherer Pin-Eingabe und einer Smartcard (nähere Angaben siehe
Bestätigung zur Registrierungsnummer BSI.02049.TE.07.2004
Seite 5 von 10 Seiten
unten), ist sichergestellt, dass die Signatur nur durch die berechtigte Person erfolgt und
die Identifikationsdaten nicht preisgegeben werden.
Prüfung von Hashwerten und Signaturen unter Verwendung von Sperrlisten und
optionaler OCSP- Abfrage
Das Produkt T-TeleSec Signet 1.6.0.4 kann die Signaturen an beliebigen Dateien
überprüfen, die entweder mit dem SHA1- oder dem RIPE MD 160- Algorithmus erzeugt
wurden. Dabei wird eindeutig erkennbar, auf welche Datei sich die elektronische
Signatur bezieht, ob die signierten Daten unverändert sind, welchem Signierer die
elektronische Signatur zuzuordnen ist und welche Inhalte das qualifizierte Zertifikat, auf
dem die Signatur beruht, und etwaiger zugehörige qualifizierte Attribut-Zertifikate 6
aufweisen. Bei der Prüfung der Signatur hat der Benutzer die Möglichkeit, eine OCSPAbfrage zum Signaturzertifikat durchzuführen. Hierbei wird die Zertifikatskette nach dem
Kettenmodell bzw. entsprechend dem Standard RFC3280 berücksichtigt. Das Ergebnis
der OCSP-Abfrage wird dem Benutzer mit einer eindeutigen Textmeldung angezeigt.
Bei der Signaturprüfung wird aus dem Signaturzertifikat das Herausgeberzertifikat
(Zertifikat des Zertifizierungsdiensteanbieters) ermittelt und auf Grund dieses Zertifikats
eine entsprechende Sperrliste geladen. Innerhalb dieser Sperrliste wird überprüft, ob ein
entsprechender Eintrag für das Zertifikat in der Sperrliste vorhanden ist. Ist dies der Fall,
werden die Informationen aus der Sperrliste übernommen. War das Zertifikat zum
Zeitpunkt der Signaturerzeugung bereits gesperrt, wird dies dem Benutzer angezeigt.
Das Produkt T-TeleSec Signet 1.6.0.4 gibt somit dem Anwender eine eindeutige
Meldung, ob die Signaturprüfung erfolgreich war oder nicht. Durch die Verwendung der
sicheren Anzeigeeinheit wird sichergestellt, dass der Inhalt der signierten Daten
hinreichend zu erkennen ist.
Erkennung der Manipulation von Komponenten (Module) des Produktes T-TeleSec
Signet 1.6.0.4
Das Produkt T-TeleSec Signet 1.6.0.4 wird von der Firma T-Systems International GmbH
mit von der Firma SignCubes GmbH signierten Bibliotheken und signierten ausführbaren
Dateien an den Endkunden ausgeliefert. Um die Erkennung der Manipulation an den
installierten Dateien zu realisieren, existiert ein separater Prüfmodul der gleichfalls
gehasht und signiert ist. Alle Komponenten des Produktes T-TeleSec Signet 1.6.0.4
kennen den SHA1- Hashwert dieses Prüfmoduls. Das Prüfmodul selbst kennt den
öffentlichen Schlüssel, mit dem die einzelnen Komponenten (Module) und ausführbaren
Dateien der Firma SignCubes GmbH signiert werden. Wird der T-TeleSec Manager
gestartet, wird ein gegenseitiger Authentisierungsmechanismus zwischen T-TeleSec
Signet Manager, dem Prüfmodul und den zu ladenden Komponenten in Gang gesetzt.
Der T-TeleSec Signet Manager kann hierbei nicht ohne korrektem und authentischem
Prüfmodul arbeiten. Beim Laden von weiteren o.g. Komponenten durch den T-TeleSec
Signet Manager wird über das Prüfmodul die Authentizität dieser Komponenten
sichergestellt. Dabei kennen auch die Komponenten den Hashwert des Prüfmoduls. Bei
Nichtübereinstimmung der Hashwerte, verweigern die Komponenten jede weitere Arbeit.
Sicherstellung der Unversehrtheit des Produktes T-TeleSec Signet 1.6.0.4
Mit dem Produkt T-TeleSec Signet 1.6.0.4 wird eine Prüfsoftware ausgeliefert, die auf
der CD-ROM verbleibt und nicht auf dem Rechner des Anwenders installiert wird. Wird
6
Als zusätzliche Attribute in der Signatur enthaltene Attribut-Zertifikate können nicht angezeigt werden.
Bestätigung zur Registrierungsnummer BSI.02049.TE.07.2004
Seite 6 von 10 Seiten
das Testprogramm gestartet, überprüft es die Integrität der Installation, indem es die
Hashwerte der installierten Komponenten bildet und über den RSA Algorithmus die
vorhandenen Komponentensignaturen entschlüsselt (der öffentliche Schlüssel zur
Signaturprüfung ist fester Bestandteil der Hauptanwendung) und das Operationsergebnis
mit den errechneten Hashwerten vergleicht. Wurden die Komponenten verändert, weist
das Prüfprogramm den Anwender mit einer Statusmeldung auf diesen Zustand hin.
Sichere Anzeige der zu signierenden und signierten Daten
Das Produkt T-TeleSec Signet 1.6.0.4 stellt mit der Komponente „sichere
Anzeigeeinheit“ sicher, dass der Anwender die Inhalte, die angezeigt werden sollen,
eindeutig interpretieren kann und die angezeigte Datei (eine Text- oder TIFF- Datei) frei
von verdeckten oder aktiven Inhalten ist. Weiterhin wird mit der sicheren Anzeigeeinheit
erreicht, dass der Anwender informiert wird, falls aktive Inhalte oder nicht darstellbare
Inhalte in der Datei enthalten sind. Will der Anwender die Datei signieren, wird er mit
einer eindeutigen Textmeldung darauf hingewiesen, dass verdeckte oder aktive Inhalte in
dem Dokument enthalten sind, die von der sicheren Anzeigeeinheit nicht dargestellt
werden.
Schutz vor Hashwertverfälschung
Vor dem Signaturvorgang wird der Hashwert nach dem SHA1 Algorithmus über die zu
signierenden Daten gebildet. Nach dem Signaturvorgang überprüft T-TeleSec Signet
1.6.0.4 die erzeugte Signatur, indem er die Signatur mit dem öffentlichen Schlüssel des
verwendeten Zertifikats entschlüsselt und das Operationsergebnis mit dem vor dem
Signaturvorgang berechneten Hashwert vergleicht. Abschließend wird dem Anwender
eine Textmeldung angezeigt, ob der von ihm beabsichtigte Hashwert (bzw. Datei)
signiert wurde.
3
Erfüllung der Anforderungen des Signaturgesetzes und der
Signaturverordnung
3.1
Erfüllte Anforderungen
Die Applikation T-TeleSec Signet 1.6.0.4 erfüllt die Anforderungen nach:
SigG
§17
Produkte für qualifizierte elektronische Signaturen
§17 (2)
(2)
Für die Darstellung zu signierender Daten sind Signaturanwendungskomponenten
erforderlich, die die Erzeugung einer qualifizierten elektronischen Signatur vorher
eindeutig anzeigen und feststellen lassen, auf welche Daten sich die Signatur
bezieht. Für die Überprüfung signierter Daten sind Signaturanwendungskomponenten erforderlich, die feststellen lassen,
1.
2.
3.
4.
7
auf welche Daten sich die Signatur bezieht,
ob die signierten Daten unverändert sind,
welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist,
welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und
zugehörige qualifizierte Attribut-Zertifikate 7 aufwiesen und
Das Produkt T-TeleSec Signet 1.6.0.4 kann nur die Inhalte der Attribute im Hauptzertifikat anzeigen, nicht die
der angehängten Attribut-Zertifikate.
Bestätigung zur Registrierungsnummer BSI.02049.TE.07.2004
Seite 7 von 10 Seiten
5. zu welchem Ergebnis die Nachprüfung von Zertifikaten nach § 5 Abs. 1 Satz 2
geführt hat.
Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu
signierenden oder signierten Daten hinreichend erkennen lassen. Die Signaturschlüssel-Inhaber sollen solche Signaturanwendungskomponenten einsetzen oder
andere geeignete Maßnahmen zur Sicherheit qualifizierter elektronischer
Signaturen treffen.
SigV
§ 15
Anforderungen an Produkte für qualifizierte elektronische Signaturen
§ 15 (2)
(2)
Signaturanwendungskomponenten nach § 17 Abs. 2 des Signaturgesetzes
müssen gewährleisten, dass
1.
a)
bei der Erzeugung einer qualifizierten elektronischen Signatur
die Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen
sicheren Signaturerstellungseinheit gespeichert werden,
eine Signatur nur durch die berechtigt signierende Person erfolgt,
die Erzeugung einer Signatur vorher eindeutig angezeigt wird und
b)
c)
2.
a)
b)
bei der Prüfung einer qualifizierten elektronischen Signatur
die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird und
eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im
jeweiligen Zertifikat-Verzeichnis zum angegebenen Zeitpunkt vorhanden und nicht
gesperrt waren.
§ 15 (4)
(4)
3.2
Sicherheitstechnische Veränderungen an technischen Komponenten nach den
Absätzen 1 bis 3 müssen für den Nutzer erkennbar werden.
Einsatzbedingungen
Dies gilt unter der Voraussetzung, daß folgende Einsatzbedingungen gewährleistet sind:
a) Anforderungen an die technische Einsatzumgebung
Das Produkt T-TeleSec Signet 1.6.0.4 wurde evaluiert auf der Basis der folgenden Hardund Softwarekonfiguration:
•
Der Benutzer verwendet als Hardwareplattform einen Intel 586 kompatiblen Rechner,
der über mindestens 64 MB RAM und 60 MB freien Festplattenplatz verfügen.
•
Auf dem Rechner ist eines der folgenden Betriebssysteme Microsoft Windows 98,
Microsoft Windows 98 SE, Windows ME, Windows NT 4.0 mit Servicepack 6.0,
Windows 2000 oder Windows XP installiert.
•
Es sind der Internet Explorer ab Version 4.01 SP2 mit der Shell32.dll ab Version 4.0
und die Microsoft Smartcard Base Components ab Version 1.0 auf dem Rechner
installiert.
Der Anwender stellt sicher, dass alle Komponenten des Betriebssystems und alle
sonstig installierte Software korrekt und vertrauenswürdig ist.
Der Anwender verwendet ein sicheres Signaturerzeugungssystem, welches aus einem
Kartenleser mit sicherer Pin-Eingabe und einer Smartcard besteht. Der Anwender setzt
Bestätigung zur Registrierungsnummer BSI.02049.TE.07.2004
Seite 8 von 10 Seiten
eine der folgenden SigG konformen Smartcards entsprechend den Vorgaben des
Herstellers ein:
•
TeleSec E4Netkey-Karte.
•
OpenLimit Karte als spezielle Konfiguration der TeleSec E4NetKey-Karte.
•
TeleSec PKS Karte.
Der Anwender setzt einen der folgenden Kartenleser mit sicherer Pin-Eingabe
entsprechend den Vorgaben des Herstellers ein:
•
Cherry SmartBoard G83-6700.
•
SCMMicrosystems SPRx32/ChipDrive Pin-Pad.
•
Reiner SCT CyberJack e-com Version 2.0.
•
Reiner SCT CyberJack pinpad Version 2.0.
Bei den verwendeten peripheren Produkten werden ausschließlich im Sinne des SigG
bestätigte Produkte zugelassen, die zugehörigen Bestätigungen für diese Produkte
können von den Seiten der Regulierungsbehörde für Telekommunikation und Post
(RegTP) bezogen werden (www.regtp.de).
Eine Übertragung der Evaluationsergebnisse auf andere Plattformen (z.B. anderes
Betriebssystem, anderer Compiler, andere Chipkarte, anderer Chipkartenleser) ist nicht
möglich, sondern erfordert ggf. eine Re-Evaluierung. Die Bestätigungsstelle gibt hierüber
Auskunft.
Das Produkt T-TeleSec Signet 1.6.0.4 darf deshalb ausschließlich eingesetzt werden
innerhalb einer oben beschriebenen Hard- und Softwareausstattung.
Besondere Beschränkungen und Ausnahmen
Der Kartenleser
• Reiner SCT CyberJack e-com Version 2.0 wird nicht von Windows 98
und
• Reiner SCT CyberJack pinpad Version 2.0 wird nicht von Windows NT SP 6
unterstützt.
Für diese Konfigurationen gilt diese Bestätigung nicht.
b) Anforderungen an die organisatorische und administrative Einsatzumgebung
Das Produkt T-TeleSec Signet 1.6.0.4 wird vom Hersteller auf einer einmal
beschreibbaren CD-ROM ausgeliefert. Das spezifizierte Auslieferungsverfahren ist
einzuhalten. Es ist durch den Benutzer sicherzustellen, dass die CD-ROM vor
unberechtigtem Zugriff geschützt aufbewahrt wird.
Personal
Der Benutzer, der Administrator und das Wartungspersonal sind vertrauenswürdig und
befolgen die Anweisungen in der Benutzerdokumentation des Produkts T-TeleSec
Signet 1.6.0.4. Insbesondere prüft der Benutzer die Integrität des Produkts T-TeleSec
Signet 1.6.0.4 entsprechend den Anweisungen in der Benutzerdokumentation.
Zugriff
Der Rechner des Anwenders befindet sich in einer Umgebung, in welcher der Anwender
volle Kontrolle über eingelegte Datenträger und Netzwerkfreigaben hat. Das Produkt TTeleSec Signet 1.6.0.4 ist so geschützt, dass es über eine Netzwerkfreigabe nicht
Bestätigung zur Registrierungsnummer BSI.02049.TE.07.2004
Seite 9 von 10 Seiten
erreichbar ist. Der Zugriff auf das Produkt T-TeleSec Signet 1.6.0.4 vom Rechner des
Anwenders ist möglich.
Es ist sicherzustellen, dass auf der von dem Produkt T-TeleSec Signet 1.6.0.4 und der
Anwendung benutzten Hardwareplattform keine Viren oder Trojanischen Pferde
(kompromittierende Software) eingespielt werden.
Netzwerk
Der Rechner, auf dem das Produkt T-TeleSec Signet 1.6.0.4 installiert ist, kann über
einen Internetzugang verfügen. In diesem Falle ist eine Firewall zu verwenden, die
sicherstellt, dass keine Systemdienste oder Systemkomponenten durch Zugriffe aus
dem Internet kompromittiert werden können. Weiterhin setzt der Benutzer einen
Virenscanner ein, der in der Lage ist, sowohl klassische Virenprogramme wie
Makroviren als auch Backdoor Programme zu erkennen und den Anwender im Falle
eines Angriffs über diesen Zustand in Kenntnis zu setzen.
Der Rechner, auf dem das Produkt T-TeleSec Signet 1.6.0.4 installiert ist, kann über
einen Intranetzugang verfügen. In diesem Falle setzt der Anwender einen Virenscanner
ein, welcher in der Lage ist, sowohl klassische Virenprogramme wie Makroviren als auch
Backdoor Programme zu erkennen und den Anwender im Falle eines Angriffs über
diesen Zustand in Kenntnis zu versetzen.
Treten solche Fälle ein, wird der Anwender aufgefordert, das auf dem PC installierte
Produkt T-TeleSec Signet 1.6.0.4 hinsichtlich seiner Integrität zu prüfen (siehe Hinweise
in der Benutzerdokumentation).
Durch Veränderungen der Einsatzumgebung dürfen die bekannten Schwachstellen in der
Konstruktion und bei der operationalen Nutzung nicht ausnutzbar werden bzw. dürfen
keine neuen Schwachstellen entstehen.
c) Nutzung und Abgrenzung des Produkts T-TeleSec Signet 1.6.0.4
Mit Auslieferung des Produkts T-TeleSec Signet 1.6.0.4 ist der Anwender auf die
Einhaltung der oben genannten Einsatzbedingungen hinzuweisen.
Die folgenden Merkmale kann das Produkt T-TeleSec Signet 1.6.0.4 nicht leisten:
•
Sicherstellung des privaten Schlüsselmaterials. Die Sicherstellung der Unversehrtheit
und der Geheimhaltung der privaten Schlüssel obliegt der Smartcard.
•
Sicherstellung der korrekten Uhrzeit auf dem Rechner des Anwenders. Das Produkt
T-TeleSec Signet 1.6.0.4 enthält keine Mechanismen für die Verwendung von
Zeitstempeln und kann auch keine Aussagen über die Plausibilität der eingestellten
Uhrzeit treffen.
•
Sicherstellung der Integrität des Betriebssystems. Das Produkt T-TeleSec Signet
1.6.0.4 enthält keine Mechanismen, um die Integrität seiner Umgebung zu überprüfen.
Der Anwender muß sicherstellen, dass er geeignete Vorkehrungen trifft, um eine
Kompromittierung seines Betriebssystems zu vermeiden.
•
Sicherheit der kryptografischen Operationen. Das Produkt T-TeleSec Signet 1.6.0.4
benutzt Bibliotheken zur Erzeugung elektronischer Signaturen über das RSA Public
Key Verfahren. Er kann die Stärke der kryptografischen Mechanismen nicht
garantieren und keine Aussagen über die Stärke der kryptografischen Funktionen
postulieren.
Die Leistungsmerkmale des Produkts T-TeleSec Signet 1.6.0.4 beschränken sich auf
die Erzeugung kryptografischer Prüfsummen (Hashwerte) und die Verwendung einer
Bestätigung zur Registrierungsnummer BSI.02049.TE.07.2004
Seite 10 von 10 Seiten
sicheren Signaturerstellungseinheit (SSCD) für die Erzeugung elektronischer Signaturen
sowie die Verwendung des RSA Algorithmus für die Verifikation elektronischer
Signaturen. Für den Verifikationsprozess werden Sperrlisten verwendet, OCSP
Abfragen stehen als Mechanismus ebenfalls zur Verfügung. Das Produkt T-TeleSec
Signet 1.6.0.4
kann Manipulationen an Zertifikatsverzeichnissen ebenso wenig
abwehren wie die Protokollierung elektronischer Signaturvorgänge auf dem Rechner des
Anwenders.
Evaluiert wurde der T-TeleSec Signet Manager mit seinen weiteren Komponenten
(Modulen) (wie oben beschrieben).
Anwendungen, die das Produkt T-TeleSec Signet 1.6.0.4 nutzen, sind nicht Gegenstand
dieser Bestätigung.
3.3
Algorithmen und zugehörige Parameter
Zur Erzeugung elektronischer Signaturen wird vom Produkt T-TeleSec Signet 1.6.0.4 die
Hashfunktionen SHA-1 bereitgestellt. Zur Prüfung elektronischer Signaturen werden vom
Produkt T-TeleSec Signet 1.6.0.4, die Hashfunktionen RIPEMD-160 sowie SHA-1 und
der RSA-Algorithmus mit einer Schlüssellänge von 1024 Bit bereitgestellt.
Die verwendeten kryptografischen Algorithmen sind gemäß der Veröffentlichung im
Bundesanzeiger Nr. 30 – S. 2537-2538 vom 13. Februar 2004 „Geeignete Algorithmen
zur Erfüllung der Anforderungen nach §17 Abs. 1 bis 3 SigG vom 22. Mai 2001 in
Verbindung mit Anlage 1 Abschnitt 1 Nr. 2 SigV vom 22. November 2001“ als geeignet
eingestuft.
Die verwendeten Hashalgorithmen RIPEMD-160 und SHA-1 gelten bis Ende 2009 als
geeignet.
Der RSA-Algorithmus mit einer Schlüssellänge von 1024 Bit gilt bis Ende 2007 als
geeignet.
3.4
Prüfstufe und Mechanismenstärke
Das Produkt T-TeleSec Signet 1.6.0.4 wurde erfolgreich nach den Common Criteria
(CC) mit der Prüfstufe EAL3+ (EAL3 mit Zusatz8 AVA_VLA.4 (gegen ein hohes
Angriffspotential), AVA_MSU.3 (eine vollständige Missbrauchsanalyse), ADV_IMP.1,
ADV_LLD.1 und ALC_TAT.1) evaluiert. Die eingesetzten Sicherheitsfunktionen
erreichen die Stärke hoch.
Ende der Bestätigung
8
Gemäß § 11 Abs. 3 in Verbindung mit Anlage I Nr. 1 SigV.