Dokumentation der MCard-Bibliothek 1.18.0.0 der bremen-online ...
Dokumentation der MCard-Bibliothek 1.18.0.0 der bremen-online ...
Dokumentation der MCard-Bibliothek 1.18.0.0 der bremen-online ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Handbuch<br />
Governikus SDK - Kartenansteuerung (<strong>MCard</strong>)<br />
<strong>bremen</strong> <strong>online</strong> services<br />
GmbH & Co. KG<br />
Version <strong>MCard</strong> <strong>1.18.0.0</strong> vom 18.12.2012<br />
Dokumentenversion 1.0<br />
© 2012 bos <strong>bremen</strong> <strong>online</strong> services GmbH & Co. KG, Bremen
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Än<strong>der</strong>ungsnachweise<br />
Version<br />
Freigabedatum<br />
Autor Kapitel Än<strong>der</strong>ungen<br />
.90 06.12.2012 JP Alle Tabellen für <strong>MCard</strong> 1.18 angepasst und hinzugefügt<br />
0.91 17.12.2012 JP Tabellen aktualisiert<br />
1.0 18.12.2012 JP Finale Version erzeugt<br />
Die Än<strong>der</strong>ungsnachweise für Textbausteine und Tabellen befinden sich am Ende dieses<br />
Dokuments.<br />
- 2 -
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Inhaltsverzeichnis<br />
Rechtliche Informationen und weitere Hinweise ..................................................................... 4<br />
1 Einleitung ......................................................................................................................... 5<br />
2 Governikus Kartenansteuerung ........................................................................................ 6<br />
2.1 <strong>MCard</strong>-Varianten...................................................................................................... 6<br />
2.2 Releasezyklen ......................................................................................................... 7<br />
2.3 Abwärtskompatibilität <strong>der</strong> <strong>MCard</strong> zum Governikus SDK ........................................... 7<br />
3 Auflagen für die Nutzung <strong>der</strong> <strong>MCard</strong> gemäß Signaturgesetz ........................................... 8<br />
4 Hard- und Softwareanfor<strong>der</strong>ungen ................................................................................. 10<br />
4.1 Betriebssysteme .................................................................................................... 10<br />
4.2 Java Standard Edition Runtime Environment (JRE) ............................................... 12<br />
4.3 Chipkartenlesegeräte ............................................................................................. 13<br />
Unterstützte Chipkartenlesegeräte (Tabellen zum Kopieren) ................................. 16<br />
4.4 Signaturkarten ....................................................................................................... 17<br />
5 Technische Informationen zur <strong>MCard</strong> ............................................................................ 27<br />
5.1 Nutzung <strong>der</strong> <strong>MCard</strong> ................................................................................................ 29<br />
5.2 Benötigte <strong>Bibliothek</strong>en ........................................................................................... 31<br />
Native <strong>Bibliothek</strong>en ................................................................................................ 31<br />
Anhang 1: Tabellen <strong>der</strong> unterstützten Kombinationen Betriebssystem -<br />
Chipkartenlesegerät – Signaturkarte .................................................................................... 32<br />
Anhang 2: Än<strong>der</strong>ungsnachweis Tabellen und Textbausteine ............................................... 37<br />
3
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Rechtliche Informationen und weitere Hinweise<br />
Obwohl diese Produktdokumentation nach bestem Wissen und mit größter Sorgfalt erstellt<br />
wurde, können Fehler und Ungenauigkeiten nicht vollständig ausgeschlossen werden. Eine<br />
juristische Verantwortung o<strong>der</strong> Haftung für eventuell verbliebene fehlerhafte Angaben und<br />
<strong>der</strong>en Folgen wird nicht übernommen. Die in dieser Produktdokumentation enthaltenen Angaben<br />
spiegeln den aktuellen Entwicklungsstand wi<strong>der</strong> und können ohne Ankündigung geän<strong>der</strong>t<br />
werden. Künftige Auflagen können zusätzliche Informationen enthalten. Technische<br />
und typografische Fehler werden in künftigen Auflagen korrigiert.<br />
Diese Produktinformation sowie sämtliche urheberrechtsfähigen Materialien, die mit dem<br />
Produkt vertrieben werden, sind urheberrechtlich geschützt. Alle Rechte sind <strong>der</strong> <strong>bremen</strong><br />
<strong>online</strong> services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG, Bremen, (bos KG)<br />
vorbehalten. Alle urheberrechtsfähigen Materialien dürfen ohne vorherige Einwilligung <strong>der</strong><br />
bos KG we<strong>der</strong> ganz noch teilweise kopiert o<strong>der</strong> auf sonstige Art und Weise reproduziert werden.<br />
Für rechtmäßige Nutzer des Produkts gilt diese Einwilligung im Rahmen <strong>der</strong> vertraglichen<br />
Vereinbarungen als erteilt. Jegliche Kopien dieser Produktinformation bzw. von Teilen<br />
daraus müssen den gleichen Hinweis auf das Urheberrecht enthalten wie das Original.<br />
Governikus und Governikus Communicator sind eingetragene Marken <strong>der</strong> <strong>bremen</strong> <strong>online</strong><br />
services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG, Bremen.<br />
Das Copyright für die Programmiersprache Java und alle weiteren, frei bei Oracle verfügbaren<br />
Technologien, liegt bei SUN Microsystems. Das Copyright für JBoss liegt bei Red Hat,<br />
Inc. Hierfür sind <strong>der</strong>en geltenden Markenbestimmungen zu beachten. An<strong>der</strong>e in diesem Produkt<br />
aufgeführten Produkt- und/ o<strong>der</strong> Firmennamen sind möglicherweise Marken weiterer<br />
Eigentümer, <strong>der</strong>en Rechte ebenfalls zu wahren sind.<br />
Sofern in diesem Handbuch für Personen ausschließlich die männliche Form benutzt wird,<br />
geschieht dies nur aus Gründen <strong>der</strong> besseren Lesbarkeit und hat keinen diskriminierenden<br />
Hintergrund.<br />
4
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
1 Einleitung<br />
Dieses Handbuch adressiert in erster Linie Produktmanager, die auf <strong>der</strong> Grundlage des<br />
Governikus SDK (OSCI-Client-Enabler, OSCI2-Enabler und eCard-API) eigene Client-<br />
Anwendungen als Signaturanwendungskomponente entwickeln lassen und eine Anwen<strong>der</strong>dokumentation<br />
erstellen müssen und/o<strong>der</strong> eine Herstellererklärung abzugeben haben.<br />
Die Governikus Kartenansteuerung (<strong>MCard</strong>) wird in zwei Varianten erstellt: <strong>MCard</strong>-Client und<br />
<strong>MCard</strong>-Server. Letztere wird ausschließlich für Nutzer des Governikus-NetSigners bereitgestellt.<br />
Im Kapitel 2 werden beide Varianten ausführlich beschrieben.<br />
Die <strong>MCard</strong> wird in <strong>der</strong> Regel als Service Modul in Applikationen verwendet, um qualifizierte<br />
Signaturen anzubringen. Damit ist die <strong>MCard</strong> Teil einer Signaturanwendungskomponente. In<br />
Kapitel 3 werden daher die Auflagen für die Nutzung <strong>der</strong> <strong>MCard</strong> gemäß Signaturgesetz beschrieben.<br />
In Kapitel 4 folgen die Hard- und Softwareanfor<strong>der</strong>ungen <strong>der</strong> <strong>MCard</strong> mit folgenden Unterkapiteln:<br />
Unterstützte Betriebssysteme (Kapitel 4.1), unterstützte JREs (4.2), unterstützte Chipkartenlesegeräte<br />
(4.3) und unterstützte Signaturkarten (4.4). Kartenleser und Signaturkarten<br />
sind Bestandteil einer SAK. Unterstützte Signaturkarten bzw. die verwendeten sicheren Signaturerstellungseinheiten<br />
(SSEE müssen immer SigG-bestätigt sein) und Chipkartenlesegeräte<br />
(diese müssen SigG-bestätigt o<strong>der</strong> zumindest herstellererklärt sein) sind in sogenannten<br />
Positivlisten aufzuführen. Diese Tabellen befinden sich in den entsprechenden Einzelkapiteln.<br />
Dazu gehört auch die Angabe <strong>der</strong> unterstützten Einsatzumgebungen (Betriebssysteme,<br />
JRE etc.).<br />
In Kapitel 5 wird schließlich ein Überblick über die technische Funktionsweise <strong>der</strong> <strong>MCard</strong><br />
gegeben. Das Kapitel enthält detaillierte Informationen für Entwickler.<br />
Das <strong>MCard</strong>-Handbuch enthält in den meisten Kapiteln Textbausteine, die in die Anwen<strong>der</strong>dokumentation<br />
einer SAK aufgenommen werden sollten. Die Textbausteine beschreiben die<br />
Auflagen zum Einsatz des Service Moduls <strong>MCard</strong> als Teil einer SAK o<strong>der</strong> liefern Kontextinformationen<br />
zu den oben angesprochenen Tabellen.<br />
Hinweis: Die Textbausteine sind fortlaufend durchnummeriert. Än<strong>der</strong>ungen an Textbausteinen<br />
werden explizit in <strong>der</strong> Än<strong>der</strong>ungshistorie für Textbausteine am Ende dieses Dokuments<br />
aufgeführt. Neben den Textbausteinen unterliegen natürlich auch die Tabellen, die z. B. das<br />
Portfolio <strong>der</strong> aktuell unterstützten Kartenleser beschreiben, sowie auch die Tabellen zu Anund<br />
Abkündigungen einer ständigen Aktualisierung. Auch hier wird jede Än<strong>der</strong>ung in einer<br />
entsprechenden Tabelle explizit in <strong>der</strong> Än<strong>der</strong>ungshistorie für Tabellen am Ende des Dokuments<br />
aufgeführt.<br />
5
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
2 Governikus Kartenansteuerung<br />
2.1 <strong>MCard</strong>-Varianten<br />
Die Governikus Kartenansteuerung (<strong>MCard</strong>) wird in zwei Varianten erstellt:<br />
<br />
<br />
mcard.jar für Clientanwendungen (zukünftig als <strong>MCard</strong> bezeichnet)<br />
mcardServer.jar nur für die Verwendung mit dem Governikus-NetSigner (<strong>MCard</strong>-<br />
Server)<br />
Die <strong>MCard</strong> wird Kunden bereitgestellt, die eigene Anwendungen auf <strong>der</strong> Basis <strong>der</strong> Funktionsbibliotheken<br />
des Governikus SDK entwickeln. Die <strong>MCard</strong> unterstützt fast alle elektronischen<br />
Einzel-, Stapel- und Multisignaturkarten, die durch deutsche Zertifizierungsdiensteanbieter<br />
(ZDA) herausgegeben werden und mit denen man eine qualifizierte elektronische Signatur<br />
(QES) o<strong>der</strong> eine QES mit Anbieterakkreditierung erzeugen kann.<br />
Bei Stapelsignaturkarten und Multisignaturkarten, die zur Erzeugung von maximal 500 Stapelsignaturen<br />
genutzt werden können, ist durch die SAK sicherzustellen, dass keine missbräuchliche<br />
Nutzung <strong>der</strong> Stapelsignaturfunktionalität möglich ist.<br />
Die <strong>MCard</strong> übernimmt von PC/SC die Funktionalität von Transactions, d.h. eines temporär<br />
exklusiven Zugriffs auf Kartenleser und Karte, um die gemeinsame Nutzung des Kartenlesers<br />
und <strong>der</strong> Karte für verschiedene, gleichzeitig laufende Anwendungen zu unterstützen.<br />
Die Ausführung kryptografischer Operationen erfolgt grundsätzlich innerhalb eines Transaction-Blocks,<br />
<strong>der</strong> implizit durch die <strong>MCard</strong> o<strong>der</strong> explizit durch die Anwendung begonnen und<br />
beendet wird. Auf diese Weise wird sichergestellt, dass <strong>der</strong> konkurrierende Zugriff durch an<strong>der</strong>e<br />
Anwendungen und <strong>der</strong> Missbrauch <strong>der</strong> Karte ausgeschlossen sind. Am Ende eines<br />
Transaction-Blocks wird <strong>der</strong> Sicherheitszustand <strong>der</strong> Karte zurückgesetzt. Im Fall komplexer<br />
kryptographischer Funktionen muss die Anwendung einen Transaction-Block beginnen und<br />
beenden, damit die vollständige Funktionalität <strong>der</strong> Karte zur Verfügung steht. An<strong>der</strong>nfalls<br />
steht aus Sicherheitsgründen nicht die volle Funktionalität zur Verfügung, Grundsätzlich kann<br />
ein Transaction-Block nur von <strong>der</strong> Anwendung beendet werden, die den Transaction-Block<br />
begonnen hat.<br />
Zur Verwendung <strong>der</strong> Stapelsignaturfunktion dieser Karten muss das Erzeugen <strong>der</strong> Signaturen<br />
in einem Transaction-Block erfolgen. Eine Karte bleibt bis zum Ende <strong>der</strong> Transaktion<br />
„offen“ und kann für Signaturen verwendet werden, falls die maximale Anzahl von Signaturen<br />
nicht überschritten wird. Falls die maximale Anzahl von Signaturen überschritten wird, wird<br />
<strong>der</strong> Transaction-Block beendet und <strong>der</strong> Sicherheitszustand <strong>der</strong> Karte zurückgesetzt, d.h. für<br />
die nächste Signatur ist es notwendig, den Transaction-Block erneut zu beginnen.<br />
Macht die Applikation keinen Transaction-Block auf, wird die Anzahl <strong>der</strong> möglichen Signaturerzeugungen<br />
durch Stapel- und Multisignaturkarten nach einer erfolgreichen Authentifizierung<br />
mit <strong>der</strong> Signatur-PIN durch die <strong>MCard</strong> zur Sicherheit auf 1 begrenzt.<br />
Für Kunden, die den vollen Funktionsumfang von Multisignaturkarten nutzen möchten, steht<br />
<strong>der</strong> Governikus NetSigner als Komponente <strong>der</strong> Governikus Service Components zur Verfügung.<br />
Dieser verwendet eine spezielle Variante <strong>der</strong> <strong>MCard</strong>, die als <strong>MCard</strong>-Server aus-<br />
6
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
schließlich für Nutzer des Governikus NetSigner bereitgestellt wird und eigene Releasezyklen<br />
besitzt.<br />
Kartentyp unterstützt / Anzahl Signaturen nach<br />
PIN-Eingabe<br />
<strong>MCard</strong>-Variante Einzelsignatur Stapelsignatur Multisignatur<br />
<strong>MCard</strong>-Client Ja / 1 Ja / 1 Ja / 1<br />
<strong>MCard</strong>-Client, verwendet durch eine<br />
Applikation, die Transaction-Block-<br />
Handling beherrscht<br />
<strong>MCard</strong>-Server für den Governikus-<br />
NetSigner<br />
Ja / 1 Ja / max. 100 Ja / max. 500<br />
Nein / - Nein / - Ja / unbegrenzt<br />
Tabelle 1: Überblick über die Varianten <strong>der</strong> <strong>MCard</strong> und unterstützte Kartentypen<br />
2.2 Releasezyklen<br />
Die Governikus Kartenansteuerung wird bei Bedarf aktualisiert und unabhängig von den<br />
SDK-Releasezyklen zur Verfügung gestellt.<br />
Bitte informieren Sie sich im bos-Portal, ob eine neuere Version <strong>der</strong> <strong>MCard</strong> zur Verfügung<br />
steht, als im aktuellen Release des Governikus SDK (<strong>MCard</strong>) bereitgestellt wurde. Verwenden<br />
Sie bitte immer nur die aktuelle Version <strong>der</strong> <strong>MCard</strong>. Nur so können Sie sicherstellen,<br />
dass auch neue Signaturkarten (neue SSEE) und neue Kartenleser verwendet werden können.<br />
Hintergrund: Qualifizierte Signaturkarten basieren auf sogenannten sicheren Signaturerstellungseinheiten<br />
mit SigG-Bestätigung. Diese SigG-Bestätigung sind immer nur befristet<br />
gültig, da auf den SSEE verwendete Algorithmen „altern“, d.h. ihre Eignung zur Erzeugung<br />
von qualifizierten Signaturen mit <strong>der</strong> Zeit verlieren. (Aus diesem Grund wird auch jährlich die<br />
Eignung <strong>der</strong> Algorithmen durch die Bundesnetzagentur aktualisiert.) D.h. Signaturkarten von<br />
Zertifizierungsdiensteanbietern (wie z.B. D-Trust) erneuern regelmäßig die SSEE, auf denen<br />
ihre Signaturkarten basieren. Dieses ist den Signaturkarten meist nicht anzusehen und <strong>der</strong><br />
Nutzer einer Signaturkarte weiß auch in <strong>der</strong> Regel nicht, auf welcher SSEE seine Karte basiert.<br />
Deshalb ist es umso wichtiger, dass SAKs immer die aktuellste <strong>MCard</strong> verwenden.<br />
2.3 Abwärtskompatibilität <strong>der</strong> <strong>MCard</strong> zum Governikus SDK<br />
Die Abwärtskompatibilität wird für die letzten beiden SDK-Releases (aktuelles Release und<br />
Vorrelease) sichergestellt. Es wird mindestens auch noch die letzte SigG-bestätigte Version<br />
des SDK unterstützt.<br />
7
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
3 Auflagen für die Nutzung <strong>der</strong> <strong>MCard</strong> gemäß Signaturgesetz<br />
Applikationen, die die eCard-API o<strong>der</strong> den OSCI-Client-Enabler mit <strong>der</strong> <strong>MCard</strong> (und damit<br />
Kartenleser und Signaturkarten) verwenden sind Signaturanwendungskomponenten (SAK),<br />
wenn sie qualifizierte Signaturen anbringen o<strong>der</strong> prüfen o<strong>der</strong> Prüfergebnisse anzeigen. SAK<br />
werden in § 1, 11 SigG definiert als “Software- und Hardwareprodukte, die dazu bestimmt<br />
sind, Daten dem Prozess <strong>der</strong> Erzeugung o<strong>der</strong> Prüfung qualifizierter elektronischer Signaturen<br />
zuzuführen.<br />
Gemäß § 15 Abs. 7 und § 17 Abs. 4 Signaturgesetz (SigG) sowie § 11 Abs. 3 Signaturverordnung<br />
(SigV) müssen SAK SigG-bestätigt o<strong>der</strong> herstellererklärt werden bevor sie bereitgestellt<br />
werden. Zwar ist <strong>der</strong> OSCI-Client-Enabler als Funktionsbibliothek herstellererklärt. Dieses<br />
entbindet aber den Applikationshersteller nicht von seiner Pflicht zumindest eine eigene<br />
Herstellererklärung für seine Applikation bei <strong>der</strong> BNetzA einzureichen.<br />
Kartenleser und Signaturkarten sind Bestandteil einer SAK. Unterstützte Signaturkarten bzw.<br />
die verwendeten sicheren Signaturerstellungseinheiten (SSEE müssen immer SigG-betätigt<br />
sein) und Chipkartenlesegeräte (diese müssen SigG-bestätigt o<strong>der</strong> zumindest herstellererklärt<br />
sein) sind in sogenannten Positivlisten aufzuführen. Diese Tabellen befinden sich in<br />
dieser <strong>Dokumentation</strong> für die durch die <strong>MCard</strong>-Client unterstützten SSEE und Chipkartenlesegeräte.<br />
Für den SigG-konformen Betrieb einer SAK sind zudem bestimmte organisatorische und<br />
technische Maßnahmen erfor<strong>der</strong>lich, die die SAK-Umgebung betreffen. Die organisatorischen<br />
und technischen Maßnahmen sollen sicherstellen, dass den Ergebnissen <strong>der</strong> Signaturanwendungskomponente<br />
auch tatsächlich vertraut werden kann, weil das ganze System<br />
auf dem die SAK ausgeführt wird, vertrauenswürdig ist.<br />
Wird die <strong>MCard</strong> als Teil einer SAK verwendet, muss in <strong>der</strong> Anwen<strong>der</strong>dokumentation <strong>der</strong><br />
Applikation <strong>der</strong> folgende Hinweis zur SigG-konformen Nutzung sinngemäß aufgenommen<br />
werden:<br />
Textbaustein zum Kopieren<br />
Die Nutzung dieser Applikation als Signaturanbringungskomponente (SAK) (z.B. zur Anbringung<br />
von qualifizierten elektronischen Signaturen nach deutschem Signaturgesetz),<br />
macht es erfor<strong>der</strong>lich, dass den potenziellen Bedrohungen durch einen unterschiedlichen<br />
„Mix“ von Sicherheitsvorkehrungen in <strong>der</strong> SAK selbst und durch die Einsatzumgebung begegnet<br />
wird. In <strong>der</strong> Einsatzumgebung „Geschützter Einsatzbereich“ (Einzelplatz-PCs, die<br />
privat o<strong>der</strong> in Büros im täglichen Einsatz sind) sind das in <strong>der</strong> Regel folgende Sicherheitsmaßnahmen:<br />
<br />
<br />
Wenn ein Internetzugang besteht, ist die Verwendung einer Firewall notwendig, um<br />
einen entfernten Zugriff auszuschließen.<br />
Um Trojaner und Viren weitestgehend ausschließen zu können, ist die Installation eines<br />
aktuellen Anti-Virenprogramms (automatisches Update möglichst aktiviert) erfor-<br />
8
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
<br />
<strong>der</strong>lich.<br />
Grundsätzlich darf nur vertrauenswürdige Software installiert und verwendet werden.<br />
Das gilt beson<strong>der</strong>s für das Betriebssystem, es muss sichergestellt werden, dass das<br />
Betriebssystem bezüglich <strong>der</strong> Sicherheitspatches und Updates auf dem aktuellen<br />
Stand ist (Windows: automatisches Update ist zu aktivieren, etwaige Service Packs<br />
müssen installiert sein) und dass das JRE bezüglich <strong>der</strong> Sicherheitspatches und Updates<br />
auf dem aktuellen Stand ist.<br />
Ebenfalls ist Sorge dafür zu tragen, dass kein unbefugter Zugriff auf Ihr System erlangen<br />
kann. Hierfür ist die Bildschirm-Sperr-Funktion Ihres Betriebssystems zu aktivieren. Nutzen<br />
mehrere Nutzer Ihr System, ist für jeden Nutzer ein eigenes Benutzerkonto anzulegen.<br />
Textbaustein 1: SigG-konformer Einsatz <strong>der</strong> SAK - Auflagen zur Nutzung<br />
Beachten Sie in diesem Zusammenhang bitte auch das entsprechende Kapitel im OSCI-<br />
Client-Enabler-Entwicklerhandbuch.<br />
Die in dieser Produktdokumentation enthaltenen Angaben zur Eignung von Signaturkarten<br />
und Chipkartenlesegeräten zur Anbringung einer qualifizierten elektronischen Signatur nach<br />
deutschem Signaturgesetz wurden veröffentlichten Informationen <strong>der</strong> Bundesnetzagentur<br />
(hier: durch die Bundesnetzagentur veröffentlichten Bestätigungen o<strong>der</strong> Herstellererklärungen)<br />
entnommen und spiegeln den aktuellen Stand zum Zeitpunkt <strong>der</strong> Tests und Erstellung<br />
dieses Releases <strong>der</strong> <strong>MCard</strong> wi<strong>der</strong>. Veröffentlichte Bestätigungen o<strong>der</strong> Herstellererklärungen<br />
können von <strong>der</strong> Bundesnetzagentur für ungültig erklärt o<strong>der</strong> wi<strong>der</strong>rufen werden. Aktuelle<br />
Informationen hierzu finden Sie in den Übersichten <strong>der</strong> Bundesnetzagentur.<br />
9
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
4 Hard- und Softwareanfor<strong>der</strong>ungen<br />
4.1 Betriebssysteme<br />
Die <strong>MCard</strong> unterstützt eine Reihe von Clientbetriebssystemen, die in <strong>der</strong> Regel solange weiterhin<br />
unterstützt werden, wie <strong>der</strong> Hersteller dieses Betriebssystems dafür Sicherheitspatches<br />
herausgibt. Die Abkündigung für ein unterstütztes Betriebssystem erfolgt rechtzeitig<br />
unter Beachtung des End-Of-Life Zeitpunkts (nachfolgend EOL genannt) für das Betriebssystem.<br />
Eine Abkündigung muss allerdings nicht zwingend erfolgen, wenn <strong>der</strong> Hersteller angekündigt<br />
hat, keine Sicherheitsupdates ab einem bestimmten Datum mehr bereitzustellen. In<br />
diesem Fall sollte folgen<strong>der</strong> Warnhinweis aufgenommen werden:<br />
Textbaustein zum Kopieren<br />
Der Hersteller des Betriebssystems stellt ab Datum xx.xx.xxxx keine Sicherheitspatches<br />
mehr bereit. Dieser Umstand kann die für eine SAK gefor<strong>der</strong>te hohe Sicherheit gegen potenzielle<br />
Bedrohungen beeinträchtigen.<br />
Textbaustein 2: Bereitstellung Sicherheitspatches Betriebssystem<br />
Grundsätzlich führend bei <strong>der</strong> Ankündigung von unterstützten Betriebssystemen ist die<br />
<strong>MCard</strong>, da zunächst die Funktionsfähigkeit zumindest eines gewissen Subsets von Kartenlesern<br />
mit dem neuen Betriebssystem abgewartet werden muss. Hier sind in <strong>der</strong> Regel die<br />
Kartenleserhersteller gefor<strong>der</strong>t, ggf. neue Treiber für dieses Betriebssystem zur Verfügung<br />
zu stellen o<strong>der</strong> zu aktualisieren.<br />
Bei Windows-Betriebssystemen wird <strong>der</strong> folgende Automatismus angestrebt: Eine neue<br />
Windows-Version (wenn marktverfügbar) wird möglichst mit <strong>der</strong> nächsten <strong>MCard</strong> unterstützt,<br />
vorbehaltlich, dass genügend Kartenleser-Treiber zu Verfügung stehen.<br />
Dabei gilt grundsätzlich für die Unterstützung von Windows-Betriebssystemen:<br />
Es werden die aktuelle Windows-Version und möglichst höchstens zwei Vorversionen<br />
unterstützt, für die EOL noch nicht erreicht ist. Wenn unterstützt, werden (soweit vorhanden)<br />
die 32- und 64-Bit-Varianten unterstützt.<br />
Grundsätzlich werden Windows-Betriebssysteme (Client) nur mit den jeweils aktuellen<br />
Service Packs (SP) und Sicherheitsupdates unterstützt.<br />
Sollte ein Windows-Betriebssystem in mehreren Ausprägungen verfügbar sein, wird<br />
grundsätzlich die Professional-Version o<strong>der</strong> die Premium-Version unterstützt.<br />
Bei openSUSE wird angestrebt, dass jeweils die (zum Zeitpunkt <strong>der</strong> Tests <strong>der</strong> <strong>MCard</strong>) aktuelle<br />
Version unterstützt wird.<br />
Die Abkündigung eines Windows-Betriebssystems erfolgt in <strong>der</strong> <strong>Dokumentation</strong> eines<br />
<strong>MCard</strong>-Release möglichst ein Jahr im Voraus. Die Abkündigung bedeutet für die <strong>MCard</strong>,<br />
dass ab dem kommunizierten Datum o<strong>der</strong> Release keine Gewährleistung mehr für die Funk-<br />
10
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
tionsfähigkeit des Betriebssystems mit <strong>der</strong> <strong>MCard</strong> mehr übernommen werden kann und somit<br />
auch kein Support mehr geleistet werden kann.<br />
Abkündigungen von Betriebssystemen sollten, soweit durch die Clientanwendung bisher<br />
unterstützt, in jedem Fall in die Release-<strong>Dokumentation</strong> <strong>der</strong> jeweiligen Clientanwendung aufgenommen<br />
werden.<br />
Unterstützte Betriebssysteme<br />
Mit <strong>der</strong> vorliegenden Version <strong>der</strong> <strong>MCard</strong> wurde die Funktionsfähigkeit mit den in <strong>der</strong> folgenden<br />
Tabelle aufgeführten Client-Betriebssystemen getestet. Der Tabelle kann außerdem<br />
entnommen werden, welches Betriebssystem/welche Betriebssysteme für eine spätere Version<br />
<strong>der</strong> <strong>MCard</strong> abgekündigt wurden. Das in <strong>der</strong> Spalte angegebene Datum bedeutet, dass<br />
nach diesem Datum bereitgestellte <strong>MCard</strong>-Version das angegebene Betriebssystem nicht<br />
mehr unterstützen. Im Umkehrschluss bedeutet dieses aber auch, dass alle bis zu diesem<br />
Datum bereitgestellte <strong>MCard</strong>-Clients das Betriebssystem weiter unterstützen werden.<br />
Tabelle zum Editieren und zum Kopieren<br />
Unterstützte Betriebssysteme(e)<br />
<br />
<br />
<br />
<br />
Windows XP Professional<br />
32 Bit SP3<br />
Windows XP Professional<br />
64 Bit SP3<br />
Windows Vista Home Premium<br />
32 Bit SP2<br />
Windows Vista Home Premium<br />
64 Bit SP2<br />
Windows 7 Professional 32<br />
Windows 7 Professional 64<br />
Windows 8 Professional 32<br />
Windows 8 Professional 64<br />
<br />
<br />
openSUSE 12.1 32 Bit<br />
Mac OS X 10.6.8 Snow<br />
Leopard 32 Bit 1)<br />
Getestete und unterstützte<br />
JRE<br />
Version(en)<br />
1.6.0_37 (32 Bit)<br />
7 Update 9 (32 Bit)<br />
1.6.0_37 (64 Bit)<br />
7 Update 9 (64 Bit)<br />
1.6.0_37 (32 Bit)<br />
7 Update 9 (32 Bit)<br />
1.6.0_37 (64 Bit)<br />
7 Update 9 (64 Bit)<br />
1.6.0_37 (32 Bit)<br />
7 Update 9 (32 Bit)<br />
1.6.0_37 (64 Bit)<br />
7 Update 9 (64 Bit)<br />
1.6.0_37 (32 Bit)<br />
7 Update 9 (32 Bit)<br />
1.6.0_37 (64 Bit)<br />
7 Update 9 (64 Bit)<br />
1.6.0_37 (32 Bit)<br />
7 Update 9 (32 Bit)<br />
1.6.0_37 (32 Bit)<br />
Abkündigung<br />
Betriebssysteme abgekündigt für die<br />
nach dem 01.04.2013 bereitgestellte<br />
<strong>MCard</strong>. Unterstützt werden die dann<br />
aktuellen Versionen <strong>der</strong> Betriebssysteme.<br />
1) Einschränkungen in <strong>der</strong> Funktionsunterstützung des Betriebssystems mit Governikus-Komponenten möglich<br />
Tabelle 2: Unterstützte Betriebssysteme/abgekündigte Betriebssysteme<br />
Eine Tabelle mit den unterstützten Betriebssystemen sollte in jedem Fall in die Anwen<strong>der</strong>-<br />
<strong>Dokumentation</strong> <strong>der</strong> jeweiligen Clientanwendung aufgenommen werden. Bei einer Anwendung,<br />
die eine SAK im Sinne des Signaturgesetzes darstellt (also zur Erzeugung von qualifi-<br />
11
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
zierten elektronischen Signaturen verwendet werden kann), muss diese Tabelle veröffentlicht<br />
werden, da die unterstützten Clientbetriebssysteme in einer Positivliste zu veröffentlichen<br />
sind. Dabei ist zu beachten, ob ggf. nur ein Subset <strong>der</strong> durch die <strong>MCard</strong> unterstützten<br />
Betriebssysteme unterstützt werden soll.<br />
4.2 Java Standard Edition Runtime Environment (JRE)<br />
Grundsätzlich führend bei <strong>der</strong> Kommunikation <strong>der</strong> An- und Abkündigungspraxis von JREs ist<br />
die <strong>MCard</strong>. Typischerweise erfolgen Abkündigungen innerhalb <strong>der</strong> Release-<strong>Dokumentation</strong><br />
<strong>der</strong> jeweiligen Clientanwendung. Dabei ist zu beachten, dass Clients ggf. nur ein Subset <strong>der</strong><br />
durch die <strong>MCard</strong> unterstützten JREs unterstützen.<br />
In <strong>der</strong> Regel sollen die aktuelle JRE-Version und die Vorversion unterstützt werden. Dabei<br />
werden grundsätzlich die jeweils aktuellen Updates zum Zeitpunkt <strong>der</strong> Tests <strong>der</strong> <strong>MCard</strong> verwendet.<br />
Abkündigungen von JRE-Versionen sollen grundsätzlich in <strong>der</strong> <strong>Dokumentation</strong> eines Release<br />
<strong>der</strong> <strong>MCard</strong> möglichst ein Jahr im Voraus erfolgen, wenn z. B. das EOL bekannt wird. Typischerweise<br />
erfolgen Abkündigungen innerhalb <strong>der</strong> Release-<strong>Dokumentation</strong> <strong>der</strong> jeweiligen<br />
Clientanwendung. Ab Abkündigungstermin kann keine Gewährleistung mehr für die Funktionsfähigkeit<br />
des JREs mit <strong>der</strong> <strong>MCard</strong> mehr übernommen werden und somit auch kein Support<br />
mehr geleistet werden.<br />
Eine Abkündigung sollte erfolgen, wenn ORACLE angekündigt hat, keine Sicherheitsupdates<br />
ab einem bestimmten Datum mehr bereitzustellen (EOL). Wird diese Version über das EOL<br />
hinaus unterstützt, sollte folgen<strong>der</strong> Warnhinweis aufgenommen werden:<br />
Textbaustein zum Kopieren<br />
Der Hersteller des JRE stellt ab Datum xx.xx.xxxx keine Sicherheitspatches mehr bereit.<br />
Dieser Umstand kann die für eine SAK gefor<strong>der</strong>te hohe Sicherheit gegen potenzielle Bedrohungen<br />
beeinträchtigen.<br />
Textbaustein 3: Bereitstellung Sicherheitspatches JRE<br />
Unterstützte JREs<br />
Die beiden <strong>MCard</strong>-Varianten unterstützen ORACLE Java Standard Edition Runtime Environments<br />
(JRE von ORACLE/SUN) in den in <strong>der</strong> Tabelle 5 angegebenen Versionen und<br />
<strong>der</strong>en Updates. Empfohlen werden die jeweils aktuellen Updates. Der Tabelle kann außerdem<br />
entnommen werden, welche JRE-Version zwar noch in <strong>der</strong> aktuellen Version <strong>der</strong> <strong>MCard</strong><br />
unterstützt wird aber abgekündigt wurde. Das angegebene Datum bedeutet, dass nach diesem<br />
Datum bereitgestellte <strong>MCard</strong>-Versionen die angegebene JRE-Version nicht mehr unterstützen.<br />
Im Umkehrschluss bedeutet dieses aber auch, dass bis zu diesem Datum bereitgestellte<br />
<strong>MCard</strong>-Clients die Version weiter unterstützen werden.<br />
Mit dem vorliegenden Release <strong>der</strong> <strong>MCard</strong> wurden folgende Update-Versionen getestet:<br />
12
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Tabelle zum Editieren und zum Kopieren<br />
Unterstützte Java Runtime<br />
Environment (JRE)<br />
Update<br />
1.6.0 37<br />
1.7.0 9<br />
Abkündigung<br />
Tabelle 3: Unterstützte JRE/abgekündigte JRE<br />
Bitte beachten Sie:<br />
Ende Februar 2013 endet die Unterstützung für Java 6 SE durch Oracle (siehe Java SE 6<br />
End-Of-Life (EOL) Notice). Die <strong>MCard</strong> bleibt zwar bis auf weiteres mit Java 6 SE lauffähig,<br />
berücksichtigen Sie jedoch bitte, dass Oracle ab diesem Zeitpunkt keine Sicherheitsupdates<br />
mehr bereitstellen wird. Dieser Umstand kann die für eine Signaturanwendungskomponente<br />
(SAK) gefor<strong>der</strong>te hohe Sicherheit gegen potentielle Bedrohungen maßgeblich beeinträchtigen.<br />
Die bos KG empfiehlt daher, rechtzeitig auf Java 7 SE umzustellen.<br />
4.3 Chipkartenlesegeräte<br />
Die <strong>MCard</strong> unterstützt fast alle Chipkartenlesegeräte, die für die Erzeugung einer qualifizierten<br />
elektronischen Signatur (QES) geeignet sind. Dieses sind Chipkartenlesegeräte, die gemäß<br />
den Anfor<strong>der</strong>ungen des deutschen Signaturgesetzes bestätigt o<strong>der</strong> herstellererklärt<br />
sind und <strong>der</strong>en Bestätigung o<strong>der</strong> Herstellererklärung bei <strong>der</strong> Bundesnetzagentur (BNetzA)<br />
veröffentlicht wurde.<br />
Es handelt sich dabei ausschließlich um Geräte, die eine sichere PIN-Eingabe über das PIN-<br />
Pad des Chipkartenlesers erlauben (Geräte <strong>der</strong> sogenannten HBCI-Klassen 2 und 3). Außerdem<br />
werden ausgewählte Chipkartenlesegeräte ohne PIN-Pad unterstützt, die nicht für<br />
die Erzeugung einer QES verwendet werden dürfen. Die Listen mit den unterstützten Chipkartenlesegeräten<br />
befinden sich in Tabelle 4, Tabelle 5 und Tabelle 6. Wird eine Clientapplikation<br />
als SAK, also zur Anbringung von qualifizierten elektronischen Signaturen verwendet,<br />
müssen die Listen <strong>der</strong> durch die Clientapplikation unterstützten, SigG-bestätigten und herstellererklärten<br />
Chipkartenlesegeräte in <strong>der</strong> Anwen<strong>der</strong>dokumentation veröffentlicht als sogenannte<br />
„Positivliste“ werden.<br />
Die Funktionsfähigkeit <strong>der</strong> in dieser Liste benannten Chipkartenlesegeräte wurde jeweils für<br />
die angebenden Betriebssysteme getestet. Getestet wurde jeweils mit den bei den Herstellern<br />
verfügbaren aktuellen Treibern bzw. mit dem generischen Linux-Treiber unter Verwendung<br />
<strong>der</strong> zum Testzeitpunkt aktuellen Firmware <strong>der</strong> Chipkartenlesegeräte, soweit diese Geräte<br />
updatefähig sind. Detailinformationen zu den getesteten Treiber- und Firmware Versionen<br />
finden Sie in den Tabellen am Ende dieses Dokuments.<br />
Es kann keine Gewährleistung dafür übernommen werden, dass<br />
<br />
<br />
<br />
an<strong>der</strong>e Versionen <strong>der</strong> unterstützten Chipkartenlesegeräte verwendet werden können,<br />
die unterstützten Chipkartenlesegeräte auch mit älteren Treiberversionen, an<strong>der</strong>er<br />
Firmware o<strong>der</strong> an<strong>der</strong>en als den genannten Betriebssystemen funktionieren und<br />
an<strong>der</strong>e als die explizit aufgeführten Chipkartenlesegeräte unterstützt werden.<br />
13
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
In die Anwen<strong>der</strong>dokumentation sollte daher <strong>der</strong> folgende Hinweis aufgenommen werden:<br />
Textbaustein zum Kopieren<br />
Die <strong>MCard</strong> unterstützt fast alle Chipkartenlesegeräte für die Erzeugung einer qualifizierten<br />
elektronischen Signatur (QES). Dieses sind Chipkartenlesegeräte, die gemäß den Anfor<strong>der</strong>ungen<br />
des deutschen Signaturgesetzes (SigG) bestätigt sind und <strong>der</strong>en Bestätigung o<strong>der</strong><br />
Herstellererklärung bei <strong>der</strong> Bundesnetzagentur (BNetzA) veröffentlicht wurde. Es handelt<br />
sich dabei ausschließlich um Geräte, die eine sichere PIN-Eingabe über das PIN-Pad des<br />
Chipkartenlesers erlauben (Geräte <strong>der</strong> sogenannten HBCI-Klassen 2 und 3). Außerdem<br />
werden ausgewählte Chipkartenlesegeräte ohne PIN-Pad unterstützt.<br />
Die Funktionsfähigkeit <strong>der</strong> unterstützten Chipkartenlesegeräte mit dieser Clientapplikation<br />
wurde für die angegebenen Betriebssysteme und JRE getestet. Getestet wurde jeweils mit<br />
den bei den Herstellern verfügbaren aktuellen Treibern bzw. mit dem generischen Linux-<br />
Treiber unter Verwendung <strong>der</strong> zum Testzeitpunkt aktuellen Firmware <strong>der</strong> Chipkartenlesegeräte.<br />
Es kann keine Gewährleistung dafür übernommen werden,<br />
<br />
<br />
dass die unterstützten Chipkartenlesegeräte auch mit älteren Treiberversionen<br />
o<strong>der</strong> an<strong>der</strong>en als den genannten Betriebssystemen funktionieren.<br />
an<strong>der</strong>e als die explizit aufgeführten Chipkartenlesegeräte verwendet werden können.<br />
Textbaustein 4: Erläuterung zu den unterstützten Chipkartenlesegeräten<br />
Die <strong>MCard</strong> unterstützt auch Chipkartenlesegeräte <strong>der</strong> HBCI-Klasse 1 ohne PIN-Pad. Es<br />
handelt sich ausschließlich um externe Geräte mit USB-Schnittstelle, die über einen PC/SC-<br />
Treiber angesprochen werden. Neben diesen explizit benannten Geräten können auch viele<br />
weitere Chipkartenlesegeräte mit USB-Schnittstelle ohne PIN-Pad (HBCI-Klasse 1) o<strong>der</strong> interne<br />
Chipkartenlesegeräte in Notebooks verwendet werden. Natürlich muss <strong>der</strong> Hersteller<br />
für das verwendete Betriebssystem einen Treiber zur Verfügung stellen. Eine Gewährleistung<br />
für die Funktionsfähigkeit kann gleichwohl nicht übernommen werden.<br />
Die <strong>MCard</strong> ermöglicht somit auch die Verwendung von Chipkartenlesegeräten ohne PIN-<br />
Pad. Weiterhin kann es vorkommen, dass bereits Chipkartenlesegeräte, die sich noch im<br />
Bestätigungsprozess o<strong>der</strong> noch nicht herstellererklärt sind, unterstützt werden. Außerdem<br />
können veröffentlichte Bestätigungen o<strong>der</strong> Herstellererklärungen für Chipkartenlesegeräte<br />
von <strong>der</strong> Bundesnetzagentur für ungültig erklärt werden. Wenn <strong>der</strong> Anwen<strong>der</strong> ein solches<br />
Chipkartenlesegerät (obwohl in den Listen „Unterstützte Chipkartenlesegeräte mit veröffentlichter<br />
Bestätigung durch die Bundesnetzagentur“ und „Unterstützte Chipkartenlesegeräte<br />
mit Herstellererklärung, veröffentlicht durch die Bundesnetzagentur“ geführt) verwendet,<br />
nutzt er die <strong>MCard</strong> nicht als Teil einer Signaturanwendu0ngskomponente (SAK), mit <strong>der</strong> qualifizierte<br />
Signaturen erzeugt werden dürfen. Wird eine Clientapplikation als SAK, also zur<br />
Erzeugung von qualifizierten elektronischen Signaturen verwendet, muss daher <strong>der</strong> folgende<br />
Hinweis in die Anwen<strong>der</strong>dokumentation Ihrer Clientapplikation aufgenommen werden:<br />
14
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Textbaustein zum Kopieren<br />
Für die Erzeugung einer qualifizierten Signatur dürfen nur Chipkartenlesegeräte verwendet<br />
werden, die gemäß den Anfor<strong>der</strong>ungen des deutschen Signaturgesetzes (SigG) bestätigt<br />
sind und wenn diese Bestätigung o<strong>der</strong> Herstellererklärung bei <strong>der</strong> Bundesnetzagentur<br />
(BNetzA) veröffentlicht wurde. Dieses sind ausschließlich Geräte, die eine sichere PIN-<br />
Eingabe über das PIN-Pad des Chipkartenlesers erlauben (Geräte <strong>der</strong> sogenannten HBCI-<br />
Klassen 2 und 3).<br />
Zum Zeitpunkt des Inverkehrbringens dieser Clientapplikation genügen die in den Listen<br />
„Unterstützte Chipkartenlesegeräte mit veröffentlichter Bestätigung durch die Bundesnetzagentur“<br />
und „Unterstützte Chipkartenlesegeräte mit Herstellererklärung, veröffentlicht<br />
durch die Bundesnetzagentur“ aufgeführten Chipkartenlesegeräte diesen Anfor<strong>der</strong>ungen.<br />
Diese Clientapplikation unterstützt auch Chipkartenlesegeräte, die keine sichere PIN-<br />
Eingabe erlauben (HBCI-Klasse 1) und daher keine bei <strong>der</strong> Bundesnetzagentur veröffentliche<br />
Bestätigung o<strong>der</strong> Herstellererklärung besitzen. Wenn Sie ein solches Chipkartenlesegerät<br />
verwenden, nutzen Sie diese Clientapplikation nicht als Teil einer Signaturanwendungskomponente<br />
(SAK), mit <strong>der</strong> qualifizierte Signaturen erzeugt werden dürfen.<br />
Dieses gilt auch für Chipkartengeräte mit PIN-Pad, die noch nicht in den beiden Listen aufgeführt<br />
sind, weil sie sich zum Zeitpunkt <strong>der</strong> Erstellung dieser Listen noch im Bestätigungsprozess<br />
befanden o<strong>der</strong> <strong>der</strong>en Herstellerklärung noch nicht durch die Bundesnetzagentur<br />
veröffentlicht war.<br />
Veröffentlichte Bestätigungen o<strong>der</strong> Herstellererklärungen für Chipkartenlesegeräte können<br />
von <strong>der</strong> Bundesnetzagentur für ungültig erklärt werden. Wenn Sie ein solches Chipkartenlesegerät<br />
verwenden, nutzen Sie diese Clientapplikation nicht als Teil einer Signaturanwendungskomponente<br />
(SAK), mit <strong>der</strong> qualifizierte Signaturen erzeugt werden dürfen, obwohl<br />
die Geräte in den Listen „Unterstützte Chipkartenlesegeräte mit veröffentlichter Bestätigung<br />
durch die Bundesnetzagentur“ und „Unterstützte Chipkartenlesegeräte mit Herstellererklärung,<br />
veröffentlicht durch die Bundesnetzagentur“ aufgeführt wurden. Aktuelle Informationen<br />
hierzu finden Sie in den Übersichten bei <strong>der</strong> Bundesnetzagentur.<br />
Textbaustein 5: Verwendung nicht SigG-bestätigter o<strong>der</strong> nicht herstellererklärter<br />
Chipkartenlesegeräte bei Nutzung <strong>der</strong> Clientapplikation als SAK<br />
Neue Kartenleser <strong>der</strong> durch die <strong>MCard</strong> in <strong>der</strong> Regel zeitnah unterstützt, sobald die SigG-<br />
Bestätigung bei <strong>der</strong> BNetzA veröffentlicht wurde und Treiber für die unterstützten Betriebssysteme<br />
zur Verfügung stehen. Eine Abkündigung eines unterstützten Kartenlesers erfolgt in<br />
<strong>der</strong> Regel, wenn <strong>der</strong> Hersteller das Gerät abgekündigt hat und absehbar ist, dass auch keine<br />
Treiberaktualisierung mehr erfolgen wird o<strong>der</strong> eine Befristung in <strong>der</strong> Bestätigung vorliegt.<br />
15
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Unterstützte Chipkartenlesegeräte (Tabellen zum Kopieren)<br />
Handelsname<br />
des unterstützten<br />
Geräts<br />
Angaben aus <strong>der</strong> veröffentlichten Bestätigung bei <strong>der</strong><br />
BNetzA<br />
CardMan 3621 OMNIKEY GmbH SAK Chipkartenterminal <strong>der</strong><br />
Familie CardMan Trust<br />
CM3621, Firmware-Version<br />
6.00<br />
CardMan 3821 OMNIKEY GmbH SAK Chipkartenterminal <strong>der</strong><br />
Familie CardMan Trust<br />
CM3821, Firmware-Version<br />
6.00<br />
Cherry Smartboard<br />
G83-6744<br />
Cherry SmartTerminal<br />
2000 U<br />
CyberJack e-com<br />
CyberJack e-com<br />
plus<br />
CyberJack pinpad<br />
Version 3<br />
Cyberjack RFID<br />
komfort<br />
Cyberjack RFID<br />
standard<br />
CyberJack seco<strong>der</strong><br />
Fujitsu Siemens<br />
Chipkartenleser-<br />
Tastatur KB SCR<br />
Pro<br />
Fujitsu Siemens<br />
Chipkartenleser-<br />
Tastatur Smartcase<br />
KB SCR eSIG<br />
Kobil KAAN Advanced<br />
Kobil KAAN<br />
TrB@ank, EMV-<br />
TriCAP Rea<strong>der</strong> und<br />
SecOVID Rea<strong>der</strong><br />
III<br />
SPR 332 usb<br />
(Chipdrive pinpad<br />
pro)<br />
Cherry GmbH<br />
Cherry GmbH<br />
Reiner SCT Kartenlesegeräte<br />
GmbH<br />
Reiner SCT Kartenlesegeräte<br />
GmbH<br />
Reiner SCT Kartenlesegeräte<br />
GmbH<br />
Reiner SCT Kartenlesegeräte<br />
GmbH<br />
Reiner SCT Kartenlesegeräte<br />
GmbH<br />
Reiner SCT Kartenlesegeräte<br />
GmbH<br />
Fujitsu Siemens<br />
Fujitsu Siemens<br />
Kobil Systems GmbH<br />
Kobil Systems GmbH<br />
SCM Microsystems<br />
GmbH<br />
Chipkartenterminal <strong>der</strong> Familie<br />
SmartBoard xx44 Firmware-<br />
Version 1.04<br />
Chipkartenterminal <strong>der</strong> Familie<br />
SmartTerminal ST-2xxx,<br />
Firmware Version 6.01<br />
CyberJack e-com, Version 3.0<br />
CyberJack e-com plus, Version<br />
3.0<br />
Chipkartenleser, cyberJack<br />
pinpad, Version 3.0<br />
Cyberjack RFID komfort Version<br />
2.0<br />
Cyberjack RFID standard<br />
Version 1.2<br />
Chipkartenleser CyberJack<br />
seco<strong>der</strong> Version 3.0<br />
Chipkartenleser-Tastatur<br />
KB SCR Pro, Sachnummer<br />
S26381-K329-<br />
V2xx HOS:01, Firmware<br />
Version 1.06<br />
SmartCase KB SCR eSIG<br />
(S26381-K529-Vxxx) Hardware<br />
Version HOS:01, Firmware-Version<br />
1.20<br />
Firmwareversion 1.21 gemäß<br />
Nachtrag vom 04.02.2011<br />
Chipkartenterminal KAAN<br />
Advanced, Firmware Version<br />
1.02, Hardware Version<br />
K104R3,<br />
Firmware 1.19 gemäß Nachtrag<br />
zur Bestätigung<br />
Signatur-Modul für die KOBIL<br />
Chipkartenterminals KAAN<br />
TriB@nk (FW 79.23), EMV-<br />
TriCAP (FW 82.23)und SecO-<br />
VID Rea<strong>der</strong> III (FW 82.23)<br />
Chipkartenleser SPR332<br />
Firmware Version 6.01<br />
BSI.02057.TE.<br />
12.2005<br />
BSI.02057.TE.<br />
12.2005<br />
BSI.02048.TE.<br />
12.2004<br />
BSI.02124.TE.<br />
09.2010<br />
TUVIT.93155.T<br />
E.09.2008<br />
TUVIT.93156.T<br />
E.09.2008<br />
TUVIT.93107.T<br />
U.11.2004<br />
TUVIT.93180.T<br />
U.12.2011<br />
TUVIT.93188.T<br />
U.07.2011<br />
TUVIT.93154.T<br />
E.09.2008<br />
BSI.02082.TE.<br />
01.2007<br />
BSI.02107.TE.<br />
03.2010<br />
Nachtrag zur<br />
Bestätigung<br />
BSI.02107.TE.<br />
03.2010<br />
vom<br />
04.02.2011<br />
BSI.02050.TE.<br />
12.2006<br />
Nachtrag zur<br />
Bestätigung<br />
vom<br />
07.04.2008: T-<br />
Systems.<br />
02207.TU.04.2<br />
008<br />
T-Systems<br />
02246.TE.<br />
10.2010<br />
BSI.02117.TE.<br />
02.2010<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
PC/SC USB ja<br />
Standard<br />
Schnittstelle<br />
PIN-<br />
Pad<br />
Tabelle 4: Unterstützte Chipkartenlesegeräte mit veröffentlichter Bestätigung durch<br />
die Bundesnetzagentur<br />
16
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Handelsname<br />
des unterstützten<br />
Geräts<br />
CARD STAR/<br />
medic Version 2<br />
Angaben aus <strong>der</strong> veröffentlichten Herstellererklärung bei<br />
<strong>der</strong> BNetzA<br />
celectronic GmbH<br />
CARD STAR /medic2, Version M1.50G<br />
Herstellererklärung vom 01.09.2010<br />
Version M1.53G gemäß 1. Nachtrag vom<br />
15.04.2011<br />
eHealth 8751 LAN Omnikey eHealth-BCS-Kartenterminal Omnikey eHealth<br />
8751 LAN Version 2.06, FW 1.32<br />
Herstellererklärung vom 29.07.2011<br />
eHealth BCS 200<br />
SCM Microsystems<br />
GmbH<br />
eHealth Kartenterminal eHealth 200 BCS Version<br />
02.00<br />
Herstellererklärung vom 19.03.2010<br />
1. Nachtrag zur Herstellererklärung vom<br />
20.01.2011<br />
GT900 BCS german telematics Chipkartenterminal eHealth GT900 BCS mit <strong>der</strong><br />
Firmwareversion: 1.0.10 und <strong>der</strong><br />
Hardwareversion: 2.0 / 2.0 SI / 2.0 SW<br />
Herstellererklärung vom 07.07.2010<br />
medCompact<br />
eHealth<br />
ORGA 6041 Version<br />
2.07<br />
Verifone (ehemals<br />
Hypercom)<br />
medCompact eHealth BCS Version 02.00<br />
Herstellererklärung vom 19.03.2010<br />
Nachtrag 1 zur Herstellererklärung vom<br />
20.01.2011<br />
Sagem Monetel GmbH ORGA 6041 Version 2.07<br />
Herstellererklärung vom 08.09.2010<br />
CT-API USB ja<br />
Standard<br />
Schnittstelle<br />
PIN-<br />
Pad<br />
CT-API USB Ja<br />
PC/SC<br />
CT-API<br />
USB<br />
Ja<br />
CT-API USB Ja<br />
CT-API USB Ja<br />
PC/SC<br />
CT-API<br />
USB<br />
Ja<br />
Tabelle 5: Unterstützte Chipkartenlesegeräte mit veröffentlichter Herstellererklärung<br />
durch die Bundesnetzagentur<br />
Handelsname des unterstützten<br />
Geräts<br />
Hersteller<br />
Schnitt<br />
stelle<br />
CardMan 3121 Omnikey PC/SC USB nein<br />
Omnikey Cardman 5321 RFID 1) Omnikey PC/SC USB nein<br />
SCM SDI011 RFID 1) SCM Microsystems GmbH PC/SC USB nein<br />
SCR 3310 SCM Microsystems GmbH PC/SC USB nein<br />
SCR 3311 (Chipdrive desktop pro) SCM Microsystems GmbH PC/SC USB nein<br />
SCR 335 (Chipdrive micro pro) SCM Microsystems GmbH PC/SC USB nein<br />
Cherry ST-1044U ZF Electronics GmbH PC/SC USB nein<br />
Cherry ST-1275 1) ZF Electronics GmbH PC/SC USB nein<br />
1) Nur die Nutzung des kontaktbehafteten Interfaces möglich<br />
Tabelle 6: Unterstützte Chipkartenlesegeräte (nicht für eine QES in Deutschland geeignet)<br />
Standard<br />
PIN-<br />
Pad<br />
Handelsname des Geräts Hersteller Abkündigung<br />
Tabelle 7: Abgekündigte Chipkartenlesegeräte<br />
4.4 Signaturkarten<br />
Die <strong>MCard</strong> unterstützt die meisten elektronischen Signaturkarten, die durch deutsche Zertifizierungsdiensteanbieter<br />
(ZDA) herausgegeben werden und mit denen man eine qualifizierte<br />
elektronische Signatur o<strong>der</strong> eine qualifizierte Signatur mit Anbieterakkreditierung erzeugen<br />
kann. Ausgewählte Signaturkarten europäischer Zertifizierungsdiensteanbieter werden durch<br />
die <strong>MCard</strong> ebenfalls unterstützt. Eine beson<strong>der</strong>e Ankündigung <strong>der</strong> Unterstützung neuer Signaturkarten<br />
erfolgt nicht. Vielmehr wird angestrebt, dass eine neue Signaturkarte o<strong>der</strong> eine<br />
17
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
neue SSEE-Version einer bereits unterstützten Signaturkarte sechs Wochen nach Marktverfügbarkeit<br />
durch ein neues <strong>MCard</strong>-Release unterstützt wird. Dieses Verfahren gilt nicht für<br />
Signaturkarten, die ausschließlich für geschlossene Nutzergruppen herausgegeben werden.<br />
Bei Stapelsignaturkarten und Multisignaturkarten, die zur Erzeugung von maximal 500 Stapelsignaturen<br />
genutzt werden können, ist durch die SAK sicherzustellen, dass keine missbräuchliche<br />
Nutzung <strong>der</strong> Stapelsignaturfunktionalität möglich ist. Zur Verwendung <strong>der</strong> Stapelsignaturfunktion<br />
dieser Karten, muss das Erzeugen <strong>der</strong> Signaturen in einem Transaction-<br />
Block erfolgen. Macht die Applikation keine Transaction-Block auf, wird die Anzahl <strong>der</strong> möglichen<br />
Signaturerzeugungen durch Stapel- und Multisignaturkarten nach einer erfolgreichen<br />
Authentifizierung mit <strong>der</strong> Signatur-PIN durch die <strong>MCard</strong> zur Sicherheit auf 1 begrenzt. In die<br />
Anwen<strong>der</strong>dokumentation von Clientapplikationen, die die <strong>MCard</strong> ohne die Stapelsignaturfunktionalität<br />
verwenden, muss deshalb <strong>der</strong> folgende Hinweis aufgenommen werden:<br />
Textbaustein zum Kopieren<br />
Diese Clientapplikation unterstützt die meisten elektronischen Signaturkarten, die durch<br />
deutsche Zertifizierungsdiensteanbieter (ZDA) mit o<strong>der</strong> ohne Anbieterakkreditierung herausgegeben<br />
werden und mit denen eine qualifizierte elektronische Signatur erzeugt werden<br />
kann. Dazu gehören auch Stapel- und Multisignaturkarten. Aus Sicherheitsgründen<br />
wurden bei Stapel- und Multisignaturkarten die Anzahl <strong>der</strong> möglichen Signaturerzeugungen<br />
nach einer erfolgreichen Authentifizierung mit <strong>der</strong> Signatur-PIN auf 1 begrenzt.<br />
Textbaustein 6: Erläuterung unterstützte Signaturkarten bei Applikationen ohne Stapelsignaturfunktionalität<br />
In die Anwen<strong>der</strong>dokumentation von Clientapplikationen, die die <strong>MCard</strong> mit Stapelsignaturfunktionalität<br />
verwenden, muss deshalb <strong>der</strong> folgende Hinweis aufgenommen werden:<br />
Textbaustein zum Kopieren<br />
Diese Clientapplikation unterstützt die meisten elektronischen Signaturkarten, die durch<br />
deutsche Zertifizierungsdiensteanbieter (ZDA) herausgegeben werden und mit denen man<br />
eine qualifizierte elektronische Signatur o<strong>der</strong> eine qualifizierte Signatur mit Anbieterakkreditierung<br />
erzeugen kann. Dazu gehören auch Stapel- und Multisignaturkarten. Bei Stapelsignaturkarten<br />
wird <strong>der</strong> volle Funktionsumfang gewährleistet, d. h., nach einer erfolgreichen<br />
Authentifizierung mit <strong>der</strong> Signatur-PIN können - je nach Hersteller - bis zu 250 Signaturen<br />
erzeugt werden. Bei Multisignaturkarten wird die Stapelsignaturfunktionalität unterstützt<br />
und aus Sicherheitsgründen nach einer erfolgreichen Authentifizierung mit <strong>der</strong> Signatur-<br />
PIN die Anzahl <strong>der</strong> möglichen Signaturen auf maximal 500 begrenzt.<br />
Textbaustein 7: Erläuterung unterstützte Signaturkarten bei Applikationen mit Stapelsignaturfunktionalität<br />
Signaturkarten, mit denen man qualifiziert signieren kann, basieren auf sogenannten sicheren<br />
Signaturerstellungseinheiten (SSEE). Für eine Signaturkarte werden von einem ZDA<br />
häufig mehrere unterschiedliche SSEE verwendet und personalisiert. Eine SSEE wird<br />
18
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
manchmal auch von mehreren ZDA/Trustcentern verwendet. Unterstützt werden nur die den<br />
folgenden Tabellen aufgeführten Signaturkarten.<br />
Unterstützt wird bei je<strong>der</strong> Signaturkarte, soweit entsprechende Schlüssel und entsprechende<br />
Zertifikate auf <strong>der</strong> Signaturkarte vorhanden sind:<br />
<br />
<br />
<br />
die Erzeugung von qualifizierten und/o<strong>der</strong> fortgeschrittenen elektronischen Signaturen<br />
die Ver-/Entschlüsselung von Daten und<br />
die Authentisierung.<br />
Die Klassifizierung <strong>der</strong> Eignung des öffentlichen Schlüssels im Zertifikat für die Prüfung einer<br />
qualifizierten elektronischen Signatur, die Ent-/Verschlüsselung bzw. Authentisierung beruht<br />
auf <strong>der</strong> Zuordnung in <strong>der</strong> CommonPKI-Spezifikation Version 2.0. Für die Prüfung <strong>der</strong> qualifizierten<br />
elektronischen Signatur mit dem öffentlichen Signaturprüfschlüssel im Zertifikat muss<br />
die KeyUsage „contentCommitment“ gesetzt sein. An<strong>der</strong>e KeyUsages dürfen gemäß <strong>der</strong><br />
CommonPKI-Spezifikation Version 2, Part 9, SigG-Profil nicht gleichzeitig mit diesem Bit<br />
verwendet werden. Für die Authentisierung wird demgegenüber „digitalSignature“ (zusätzlich<br />
z. T. auch die extended KeyUsage „clientAuthentication“) gesetzt, die eine Signaturverifizierung<br />
erlaubt, die sich nicht auf die Verifizierung einer Signatur einer Willenserklärung bezieht<br />
und für eine fortgeschrittene Signatur verwendet wird. Für die Datenentschlüsselung wird die<br />
Keyusage „dataEncipherment“ gesetzt. Häufig finden sich auch Zertifikate, die zur Verschlüsselung<br />
und Authentisierung in Form eines Kombizertifikates verwendet werden können.<br />
Wird eine Clientapplikation als SAK, also zur Erzeugung von qualifizierten elektronischen<br />
Signaturen verwendet, müssen die Listen mit den unterstützten Signaturkarten für die Erzeugung<br />
einer elektronischen Signatur in die Anwen<strong>der</strong>dokumentation Ihrer Clientapplikation<br />
aufgenommen werden, da die unterstützten Signaturkarten in einer Positivliste zu veröffentlichen<br />
sind.<br />
Aus technischen Gründen kann es in Ausnahmefällen vorkommen, dass die Signaturanbringung,<br />
Chiffrierung o<strong>der</strong> Authentisierung mit einer elektronischen Signaturkarte/SSEE in<br />
Kombination mit einem bestimmten Chipkartenleser und einem bestimmten Betriebssystem<br />
nur eingeschränkt o<strong>der</strong> nicht funktioniert, weil z. B. auf <strong>der</strong> Signaturkarte kein Verschlüsselungszertifikat<br />
vorhanden ist, weil für eine neue Signaturkarte noch kein geeigneter PC/SC-<br />
Treiber durch den Hersteller des Chipkartenlesegeräts bereitgestellt wurde o<strong>der</strong> eine Inkompatibilität<br />
von Kartenleser (elektrisch, Firmware o<strong>der</strong> Treiber) und Karte vorliegt. Detailinformationen<br />
hierzu sind den Tabellen im Anhang zu entnehmen. Sie sollten in die Anwen<strong>der</strong>dokumentation<br />
Ihrer Clientapplikation aufgenommen werden. Bitte beachten Sie, dass ggf.<br />
nicht alle Tabellen erfor<strong>der</strong>lich sein könnten, sollten Sie beabsichtigen, nicht alle Betriebssysteme<br />
für die Nutzung freizugeben. Der folgende Hinweistext sollte in die Anwen<strong>der</strong>dokumentation<br />
aufgenommen werden:<br />
Textbaustein zum Kopieren<br />
Aus technischen Gründen kann es in Ausnahmefällen vorkommen, dass die Signaturanbringung,<br />
Chiffrierung o<strong>der</strong> Authentisierung mit einer elektronischen Signaturkarte/SSEE in<br />
Kombination mit einem bestimmten Chipkartenleser und einem bestimmten Betriebssys-<br />
19
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
tem nur eingeschränkt o<strong>der</strong> nicht funktioniert, weil z. B. auf <strong>der</strong> Signaturkarte kein Verschlüsselungszertifikat<br />
vorhanden ist, weil für eine neue Signaturkarte noch kein geeigneter<br />
PC/SC-Treiber durch den Hersteller des Chipkartenlesegeräts bereitgestellt wurde o<strong>der</strong><br />
eine Inkompatibilität von Kartenleser (elektrisch, Firmware o<strong>der</strong> Treiber) und Karte vorliegt.<br />
Prüfen Sie daher bitte, ob Ihre Signaturkarte in Kombination mit Ihrem Chipartenlesegerät<br />
und Ihrem Betriebssystem Ihre Anfor<strong>der</strong>ungen erfüllt.<br />
Textbaustein 8: Hinweis zu unterstützten Kombinationen aus Betriebssystem, Chipkartenlesegerät<br />
und Signaturkarte<br />
20
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Unterstützte Signaturkarten (Tabellen zum Kopieren)<br />
Zertifizierungsdiensteanbieter<br />
(Gütezeichen<br />
BNetzA)<br />
Produktzentrum<br />
TeleSec <strong>der</strong> Deutschen<br />
Telekom AG<br />
(Z0001)<br />
Bundesnotarkammer,<br />
Zertifizierungsstelle<br />
(Z0003)<br />
DATEV eG Zertifizierungsstelle<br />
(Z0004)<br />
D-Trust GmbH<br />
(Z0017)<br />
Deutsche Post Com<br />
GmbH Geschäftsfeld<br />
Signtrust (Z0002)<br />
TC TrustCenter<br />
TrustCenter GmbH<br />
(Z0032)<br />
S-Trust, Deutscher<br />
Sparkassen Verlag<br />
GmbH (Z0035)<br />
dgnservice (Z0033)<br />
Handelsname <strong>der</strong><br />
Signaturkarte<br />
TeleSec NetKey 3.0<br />
mit PKS<br />
TeleSec Netkey 3.0M<br />
- Multisignatur -<br />
TeleSec NetKey 3.0<br />
mit PKS (Signature-<br />
Card 2.0)<br />
Bundesnotarkammer,<br />
Zertifizierungsstelle<br />
qual. elektronische<br />
Signatur<br />
- Stapelsignatur -<br />
zertifizierte Signaturkarte<br />
für Berufsträger<br />
<strong>der</strong> DATEV<br />
D-TRUST Card 2.4 2)<br />
D-TRUST Card 3.0 2)<br />
D-TRUST Card 3.0<br />
Multicard 100<br />
- Stapelsignatur – 2)<br />
D-TRUST Card 3.0<br />
Multicard<br />
- Multisignatur – 2)<br />
SIGNTRUST CARD<br />
SIGNTRUST MCARD<br />
100<br />
- Stapelsignatur -<br />
SIGNTRUST MCARD<br />
- Multisignatur -<br />
TC QSign (limited)<br />
TC QSign<br />
(unlimited)<br />
- Multisignatur -<br />
S-TRUST Card, SparkassenCard<br />
o<strong>der</strong><br />
kontounabhängige<br />
GeldKarte<br />
dgnservice Card<br />
QES<br />
Chiffrierung<br />
Authentisierung<br />
<br />
<br />
nur QES<br />
kontaktbehaftet<br />
1)<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Name <strong>der</strong> SSEE in <strong>der</strong><br />
Bestätigungsurkunde<br />
Signaturerstellungseinheit<br />
TCOS 3.0 Signature Card,<br />
Version 1.1<br />
Signaturerstellungseinheit<br />
TCOS 3.0 Signature Card,<br />
Version 2.0 Release<br />
1/SLE78CLX1440P<br />
Signaturerstellungseinheit<br />
STARCOS 3.2 QES Version 2<br />
Signaturerstellungseinheit<br />
STARCOS 3.2 QES Version 2<br />
Signaturerstellungseinheit<br />
„Chipkarte mit Prozessor<br />
SLE66CX322P (o<strong>der</strong><br />
SLE66CX642P), Software<br />
CardOS V4.3B Re_Cert with<br />
Applikation for Digitale Signature“<br />
Sichere Signaturerstellungseinheit<br />
STARCOS 3.4 Health<br />
QES C1<br />
Die Nachfolgeversion<br />
STARCOS 3.4 Health QES C2<br />
(siehe Nachtrag) wird auch<br />
unter dem Vertriebsnamen D-<br />
TRUST Card V3.0 geführt.<br />
Signaturerstellungseinheit<br />
STARCOS 3.2 QES Version<br />
2<br />
Signaturerstellungseinheit<br />
STARCOS 3.2 QES Version 2<br />
Signaturerstellungseinheit<br />
„Chipkarte mit Prozessor<br />
SLE66CX322P (o<strong>der</strong><br />
SLE66CX642P), Software<br />
CardOS V4.3B Re_Cert with<br />
Applikation for Digitale Signature“<br />
Signaturerstellungseinheit ZKA<br />
Banking Signature Card,<br />
Version 6.6 <strong>der</strong> Giesecke &<br />
Devrient GmbH<br />
Signaturerstellungseinheit<br />
STARCOS 3.2 QES Version 2<br />
1) Es wird nur die qualifizierte elektronische Signatur im kontaktbehafteten Modus unterstützt.<br />
2) Die Signaturkarte wird nur im Rahmen von Projekten angeboten<br />
Registrierungsnr. <strong>der</strong><br />
Bestätigungsurkunde<br />
<strong>der</strong> SSEE<br />
TUVIT.93146.TE.12.2006<br />
Nachtrag 1 vom 07.05.2010<br />
SRC.00016.TE.11.2012<br />
BSI.02114.TE.12.2008<br />
Nachtrag 1 vom 08.03.2010<br />
BSI.02114.TE.12.2008<br />
Nachtrag 1 vom 08.03.2010<br />
T-Systems.02182.TE.11.<br />
2006<br />
Nachtrag 1 vom 06.02.2007<br />
Nachtrag 2 vom 06.05.2008<br />
BSI.02120.TE.05.2009<br />
Nachtrag vom 15.11.2010<br />
BSI.02114.TE.12.2008<br />
Nachtrag 1 vom 08.03.2010<br />
BSI.02114.TE.12.2008<br />
Nachtrag 1 vom 08.03.2010<br />
T-Systems.02182.TE.11.<br />
2006<br />
Nachtrag 1 vom 06.02.2007<br />
Nachtrag 2 vom 06.05.2008<br />
TUVIT.93130.TU.05.2006<br />
Nachtrag 1 vom 28.08.2006<br />
Nachtrag 2 vom 18.10.2006<br />
Nachtrag 3 vom 28.12.2010<br />
BSI.02114.TE.12.2008<br />
1. Nachtrag vom 08.03.2010<br />
Tabelle 8: Unterstützte Signaturkarten, dt. ZDA, QES mit Anbieterakkreditierung<br />
21
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Zertifizierungsdiensteanbieter<br />
Handelsname <strong>der</strong><br />
Signaturkarte<br />
QES<br />
Chiffrierung<br />
Authentisierung<br />
Name <strong>der</strong> SSEE in <strong>der</strong><br />
Bestätigungsurkunde<br />
Registrierungsnr. <strong>der</strong><br />
Bestätigungsurkunde <strong>der</strong><br />
SSEE<br />
D-Trust GmbH<br />
D-TRUST Card<br />
2.4 qualified<br />
D-TRUST<br />
Multicard<br />
- Multisignatur -<br />
<br />
Signaturerstellungseinheit<br />
„Chipkarte mit Prozessor<br />
SLE66CX322P (o<strong>der</strong><br />
SLE66CX642P), Software<br />
CardOS V4.3B Re_Cert with<br />
Applikation for Digitale Signature“<br />
T-Systems.02182.TE.11. 2006<br />
Nachtrag 1 vom 06.02.2007<br />
Nachtrag 2 vom 06.05.2008<br />
D-TRUST Card 3.0<br />
D-TRUST Card 3.0<br />
Multicard 100<br />
- Stapelsignatur – 1)<br />
D-TRUST Card 3.0<br />
Multicard<br />
- Multisignatur -<br />
<br />
Sichere Signaturerstellungseinheit<br />
STARCOS 3.4 Health<br />
QES C1<br />
Die Nachfolgeversion<br />
STARCOS 3.4 Health QES C2<br />
(siehe Nachtrag) wird auch<br />
unter dem Vertriebsnamen D-<br />
TRUST Card V3.0 geführt.<br />
BSI.02120.TE.05.2009<br />
Nachtrag vom 15.11.2010<br />
S-Trust, Deutscher<br />
Sparkassen Verlag<br />
GmbH<br />
S-TRUST Card<br />
<br />
SEE ZKA Banking Signature<br />
Card, Version 6.6 <strong>der</strong> Giesecke<br />
& Devrient GmbH<br />
TUVIT.93130.TU.05.2006<br />
Nachtrag 1 vom 28.08.2006<br />
Nachtrag 2 vom 18.10.2006<br />
Nachtrag 3 vom 27.12.2010<br />
Deutsche Rentenversicherung<br />
Bund<br />
(DRV) 2)<br />
Bundesagentur für<br />
Arbeit 2)<br />
S-TRUST Card<br />
- Multisignatur -<br />
Signaturkarte <strong>der</strong><br />
Deutschen Rentenversicherung<br />
Bund<br />
(DRV)<br />
Multisignaturkarte <strong>der</strong><br />
Deutschen Rentenversicherung<br />
Bund<br />
(DRV)<br />
Signaturkarte <strong>der</strong><br />
Bundesagentur für<br />
Arbeit (BA)<br />
<br />
<br />
<br />
<br />
<br />
SEE ZKA-Signaturkarte,<br />
Version 6.32 <strong>der</strong> Gemalto<br />
GmbH<br />
Signaturerstellungseinheit<br />
ZKA Banking Signature Card,<br />
Version 7.1.2 <strong>der</strong> Giesecke &<br />
Devrient GmbH<br />
Signaturerstellungseinheit<br />
ZKA-Signaturkarte, Version<br />
6.32 M<br />
Signaturerstellungseinheit<br />
„Chipkarte mit Prozessor<br />
SLE66CX322P (o<strong>der</strong><br />
SLE66CX642P), Software<br />
CardOS V4.3B Re_Cert with<br />
Applikation for Digitale Signature“<br />
Signaturerstellungseinheit<br />
„Chipkarte mit Prozessor<br />
SLE66CX322P (o<strong>der</strong><br />
SLE66CX642P), Software<br />
CardOS V4.3B Re_Cert with<br />
Applikation for Digitale Signature“<br />
TUVIT.93184.TU11.2010<br />
Nachtrag 1 vom 19.05.2011<br />
TUVIT.93166.TU.06.2008<br />
Nachtrag 1 vom 15.09.2009<br />
Nachtrag 2 vom 28.12.2010<br />
TUVIT.93176.TU.05.2011<br />
T-Systems.02182.TE.11. 2006<br />
Nachtrag 1 vom 06.02.2007<br />
Nachtrag 2 vom 06.05.2008<br />
T-Systems.02182.TE.11. 2006<br />
Nachtrag 1 vom 06.02.2007<br />
Nachtrag 2 vom 06.05.2008<br />
1) Die Signaturkarte wird nur im Rahmen von Projekten angeboten<br />
2) Die Signaturkarte wird nur an Mitarbeiter <strong>der</strong> jeweiligen Behörde ausgegeben (geschlossene Nutzergruppe).<br />
Tabelle 9: Unterstützte Signaturkarten, dt. ZDA, QES<br />
22
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Trustcenter<br />
Deutschland-Online<br />
Infrastruktur (DOI)<br />
CA 1)<br />
Handelsname <strong>der</strong><br />
Signaturkarte<br />
Signaturkarte <strong>der</strong> T-<br />
Systems Netkey 3.0<br />
Fortg.<br />
Signatur<br />
Chiffrierung<br />
Authentisierung<br />
<br />
Hessen-PKI 2) Signaturkarte <strong>der</strong> T-<br />
Systems Netkey 3.0<br />
und 3.01 mit Hessen-<br />
PKI-Zertifikat<br />
3)<br />
Europäisches Patentamt<br />
- European<br />
Patent Office (EPO)<br />
VR Bank<br />
Online Services Smart<br />
Card Epoline<br />
VR-BankCard<br />
VR-NetworldCard<br />
<br />
<br />
Name <strong>der</strong> SSEE in <strong>der</strong><br />
Bestätigungsurkunde<br />
SEE TCOS 3.0 Signature<br />
Card, Version 1.1<br />
SEE TCOS 3.0 Signature<br />
Card, Version 1.1<br />
-- --<br />
-- --<br />
Registrierungsnr. <strong>der</strong><br />
Bestätigungsurkunde <strong>der</strong><br />
SSEE<br />
TUVIT.93146.TE.12.2006<br />
Nachtrag 1 vom 07.05.2010<br />
TUVIT.93146.TE.12.2006<br />
Nachtrag 1 vom 07.05.2010<br />
1) Die Signaturkarte wird nur an Mitarbeiter von Behörden im Kontext DVDV ausgegeben.<br />
2) Die Signaturkarte wird nur an Mitarbeiter hessischer Behörden ausgegeben.<br />
3 Keine Chiffrierung möglich. Diese Signaturkarte kann zusätzlich auch mit einem qualifizierten Signaturzertifikat (mit Anbieterakkreditierung)<br />
des Public Key Service des Produktzentrum TeleSec <strong>der</strong> Deutschen Telekom AG personalisiert werden.<br />
Die QES wird dann unterstützt.<br />
Tabelle 10: Unterstützte Signaturkarten, fortgeschrittene elektronische Signatur<br />
Trustcenter<br />
A-Trust GmbH 5)<br />
InfoNotary<br />
SwissSign AG<br />
QuoVadis Trustlink<br />
Schweiz AG<br />
Swisscom Schweiz<br />
AG<br />
Handelsname <strong>der</strong><br />
Signaturkarte<br />
A-TRUST premium<br />
InfoNotary QSign<br />
PostSuisseID<br />
QuoVadis SuisseID<br />
Qualified Certificate<br />
Diamant 4)<br />
InfoCert S.P.A InfoCert S.P.A 4)<br />
CertiNomis Commercial<br />
Service<br />
Person @ Poste 4)<br />
Qualifizierte<br />
Signatur<br />
1)<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
Staat<br />
Österreich 2)<br />
Betriebssystem des<br />
Kartenchips (CardOS)<br />
ACOS EMV<br />
Bulgarien 2) Siemens CardOS 4.3b<br />
Schweiz 3) Siemens CardOS 4.3b<br />
Schweiz 3) Siemens CardOS 4.3b<br />
Schweiz 3) Siemens CardOS 4.3b<br />
Italien 2) --<br />
Frankreich 2) --<br />
1) unterstützt wird nur QES (QES nach dem national geltenden Signaturgesetz)<br />
2) nach EU-Direktive innerhalb <strong>der</strong> EU als QES anerkannt<br />
3) nach EU-Direktive außerhalb <strong>der</strong> Schweiz nicht als QES anerkannt<br />
4) lag zum Zeitpunkt <strong>der</strong> Karteneinbindung nur als Testkarte vor<br />
5) Einschränkungen in <strong>der</strong> Verwendung <strong>der</strong> Karte mit Governikus-Komponenten möglich<br />
Tabelle 11: Unterstützte Signaturkarten ausgewählter Trustcenter aus dem europäischen<br />
Ausland<br />
23
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Terminalserver<br />
Die <strong>MCard</strong>-Varianten unterstützen den PC/SC-Standard. Dieser bietet zur Ansteuerung von<br />
Kartenlesern eine einheitliche Schnittstelle. Die unterstützten Betriebssysteme bieten einen<br />
Smartcard-Dienst, <strong>der</strong> von <strong>der</strong> <strong>MCard</strong> unter Verwendung dieses Standards adressiert wird.<br />
Die Treiber <strong>der</strong> Chipkartenlesegeräte (diese werden im Falle von Windows in <strong>der</strong> Regel vom<br />
Hersteller des Lesers bereitgestellt) stehen dann zwischen diesem Smartcard-Dienst und<br />
dem eigentlichen Chipkartenlesegerät. Hier kann auf weitere Treiber, etwa USB-Treiber, zurückgegriffen<br />
werden. So kann die <strong>MCard</strong> eine Vielzahl von Lesern unterstützen, so diese<br />
den PC/SC-Standard unterstützten. Wenn die Chipkartenlesegeräte-Treiber auch die Version<br />
2 dieses Standards im vollen Umfang beherrschen, können in <strong>der</strong> Regel auch PIN-Pad<br />
und Display <strong>der</strong> Chipkartenlesegeräte genutzt werden.<br />
Heutige Terminalserver-Software spielt über virtuelle USB-Schnittstellen dem Treiber eines<br />
Chipkartenlesegerätes vor, dass sich dieses am lokalen Rechner (dem Terminalserver) befindet,<br />
obwohl es sich tatsächlich an <strong>der</strong> Arbeitsstation des Nutzers befindet. Dies funktioniert<br />
häufig sehr gut, bedeutet aber auch, dass für die Funktionsfähigkeit <strong>der</strong> einzelnen Konstellationen<br />
die Hersteller <strong>der</strong> jeweils zum Einsatz kommenden Treiber und <strong>der</strong> Terminalserver-<br />
Software verantwortlich sind. D. h., es liegt in <strong>der</strong> Regel nicht in <strong>der</strong> Verantwortung <strong>der</strong><br />
<strong>MCard</strong>, wenn Kombinationen nicht funktionieren. Auch kann eine Funktionsfähigkeit nicht<br />
durch Än<strong>der</strong>ungen in <strong>der</strong> <strong>MCard</strong> herbeigeführt werden. Dieses gilt insbeson<strong>der</strong>e für nicht<br />
aufgeführte Client-Betriebssysteme, die keine dynamische Kartenlesererkennung unterstützen.<br />
Freigeben zur Nutzung wird daher nur ein Subset <strong>der</strong> grundsätzlich mit <strong>der</strong> <strong>MCard</strong> unterstützten<br />
Betriebssysteme-Kartenleser-Kombinationen. Ob eine Kombination von Signaturkarte,<br />
Chipkartenleser, Terminalserversoftware, Serverbetriebssystem und Clientbetriebssystem<br />
unterstützt wird, ist <strong>der</strong> zu entnehmen. Bei einer Clientapplikation, die eine SAK (also zur<br />
Erzeugung von qualifizierten elektronischen Signaturen verwendet werden kann) im Sinne<br />
des Signaturgesetztes darstellt, muss diese Tabelle in die Anwen<strong>der</strong>dokumentation aufgenommen<br />
werden, da die benannten Einsatzumgebungen und unterstützten Chipkartenlesegeräte<br />
in einer Positivliste zu veröffentlichen sind.<br />
In diesem Fall sollte <strong>der</strong> folgende Hinweis in die Anwen<strong>der</strong>dokumentation aufgenommen<br />
werden, da er das Verständnis für die Unterstützungsproblematik erleichtert:<br />
24
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Textbaustein zum Kopieren<br />
Heutige Terminalserver-Software spielt über virtuelle USB-Schnittstellen dem Treiber eines<br />
Chipkartenlesegerätes vor, dass sich dieses am lokalen Rechner (dem Terminalserver)<br />
befindet, obwohl es sich tatsächlich an <strong>der</strong> Arbeitsstation des Nutzers befindet. Dies funktioniert<br />
häufig sehr gut, bedeutet aber auch, dass für die Funktionsfähigkeit <strong>der</strong> einzelnen<br />
Konstellationen die Hersteller <strong>der</strong> jeweils zum Einsatz kommenden Treiber und <strong>der</strong> Terminalserver-Software<br />
verantwortlich sind. D. h., es liegt in <strong>der</strong> Regel nicht in <strong>der</strong> Verantwortung<br />
<strong>der</strong> Client-Anwendung, wenn Kombinationen nicht funktionieren. Auch kann eine<br />
Funktionsfähigkeit nicht durch Än<strong>der</strong>ungen in <strong>der</strong> <strong>der</strong> Client-Anwendung herbeigeführt<br />
werden. Dieses gilt insbeson<strong>der</strong>e für nicht aufgeführte Client-Betriebssysteme, die keine<br />
dynamische Kartenlesererkennung unterstützen.<br />
Freigeben zur Nutzung wird daher nur ein Subset <strong>der</strong> insgesamt durch diese Clientapplikation<br />
unterstützten Betriebssystem-Kartenleser-Kombinationen. Ob eine Kombination von<br />
Signaturkarte, Chipkartenleser, Terminalserversoftware, Serverbetriebssystem und Clientbetriebssystem<br />
unterstützt wird, ist <strong>der</strong> Tabelle „Unterstützte Einsatzumgebungen Terminalserver“<br />
zu entnehmen.<br />
Textbaustein 9: Erläuterung unterstützte Einsatzumgebungen Terminalserver<br />
25
TeleSec<br />
DP-Com<br />
Datev<br />
BNotK<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
DRV-Bund<br />
DGN<br />
Hessen-PKI<br />
TeleSec<br />
DP-Com<br />
Datev<br />
BNotK<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
DRV-Bund<br />
DGN<br />
Hessen-PKI<br />
TeleSec<br />
DP-Com<br />
Datev<br />
BNotK<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
DRV-Bund<br />
DGN<br />
Hessen-PKI<br />
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Clientbetriebssystem:<br />
Serverbetriebssystem:<br />
Windows XP Prof. SP3 32 Bit<br />
Windows 2003 Server R2 SP2 64 Bit<br />
Terminalserver: Citrix Metaframe Presentation Server 4.5<br />
Windows Terminal Server 2003<br />
Handelsname<br />
des<br />
Chipkartenlesegeräts<br />
Schnitt<br />
-stelle<br />
Firmware Treiber Zertifizierungsdiensteanbieter<br />
Cherry® Smart-<br />
Terminal 2000 U<br />
CyberJack®<br />
e-com<br />
Kobil KAAN<br />
Advanced<br />
USB 6.01.00.00 4.45.0.0<br />
USB 3.0.69 6.10.0.SP2<br />
USB 1.19 2011.12.19.4<br />
Omnikey 3821 USB 6.00 1.2.6.5<br />
Clientbetriebssystem:<br />
Serverbetriebssystem:<br />
- 1) <br />
- 1) <br />
-1) <br />
- 1) <br />
Windows XP Prof. SP3 32 Bit<br />
Windows 2008 Server Enterprise 32 Bit<br />
Terminalserver: Windows Terminal Server 2008<br />
Handelsname<br />
des<br />
Chipkartenlesegeräts<br />
Schnittstelle<br />
Firmware Treiber Zertifizierungsdiensteanbieter<br />
Cherry® Smart-<br />
Terminal 2000 U<br />
CyberJack®<br />
e-com<br />
Kobil KAAN Advanced<br />
USB 6.01.00.00 4.45.0.0<br />
USB 3.0.69 6.10.0.SP2<br />
USB 1.19 2011.12.19.4<br />
Omnikey 3821 USB 6.00 1.2.6.5<br />
Clientbetriebssystem:<br />
Serverbetriebssystem:<br />
- 1) <br />
- 1) <br />
- 1) <br />
- 1) <br />
Thin Client elux RL V3.7.1-1 mit PC/SC lite V2.1.6.4-5<br />
und CCID V1.4.0-1<br />
Windows 2003 Server R2 SP2 64 Bit<br />
Terminalserver: Windows Terminal Server 2003<br />
Handelsname<br />
des<br />
Chipkartenlesegeräts<br />
Schnittstelle<br />
Firmware<br />
Treiber<br />
PC/SC lite<br />
V2.1.6.4-5<br />
Zertifizierungsdiensteanbieter<br />
Kobil KAAN Advanced<br />
CyberJack® e-com<br />
plus<br />
CyberJack® RFID<br />
komfort<br />
USB 1.19<br />
USB 3.0.7<br />
USB 2.0.7<br />
2) -1) -<br />
2) -1) -<br />
2) -1) -<br />
1) Die Karte wird nur an Mitarbeiter <strong>der</strong> Deutschen Rentenversicherung Bund ausgegeben.<br />
2) die neue Signaturkarte <strong>der</strong> TeleSec (NetKey 3.0 SignatureCard 2.0) basierend auf <strong>der</strong> Signaturerstellungseinheit TCOS 3.0<br />
Signature Card, Version 2.0 Release 1/SLE78CLX1440P wird nicht unterstützt.<br />
Tabelle 12: Unterstützte Einsatzumgebungen Terminalserver<br />
26
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
5 Technische Informationen zur <strong>MCard</strong><br />
Die <strong>MCard</strong> ist eine Funktionsbibliothek in <strong>der</strong> Programmiersprache Java, die die Verwendung<br />
von Kartenlesern über das OpenCard-Framework (OCF) und den Zugriff auf Signaturkarten<br />
durch einen speziellen JCE/JCA-Kryptoprovi<strong>der</strong> ermöglicht.<br />
Das OCF unterteilt sich in zwei Teile: einerseits die CardTerminal-Klassen, welche die Funktionalität<br />
des Kartenterminals in einer Java-Klasse kapseln, und an<strong>der</strong>erseits die verschiedenen<br />
CardService-Klassen, welche die unterschiedlichen Funktionen einer Chipkarte in<br />
entsprechenden Java-Klassen kapseln. OCF kennt konzeptionell schon Klasse-3-Terminals<br />
und bietet für einen Großteil <strong>der</strong> Funktionen von Chipkarten bereits vordefinierte Schnittstellen.<br />
Der Provi<strong>der</strong> ermöglicht eine einheitliche Behandlung von Signaturkarten, indem er<br />
Signatur-, Chiffrierungs- und Authentisierungsdienste zur Verfügung stellt. Der vom Provi<strong>der</strong><br />
bereitgestellte KeyStore enthält alle gefundenen Schlüssel aller erkannten Signaturkarten. Im<br />
Fall spezieller Karten ist es ggf. notwendig, den korrekten Sicherheitszustand herzustellen,<br />
damit <strong>der</strong> Schlüssel mit seinem Zertifikat durch den Provi<strong>der</strong> im KeyStore bereitgestellt werden<br />
kann.<br />
Zu diesem Zweck wird das OCF, das den Zugriff auf Kartenleser verwaltet und das Absetzen<br />
von Kommandos für Karten und Leser regelt, gekapselt. Die Benutzung des Provi<strong>der</strong>s wird<br />
ausführlich im Entwicklerhandbuch beschrieben.<br />
Jede kartenspezifische Implementierung erfolgt in einer von CardService abgeleiteten Klasse.<br />
Die Erkennung erfolgt in einer <strong>MCard</strong> spezifischen Implementierung <strong>der</strong> Klasse CardServiceFactory<br />
des OCF. Die Schnittstelle <strong>der</strong> CardService-Kartenimplementierungen enthält<br />
sowohl Funktionen zur Erkennung und Struktur einer Karte als auch die Funktionen für das<br />
Signieren, Entschlüsseln, Authentisieren, Verifizieren und Än<strong>der</strong>n einer PIN. Die OCF spezifischen<br />
Fehlermeldungen werden in den JCE/JCA-Provi<strong>der</strong>-Klassen in konforme Fehlermeldungen<br />
umgesetzt.<br />
Der PIN-Dialog wird dem Benutzer angezeigt, wenn eine PIN für einen Schlüssel eingegeben<br />
werden muss. Über die Implementierung des PIN-Dialogs kann die Kommunikation mit<br />
dem Benutzer in unterschiedlicher Weise gestaltet werden. Dies beinhaltet die Beeinflussung<br />
des Aussehens, die Anzeige von Informationen über den verwendeten Schlüssel und Eingabeauffor<strong>der</strong>ungen.<br />
Für Klasse 1-Kartenleser erfolgt über den Dialog auch die Eingabe <strong>der</strong><br />
PIN. Bei <strong>der</strong> PIN-Dialog-Schnittstelle handelt sich um ein Java-Interface, das je nach Anfor<strong>der</strong>ung<br />
zum Anzeigen einer sichtbaren Java-Komponente, wie einem JDialog, benutzt werden<br />
kann, aber auch die Steuerung über die Konsole ermöglicht. Der letzte Fall ist insbeson<strong>der</strong>e<br />
für Server interessant, die unter Umständen nur über eine Kommandozeile verfügen.<br />
Die genaue Implementierung ist im OSCI-Client-Enabler-Handbuch beschrieben.<br />
Ein Chipkartenleser ist ein Peripheriegerät. Wie bei jedem an<strong>der</strong>en Gerät wird seine Funktionalität<br />
dem PC über einen entsprechenden Treiber zur Verfügung gestellt. Hier gibt es viele<br />
unterschiedlich komplexe Treiberkonzepte, die auf unterschiedlichen Standards beruhen.<br />
Die <strong>MCard</strong> verwendet als Default den international sehr weit verbreiteten plattformunabhängigen<br />
PC/SC-Standard zur Kommunikation mit Chipkartenlesern, die in Form einer C-<br />
basierten Betriebssystemschnittstelle unter Windows, Linux und Mac OS verwendet werden<br />
kann (bei MacOS mit Einschränkungen). Die meisten für die qualifizierte elektronische Signatur<br />
in Deutschland zugelassenen Chipkartenlesegeräte verwenden PC/SC, nur einige we-<br />
27
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
nige Chipkartenlesegeräte unterstützen ausschließlich den CT-API-Standard (unter Verwendung<br />
des Basic Command Set -BCS). Für diesen Fall existiert eine Konfigurationsmöglichkeit,<br />
um auch diese Kartenlesegeräte verwenden zu können.<br />
PC/SC-Standard<br />
Im Dezember 1997 wurde die Version PC/SC 1.0 <strong>der</strong> aus acht Teilen bestehenden „Interoperability<br />
Specification for ICCs and Personal Computer Systems“ veröffentlicht. PC/SC<br />
ist komplex und spricht als Version 1.0. konzeptionell nur Klasse 1-Chipkartenterminals an,<br />
d. h., Treiber auf Basis von PC/SC 1.0 bieten keine Möglichkeit, PIN-Pad und Display eines<br />
Kartenlesers zu verwenden. Dieses ist erst seit <strong>der</strong> Erweiterung <strong>der</strong> PC/SC 2.0 Spezifikation<br />
möglich, die die alte Spezifikation um den Part 9 und 10 ergänzen. Diese beschreiben die<br />
Abfrage und Verwendung von speziellen Funktionen eines Kartenlesers und die darauf basierende<br />
Unterstützung eines Chipkartenterminal–PIN-Pads.<br />
PC/SC teilt sich in drei Teile auf: den Resource Manager, die Service Provi<strong>der</strong> und die Interface<br />
Device Handler (IFD-Handler). Der IFD-Handler stellt den entsprechenden Gerätetreiber<br />
zur Anbindung des Kartenterminals dar. Sämtliche Funktionalitäten des Kartenterminals<br />
werden hier in einem C++ Objekt gekapselt, sodass diese ohne Kenntnis <strong>der</strong> zugrunde liegenden<br />
Schnittstelle genutzt werden können. Die Funktionalitäten einer Chipkarte werden in<br />
einem Service Provi<strong>der</strong> Objekt abgebildet. Da gleichzeitig mehrere Chipkarten und Kartenterminals<br />
angemeldet und betrieben werden können, müssen diese zentral verwaltet werden.<br />
Diese Aufgabe übernimmt <strong>der</strong> Resource Manager. Die <strong>MCard</strong> ist im Sinne von PC/SC ein<br />
ICC-ServiceProvi<strong>der</strong>.<br />
PC/SC ist sehr weit verbreitet und wird häufig auch als Basis an<strong>der</strong>er Treiberstandards verwendet,<br />
wobei herstellerspezifische Erweiterungen über den PC/SC-Standard hinaus weitere<br />
Funktionalitäten zur Verfügung stellen. Meldungen können allerdings in PC/SC 2.0 nur aus<br />
einem vorher festgelegten Satz von Meldungen für verschiedene Sprachen gewählt werden.<br />
Die Treiber-Schnittstelle von PC/SC sieht die Möglichkeit vor, den Zugriff auf Kartenleser in<br />
zwei Modi zu ermöglichen. Im Modus EXCLUSIVE erhält die Anwendung den exklusiven<br />
Zugriff auf den Kartenleser und sperrt den Kartenleser für alle an<strong>der</strong>en Anwendungen und<br />
SAKs. Im Modus SHARED können alle Anwendungen und SAK gleichzeitig den Kartenleser<br />
verwenden. Dabei tritt das Problem auf, dass zwei Anwendungen sich gegenseitig blockieren<br />
können und im schlimmsten Fall dazu, dass eine Karte teilweise o<strong>der</strong> ganz unbrauchbar<br />
wird. Häufig passiert es, dass meist nur eine Anwendung die Karte korrekt erkennt und damit<br />
korrekt verwenden kann. Dies geschieht, weil <strong>der</strong> Zugriff <strong>der</strong> Anwendungen nicht synchronisiert<br />
wird.<br />
Die <strong>MCard</strong> verwendet den SHARED-Modus. Die beschriebenen Probleme treten ab <strong>der</strong><br />
Version 1.12.0.0 <strong>der</strong> <strong>MCard</strong> nicht mehr auf, da ab dieser Version die in PC/SC definierte<br />
Transaction-Funktionalität des PC/SC-Resource Managers verwendet wird. Dadurch erfolgt<br />
ein temporär exklusiver Zugriff auf Karte und Kartenleser. Diese Synchronisation funktioniert<br />
auch bei gleichzeitiger Installation einer Anwendung o<strong>der</strong> SAK eines an<strong>der</strong>en Herstellers<br />
o<strong>der</strong> bei <strong>der</strong> Verwendung einer älteren <strong>MCard</strong>. Nach dem Ende <strong>der</strong> Transaktion ist es einer<br />
an<strong>der</strong>en Anwendung wie<strong>der</strong> möglich, die Karte zu verwenden. Sowohl die Erkennung einer<br />
Karte als auch die Verwendung einzelner Funktionen <strong>der</strong> Karte sind synchronisiert.<br />
28
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
CT-API-Standard<br />
Das Card Terminal Application Program Interface, CT-API, ist ein NUR in Deutschland verbreiteter<br />
Standard. Der Herausgeber <strong>der</strong> Spezifikation ist Teletrust Deutschland. Ein CT-API<br />
Treiber ist als eine Funktionsbibliothek realisiert, die nur drei Funktionen kennt: CT_INIT,<br />
CT_DATA und CT_CLOSE. Mit CT_INIT wird die Schnittstelle initialisiert und die Verbindung<br />
zum Chipkartenterminal hergestellt. Mit CT_DATA können Daten, z.B. Kommandos (APDU –<br />
Application Protocol Data Unit), zum Chipkartenterminal o<strong>der</strong> zur Chipkarte gesendet und die<br />
zugehörigen Antworten empfangen werden. CT_CLOSE beendet schließlich die Kommunikation.<br />
Im Bankenbereich und Gesundheitsbereich wird zurzeit in Deutschland ausschließlich CT-<br />
API (Interfaces für C++) in Kombination mit dem MKT-Standard (siehe unten) verwendet,<br />
wobei <strong>der</strong> MKT-Standard die Inhalte <strong>der</strong> Übertragung festlegt, während die CT-API eine einfache<br />
Kommunikation zum Kartenleser über einen Port bietet. Über CT-API können sowohl<br />
synchrone als auch asynchrone Protokolle verwendet werden. Die Verwendung von Pinpad<br />
und Display ist möglich, wobei sowohl Standardmeldungen (meist nur in einer Sprache) als<br />
auch frei bestimmbare Meldungen möglich sind. Der Zeichensatz ist dabei aber auf den<br />
ASCII-Zeichensatz begrenzt.<br />
Ein Nachteil von CT-API ist, dass die Verbindung zum Kartenleser und Karte für jede Verwendung<br />
auf- und abgebaut wird. Dies ist aber software-technisch ebenso lösbar, wie die<br />
Benachrichtigung über Einstecken und Entfernen von Karten.<br />
Die <strong>MCard</strong> baut beim Start eine Verbindung zum Kartenleser auf. Der Zugriff ist exklusiv,<br />
d.h. an<strong>der</strong>e Anwendungen können den Kartenleser nicht verwenden. Durch ein Polling des<br />
Kartenleserstatus werden das Einstecken und Entfernen von Karten automatisch erkannt.<br />
5.1 Nutzung <strong>der</strong> <strong>MCard</strong><br />
Konfiguration <strong>der</strong> <strong>MCard</strong>-<strong>Bibliothek</strong><br />
Zur Konfiguration <strong>der</strong> <strong>MCard</strong>-<strong>Bibliothek</strong> im OSCI-Client-Enabler lesen Sie bitte die Ausführungen<br />
zur Kartenansteuerung in den Handbüchern "OSCI-Client-Enabler allgemeine Funktions-<br />
und Schnittstellenbeschreibung" und „Governikus-OSCI-Enabler-Entwicklerhandbuch“.<br />
Austausch <strong>der</strong> <strong>MCard</strong> <strong>Bibliothek</strong><br />
Zum Austausch <strong>der</strong> <strong>MCard</strong> gehen Sie bitte wie folgt vor:<br />
a) Bitte entpacken Sie das Archiv GOVERNIKUS_3_MCARD_x_xx_x_x.zip.<br />
b) Entfernen Sie das alte Java-Archiv mcard.jar in Ihrer Applikation.<br />
c) Das neue mcard.jar befindet sich im Ordner \<strong>MCard</strong>\Software des Archivs.<br />
d) Kopieren Sie bitte das neue Java-Archiv in Ihre Applikation.<br />
e) Optional: Kopieren Sie bitte die nativen <strong>Bibliothek</strong>en in den Java-Suchpfad für native <strong>Bibliothek</strong>en<br />
(Java-SystemProperty: „java.library.path“, Hinweis: <strong>der</strong> Suchpfad kann zur Laufzeit<br />
nicht geän<strong>der</strong>t werden).<br />
29
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Zum Einsatz <strong>der</strong> neuen <strong>Bibliothek</strong> muss eine neue Version <strong>der</strong> nativen <strong>Bibliothek</strong> (ab <strong>MCard</strong><br />
1.15.0.0) eingesetzt werden.<br />
Von <strong>der</strong> <strong>MCard</strong> verwendete <strong>Bibliothek</strong>en<br />
Als Java-<strong>Bibliothek</strong>en werden die Standard Logging <strong>Bibliothek</strong>en für commons-logging, log4j<br />
von Apache, <strong>der</strong> JCA/JCE-Provi<strong>der</strong> von Bouncy Castle und <strong>der</strong> Governikus Crypto Provi<strong>der</strong><br />
von <strong>bremen</strong> <strong>online</strong> services benötigt.<br />
Bei Verwendung des Standard-PIN-Eingabedialoges <strong>der</strong> <strong>MCard</strong> muss außerdem eine kompatible<br />
Version des ci.jar (Certificate Interpreter) ab 1.5.0 eingesetzt werden. Dies auch <strong>der</strong><br />
Fall wenn die <strong>MCard</strong> in einem eigenen Projekt genutzt wird. Bitte wenden Sie sich in diesem<br />
Fall an unseren Servicedesk (servicedesk@bos-<strong>bremen</strong>.de).<br />
Konfiguration von Treibern (Bundles) unter Linux/MacOS<br />
Die <strong>MCard</strong> unterstützt unter Linux und MacOS sowohl Treiber <strong>der</strong> Hersteller als auch den<br />
generischen CCID-Treiber des PC/SC Lite Projektes (http://pcsclite.alioth.debian.org/). Die<br />
Treiber Bundles müssen für die Unterstützung <strong>der</strong> sicheren PIN-Eingabe unterschiedlich<br />
angesteuert werden. Bei Verwendung des generischen Treiber-Bundles „ifd-ccid.bundle“ ist<br />
im Verzeichnis „Contents“ die XML-Datei „Info.plist“ muss daher angepasst werden. Hierzu<br />
sind im Abschnitt „ifdFriendlyName“ ein ‚*‘ am Anfang <strong>der</strong> Namen ergänzen.<br />
Die Treiber/Bundles befinden sich bei MacOS im Verzeichnis:<br />
„/usr/libexec/SmartCardServices/drivers“.<br />
Unter Linux befinden sich die Treiber normalerweise im Or<strong>der</strong> usr/lib/pcsc/drivers“ für ein x86<br />
(32bit) und „/usr/lib64/pcsc/drivers“ für ein x86_64 (64bit) System.<br />
Verwendung <strong>der</strong> CT-API Schnittstelle<br />
In dem <strong>MCard</strong>-Verzeichnis befindet sich für die Nutzung von CT-API Kartenlesern eine Konfigurationsdatei<br />
namens userConf.xml. Die Datei muss bei Verwendung <strong>der</strong> CT-API Schnittstelle<br />
in das User-Verzeichnis des Betriebssystems kopiert und konfiguriert werden. Dieser<br />
Schritt ist nicht notwendig, wenn Sie einen PC/SC Kartenleser verwenden. Wenn Sie die CT-<br />
API Schnittstelle verwenden möchten, wenden Sie bitte zwecks Konfiguration an den Servicedesk<br />
<strong>der</strong> bos KG (servicedesk@bos-<strong>bremen</strong>.de).<br />
Verwendung <strong>der</strong> <strong>MCard</strong> unter JWS<br />
Der Einsatz <strong>der</strong> <strong>MCard</strong> in einer Application über Java Web Start setzt einen Standard Web<br />
Server, die Definition geeigneter JNLP-Dateien und Java-<strong>Bibliothek</strong>en voraus.<br />
30
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Die nativen <strong>Bibliothek</strong>en stehen in <strong>der</strong> Auslieferung als signierte Jars namens jnijsb.jar zur<br />
Verfügung. Die nativen <strong>Bibliothek</strong>en können für das Zielsystem selbst signiert werden, sollte<br />
dies notwendig sein.<br />
Installation Citrix<br />
Die Installation für Citrix Metaframe 4.5 Standard und Windows-Terminalserver ist jeweils in<br />
<strong>der</strong> benannten Reihenfolge vorzunehmen:<br />
1. Server-Betriebssystem mit allen Servicepacks und allen Patches installieren<br />
2. Citrix Metaframe 4.5 Standard bzw. die Option Windows-Terminalserver installieren<br />
3. Client-Betriebssystem mit aktuellem Servicepack und allen aktuellen Patches installieren<br />
4. Treiber für das Chipkartenterminal installieren<br />
5. Clientanwendung über den Citrix-Administrator freigeben. Die benötigten Ports werden<br />
automatisch gemappt.<br />
5.2 Benötigte <strong>Bibliothek</strong>en<br />
Third-Party <strong>Bibliothek</strong>en<br />
Das <strong>MCard</strong>.jar enthält das OpenCard-Framework.<br />
Native <strong>Bibliothek</strong>en<br />
Seit <strong>der</strong> <strong>MCard</strong> 1.15.0.0 werden neue native <strong>Bibliothek</strong>en zur Unterstützung von 32bit/64bit-<br />
Systemen/Java unter Windows und Linux verwendet. Ein Update <strong>der</strong> dll/so ist daher zwingend<br />
erfor<strong>der</strong>lich, sollte die aktuelle <strong>MCard</strong> eine Version kleiner als <strong>MCard</strong> 1.15.0.0 ersetzen.<br />
Seit <strong>der</strong> Version 1.15.0.0 heißen die native <strong>Bibliothek</strong>en jsb.dll für Windows, libjsb.so für<br />
Linux und libjsb.jnilib für MacOS (ab 10.6 Snow Leopard). Sie unterstützen die Erweiterungen<br />
für PC/SC 2.0 und CT-API. Es werden die Funktionen „beginTransaction“ und „end-<br />
Transaction“ für einen synchronisierten Zugriff auf Kartenlesegeräte unterstützt.<br />
31
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Anhang 1: Tabellen <strong>der</strong> unterstützten Kombinationen Betriebssystem<br />
- Chipkartenlesegerät – Signaturkarte<br />
Tabellen zum Kopieren auf den folgenden Seiten.<br />
32
TeleSec<br />
DP-Com<br />
Datev -<br />
BNotK<br />
BA<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
DRV-<br />
Bund<br />
DGN<br />
Hessen-<br />
PKI<br />
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Handelsname des<br />
Chipkartenlesegeräts<br />
bestätigt/<br />
HE nach<br />
SigG<br />
Windows XP Prof. SP 3 (32 und 64 Bit)<br />
Windows Vista Home Premium SP2 (32/64)<br />
Windows 7 Professional (32/64)<br />
Signaturkarten deutscher ZDA:<br />
Firmware<br />
Treiber<br />
Cherry® Smartboard G83-6744 ja 01.04.00.00 PC/SC: 1.2.6.5 2) <br />
Cherry® SmartTerminal 2000 U ja 6.01.00.00 PC/SC: 4.53.0.0 2) <br />
CyberJack® e-com/ e-com plus ja 3.0.69/3.0.4 PC/SC: 6.10.0.SP2 2) <br />
CyberJack® pinpad Version 3/ seco<strong>der</strong> ja 3.0.12/3.0.14 PC/SC: 6.10.0.SP2 2) <br />
CyberJack® RFID standard 1) ja 1.2.16 PC/SC: 6.10.0.SP2 2) <br />
CyberJack® RFID komfort 1) ja 2.0.7 PC/SC: 6.10.0.SP2 2) <br />
Fujitsu Siemens KB SCR eSIG ja 1.20 PC/SC: 1.9.0.0 2) <br />
Fujitsu Siemens KB SCR Pro ja 1.06 PC/SC: 1.2.6.5 2) <br />
Kobil KAAN Advanced ja 1.19 PC/SC: 2011.12.19.4 2) <br />
Kobil SecOVID 3, EMV-TriCap/ Trib@nk ja 82.23/79.23 PC/SC: 2011.12.19.4 2) <br />
Omnikey CardMan 3121 nein 2.03 PC/SC: 1.2.6.5 2) <br />
Omnikey CardMan 3621, 3821 ja 6.00 PC/SC: 1.2.6.5 2) <br />
Omnikey Cardman 5321 RFID 1) nein 5.10 PC/SC: 1.2.9.2 2) <br />
ORGA 6041 Version 2.07 ja 2.07 PC/SC: 2.0.0.6 2) <br />
SCM SCR 3310 nein nicht bekannt PC/SC: 4.58.0.0 2) <br />
SCM SCR 3311 (Chipdrive desktop pro) nein nicht bekannt PC/SC: 4.58.0.0 2) <br />
SCM SDI011 RFID 1) nein 7.36 PC/SC: 5.21.0.0 2) <br />
SCM SPR 332 usb (Chipdrive pinpad) ja 6.01 PC/SC: 4.53.0.0 2) <br />
SCR 335 (Chipdrive micro pro) nein 5.3.2 PC/SC: 4.58.0.0 2) <br />
eHealth BCS 200 ja 2.01 PC/SC: 1.2.0.0 2) <br />
CARD STAR/ medic Version 2 ja M1.53G WinUSB 2.51 und CTAPI 2.70,<br />
ct_api_com.dll 3) 2) <br />
medCompact eHealth ja 02.00 CTAPI 0300, cthyc32.dll 3)<br />
2) <br />
GT900 BCS ja 1.0.10 ctgt900.dll von Support-CD 1.3 3)<br />
2) <br />
Omnikey 8751 e-Health LAN ja 1.3.2 ct8751com.dll von Support-CD 3)<br />
2) <br />
1) unterstützt wird nur das kontaktbehaftete Interface<br />
2) bei <strong>der</strong> neuen Signaturkarte <strong>der</strong> TeleSec (NetKey 3.0 SignatureCard 2.0) basierend auf <strong>der</strong> Signaturerstellungseinheit TCOS 3.0 Signature Card, Version 2.0 Release<br />
1/SLE78CLX1440P wird nur die qualifizierte elektronische Signatur im kontaktbehafteten Modus unterstützt.<br />
3) nur ct-api, dll nur 32 Bit Java<br />
Tabelle 13: Unterstützte Kombinationen Windows XP, Vista, 7 (32 und 64 Bit) - Chipkartenlesegerät – Signaturkarte<br />
- 33 -
TeleSec<br />
DP-Com<br />
Datev -<br />
BNotK<br />
BA<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
DRV-<br />
Bund<br />
DGN<br />
Hessen-<br />
PKI<br />
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Handelsname des<br />
Chipkartenlesegeräts<br />
bestätigt/<br />
HE nach<br />
SigG<br />
Windows 8 Professional (32 und 64 Bit)<br />
Firmware<br />
Treiber<br />
Signaturkarten deutscher ZDA:<br />
Cherry® Smartboard G83-6744 ja 01.04.00.00 PC/SC: 1.2.12.12 2) <br />
Cherry® SmartTerminal 2000 U ja 6.01.00.00 PC/SC: 4.53.0.0 2) <br />
CyberJack® e-com/ e-com plus ja 3.0.69/3.0.4 PC/SC: 6.10.0.SP2 2) <br />
CyberJack® pinpad Version 3/ seco<strong>der</strong> ja 3.0.12/3.0.14 PC/SC: 6.10.0.SP2 2) <br />
CyberJack® RFID standard 1) ja 1.2.16 PC/SC: 6.10.0.SP2 2) <br />
CyberJack® RFID komfort 1) ja 2.0.7 PC/SC: 6.10.0.SP2 2) <br />
Fujitsu Siemens KB SCR eSIG ja 1.20 PC/SC: 1.9.0.0 2) <br />
Fujitsu Siemens KB SCR Pro ja 1.06 PC/SC: 1.2.12.12 2) <br />
Kobil KAAN Advanced ja 1.19 PC/SC: PC/SC: 2011.12.19.4 2) <br />
Kobil SecOVID 3, EMV-TriCap/ Trib@nk ja 82.23/79.23 PC/SC: 2011.12.19.4 2) <br />
Omnikey CardMan 3121 nein 2.03 PC/SC: 1.2.6.5 2) <br />
Omnikey CardMan 3621, 3821 ja 6.00 PC/SC: 1.2.6.5 2) <br />
Omnikey Cardman 5321 RFID 1) nein 5.10 PC/SC: 1.2.9.2 2) <br />
ORGA 6041 Version 2.07 ja 2.07 PC/SC: 2.0.0.6 2) <br />
SCM SCR 3310 nein nicht bekannt PC/SC: 4.58.0.0 2) <br />
SCM SCR 3311 (Chipdrive desktop pro) nein nicht bekannt PC/SC: 4.58.0.0 2) <br />
SCM SDI011 RFID 1) nein 7.36 PC/SC: 5.21.0.0 2) <br />
SCM SPR 332 usb (Chipdrive pinpad) ja 6.01 PC/SC: 4.53.0.0 2) <br />
SCR 335 (Chipdrive micro pro) nein 5.3.2 PC/SC: 4.58.0.0 2) <br />
eHealth BCS 200 ja 2.01 PC/SC: 1.2.0.0 2) <br />
CARD STAR/ medic Version 2 ja M1.53G Keine Treiber verfügbar - - - - - - - - - -<br />
medCompact eHealth ja 02.00 CTAPI 0300, cthyc32.dll 3) 2) <br />
GT900 BCS ja 1.0.10 Keine Treiber verfügbar - - - - - - - - - -<br />
Omnikey 8751 e-Health LAN ja 1.3.2 Keine Treiber verfügbar - - - - - - - - - -<br />
1) unterstützt wird nur das kontaktbehaftete Interface<br />
2) bei <strong>der</strong> neuen Signaturkarte <strong>der</strong> TeleSec (NetKey 3.0 SignatureCard 2.0) basierend auf <strong>der</strong> Signaturerstellungseinheit TCOS 3.0 Signature Card, Version 2.0 Release<br />
1/SLE78CLX1440P wird nur die qualifizierte elektronische Signatur im kontaktbehafteten Modus unterstützt.<br />
3) nur ct-api, dll nur 32 Bit Java<br />
Tabelle 14: Unterstützte Kombinationen Windows 8 (32 und 64 Bit) - Chipkartenlesegerät – Signaturkarte<br />
34
TeleSec<br />
DP-Com<br />
Datev -<br />
BNotK<br />
BA<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
DRV-<br />
Bund<br />
DGN<br />
Hessen-<br />
PKI<br />
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Handelsname des<br />
Chipkartenlesegeräts<br />
bestätigt/<br />
HE nach<br />
SigG<br />
OpenSUSE 12.1 (32 Bit)<br />
Firmware<br />
Treiber für Daemon- PCSClite<br />
Version 1.8.3 3)<br />
Signaturkarten deutscher ZDA:<br />
Cherry® Smartboard G83-6744 ja 01.04.00.00 ifdokccid-lnx-3.7.0 2) 2) <br />
Cherry® SmartTerminal 2000 U ja 6.01.00.00 scmccid 5.0.21 4) <br />
CyberJack® e-com/ e-com plus ja 3.0.69/3.0.4 ifd-cyberjack 3.9.9.5 4) <br />
CyberJack® pinpad Version 3/ seco<strong>der</strong> ja 3.0.12/3.0.14 ifd-cyberjack 3.9.9.5 4) <br />
CyberJack® RFID standard 1) ja 1.2.16 ifd-cyberjack 3.9.9.5 4) <br />
CyberJack® RFID komfort 1) ja 2.0.7 ifd-cyberjack 3.9.9.5 4) <br />
Fujitsu Siemens KB SCR eSIG ja 1.20 Keine Treiber verfügbar - - - - - - - - - -<br />
Fujitsu Siemens KB SCR Pro ja 1.06 CCID 1.4.6 3) 4)5) 2) 2) 2) <br />
Kobil KAAN Advanced ja 1.19 CCID 1.4.6 3) 4) <br />
Kobil SecOVID 3, EMV-TriCap/ Trib@nk ja 82.23/79.23 CCID 1.4.6 3) 4) <br />
Omnikey CardMan 3121 nein 2.03 ifdokccid-lnx-3.7.0 4)5) <br />
Omnikey CardMan 3621, 3821 ja 6.00 ifdokccid-lnx-3.7.0 4)5) <br />
Omnikey Cardman 5321 RFID 1) nein 5.10 ifdokrfid_lnx-2.9.1 4)5) <br />
ORGA 6041 Version 2.07 ja 2.07 V 1.7 4) <br />
SCM SCR 3310 nein nicht bekannt CCID 1.4.6 3) 4) <br />
SCM SCR 3311 (Chipdrive desktop pro) nein nicht bekannt CCID 1.4.6 3) 4) <br />
SCM SDI011 RFID 1) nein 7.36 scmccid 5.0.21 4) <br />
SCM SPR 332 usb (Chipdrive pinpad) ja 6.01 CCID 1.4.6 3) 4) <br />
SCR 335 (Chipdrive micro pro) nein 5.3.2 scmccid 5.0.21 4) <br />
eHealth BCS 200 ja 2.01 V 1.04 4) <br />
CARD STAR/ medic Version 2 ja M1.53G libctapi-celectronic.so.0.0.0<br />
von Support-CD 2.3 6) 4) <br />
<br />
<br />
medCompact eHealth ja 02.00 libcthyc-01.04.so 6) 2)4) <br />
GT900 BCS ja 1.0.10 Keine Treiber verfügbar - - - - - - - - - -<br />
Omnikey 8751 e-Health LAN ja 1.3.2 Keine Treiber verfügbar - - - - - - - - - -<br />
1) unterstützt wird nur das kontaktbehaftete Interface<br />
2) keine Entschlüsselung mit <strong>der</strong> TeleSeckarte TeleSec NetKey 3.0 mit PKS basierend auf Signaturerstellungseinheit TCOS 3.0 Signature Card, Version 1.1 möglich<br />
3) Bei generischen CCID-Treibern muss <strong>der</strong> Name des Lesers mit * angeführt werden<br />
4) bei <strong>der</strong> neuen Signaturkarte <strong>der</strong> TeleSec (NetKey 3.0 SignatureCard 2.0) basierend auf <strong>der</strong> Signaturerstellungseinheit TCOS 3.0 Signature Card, Version 2.0 Release<br />
1/SLE78CLX1440P wird nur die qualifizierte elektronische Signatur im kontaktbehafteten Modus unterstützt<br />
5) keine Unterstützung <strong>der</strong> TeleSeckarte TeleSec NetKey 3.0 mit PKS basierend auf Signaturerstellungseinheit TCOS 3.0 Signature Card, Version 1.1.<br />
6) nur ct-api<br />
Tabelle 15: Unterstützte Kombinationen OpenSUSE 12.1 (32 Bit) - Chipkartenlesegerät – Signaturkarte<br />
35
TeleSec<br />
DP-Com<br />
Datev -<br />
BNotK<br />
BA<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
DRV-<br />
Bund<br />
DGN<br />
Hessen-<br />
PKI<br />
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Handelsname des<br />
Chipkartenlesegeräts<br />
bestätigt/<br />
HE nach<br />
SigG<br />
Mac OS X 10.6.8 (32 Bit) 1)<br />
Firmware<br />
Treiber für Daemon- PCSClite<br />
Version 1.4.0<br />
Signaturkarten deutscher ZDA:<br />
Cherry® Smartboard G83-6744 ja 01.04.00.00 Ifdokccid_mac 3.1.0.2 <br />
Cherry® SmartTerminal 2000 U ja 6.01.00.00 scmccid 5.0.21 3) <br />
CyberJack® RFID komfort 2) ja 2.0.7 ifd-cyberjack 3.9.9.5 3) <br />
Omnikey CardMan 3121 nein 2.03 Ifdokccid_mac 3.1.0.2 <br />
Omnikey CardMan 3621, 3821 ja 6.00 Ifdokccid_mac 3.1.0.2 <br />
SCM SPR 332 usb (Chipdrive pinpad) ja 6.01 scmccid 5.0.21 3) <br />
Kobil KAAN Advanced ja 1.19 CCID 1.4.6 3) <br />
1) Einschränkungen in <strong>der</strong> Funktionsunterstützung des Betriebssystems mit Governikus-Komponenten möglich<br />
2) unterstützt wird nur das kontaktbehaftete Interface; PC/SC-Daemon bitte nicht manuell starten<br />
3) die neue Signaturkarte <strong>der</strong> TeleSec (NetKey 3.0 SignatureCard 2.0) basierend auf <strong>der</strong> Signaturerstellungseinheit TCOS 3.0 Signature Card, Version 2.0 Release<br />
1/SLE78CLX1440P wird nicht unterstützt<br />
Tabelle 16: Unterstützte Kombinationen Max OS X 10.6.8 Snow Leopard (32 Bit) - Chipkartenlesegerät - Signaturkarte<br />
36
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Anhang 2: Än<strong>der</strong>ungsnachweis Tabellen und Textbausteine<br />
Hinweis. Bitte beachten Sie: Die Liste <strong>der</strong> Tabellen und Textbausteine wird hiermit in <strong>der</strong> Form eines Än<strong>der</strong>ungsnachweises geführt. Än<strong>der</strong>ungen <strong>der</strong> Tabellen im Vergleich<br />
zur Vorversion dieses Dokuments sind aufgenommen, da neue Tabellen eingefügt wurden bzw. Tabellennummerierungen sich geän<strong>der</strong>t haben.<br />
Tabellen: Än<strong>der</strong>ungen im Vergleich zur Vorversion<br />
ja Tabelle 1: Überblick über die Varianten <strong>der</strong> <strong>MCard</strong> und unterstützte Kartentypen ...........................................................................................................................................<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
Tabelle 2: Unterstützte Betriebssysteme/abgekündigte Betriebssysteme ........................................................................................................................................................<br />
Tabelle 3: Unterstützte JRE/abgekündigte JRE ................................................................................................................................................................................................<br />
Tabelle 4: Unterstützte Chipkartenlesegeräte mit veröffentlichter Bestätigung durch die Bundesnetzagentur ................................................................................................<br />
Tabelle 5: Unterstützte Chipkartenlesegeräte mit veröffentlichter Herstellererklärung durch die Bundesnetzagentur ....................................................................................<br />
Tabelle 6: Unterstützte Chipkartenlesegeräte (nicht für eine QES in Deutschland geeignet) ..........................................................................................................................<br />
Tabelle 7: Abgekündigte Chipkartenlesegeräte ................................................................................................................................................................................................<br />
Tabelle 8: Unterstützte Signaturkarten, dt. ZDA, QES mit Anbieterakkreditierung ...........................................................................................................................................<br />
Tabelle 9: Unterstützte Signaturkarten, dt. ZDA, QES ......................................................................................................................................................................................<br />
Tabelle 10: Unterstützte Signaturkarten, fortgeschrittene elektronische Signatur ............................................................................................................................................<br />
Tabelle 11: Unterstützte Signaturkarten ausgewählter Trustcenter aus dem europäischen Ausland ..............................................................................................................<br />
Tabelle 12: Unterstützte Einsatzumgebungen Terminalserver .........................................................................................................................................................................<br />
Tabelle 13: Unterstützte Kombinationen Windows XP, Vista, 7 (32 und 64 Bit) - Chipkartenlesegerät – Signaturkarte ..................................................................................<br />
Tabelle 14: Unterstützte Kombinationen Windows 8 (32 und 64 Bit) - Chipkartenlesegerät – Signaturkarte...................................................................................................<br />
Tabelle 15: Unterstützte Kombinationen OpenSUSE 12.1 (32 Bit) - Chipkartenlesegerät – Signaturkarte......................................................................................................<br />
Tabelle 16: Unterstützte Kombinationen Max OS X 10.6.8 Snow Leopard (32 Bit) - Chipkartenlesegerät - Signaturkarte .............................................................................<br />
37
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
Textbausteine: Än<strong>der</strong>ungen im Vergleich zur Vorversion<br />
ja Textbaustein 1: SigG-konformer Einsatz <strong>der</strong> SAK - Auflagen zur Nutzung ......................................................................................................................................................<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
ja<br />
Textbaustein 2: Bereitstellung Sicherheitspatches Betriebssystem ..................................................................................................................................................................<br />
Textbaustein 3: Bereitstellung Sicherheitspatches JRE ....................................................................................................................................................................................<br />
Textbaustein 4: Erläuterung zu den unterstützten Chipkartenlesegeräten .......................................................................................................................................................<br />
Textbaustein 5: Verwendung nicht SigG-bestätigter o<strong>der</strong> nicht herstellererklärter Chipkartenlesegeräte bei Nutzung <strong>der</strong> Clientapplikation als SAK ...................................<br />
Textbaustein 6: Erläuterung unterstützte Signaturkarten bei Applikationen ohne Stapelsignaturfunktionalität ................................................................................................<br />
Textbaustein 7: Erläuterung unterstützte Signaturkarten bei Applikationen mit Stapelsignaturfunktionalität ...................................................................................................<br />
Textbaustein 8: Hinweis zu unterstützten Kombinationen aus Betriebssystem, Chipkartenlesegerät und Signaturkarte ................................................................................<br />
Textbaustein 9: Erläuterung unterstützte Einsatzumgebungen Terminalserver ...............................................................................................................................................<br />
38