Dokumentation der MCard-Bibliothek 1.18.0.0 der bremen-online ...
Dokumentation der MCard-Bibliothek 1.18.0.0 der bremen-online ...
Dokumentation der MCard-Bibliothek 1.18.0.0 der bremen-online ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Handbuch Governikus - Kartenansteuerung (<strong>MCard</strong>) Version <strong>1.18.0.0</strong><br />
2 Governikus Kartenansteuerung<br />
2.1 <strong>MCard</strong>-Varianten<br />
Die Governikus Kartenansteuerung (<strong>MCard</strong>) wird in zwei Varianten erstellt:<br />
<br />
<br />
mcard.jar für Clientanwendungen (zukünftig als <strong>MCard</strong> bezeichnet)<br />
mcardServer.jar nur für die Verwendung mit dem Governikus-NetSigner (<strong>MCard</strong>-<br />
Server)<br />
Die <strong>MCard</strong> wird Kunden bereitgestellt, die eigene Anwendungen auf <strong>der</strong> Basis <strong>der</strong> Funktionsbibliotheken<br />
des Governikus SDK entwickeln. Die <strong>MCard</strong> unterstützt fast alle elektronischen<br />
Einzel-, Stapel- und Multisignaturkarten, die durch deutsche Zertifizierungsdiensteanbieter<br />
(ZDA) herausgegeben werden und mit denen man eine qualifizierte elektronische Signatur<br />
(QES) o<strong>der</strong> eine QES mit Anbieterakkreditierung erzeugen kann.<br />
Bei Stapelsignaturkarten und Multisignaturkarten, die zur Erzeugung von maximal 500 Stapelsignaturen<br />
genutzt werden können, ist durch die SAK sicherzustellen, dass keine missbräuchliche<br />
Nutzung <strong>der</strong> Stapelsignaturfunktionalität möglich ist.<br />
Die <strong>MCard</strong> übernimmt von PC/SC die Funktionalität von Transactions, d.h. eines temporär<br />
exklusiven Zugriffs auf Kartenleser und Karte, um die gemeinsame Nutzung des Kartenlesers<br />
und <strong>der</strong> Karte für verschiedene, gleichzeitig laufende Anwendungen zu unterstützen.<br />
Die Ausführung kryptografischer Operationen erfolgt grundsätzlich innerhalb eines Transaction-Blocks,<br />
<strong>der</strong> implizit durch die <strong>MCard</strong> o<strong>der</strong> explizit durch die Anwendung begonnen und<br />
beendet wird. Auf diese Weise wird sichergestellt, dass <strong>der</strong> konkurrierende Zugriff durch an<strong>der</strong>e<br />
Anwendungen und <strong>der</strong> Missbrauch <strong>der</strong> Karte ausgeschlossen sind. Am Ende eines<br />
Transaction-Blocks wird <strong>der</strong> Sicherheitszustand <strong>der</strong> Karte zurückgesetzt. Im Fall komplexer<br />
kryptographischer Funktionen muss die Anwendung einen Transaction-Block beginnen und<br />
beenden, damit die vollständige Funktionalität <strong>der</strong> Karte zur Verfügung steht. An<strong>der</strong>nfalls<br />
steht aus Sicherheitsgründen nicht die volle Funktionalität zur Verfügung, Grundsätzlich kann<br />
ein Transaction-Block nur von <strong>der</strong> Anwendung beendet werden, die den Transaction-Block<br />
begonnen hat.<br />
Zur Verwendung <strong>der</strong> Stapelsignaturfunktion dieser Karten muss das Erzeugen <strong>der</strong> Signaturen<br />
in einem Transaction-Block erfolgen. Eine Karte bleibt bis zum Ende <strong>der</strong> Transaktion<br />
„offen“ und kann für Signaturen verwendet werden, falls die maximale Anzahl von Signaturen<br />
nicht überschritten wird. Falls die maximale Anzahl von Signaturen überschritten wird, wird<br />
<strong>der</strong> Transaction-Block beendet und <strong>der</strong> Sicherheitszustand <strong>der</strong> Karte zurückgesetzt, d.h. für<br />
die nächste Signatur ist es notwendig, den Transaction-Block erneut zu beginnen.<br />
Macht die Applikation keinen Transaction-Block auf, wird die Anzahl <strong>der</strong> möglichen Signaturerzeugungen<br />
durch Stapel- und Multisignaturkarten nach einer erfolgreichen Authentifizierung<br />
mit <strong>der</strong> Signatur-PIN durch die <strong>MCard</strong> zur Sicherheit auf 1 begrenzt.<br />
Für Kunden, die den vollen Funktionsumfang von Multisignaturkarten nutzen möchten, steht<br />
<strong>der</strong> Governikus NetSigner als Komponente <strong>der</strong> Governikus Service Components zur Verfügung.<br />
Dieser verwendet eine spezielle Variante <strong>der</strong> <strong>MCard</strong>, die als <strong>MCard</strong>-Server aus-<br />
6