Zertifizierungsreport AVA-Sign Version 2.1 - T-systems-zert.de
Zertifizierungsreport AVA-Sign Version 2.1 - T-systems-zert.de
Zertifizierungsreport AVA-Sign Version 2.1 - T-systems-zert.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Zertifizierungsreport</strong><br />
T-Systems-DSZ-ITSEC-04097-2003<br />
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
ventasoft GmbH
<strong>Zertifizierungsreport</strong> T-Systems-DSZ-ITSEC-04097-2003<br />
Für <strong>de</strong>n <strong>Zertifizierungsreport</strong>: © T-Systems GEI GmbH, 2003<br />
Für die Sicherheitsvorgaben: © ventasoft GmbH, 2003<br />
Die Vervielfältigung ist nur gestattet, wenn <strong>de</strong>r Report vollständig wie<strong>de</strong>rgegeben wird.<br />
Für weitere Auskünfte und Kopien dieses Reports ist die Zertifizierungsstelle wie folgt<br />
erreichbar:<br />
* Zertifizierungsstelle <strong>de</strong>r T-Systems<br />
c/o T-Systems GEI GmbH<br />
BU ITC Security<br />
Rabinstr.8, 53111 Bonn<br />
( 0228/9841-0, Fax: 0228/9841-60<br />
: www.t-<strong>systems</strong>-<strong>zert</strong>.com
Deutsches<br />
IT-Sicherheits<strong>zert</strong>ifikat<br />
anerkannt vom<br />
Bun<strong>de</strong>samt für Sicherheit in <strong>de</strong>r Informationstechnik<br />
Die Zertifizierungsstelle <strong>de</strong>r T-Systems<br />
bestätigt hiermit, daß<br />
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
<strong>de</strong>r<br />
ventasoft GmbH<br />
Prenzlauer Allee 36, D-10405 Berlin<br />
nach <strong>de</strong>n Kriterien für die Bewertung <strong>de</strong>r Sicherheit von Systemen <strong>de</strong>r Informationstechnik<br />
(ITSEC) und <strong>de</strong>m Handbuch für die Bewertung <strong>de</strong>r Sicherheit von Systemen<br />
<strong>de</strong>r Informationstechnik (ITSEM) gegen spezifische Sicherheitsvorgaben evaluiert<br />
wur<strong>de</strong> und folgen<strong>de</strong>s Prüfergebnis erzielte:<br />
Sicherheitsfunktionen:<br />
Vertrauenswürdigkeitsstufe:<br />
Min<strong>de</strong>ststärke <strong>de</strong>r<br />
Sicherheitsmechanismen:<br />
<strong>Sign</strong>aturprüfung, Unterstützung <strong>de</strong>r<br />
<strong>Sign</strong>aturerstellung, Entschlüsseln,<br />
Verschlüsseln, Sichere Anzeige,<br />
Umgebungskontrolle<br />
E2<br />
hoch<br />
Dieses Zertifikat erfüllt die Bedingungen <strong>de</strong>r Vereinbarung über die gegenseitige Anerkennung von Sicherheits<strong>zert</strong>ifikaten<br />
in <strong>de</strong>r Informationstechnik (SOGIS -MRA) vom 03.03.1998 zwischen Deutschland, Finnland, Frank reich,<br />
Griechenland, Großbritannien, Italien, Nie<strong>de</strong>rlan<strong>de</strong>, Norwegen, Portugal, Schwe<strong>de</strong>n, Schweiz und Spanien.<br />
Dieses Zertifikat gilt nur in Verbindung mit <strong>de</strong>m vollständigen <strong>Zertifizierungsreport</strong> zur unten angegebenen Registriernummer<br />
und für die darin aufgeführten Konfigurationen und Einsatzumgebungen. Die Empfehlungen und Hinweise<br />
im Zertifi zierungs report sind zu beachten. Die Sicherheitsvorgaben, die Basis <strong>de</strong>r Evaluierung waren, sind im<br />
Zertifizierungs report aufgeführt. Die Bewertung <strong>de</strong>r Stärke <strong>de</strong>r zur Ver- und Entschlüsselung geeigneten<br />
kryptographischen Mechanismen ist von <strong>de</strong>r Anerkennung durch das BSI ausgenommen. Kopien <strong>de</strong>s Zertifikats und<br />
<strong>de</strong>s <strong>Zertifizierungsreport</strong>s sind beim Auftraggeber und bei <strong>de</strong>r Zertifizierungsstelle erhältlich.<br />
Registrierungsnummer:<br />
T-Systems-<br />
DSZ-ITSEC-04097-2003<br />
Bonn, <strong>de</strong>n 20.10.2003<br />
Dr. Heinrich Kersten<br />
Leiter <strong>de</strong>r Zertifizierungstelle<br />
Zertifizierungsstelle <strong>de</strong>r T-Systems<br />
c/o T-Systems GEI GmbH, BU ITC Security, Rabinstr.8, 53111 Bonn<br />
( 0228/9841-0, Fax: 0228/9841-60, Internet: www.t-<strong>systems</strong>-<strong>zert</strong>.com<br />
Akkreditiert nach DIN EN 45011 unter DAR-Registriernummer DIT-ZE-005/98 durch DATech e.V.
(Diese Seite ist beabsichtigterweise leer.)
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Inhaltsverzeichnis<br />
Titelblatt .............................................................................................................................1<br />
Copyright ...........................................................................................................................2<br />
Zertifikat .............................................................................................................................3<br />
Inhaltsverzeichnis..............................................................................................................5<br />
Abkürzungen .....................................................................................................................6<br />
Referenzen ........................................................................................................................7<br />
Glossar ..............................................................................................................................8<br />
Erläuterungen zu <strong>de</strong>n Sicherheitskriterien......................................................................11<br />
Hersteller und Evaluationsgegenstand ...........................................................................15<br />
Maßgeben<strong>de</strong> Prüfgrundlagen .........................................................................................15<br />
Evaluierung......................................................................................................................16<br />
Zertifizierung....................................................................................................................16<br />
Zusammenfassung <strong>de</strong>r Ergebnisse ................................................................................19<br />
Anwendung <strong>de</strong>r Ergebnisse ............................................................................................22<br />
Anhang.<br />
Sicherheitsvorgaben (Security Target) zu<br />
„<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong>“.<br />
T-Systems-DSZ-ITSEC-04097-2003 Seite 5 von 23
Abkürzungen<br />
AIS<br />
BGBl<br />
BS<br />
BSI<br />
CC<br />
CEM<br />
DAR<br />
DATech<br />
DIN<br />
ETR<br />
EVG<br />
ISO<br />
IT<br />
ITSEC<br />
ITSEF<br />
ITSEM<br />
JIL<br />
RegTP<br />
SigG<br />
SigV<br />
Anwendungshinweise und Interpretationen zum Schema<br />
(Verfahren <strong>de</strong>s BSI)<br />
Bun<strong>de</strong>sgesetzblatt<br />
British Standard<br />
Bun<strong>de</strong>samt für Sicherheit in <strong>de</strong>r Informationstechnik<br />
Common Criteria for Information Technology Security Evaluation<br />
Common Methodology for Information Technology Security Evaluation<br />
Deutscher Akkreditierungsrat<br />
Deutsche Akkreditierungsstelle Technik e.V.<br />
Deutsches Institut für Normung e.V.<br />
Evaluation Technical Report (Evaluierungsbericht)<br />
Evaluationsgegenstand<br />
International Organization for Standardization<br />
Informationstechnik<br />
Information Technology Security Evaluation Criteria (ITSEC)<br />
IT Security Evaluation Facility: Prüflabor<br />
Information Technology Security Evaluation Manual (ITSEM)<br />
Joint Interpretation Library<br />
Regulierungsbehör<strong>de</strong> für Telekommunikation und Post<br />
<strong>Sign</strong>aturgesetz<br />
<strong>Sign</strong>aturverordnung<br />
Seite 6 von 23<br />
T-Systems-DSZ-ITSEC-04097-2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Referenzen<br />
/AIS/<br />
/ALG/<br />
Anwendungshinweise und Interpretationen zum Schema, Bun<strong>de</strong>samt für<br />
Sicherheit in <strong>de</strong>r Informationstechnik, gültige Fassung<br />
Geeignete Kryptoalgorithmen, veröffentlicht im Bun<strong>de</strong>sanzeiger durch die<br />
Regulierungsbehör<strong>de</strong> für Telekommunikation und Post, gültige Fassung<br />
/BS7799/ BS7799-1:2000 Information technology - Co<strong>de</strong> of practice for information<br />
security management (ISO/IEC 17799:2000)<br />
BS7799-2:2002 Information security management <strong>systems</strong> - Specification<br />
with guidance for use<br />
/CC/<br />
/CEM/<br />
/EU-DIR/<br />
/ITSEC/<br />
/ITSEM/<br />
Common Criteria: Gemeinsame Kriterien für die Prüfung und Bewertung<br />
<strong>de</strong>r Sicherheit von Informationstechnik (ISO 15408), August 1999<br />
Teil1: Einführung und allgemeines Mo<strong>de</strong>ll<br />
Teil2: Funktionale Sicherheitsanfor<strong>de</strong>rungen<br />
Teil3: Anfor<strong>de</strong>rungen an die Vertrauenswürdigkeit<br />
Common Methodology for Information Technology Security Evaluation,<br />
Part1: Introduction and general mo<strong>de</strong>l, <strong>Version</strong> 0.6, January 1997<br />
Part2: Evaluation Methodology, <strong>Version</strong> 1.0, August 1999<br />
Richtlinie 1999/93/EG <strong>de</strong>s Europäischen Parlaments und <strong>de</strong>s Rates vom<br />
13.Dezember 1999 über gemeinschaftliche Rahmenbedingungen für<br />
elektronische <strong>Sign</strong>aturen<br />
Kriterien für die Bewertung <strong>de</strong>r Sicherheit von Systemen <strong>de</strong>r Informationstechnik<br />
(ITSEC), <strong>Version</strong> 1.2 (1991), Bun<strong>de</strong>sanzeiger-Verlag Köln, ISBN<br />
92-826-3003-X<br />
Handbuch für die Bewertung <strong>de</strong>r Sicherheit von Systemen <strong>de</strong>r Informationstechnik<br />
(ITSEM), <strong>Version</strong> 1.0 (1993), Bun<strong>de</strong>sanzeiger Verlag Köln,<br />
ISBN 92-826-7078-2<br />
/JIL/ Joint Interpretation Library, <strong>Version</strong> 2.0, Nov. 1998<br />
/SigG/<br />
/SigV/<br />
Gesetz über Rahmenbedingungen für elektronische <strong>Sign</strong>aturen und zur<br />
Än<strong>de</strong>rung weiterer Vorschriften (<strong>Sign</strong>aturgesetz – SigG) vom 16.05.2001<br />
(BGBl. I, S. 876 ff.)<br />
Verordnung zur elektronischen <strong>Sign</strong>atur (<strong>Sign</strong>aturverordnung – SigV) vom<br />
16.11.2001 (BGBl. I., S. 3074 ff.)<br />
T-Systems-DSZ-ITSEC-04097-2003 Seite 7 von 23
Glossar<br />
Das Glossar erläutert Begriffe aus <strong>de</strong>m Zertifizierungsschema <strong>de</strong>r T-Systems, erhebt<br />
allerdings keinerlei Anspruch auf Vollständigkeit o<strong>de</strong>r Allgemeingültigkeit. Der Begriff<br />
Sicherheit meint hier stets Sicherheit im Kontext <strong>de</strong>r Informationstechnik.<br />
Akkreditierung<br />
Audit<br />
Bestätigungsstelle<br />
Von einem Akkreditierungsgeber durchgeführtes Verfahren<br />
zum Nachweis, daß eine Prüfstelle [bzw. Zertifizierungsstelle]<br />
<strong>de</strong>n Anfor<strong>de</strong>rungen <strong>de</strong>r maßgeben<strong>de</strong>n Norm ISO 17025 [bzw.<br />
DIN EN 45011] entspricht.<br />
Verfahren <strong>de</strong>s Sammelns objektiver Nachweise dafür, daß ein<br />
Prozeß so abläuft wie vorgegeben.<br />
Bestätigungsverfahren Verfahren mit <strong>de</strong>m Ziel einer Sicherheitsbestätigung.<br />
Common Criteria<br />
Dienstleistung<br />
Evaluation Technical<br />
Report<br />
Stelle, die mit Anerkennung durch die Regulierungsbehör<strong>de</strong> für<br />
Telekommunikation und Post und im Einklang mit SigG und<br />
SigV Sicherheitsbestätigungen für technische Komponenten<br />
und für die Umsetzung von Sicherheitskonzepten bei Trust<br />
Centern (Zertifizierungsdiensteanbietern nach SigG) herausgibt.<br />
Evaluationsgegenstand<br />
Evaluationsstufe<br />
Evaluator<br />
Evaluierung<br />
Sicherheitskriterien, die aus <strong>de</strong>m amerikanischen Orange Book<br />
/ <strong>de</strong>n Fe<strong>de</strong>ral Criteria, <strong>de</strong>n europäischen ITSEC und <strong>de</strong>n<br />
kanadischen CTCPEC hervorgegangen sind und ein weltweit<br />
akzeptierter Sicherheitsstandard sind.<br />
Hier: Eine von einem Unternehmen angebotene, durch<br />
Geschäftsprozesse erbrachte und durch Nutzer in Anspruch<br />
nehmbare Leistung.<br />
Schlußbericht einer Prüfstelle über <strong>de</strong>n Ablauf und die<br />
Ergebnisse einer Evaluation.<br />
Ein IT-Produkt o<strong>de</strong>r IT-System,das in Verbindung mit seinen<br />
(Adminstrations- und Benützer-) Handbüchern Gegenstand<br />
einer Evaluierung ist.<br />
Stufe <strong>de</strong>r Vertrauenswürdigkeit, die aus einer Evaluierung<br />
gewonnen wird; Element eines Bewertungs<strong>systems</strong> in<br />
Sicherheitskriterien ITSEC / CC; Höhe <strong>de</strong>s Vertrauens, daß <strong>de</strong>r<br />
EVG seine Sicherheitsvorgaben erfüllt.<br />
Prüfer/in in einer Prüfstelle.<br />
Prüfung eines IT-Produktes, IT-Systems o<strong>de</strong>r einer IT-Dienstleistung<br />
auf <strong>de</strong>r Basis von IT-Sicherheitskriterien.<br />
Seite 8 von 23<br />
T-Systems-DSZ-ITSEC-04097-2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Integrität<br />
IT-Dienstleistung<br />
IT-Produkt<br />
IT-Sicherheitsmanagement<br />
IT-System<br />
Lizenzvereinbarung<br />
Meilensteinplan<br />
Problembericht<br />
Produkt-Zertifizierung<br />
Prozeß<br />
Prüfbegleitung<br />
Prüfstelle<br />
Re-Zertifizierung<br />
Security for Business<br />
Klassisches Sicherheitsziel: Daten sollen nur von Befugten<br />
geän<strong>de</strong>rt wer<strong>de</strong>n können.<br />
Dienstleistung, die sich bei ihrer Erbringung auf IT-Systeme<br />
abstützt.<br />
Software und / o<strong>de</strong>r Hardware, die bei einem Anbieter<br />
(Hersteller, Vertreiber) erworben wer<strong>de</strong>n kann.<br />
Ein Unternehmensprozeß, <strong>de</strong>ssen Ziel die Einrichtung und<br />
Aufrechterhaltung <strong>de</strong>r (IT-)Sicherheit in einem Unternehmen ist.<br />
Eine in sich funktionsfähige Kombination von IT-Produkten.<br />
(ITSEC:) Eine reale Installation von IT-Produkten mit einer<br />
bekannten Einsatzumgebung.<br />
Vereinbarung zwischen einer Prüfstelle und einer Zertifizierungsstelle<br />
– <strong>de</strong>n Ablauf und die Verantwortlichkeiten bei<br />
einer Evaluierung und Zertifizierung betreffend.<br />
Projekt- / Terminplan für die Durchführung einer Evaluierung<br />
und Zertifizierung<br />
Bericht einer Prüfstelle an die Zertifizierungsstelle über beson<strong>de</strong>re<br />
Probleme bei einer Evaluierung, z.B. die Interpretation<br />
<strong>de</strong>r Sicherheitskriterien betreffend.<br />
Zertifizierung von IT-Produkten.<br />
Abfolge vernetzter Tätigkeiten (Prozeßelemente) in einer<br />
gegebenen Prozeßumgebung – mit <strong>de</strong>m Gesamtziel, eine<br />
bestimmte Dienstleistung zu erbringen.<br />
Verfahren <strong>de</strong>r Zertifizierungsstelle, um die Ordnungsmäßigkeit<br />
(Kriterienkonformität, einheitliche Vorgehensweise und<br />
Bewertungen, etc.) einer Evaluierung zu überprüfen.<br />
Stelle, die Evaluierungen durchführt (ITSEF).<br />
Nach Än<strong>de</strong>rungen am <strong>zert</strong>ifizierten Objekt notwendig wer<strong>de</strong>n<strong>de</strong><br />
Zertifizierung <strong>de</strong>r geän<strong>de</strong>rten <strong>Version</strong>; kann auch bei Wechsel<br />
von Werkzeugen, Produktions- und Auslieferungsprozessen,<br />
Sicherheitskriterien erfor<strong>de</strong>rlich wer<strong>de</strong>n.<br />
Sicherheitsinitiative, die Service-Bausteine (Basissicherheit,<br />
Standardsicherheit, Professionelle Sicherheit) in puncto<br />
IT-Sicherheit für Unternehmen anbietet. Die Bausteine<br />
beinhalten Beratung, Analysen, Penetrationstests, Audits sowie<br />
nach erfolgreicher Abnahme Verfahren <strong>de</strong>r Registrierung,<br />
Siegelvergabe und Zertifizierung. Details sind <strong>de</strong>n Web-Seiten<br />
<strong>de</strong>r Initiative zu entnehmen. (www.s4b.org)<br />
Sicherheitsbestätigung SigG: Eine Bescheinigung, die die Erfüllung von Anfor<strong>de</strong>rungen<br />
<strong>de</strong>s <strong>Sign</strong>aturgesetzes bestätigt.<br />
Sicherheitsfunktion<br />
Funktionen zur Abwehr bestimmter Bedrohungen.<br />
T-Systems-DSZ-ITSEC-04097-2003 Seite 9 von 23
Sicherheitskriterien<br />
Sicherheitsvorgaben<br />
Sicherheits<strong>zert</strong>ifikat<br />
System-Zertifizierung<br />
Trust Center<br />
Unternehmensprozeß<br />
Verfügbarkeit<br />
Vertraulichkeit<br />
Zertifikat<br />
Zertifizierer<br />
Zertifizierung<br />
Zusammenfassen<strong>de</strong> (Kurz-)Darstellung eines Zertifizierungsergebnisses;<br />
wird durch die Zertifizierungsstelle ausgestellt.<br />
Zertifizierungsdiensteanbieter<br />
<strong>Zertifizierungsreport</strong><br />
Zertifizierungsschema<br />
Zertifizierungsstelle<br />
Dokument mit Sicherheitsanfor<strong>de</strong>rungen an Produkte, Systeme<br />
und / o<strong>de</strong>r Dienstleistungen und / o<strong>de</strong>r <strong>de</strong>ren Evaluierung.<br />
Dokument, das einen Satz von Sicherheitsanfor<strong>de</strong>rungen and<br />
Spezifikationen enthält, die als Basis einer Evaluierung eines<br />
speziellen EVG dienen.<br />
s. Zertifikat<br />
Zertifizierung von installierten IT-Systemen.<br />
s. Zertifizierungsdiensteanbieter<br />
s. Prozeß<br />
Klassisches Sicherheitsziel: Daten sollen Befugten stets zur<br />
Verfügung stehen, d.h. nicht von Unbefugten vorenthalten<br />
wer<strong>de</strong>n können o<strong>de</strong>r aufgrund technischer Defekte nicht<br />
verfügbar sein.<br />
Klassisches Sicherheitsziel: Daten sollen nur durch Befugte zur<br />
Kenntnis genommen wer<strong>de</strong>n können.<br />
Mitarbeiter/in einer Zertifizierungsstelle, die eine Zertifizierung<br />
durchführt.<br />
Unabhängige Bestätigung <strong>de</strong>r Ordnungsmäßigkeit einer<br />
Evaluierung. Auch Bezeichnung für das Gesamtverfahren<br />
bestehend aus Evaluierung, Prüfbegleitung und Ausstellung<br />
von Zertifikaten und <strong>Zertifizierungsreport</strong>s.<br />
Stelle, die die Zugehörigkeit von <strong>Sign</strong>aturschlüsseln zu einer<br />
Person durch ein (elektronisches) Zertifikat bestätigt - im<br />
<strong>Sign</strong>aturgesetz als „Zertifizierungsdiensteanbieter“ bezeichnet.<br />
Bericht über Gegenstand, Ablauf und Ergebnis eines Zertifizierungsverfahrens;<br />
wird durch die Zertifizierungsstelle<br />
ausgestellt.<br />
Zusammenfassung aller Grundsätze, Regeln und Verfahren<br />
einer Zertifizierungsstelle.<br />
Stelle, die Zertifizierungen durchführt.<br />
Seite 10 von 23<br />
T-Systems-DSZ-ITSEC-04097-2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Erläuterungen zu <strong>de</strong>n Sicherheitskriterien<br />
Dieses Kapitel gibt einen Überblick über die angewen<strong>de</strong>ten Sicherheitskriterien und<br />
<strong>de</strong>ren Bewertungsmaßstäbe. Textpassagen innerhalb „...“ stellen Zitate aus <strong>de</strong>n ITSEC<br />
bzw. <strong>de</strong>n ITSEM dar.<br />
- Grundbegriffe<br />
Sicherheit ist nach <strong>de</strong>m Verständnis <strong>de</strong>r ITSEC dann gegeben, wenn ausreichen<strong>de</strong>s<br />
Vertrauen darin besteht, daß <strong>de</strong>r Evaluationsgegenstand (EVG) seine Sicherheitsziele<br />
erfüllt.<br />
Sicherheitsziele setzen sich in <strong>de</strong>r Regel aus For<strong>de</strong>rungen nach Vertraulichkeit,<br />
Verfügbarkeit und / o<strong>de</strong>r Integrität von bestimmten Datenobjekten zusammen. Solche<br />
Sicherheitsziele wer<strong>de</strong>n durch <strong>de</strong>n Auftraggeber <strong>de</strong>r Evaluierung festgelegt. Normalerweise<br />
ist dies bei einem IT-Produkt <strong>de</strong>r Entwickler o<strong>de</strong>r Vertreiber, bei einem IT-<br />
System <strong>de</strong>r Betreiber.<br />
Den festgelegten Sicherheitszielen stehen prinzipielle Bedrohungen gegenüber, nämlich<br />
<strong>de</strong>r Verlust <strong>de</strong>r Vertraulichkeit, <strong>de</strong>r Verlust <strong>de</strong>r Verfügbarkeit, <strong>de</strong>r Verlust <strong>de</strong>r Integrität<br />
bestimmter Datenobjekte.<br />
Aus solchen prinzipiellen Bedrohungen wer<strong>de</strong>n Angriffe, wenn Subjekte unerlaubt<br />
Datenobjekte mitlesen o<strong>de</strong>r abhören, Dritten vorenthalten o<strong>de</strong>r unbefugt än<strong>de</strong>rn.<br />
Sicherheitsfunktionen <strong>de</strong>s EVG sollen solche Angriffe abwehren.<br />
Es stellen sich dabei zwei Grundfragen: Funktionieren die Sicherheitsfunktionen korrekt?<br />
Sind die Sicherheitsfunktionen wirksam?<br />
Vertrauen in die Erfüllung <strong>de</strong>r Sicherheitsziele kann man dann haben, wenn Korrektheit<br />
und Wirksamkeit geprüft (evaluiert) wor<strong>de</strong>n sind.<br />
- Evaluationsstufen<br />
Eine Evaluierung kann nur mit begrenztem Aufwand und in begrenzter Zeit durchgeführt<br />
wer<strong>de</strong>n. Die mögliche Tiefe einer Evaluierung ist also stets begrenzt. Das Angemessenheitsprinzip<br />
verbietet es an<strong>de</strong>rerseits, bei geringem Sicherheitsbedarf eine<br />
extrem aufwändige Prüfung durchzuführen; ebenso unangemessen wäre es, bei<br />
höchstem Sicherheitsbedarf nur „oberflächlich“ zu prüfen.<br />
Es ist <strong>de</strong>shalb sinnvoll, unterschiedliche Prüftiefen (und damit Prüfaufwän<strong>de</strong>) festzulegen:<br />
In <strong>de</strong>n ITSEC wer<strong>de</strong>n 6 Evaluationsstufen zur Prüfung von Korrektheit und Wirksamkeit<br />
<strong>de</strong>finiert. E1 bezeichnet die niedrigste, E6 die höchste Stufe.<br />
Die Vertrauenswürdigkeit eines EVG kann also in diesen Stufen „gemessen“ wer<strong>de</strong>n.<br />
T-Systems-DSZ-ITSEC-04097-2003 Seite 11 von 23
Die folgen<strong>de</strong>n Auszüge aus <strong>de</strong>n ITSEC lassen erkennen, welche Prüfaspekte im Rahmen<br />
einer Evaluierung behan<strong>de</strong>lt wer<strong>de</strong>n und welche Prüftiefe welcher E-Stufe entspricht.<br />
E1<br />
E2<br />
E3<br />
E4<br />
E5<br />
E6<br />
„Auf dieser Stufe müssen für <strong>de</strong>n EVG die Sicherheitsvorgaben und eine<br />
informelle Beschreibung <strong>de</strong>s Architekturentwurfs vorliegen. Durch funktionale<br />
Tests muß nachgewiesen wer<strong>de</strong>n, daß <strong>de</strong>r EVG die Anfor<strong>de</strong>rungen<br />
<strong>de</strong>r Sicherheitsvorgaben erfüllt.“<br />
„Zusätzlich zu <strong>de</strong>n Anfor<strong>de</strong>rungen für die Stufe E1 muß hier eine informelle<br />
Beschreibung <strong>de</strong>s Feinentwurfs vorliegen. Die Aussagekraft <strong>de</strong>r funktionalen<br />
Tests muß bewertet wer<strong>de</strong>n. Ein Konfigurationskontrollsystem und ein<br />
genehmigtes Distributionsverfahren müssen vorhan<strong>de</strong>n sein.“<br />
„Zusätzlich zu <strong>de</strong>n Anfor<strong>de</strong>rungen für die Stufe E2 müssen <strong>de</strong>r Quellco<strong>de</strong><br />
bzw. die Hardware-Konstruktionszeichnungen, die <strong>de</strong>n Sicherheitsmechanismen<br />
entsprechen, bewertet wer<strong>de</strong>n. Die Aussagekraft <strong>de</strong>r Tests dieser<br />
Mechanismen muß bewertet wer<strong>de</strong>n.“<br />
„Zusätzlich zu <strong>de</strong>n Anfor<strong>de</strong>rungen für die Stufe E3 muß ein formales Sicherheitsmo<strong>de</strong>ll<br />
Teil <strong>de</strong>r Sicherheitsvorgaben sein. Die sicherheitsspezifischen<br />
Funktionen, <strong>de</strong>r Architekturentwurf und <strong>de</strong>r Feinentwurf müssen in<br />
semiformaler Notation vorliegen.“<br />
„Zusätzlich zu <strong>de</strong>n Anfor<strong>de</strong>rungen für die Stufe E4 muß ein enger Zusammenhang<br />
zwischen <strong>de</strong>m Feinentwurf und <strong>de</strong>m Quellco<strong>de</strong> bzw. <strong>de</strong>n Hardware-Konstruktionszeichnungen<br />
bestehen.“<br />
„Zusätzlich zu <strong>de</strong>n Anfor<strong>de</strong>rungen für die Stufe E5 müssen die sicherheitsspezifischen<br />
Funktionen und <strong>de</strong>r Architekturentwurf in einer formalen Notation<br />
vorliegen, die konsistent mit <strong>de</strong>m zugrun<strong>de</strong>liegen<strong>de</strong>n formalen Sicherheitsmo<strong>de</strong>ll<br />
ist."<br />
In allen E-Stufen müssen darüber hinaus Wirksamkeitsaspekte nach folgen<strong>de</strong>m<br />
Schema untersucht wer<strong>de</strong>n:<br />
"Die Bewertung <strong>de</strong>r Wirksamkeit erfor<strong>de</strong>rt die Betrachtung <strong>de</strong>r folgen<strong>de</strong>n<br />
Aspekte <strong>de</strong>s EVG:<br />
a) die Eignung <strong>de</strong>r sicherheitsspezifischen Funktionen <strong>de</strong>s EVG, <strong>de</strong>n in <strong>de</strong>n<br />
Sicherheitsvorgaben aufgezählten Bedrohungen zu wi<strong>de</strong>rstehen;<br />
b) die Fähigkeit <strong>de</strong>r sicherheitsspezifischen Funktionen und Mechanismen<br />
<strong>de</strong>s EVG, in einer Weise zusammenzuwirken, daß sie sich gegenseitig<br />
unterstützen und ein integriertes, wirksames Ganzes bil<strong>de</strong>n;<br />
c) die Fähigkeit <strong>de</strong>r Sicherheitsmechanismen <strong>de</strong>s EVG, einem direkten Angriff<br />
zu wi<strong>de</strong>rstehen;<br />
Seite 12 von 23<br />
T-Systems-DSZ-ITSEC-04097-2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
d) ob bekannte Sicherheitsschwachstellen in <strong>de</strong>r Konstruktion <strong>de</strong>s EVG in <strong>de</strong>r<br />
Praxis die Sicherheit <strong>de</strong>s EVG kompromittieren können;<br />
e) daß <strong>de</strong>r EVG nicht in einer Weise konfiguriert wer<strong>de</strong>n kann, die unsicher<br />
ist, aber von <strong>de</strong>r ein Systemverwalter o<strong>de</strong>r ein Endnutzer vernünftigerweise<br />
glauben könnte, daß sie sicher ist;<br />
f) ob bekannte Sicherheitsschwachstellen beim Betrieb <strong>de</strong>s EVG in <strong>de</strong>r Praxis<br />
die Sicherheit <strong>de</strong>s EVG kompromittieren können."<br />
- Sicherheitsfunktionen und Sicherheitsmechanismen<br />
Sicherheitsfunktionen in einem EVG dienen <strong>de</strong>r Abwehr von Bedrohungen.<br />
Solche Sicherheitsfunktionen können in einer typischen Kombination („Funktionalitätsklasse“)<br />
vorkommen. Beispiel: Die Funktionalitätsklasse F-C2 setzt sich aus <strong>de</strong>n Funktionen<br />
I<strong>de</strong>ntifikation und Authentisierung, Zugriffskontrolle, Beweissicherung, Protokollauswertung<br />
und Wie<strong>de</strong>raufbereitung zusammen. Diese Klasse ist bei vielen kommerziellen<br />
Betriebssystemen gegeben.<br />
Je<strong>de</strong> Sicherheitsfunktion kann auf unterschiedlichste Weise realisiert wer<strong>de</strong>n. Beispiel:<br />
Die Funktion I<strong>de</strong>ntifikation und Authentisierung kann unter an<strong>de</strong>rem durch ein Paßwort-<br />
Verfahren, durch Verwendung von Chipkarten mit Challenge-Response Verfahren o<strong>de</strong>r<br />
durch biometrische Verfahren realisiert sein. Je<strong>de</strong> Realisierung dieser Art heißt<br />
(Sicherheits-)Mechanismus <strong>de</strong>r Sicherheitsfunktion I<strong>de</strong>ntifikation und Authentisierung.<br />
Für an<strong>de</strong>re Sicherheitsfunktionen gilt sinngemäß das gleiche.<br />
Die Wi<strong>de</strong>rstandskraft eines Sicherheitsmechanismus gegenüber direkten Angriffen wird<br />
als Stärke <strong>de</strong>s Mechanismus bezeichnet.<br />
In <strong>de</strong>n ITSEM wer<strong>de</strong>n zwei Arten von Mechanismen unterschie<strong>de</strong>n: Typ B und Typ A.<br />
Typ B<br />
Typ A<br />
„Ein Mechanismus vom Typ B ist ein Sicherheitsmechanismus, <strong>de</strong>r bei perfekter<br />
Konzipierung und Implementierung keine Schwächen aufweist. Ein<br />
Mechanismus vom Typ B kann als nicht durch einen direkten Angriff überwindbar<br />
betrachtet wer<strong>de</strong>n, gleichgültig, wie groß <strong>de</strong>r Aufwand an Ressourcen,<br />
Fachkenntnissen und entsprechen<strong>de</strong>n Gelegenheiten ist. ...<br />
Mechanismen vom Typ B können jedoch durch indirekte Angriffe überwun<strong>de</strong>n<br />
wer<strong>de</strong>n, mit <strong>de</strong>nen sich an<strong>de</strong>re Wirksamkeitsanalysen befassen."<br />
„Ein Mechanismus vom Typ A ist ein Sicherheitsmechanismus mit einer<br />
potentiellen Schwachstelle in seinem Algorithmus, seinen Prinzipien o<strong>de</strong>r<br />
seinen Eigenschaften, aufgrund <strong>de</strong>rer er durch Einsatz ausreichen<strong>de</strong>r Ressourcen,<br />
Fachkenntnisse und entsprechen<strong>de</strong>r Gelegenheiten mit einem<br />
direkten Angriff überwun<strong>de</strong>n wer<strong>de</strong>n kann. ... Mechanismen vom Typ A bedienen<br />
sich häufig eines "Geheimnisses" wie etwa eines Paßwortes o<strong>de</strong>r<br />
eines kryptographischen Schlüssels.“<br />
„Alle Mechanismen vom Typ A ... haben eine Stärke, die <strong>de</strong>m Aufwand an<br />
T-Systems-DSZ-ITSEC-04097-2003 Seite 13 von 23
Ressourcen, Fachkenntnissen und Gelegenheiten, zur Gefährdung <strong>de</strong>r<br />
Sicherheit durch einen direkten Angriff auf <strong>de</strong>n Mechanismus entspricht.“<br />
Wie wird bei Mechanismen vom Typ A die Stärke <strong>de</strong>finiert?<br />
„Alle kritischen Sicherheitsmechanismen (d.h. diejenigen, <strong>de</strong>ren Versagen<br />
eine Sicherheitslücke hervorrufen wür<strong>de</strong>), wer<strong>de</strong>n hinsichtlich ihrer Fähigkeit<br />
bewertet, einem direkten Angriff zu wi<strong>de</strong>rstehen. Die Min<strong>de</strong>ststärke<br />
je<strong>de</strong>s kritischen Mechanismus wird entwe<strong>de</strong>r als niedrig, mittel o<strong>de</strong>r hoch<br />
bewertet.“<br />
niedrig: „Damit die Min<strong>de</strong>ststärke eines kritischen Mechanismus als niedrig eingestuft<br />
wer<strong>de</strong>n kann, muß erkennbar sein, daß er Schutz gegen zufälliges unbeabsichtigtes<br />
Eindringen bietet, während er durch sachkundige Angreifer<br />
überwun<strong>de</strong>n wer<strong>de</strong>n kann.“<br />
mittel:<br />
hoch:<br />
„Damit die Min<strong>de</strong>ststärke eines kritischen Mechanismus als mittel eingestuft<br />
wer<strong>de</strong>n kann, muß erkennbar sein, daß er Schutz gegen Angreifer mit<br />
beschränkten Gelegenheiten o<strong>de</strong>r Betriebsmitteln bietet.“<br />
„Damit die Min<strong>de</strong>ststärke eines kritischen Mechanismus als hoch eingestuft<br />
wer<strong>de</strong>n kann, muß erkennbar sein, daß er nur von Angreifern überwun<strong>de</strong>n<br />
wer<strong>de</strong>n kann, die über sehr gute Fachkenntnisse, Gelegenheiten und<br />
Betriebsmittel verfügen, wobei ein solcher erfolgreicher Angriff als normalerweise<br />
nicht durchführbar beurteilt wird."<br />
Seite 14 von 23<br />
T-Systems-DSZ-ITSEC-04097-2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
1 Hersteller und Evaluationsgegenstand<br />
1 Hersteller ist die ventasoft GmbH, Prenzlauer Allee 36, D-10405 Berlin.<br />
2 Ziel <strong>de</strong>r Antragstellung war ein „Deutsches IT-Sicherheits<strong>zert</strong>ifikat“.<br />
3 Evaluationsgegenstand (EVG) war „<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong>“.<br />
4 Der EVG ist eine <strong>Sign</strong>aturanwendungskomponente zur Verwendung im<br />
Zusammenhang mit <strong>de</strong>r Vergabe-Plattform <strong>AVA</strong>-Online.<br />
5 Seitens <strong>de</strong>s Herstellers sind Sicherheitsvorgaben für <strong>de</strong>n EVG in <strong>de</strong>utscher<br />
Sprache bereitgestellt wor<strong>de</strong>n. Die Sicherheitsvorgaben, letzte <strong>Version</strong><br />
1.15 vom 15.10.2003 , wer<strong>de</strong>n im Anhang wie<strong>de</strong>rgegeben.<br />
6 Die Sicherheitsvorgaben referenzieren als Prüfkriterien die ITSEC und als<br />
Evaluationsstufe E2, für die Min<strong>de</strong>ststärke <strong>de</strong>r Sicherheitsmechanismen<br />
wird „hoch“ angegeben.<br />
7 Dem Zertifizierungsverfahren wur<strong>de</strong> die Registriernummer T-Systems-DSZ-<br />
ITSEC-04097-2003 zugewiesen.<br />
2 Maßgeben<strong>de</strong> Prüfgrundlagen<br />
8 Die Evaluierung <strong>de</strong>s EVG erfolgte antragsgemäß gegen die<br />
- Kriterien für die Bewertung <strong>de</strong>r Sicherheit von Systemen <strong>de</strong>r Informationstechnik<br />
(ITSEC) /ITSEC/.<br />
9 Für die Evaluierung und Zertifizierung waren weiterhin folgen<strong>de</strong> Dokumente<br />
maßgebend:<br />
- Handbuch für die Bewertung <strong>de</strong>r Sicherheit von Systemen <strong>de</strong>r Informationstechnik<br />
(ITSEM) /ITSEM/,<br />
- Joint Interpretation Library /JIL/,<br />
- Anwendungshinweise und Interpretationen zum Schema, Bun<strong>de</strong>samt für<br />
Sicherheit in <strong>de</strong>r Informationstechnik /AIS/,<br />
- Arbeitsanweisung „Deutsches IT-Sicherheits<strong>zert</strong>ifikat“ <strong>de</strong>r T-Systems GEI<br />
GmbH, BU ITC Security (gültige Fassung).<br />
T-Systems-DSZ-ITSEC-04097-2003 Seite 15 von 23
3 Evaluierung<br />
10 Die Evaluierung <strong>de</strong>s EVG wur<strong>de</strong> von <strong>de</strong>r Prüfstelle für IT-Sicherheit <strong>de</strong>r<br />
T-Systems GEI GmbH, BU ITC Security durchgeführt.<br />
11 Die Prüfstelle ist nach ISO 17025 akkreditiert und besitzt eine gültige<br />
Lizenz <strong>de</strong>r Zertifizierungsstelle und <strong>de</strong>s BSI für das hier vorliegen<strong>de</strong> Prüfgebiet.<br />
12 Die Evaluierung erfolgte im Zertifizierungsschema <strong>de</strong>r T-Systems.<br />
13 Die Evaluierung wur<strong>de</strong> durch die Zertifizierungsstelle kriteriengemäß<br />
begleitet.<br />
14 Das Ergebnis <strong>de</strong>r Evaluierung ist im Evaluation Technical Report (ETR) <strong>de</strong>r<br />
Prüfstelle dargestellt. Der ETR trägt die <strong>Version</strong>snummer 1.0 und das<br />
Datum 20.10.2003.<br />
15 Die Evaluierung <strong>de</strong>s EVG wur<strong>de</strong> am 20.10.2003 been<strong>de</strong>t.<br />
4 Zertifizierung<br />
16 Das Zertifizierungsschema <strong>de</strong>r T-Systems ist auf <strong>de</strong>n entsprechen<strong>de</strong>n<br />
Web-Seiten <strong>de</strong>r Zertifizierungsstelle veröffentlicht (www.t-<strong>systems</strong><strong>zert</strong>.com).<br />
17 Die Zertifizierungsstelle <strong>de</strong>r T-Systems arbeitet im Einklang mit <strong>de</strong>r DIN EN<br />
45011 und ist im Hinblick auf diese Norm bei <strong>de</strong>r DATech e.V. für Prüfungen<br />
nach <strong>de</strong>n ITSEC und <strong>de</strong>n Common Criteria akkreditiert (DAR-<br />
Registriernummer DIT-ZE-005/98).<br />
18 Die Zertifizierung <strong>de</strong>s EVG erfolgte wie beantragt gemäß Verfahrenstyp 04:<br />
„Deutsches IT-Sicherheits<strong>zert</strong>ifikat“.<br />
19 Für die Zertifizierung <strong>de</strong>s EVG sind Auflagen und Empfehlungen maßgebend;<br />
näheres enthält das Kapitel 5.<br />
20 Eine Kurzfassung <strong>de</strong>r Ergebnisse enthält das Sicherheits<strong>zert</strong>ifikat mit <strong>de</strong>r<br />
Kennung T-Systems-DSZ-ITSEC-04097-2003 vom 20.10.2003 auf <strong>de</strong>r<br />
Seite 3 dieses <strong>Zertifizierungsreport</strong>s.<br />
21 Das Zertifikat trägt das vom Bun<strong>de</strong>samt für Sicherheit in <strong>de</strong>r Informationstechnik<br />
(BSI) genehmigte Logo [Deutsches IT-Sicherheits<strong>zert</strong>ifikat] und<br />
wird vom BSI als gleichwertig zu seinen eigenen Zertifikaten anerkannt.<br />
Das BSI bestätigt vertragsgemäß diese Gleichwertigkeit im internationalen<br />
Kontext.<br />
22 Das Zertifikat und <strong>de</strong>r <strong>Zertifizierungsreport</strong> sind auf <strong>de</strong>n Web-Seiten<br />
(www.t-<strong>systems</strong>-<strong>zert</strong>.com) <strong>de</strong>r Zertifizierungsstelle veröffentlicht und wer-<br />
Seite 16 von 23<br />
T-Systems-DSZ-ITSEC-04097-2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
<strong>de</strong>n in <strong>de</strong>n Broschüren BSI 7148 / 7149 <strong>de</strong>s Bun<strong>de</strong>samtes für Sicherheit in<br />
<strong>de</strong>r Informationstechnik (BSI) referenziert.<br />
23 Hiermit wird bestätigt, daß<br />
- die am Verfahren beteiligten Evaluatoren und Zertifizierer we<strong>de</strong>r an <strong>de</strong>r<br />
Entwicklung, <strong>de</strong>m Vertrieb noch an einer Anwendung <strong>de</strong>s EVG beteiligt<br />
waren,<br />
- alle Regeln <strong>de</strong>s Zertifizierungsschemas, <strong>de</strong>s speziellen Verfahrenstyps und<br />
<strong>de</strong>r maßgeben<strong>de</strong>n Kriterien eingehalten wur<strong>de</strong>n.<br />
Dr. Heinrich Kersten<br />
(Leiter <strong>de</strong>r Zertifizierungsstelle)<br />
T-Systems-DSZ-ITSEC-04097-2003 Seite 17 von 23
(Diese Seite ist beabsichtigterweise leer.)<br />
Seite 18 von 23<br />
T-Systems-DSZ-ITSEC-04097-2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
5 Zusammenfassung <strong>de</strong>r Ergebnisse<br />
24 Evaluiert wur<strong>de</strong> die folgen<strong>de</strong> Konfiguration <strong>de</strong>s EVG:<br />
Bei <strong>de</strong>r Installation von <strong>AVA</strong>-<strong>Sign</strong> gibt es die Möglichkeit, zwischen drei<br />
Installationsarten zu wählen: „Standard“, „Vollständig“ und „Benutzer<strong>de</strong>finiert“.<br />
Die sich hierbei ergeben<strong>de</strong>n Unterschie<strong>de</strong> in <strong>de</strong>r Installation betreffen<br />
lediglich Parameter außerhalb <strong>de</strong>s EVG (Installation von Musterdateien<br />
und Erstellung einer Verknüpfung zu „crlloa<strong>de</strong>r.exe“ im Autostart–Verzeichnis<br />
<strong>de</strong>s Betriebs<strong>systems</strong>) und beeinflussen in keiner Form die Sicherheit<br />
<strong>de</strong>s EVG. Aus Sicht <strong>de</strong>r Sicherheit besitzt <strong>de</strong>r EVG <strong>de</strong>shalb nur eine (allen<br />
Installationsarten gemeinsame) Konfiguration.<br />
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong> wur<strong>de</strong> mit allen in <strong>de</strong>n Sicherheitsvorgaben<br />
angegebenen Kartenlesern sowie Chipkarten getestet, und zwar unter<br />
Windows 2000 und Windows XP auf Standard-PC.<br />
Der EVG ist lauffähig unter Microsoft Windows Betriebssystemen ab<br />
Windows 98; unter die Zertifizierung fällt jedoch nur <strong>de</strong>r Betrieb mit<br />
Windows 2000 o<strong>de</strong>r Windows XP.<br />
Laut Herstellerangaben konnten die D-TRUST und STARCOS <strong>Sign</strong>aturkarten<br />
mit <strong>de</strong>m „Kobil Kaan Standard Plus“ Kartenleser nicht unter<br />
Windows 2000 getestet wer<strong>de</strong>n. Daher fallen diese Kombinationen nicht<br />
unter die Zertifizierung.<br />
25 Das Evaluierungsergebnis gilt nur für diese Konfiguration(en) <strong>de</strong>s EVG.<br />
26 Entsprechend <strong>de</strong>n Sicherheitsvorgaben und <strong>de</strong>m Ergebnis <strong>de</strong>r Evaluierung<br />
besitzt <strong>de</strong>r EVG folgen<strong>de</strong> Sicherheitsfunktionen:<br />
- <strong>Sign</strong>aturprüfung, Unterstützung <strong>de</strong>r <strong>Sign</strong>aturerstellung, Entschlüsseln,<br />
Verschlüsseln, Sichere Anzeige, Umgebungskontrolle<br />
27 Die Evaluierung hat ergeben, daß <strong>de</strong>r EVG allen Anfor<strong>de</strong>rungen <strong>de</strong>r<br />
Evaluationsstufe E2 <strong>de</strong>r ITSEC genügt, d.h. alle Anfor<strong>de</strong>rungen an die Korrektheit<br />
und Wirksamkeit in dieser Stufe sind erfüllt. Dies sind:<br />
- ITSEC E<strong>2.1</strong> bis E2.37 für die Korrektheit mit <strong>de</strong>n Phasen<br />
Konstruktion - Entwicklungsprozeß:<br />
Anfor<strong>de</strong>rungen, Architekturentwurf, Feinentwurf, Implementierung<br />
Konstruktion - Entwicklungsumgebung:<br />
Konfigurationskontrolle, Sicherheit beim Entwickler<br />
T-Systems-DSZ-ITSEC-04097-2003 Seite 19 von 23
Betrieb - Betriebsdokumentation:<br />
Benutzerdokumentation, Systemverwalter-Dokumentation<br />
Betrieb - Betriebsumgebung:<br />
Auslieferung und Konfiguration, Anlauf und Betrieb<br />
ITSEC 3.12 bis 3.37 für die Wirksamkeit mit <strong>de</strong>n Aspekten<br />
Wirksamkeitskriterien - Konstruktion:<br />
Eignung <strong>de</strong>r Funktionalität, Zusammenwirken <strong>de</strong>r Funktionalität, Stärke <strong>de</strong>r<br />
Mechanismen, Bewertung <strong>de</strong>r Konstruktionsschwachstellen<br />
Wirksamkeitskriterien - Betrieb:<br />
Benutzerfreundlichkeit, Bewertung <strong>de</strong>r operationellen Schwachstellen<br />
29 Hinsichtlich <strong>de</strong>r Sicherheitsmechanismen lautet das Ergebnis <strong>de</strong>r Evaluierung:<br />
Die folgen<strong>de</strong>n Mechanismen <strong>de</strong>s EVG sind kritische Mechanismen: Je<strong>de</strong><br />
Sicherheitsfunktionen enthält min<strong>de</strong>stens einen kritischen Teilmechanismus.<br />
Die folgen<strong>de</strong>n Mechanismen sind vom Typ A und haben eine Min<strong>de</strong>ststärke<br />
gemäß <strong>de</strong>r Stufe hoch: Die Sicherheitsfunktionen <strong>Sign</strong>aturprüfung,<br />
Unterstützung <strong>de</strong>r <strong>Sign</strong>aturerstellung, Entschlüsseln und Verschlüsseln<br />
enthalten jeweils min<strong>de</strong>stens einen Teilmechanismus vom Typ A.<br />
Die folgen<strong>de</strong>n Mechanismen sind vom Typ B: Die Sicherheitsfunktionen<br />
Sichere Anzeige und Umgebungskontrolle enthalten nur Mechanismen vom<br />
Typ B.<br />
Für Mechanismen <strong>de</strong>s Typs B ist gemäß <strong>de</strong>n zugrun<strong>de</strong> liegen<strong>de</strong>n Kriterien<br />
keine Mechanismenstärke anzugeben. Im Rahmen <strong>de</strong>r Schwachstellenanalyse<br />
konnte jedoch festgestellt wer<strong>de</strong>n, daß selbst unter Zugrun<strong>de</strong>legung<br />
eines Aufwands gemäß <strong>de</strong>r Stufe hoch bei <strong>de</strong>n angenommenen<br />
Einsatzbedingungen keine ausnutzbare Schwachstelle erkennbar ist.<br />
30 Die Auslieferung <strong>de</strong>s Produktes erfolgt nach folgen<strong>de</strong>m Verfahren:<br />
Die Auslieferung <strong>de</strong>s EVG kann auf zwei verschie<strong>de</strong>ne Weisen erfolgen:<br />
- Download aus <strong>de</strong>m Internet von <strong>de</strong>r folgen<strong>de</strong>n Web-Seite <strong>de</strong>s Herstellers:<br />
www.ventanet.<strong>de</strong>/produkte/auswahl.html<br />
Seite 20 von 23<br />
T-Systems-DSZ-ITSEC-04097-2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
- Auslieferung auf CD direkt vom Hersteller 1 .<br />
In bei<strong>de</strong>n Fällen hat <strong>de</strong>r Benutzer durch Prüfung <strong>de</strong>r <strong>Sign</strong>atur <strong>de</strong>r Installationsdatei<br />
sicherzustellen, daß es sich um das <strong>zert</strong>ifizierte Produkt han<strong>de</strong>lt<br />
und keine Än<strong>de</strong>rungen auf <strong>de</strong>m Transportweg erfolgt sind:<br />
Das für die <strong>Sign</strong>atur <strong>de</strong>r Installationsdatei maßgebliche Zertifikat ist auf <strong>de</strong>r<br />
Website <strong>de</strong>s Herstellers unter<br />
https://www.ventanet.<strong>de</strong>/produkte/check_ava-sign.html<br />
hinterlegt. Der öffentliche Schlüssel <strong>de</strong>s Zertifikats <strong>de</strong>s Herstellers lautet:<br />
3081 8902 8181 00C0 8609 47DC 55C6 C19E BDD6 3B2D E108 E118 2847<br />
78EC 3D40 F24A EA52 3F7D 92F5 49BD E7ED FC32 73AC 65D1 D281 9390<br />
675A 570E 1D6E 3F89 A8F1 4420 2C52 77D6 1C79 808B 803E 790B 8FAD<br />
C3D0 88E3 3502 738B CB07 85A9 CEEE 3344 6B75 FD12 EFAF 7398 5CE7<br />
616A C049 20D4 1F28 4333 1616 7AEE 21B7 44A2 96B6 0CB4 2A96 F666<br />
23E9 8CF8 0702 0301 0001<br />
Der zugehörige Fingerabdruck lautet:<br />
DDB2 A999 7192 D009 8E09 5D1D 9329 5175 D2E0 2B93<br />
Die Prozeduren zur Überprüfung und sicheren Installation von <strong>AVA</strong>-<strong>Sign</strong><br />
sind <strong>de</strong>tailliert in <strong>de</strong>m Anwen<strong>de</strong>rhandbuch (Online-Hilfe) beschrieben.<br />
Die zuvor beschriebenen Auslieferungsverfahren entsprechen <strong>de</strong>n Vorgaben<br />
<strong>de</strong>r nationalen Zertifizierungsbehör<strong>de</strong> für die Stufe E2 <strong>de</strong>r ITSEC.<br />
31 Folgen<strong>de</strong> Auflagen sind durch <strong>de</strong>n Hersteller zu erfüllen:<br />
Die kryptographischen Algorithmen RSA-1024 bzw. SHA-1 und<br />
RIPEMD160, die vom EVG verwen<strong>de</strong>t wer<strong>de</strong>n, sind im Zusammenhang mit<br />
<strong>de</strong>m <strong>de</strong>utschen <strong>Sign</strong>aturgesetz zeitlich begrenzt zugelassen, nämlich bis<br />
En<strong>de</strong> 2007 bzw. En<strong>de</strong> 2008. Spätestens dann muß eine neue Bewertung<br />
<strong>de</strong>r Stärke dieser Mechanismen vorgenommen wer<strong>de</strong>n.<br />
32 Folgen<strong>de</strong> zusätzliche Hinweise sind für <strong>de</strong>n sicherheitsgerechten Einsatz<br />
<strong>de</strong>s EVG zu beachten:<br />
1. <strong>AVA</strong>-<strong>Sign</strong> unterstützt auch Terminals ohne sichere PIN-Eingabe. Der<br />
Benutzer wird darauf hingewiesen, daß <strong>de</strong>r Betrieb mit solchen Terminals<br />
1<br />
In diesem Fall wird <strong>de</strong>r EVG als Teil <strong>AVA</strong>-<strong>Sign</strong> Pakets mit <strong>de</strong>m Bietermodul, einem<br />
Chipkartenterminal und einer Chipkarte ausgeliefert – diese Komponenten gehören jedoch<br />
nicht zum EVG.<br />
T-Systems-DSZ-ITSEC-04097-2003 Seite 21 von 23
insbeson<strong>de</strong>re <strong>de</strong>r Annahme A3.1 in <strong>de</strong>n Sicherheitsvorgaben (s. Anhang)<br />
wi<strong>de</strong>rspricht und somit nicht als „<strong>zert</strong>ifiziert“ betrachtet wer<strong>de</strong>n kann.<br />
2. Für Anwendungen im Bereich <strong>de</strong>r elektronischen <strong>Sign</strong>atur ist auf folgen<strong>de</strong>s<br />
zu achten: Bezieht <strong>de</strong>r Nutzer <strong>de</strong>n Kartenleser nicht über <strong>de</strong>n Hersteller<br />
ventasoft als Teil <strong>de</strong>s <strong>AVA</strong>-<strong>Sign</strong> Pakets, muß sichergestellt wer<strong>de</strong>n, daß<br />
<strong>de</strong>r Kartenleser entsprechend SigG sicherheitsbestätigt ist; in Zweifelsfällen<br />
ist <strong>de</strong>r Hersteller zu kontaktieren; beim verschie<strong>de</strong>ntlich angebotenen<br />
Firmware-Update für Kartenleser ist darauf zu achten, daß nur auf solche<br />
Firmware-<strong>Version</strong>en aktualisiert wird, die unter die entsprechen<strong>de</strong> Sicherheitsbestätigung<br />
fallen.<br />
6 Anwendung <strong>de</strong>r Ergebnisse<br />
33 Die Prozesse <strong>de</strong>r Evaluierung und Zertifizierung wer<strong>de</strong>n nach <strong>de</strong>m Stand<br />
<strong>de</strong>r Technik durchgeführt, können aber keine absolute Garantie dafür geben,<br />
daß <strong>de</strong>r EVG frei von Schwachstellen ist. Mit steigen<strong>de</strong>r Evaluationsstufe<br />
verringert sich allerdings die Wahrscheinlichkeit erheblich, daß ausnutzbare<br />
Schwachstellen unent<strong>de</strong>ckt bleiben.<br />
34 Der <strong>Zertifizierungsreport</strong> dient <strong>de</strong>m Hersteller als Nachweis <strong>de</strong>r<br />
durchgeführten Evaluierung und <strong>de</strong>m Nutzer als eine Grundlage für die<br />
sichere Nutzung <strong>de</strong>s EVG.<br />
35 Für die sichere Nutzung <strong>de</strong>s EVG enthalten insbeson<strong>de</strong>re die folgen<strong>de</strong>n<br />
Stellen im <strong>Zertifizierungsreport</strong> wichtige Informationen:<br />
- Kapitel 1: die genaue Produkt- und <strong>Version</strong>sbezeichnung:<br />
Zertifikat und <strong>Zertifizierungsreport</strong> gelten nur für dieses Produkt und diese<br />
spezielle <strong>Version</strong>.<br />
- Kapitel 5: Angaben zum Auslieferungsverfahren <strong>de</strong>s EVG.<br />
An<strong>de</strong>re Auslieferungsverfahren können unter Umstän<strong>de</strong>n nicht die für die<br />
Stufe E2 erfor<strong>de</strong>rliche Sicherheit bieten.<br />
- Kapitel 5: Angaben zu evaluierten Konfigurationen <strong>de</strong>s EVG.<br />
Der EVG gilt nur in diesen Konfigurationen als <strong>zert</strong>ifiziert.<br />
- Kapitel 5: Hinweise für <strong>de</strong>n Nutzer <strong>de</strong>s EVG.<br />
Die Sicherheit bei <strong>de</strong>r Anwendung <strong>de</strong>s EVG kann ggf. nicht mehr gegeben<br />
sein, wenn diese Hinweise nicht beachtet wer<strong>de</strong>n.<br />
- Anhang: Sicherheitsvorgaben zum EVG.<br />
Hier sind insbeson<strong>de</strong>re die Informationen zur Art <strong>de</strong>r Nutzung <strong>de</strong>s EVG,<br />
zum Lieferumfang, zu seinen Sicherheitszielen bzw. <strong>de</strong>n betrachteten Bedrohungen<br />
und zur Einsatzumgebung zu beachten.<br />
Seite 22 von 23<br />
T-Systems-DSZ-ITSEC-04097-2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
36 Falls Anfor<strong>de</strong>rungen aus diesem Report nicht eingehalten wer<strong>de</strong>n, gilt das<br />
Evaluationsergebnis nur noch bedingt. In einem solchen Fall ist eine ergänzen<strong>de</strong><br />
Analyse erfor<strong>de</strong>rlich, um festzustellen, ob und in welchem Umfang<br />
<strong>de</strong>r EVG auch unter <strong>de</strong>n geän<strong>de</strong>rten Bedingungen noch Sicherheit<br />
bieten kann. Die Prüfstelle und die Zertifizierungsstelle können bei <strong>de</strong>r<br />
Analyse unterstützen.<br />
37 Bei Än<strong>de</strong>rungen an <strong>de</strong>m EVG, an seinem Auslieferungsverfahren o<strong>de</strong>r seiner<br />
Einsatzumgebung kann eine Re-Zertifizierung erfolgen. Die Ergebnisse<br />
solcher nach <strong>de</strong>n Verfahrensregeln <strong>de</strong>r Zertifizierungsstelle durchgeführten<br />
Re-Zertifizierungen wer<strong>de</strong>n in entsprechen<strong>de</strong>n technischen Anhängen zu<br />
diesem <strong>Zertifizierungsreport</strong> dokumentiert.<br />
38 Bei neuen Erkenntnissen über die Sicherheit <strong>de</strong>s EVG können ebenfalls<br />
technische Anhänge zum <strong>Zertifizierungsreport</strong> herausgegeben wer<strong>de</strong>n.<br />
39 Den Web Seiten (www.t-<strong>systems</strong>-<strong>zert</strong>.com) <strong>de</strong>r Zertifizierungsstelle ist zu<br />
entnehmen, ob<br />
- technische Anhänge zu diesem <strong>Zertifizierungsreport</strong> herausgegeben wor<strong>de</strong>n<br />
sind (die Anhänge wer<strong>de</strong>n fortlaufend numeriert: T-Systems-DSZ-<br />
ITSEC-04097-2003/1, .../2,...),<br />
- neue <strong>Version</strong>en <strong>de</strong>s EVG sich in <strong>de</strong>r Evaluierung befin<strong>de</strong>n bzw. bereits<br />
<strong>zert</strong>ifiziert wor<strong>de</strong>n sind.<br />
En<strong>de</strong> <strong>de</strong>s <strong>Zertifizierungsreport</strong>s zu T-Systems-DSZ-ITSEC-04097-2003.<br />
T-Systems-DSZ-ITSEC-04097-2003 Seite 23 von 23
(Diese Seite ist beabsichtigterweise leer.)
Anhang: Sicherheitsvorgaben<br />
zu „<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong>“
(Diese Seite ist beabsichtigterweise leer.)
Evaluierung von <strong>AVA</strong>-<strong>Sign</strong> in <strong>de</strong>r <strong>Version</strong> <strong>2.1</strong><br />
Nach ITSEC E2 hoch<br />
Sicherheitsvorgaben 2<br />
<strong>Version</strong> 1.15<br />
vom<br />
15.10.2003<br />
ventasoft GmbH<br />
Prenzlauer Allee 36<br />
10405 Berlin<br />
Tel.: 030 – 44 33 11 0<br />
Fax.: 030 – 44 33 11 15<br />
2 Die vom Hersteller gelieferten Sicherheitsvorgaben wur<strong>de</strong>n von <strong>de</strong>r Zertifizierungsstelle redaktionell<br />
hinsichtlich <strong>de</strong>r Benennung und <strong>de</strong>r Beschreibung <strong>de</strong>r Sicherheitsfunktion F2 überarbeitet, ohne dass <strong>de</strong>r<br />
Inhalt geän<strong>de</strong>rt wur<strong>de</strong>.
Sicherheitsvorgaben <strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Inhalt:<br />
1 Zu <strong>zert</strong>ifizieren<strong>de</strong>s Objekt.............................................................................................3<br />
1.1 Genaue Bezeichnung ...................................................................................................3<br />
1.2 Auflistung <strong>de</strong>r Hard- und Software-Komponenten .......................................................3<br />
2 Art <strong>de</strong>r Nutzung.............................................................................................................3<br />
<strong>2.1</strong> Produktbeschreibung....................................................................................................3<br />
2.2 Annahmen über die Einsatzumgebung........................................................................5<br />
3 Sicherheitseigenschaften .............................................................................................7<br />
3.1 Subjekte / Objekte, Zugriffsarten..................................................................................7<br />
3.2 Bedrohungen und Sicherheitsziele ..............................................................................9<br />
3.3 Sicherheitsfunktionen zur Abwehr <strong>de</strong>r Bedrohungen ................................................11<br />
3.4 Sicherheitsmechanismen ...........................................................................................14<br />
3.5 Zweckmäßigkeit <strong>de</strong>r Sicherheitsfunktionen/-mechanismen ......................................14<br />
4 Evaluationsstufe und die Mechanismenstärke ..........................................................17<br />
5 Anhang........................................................................................................................17<br />
5.1 Glossar........................................................................................................................17<br />
5.2 Abkürzungen...............................................................................................................18<br />
5.3 Literatur.......................................................................................................................19<br />
Seite 2 von 19 ventasoft GmbH 15.10.2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Sicherheitsvorgaben<br />
1 Zu <strong>zert</strong>ifizieren<strong>de</strong>s Objekt<br />
1.1 Genaue Bezeichnung<br />
Der EVG ist das Produkt <strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong> <strong>de</strong>r Firma Ventasoft GmbH.<br />
1.2 Auflistung <strong>de</strong>r Hard- und Software-Komponenten<br />
Nr Typ Bezeichnung Release Datum Auslieferungsname<br />
Übergabeform<br />
1 SW <strong>AVA</strong>-<strong>Sign</strong> <strong>2.1</strong> 1<strong>2.1</strong>0.2003 <strong>AVA</strong>-<strong>Sign</strong> CD, Online<br />
2 DK Benutzerhandbuch 1.18 1<strong>2.1</strong>0.2003 avasign_help.pdf Pdf,<br />
Papierform<br />
SW = Software, DK = Dokumentation<br />
2 Art <strong>de</strong>r Nutzung<br />
<strong>2.1</strong> Produktbeschreibung<br />
Das <strong>AVA</strong>-<strong>Sign</strong> Paket, <strong>de</strong>ssen Teil <strong>de</strong>r EVG <strong>AVA</strong>-<strong>Sign</strong> ist, ermöglicht eine digitale Bearbeitung<br />
<strong>de</strong>r Vergabeunterlagen und eine rechtsverbindliche Abgabe von Angeboten in digitaler Form<br />
einschließlich qualifizierter elektronischer <strong>Sign</strong>atur und Verschlüsselung bei öffentlichen Ausschreibungen<br />
nach VOB/A, VOL/A und VOF. Es arbeitet mit <strong>AVA</strong>-Online <strong>de</strong>r Firma Ventasoft<br />
GmbH auf einem Server in <strong>de</strong>r Vergabestelle und <strong>AVA</strong>-<strong>Sign</strong> Paketen an<strong>de</strong>rer Bieter zusammen.<br />
Der Bieter kann die Ausschreibungsunterlagen auf seinen lokalen Computerarbeitsplatz<br />
la<strong>de</strong>n. <strong>AVA</strong>-<strong>Sign</strong> ermöglicht die Entschlüsselung und die <strong>Sign</strong>aturprüfung <strong>de</strong>r Ausschreibungsunterlagen<br />
sowie <strong>de</strong>ren Bearbeitung zu <strong>de</strong>n Angebotsunterlagen. Die Angebotsunterlagen können<br />
für die Übermittlung an <strong>AVA</strong>-Online-Server und die Speicherung auf <strong>de</strong>m <strong>AVA</strong>-Online-<br />
Server mit <strong>AVA</strong>-<strong>Sign</strong> signiert und verschlüsselt wer<strong>de</strong>n.<br />
Das <strong>AVA</strong>-<strong>Sign</strong> Paket besteht aus<br />
(1) <strong>de</strong>r <strong>AVA</strong>-<strong>Sign</strong> Software (EVG),<br />
(2) <strong>de</strong>m Bietermodul,<br />
(3) <strong>de</strong>m Chipkartenterminal,<br />
(4) <strong>de</strong>r Chipkarte.<br />
15.10.2003 ventasoft GmbH Seite 3 von 19
Sicherheitsvorgaben <strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Der <strong>AVA</strong>-<strong>Sign</strong> EVG hat die Aufgabe<br />
(a) die Ausschreibungsunterlagen und die Angebotsunterlagen darzustellen,<br />
(b) die Bearbeitungswerkzeuge für die Angebotsunterlagen bereitzustellen,<br />
(c) als <strong>Sign</strong>aturanwendung für die Erstellung und die Prüfung qualifizierter elektronischer Unterschriften<br />
zu dienen,<br />
(d) eine verschlüsselte Kommunikation mit <strong>de</strong>r Vergabestelle zu ermöglichen, min<strong>de</strong>stens die<br />
Ausschreibungsunterlagen zu entschlüsseln und die Angebotsunterlagen zu verschlüsseln.<br />
Der <strong>AVA</strong>-<strong>Sign</strong> EVG besteht aus folgen<strong>de</strong>n Komponenten:<br />
(1) <strong>de</strong>r Software und<br />
(2) <strong>de</strong>r Benutzerdokumentation.<br />
Die <strong>AVA</strong>-<strong>Sign</strong> Software stellt die Sicherheitsfunktionalität <strong>de</strong>s EVG zur Verfügung.<br />
Das Bietermodul ist ein selbständiges Programm zur Darstellung und Bearbeitung von<br />
Leistungsverzeichnissen und Angeboten in <strong>de</strong>n durch <strong>de</strong>n Gemeinsamen Ausschuss Elektronik<br />
im Bauwesen (GEAB) <strong>de</strong>finierten Formaten GAEB-D83 und GAEB-D84.<br />
Das Bietermodul stellt keine Sicherheitsfunktionen zur Verfügung.<br />
Das Chipkartenterminal hat die Aufgabe,<br />
(a) die Kommunikationsschnittstelle zwischen <strong>de</strong>m Personalcomputer und <strong>de</strong>r Chipkarte<br />
bereitzustellen, insbeson<strong>de</strong>re zur Übergabe <strong>de</strong>r zu signieren<strong>de</strong>n Daten vom Personalcomputer<br />
an die Chipkarte und <strong>de</strong>r digitalen <strong>Sign</strong>atur von <strong>de</strong>r Chipkarte an <strong>de</strong>n Personalcomputer,<br />
(b) als Eingabeschnittstelle <strong>de</strong>s Benutzers die Authentisierungsdaten (PIN) entgegenzunehmen<br />
und an die Chipkarte weiterzuleiten.<br />
<strong>AVA</strong>-<strong>Sign</strong> verwen<strong>de</strong>t folgen<strong>de</strong> nach SigG als <strong>Sign</strong>aturkomponenten bestätigte Chipkartenterminals<br />
- Cherry G83-6700LPZxx/00, G83-6700LQZxx/00,<br />
- Kobil Kaan Standard Plus,<br />
- Kobil Kaan Professional,<br />
- Orga HML 5010 und 5020<br />
- Reiner SCT CyberJack e-com,<br />
- Reiner SCT CyberJack pinpad,<br />
- Reiner SCT CyberJack,<br />
- SCM Micro<strong>systems</strong> SPR532<br />
Seite 4 von 19 ventasoft GmbH 15.10.2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Sicherheitsvorgaben<br />
Das Terminal ist nicht Gegenstand <strong>de</strong>r Evaluation. Die Evaluation stützt sich auf die <strong>zert</strong>ifizierte<br />
Funktionalität <strong>de</strong>s Chipkartenterminals.<br />
Die Chipkarte hat als sichere <strong>Sign</strong>aturerstellungseinheit die Aufgabe<br />
(1) die <strong>Sign</strong>aturerstellungsdaten (privater Schlüssel) zu speichern,<br />
(2) digitale <strong>Sign</strong>aturen zu <strong>de</strong>n vom Chipkartenterminal übergebenen Daten zu erzeugen und<br />
an das Chipkartenterminal zu übergeben,<br />
(3) die Authentisierungsdaten <strong>de</strong>s Kartenhalters zu prüfen und die dafür benötigten Referenzdaten<br />
zu speichern und zu wechseln.<br />
<strong>AVA</strong>-<strong>Sign</strong> Software verwen<strong>de</strong>t folgen<strong>de</strong> als <strong>Sign</strong>aturerstellungseinheiten nach SigG bestätigte<br />
Chipkarten<br />
- DATEV e:secure,<br />
- D-TRUST-CARD, <strong>Version</strong> 1.0,<br />
- <strong>Sign</strong>trust SEA – Karte, <strong>Version</strong> 2.0<br />
- STARCOS SPK2.3 with Digital <strong>Sign</strong>ature Application StarCert<br />
- T-Telesec PKS – Card, <strong>Version</strong> 2.0, 3.0,<br />
- T-Telesec E4Netkey – Karte.<br />
Die Chipkarte ist nicht Gegenstand <strong>de</strong>r Evaluation. Die Evaluation stützt sich auf die <strong>zert</strong>ifizierte<br />
Funktionalität <strong>de</strong>r Chipkarte zur <strong>Sign</strong>aturerstellung. <strong>AVA</strong>-<strong>Sign</strong> Software nutzt weiterhin die nicht<br />
notwendig <strong>zert</strong>ifizierte RSA – Entschlüsselungsfunktion <strong>de</strong>r Chipkarte.<br />
Ebenfalls nicht Gegenstand <strong>de</strong>r Evaluation sind die Vergabeplattform <strong>AVA</strong>-Online und die dort<br />
ablaufen<strong>de</strong>n Prozesse. Für diese Evaluierung wird davon ausgegangen, dass die Ausschreibungsunterlagen<br />
(siehe unten, Abschnitt 3.1) korrekt erzeugt, signiert und auf <strong>de</strong>m <strong>AVA</strong>-Online-<br />
Server eingestellt wer<strong>de</strong>n; Angriffe gegen <strong>de</strong>n <strong>AVA</strong>-Online-Server und durch Innentäter <strong>de</strong>r<br />
Vergabestelle wer<strong>de</strong>n hier nicht betrachtet.<br />
2.2 Annahmen über die Einsatzumgebung<br />
Der EVG wird als <strong>Sign</strong>aturanwendungskomponente in einem geschützten Einsatzbereich gemäß<br />
[4] eingesetzt (siehe Glossar).<br />
Die Anfor<strong>de</strong>rungen A1, A2 und A3 sind als Auflagen für <strong>de</strong>n Einsatz zu verstehen.<br />
A1<br />
Voraussetzungen für die qualifizierte elektronische Unterschrift<br />
(A1.1)<br />
(A1.2)<br />
Die Chipkarte ist als sichere <strong>Sign</strong>aturerstellungseinheit für <strong>de</strong>n Kartenhalter personalisiert.<br />
Der Kartenhalter verfügt über ein gültiges qualifiziertes <strong>Sign</strong>atur<strong>zert</strong>ifikat zu <strong>de</strong>m<br />
öffentlichen <strong>Sign</strong>aturschlüssel, <strong>de</strong>r zu <strong>de</strong>m privaten <strong>Sign</strong>aturschlüssel in <strong>de</strong>r Chipkarte<br />
als sichere <strong>Sign</strong>aturerstellungseinheit gehört.<br />
15.10.2003 ventasoft GmbH Seite 5 von 19
Sicherheitsvorgaben <strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
(A1.3)<br />
(A1.4)<br />
(A1.5)<br />
(A1.6)<br />
Der Bearbeiter verfügt über eine Liste <strong>de</strong>r autorisierten Absen<strong>de</strong>r <strong>de</strong>r Ausschreibungsunterlagen<br />
(Mitarbeiter <strong>de</strong>r Vergabestelle)<br />
Die Absen<strong>de</strong>r <strong>de</strong>r Ausschreibungsunterlagen (Vergabestelle) verfügen über gültige<br />
qualifizierte <strong>Sign</strong>atur<strong>zert</strong>ifikate.<br />
Die qualifizierten <strong>Sign</strong>atur<strong>zert</strong>ifikate <strong>de</strong>r Bieter und <strong>de</strong>r Absen<strong>de</strong>r <strong>de</strong>r Ausschreibungsunterlagen<br />
(Vergabestelle) sind in online verfügbaren Verzeichnisdiensten abrufbar.<br />
Der Absen<strong>de</strong>r <strong>de</strong>r Ausschreibungsunterlagen (Vergabestelle) als Ersteller <strong>de</strong>r <strong>Sign</strong>atur<br />
und <strong>de</strong>r Empfänger <strong>de</strong>r Ausschreibungsunterlagen als <strong>Sign</strong>aturprüfer unterstützen das<br />
S/MIME-Format innerhalb <strong>de</strong>r Zip-Datei.<br />
A2<br />
Voraussetzungen für die verschlüsselte Kommunikation<br />
(A<strong>2.1</strong>)<br />
(A2.2)<br />
(A2.3)<br />
Der Kartenhalter verfügt über ein gültiges Verschlüsselungs<strong>zert</strong>ifikat zu <strong>de</strong>m öffentlichen<br />
Verschlüsselungsschlüssel, <strong>de</strong>r zu <strong>de</strong>m privaten Verschlüsselungsschlüssel in<br />
<strong>de</strong>r Chipkarte <strong>de</strong>s Kartenhalters gehört. Die Chipkarte unterstützt das Entschlüsseln<br />
von Datenschlüsseln mit <strong>de</strong>m privaten Verschlüsselungsschlüssel <strong>de</strong>s Kartenhalters.<br />
Die Absen<strong>de</strong>r <strong>de</strong>r Angebotsunterlagen (Bieter) und die Absen<strong>de</strong>r <strong>de</strong>r Ausschreibungsunterlagen<br />
(Vergabestelle) verfügen über eine Liste <strong>de</strong>r autorisierten Empfänger und<br />
<strong>de</strong>ren gültige Verschlüsselungs<strong>zert</strong>ifikate.<br />
Der Absen<strong>de</strong>r und <strong>de</strong>r Empfänger <strong>de</strong>r Ausschreibungsunterlagen unterstützen das<br />
PKCS#7-Format <strong>de</strong>s <strong>AVA</strong>-Datencontainers.<br />
A3<br />
Geschützter Einsatzbereich<br />
(A3.1)<br />
(A3.2)<br />
Die Eingabe <strong>de</strong>r Authentisierungsdaten (PIN) <strong>de</strong>s Kartenhalters an die Chipkarte<br />
erfolgt nur über die Eingabeschnittstelle <strong>de</strong>s Chipkartenterminals. Der Personalcomputer<br />
erhält keine Informationen zu <strong>de</strong>n Authentisierungsdaten, son<strong>de</strong>rn übernimmt<br />
nur die Benutzerführung (Auffor<strong>de</strong>rung zur PIN-Eingabe über das Chipkartenterminal<br />
und Entgegennahme <strong>de</strong>s Returnco<strong>de</strong>s <strong>de</strong>r Chipkarte).<br />
Der Personalcomputer, auf <strong>de</strong>m das <strong>AVA</strong>-<strong>Sign</strong> Paket eingesetzt wird, läuft unter<br />
Microsoft Windows 2000 o<strong>de</strong>r Windows XP. Er ist vor unbefugten Zugriffen aus <strong>de</strong>m<br />
und auf das Internet und ein ggf. angeschlossenes Intranet durch geeignete<br />
Massnahmen wie Firewall zu schützen. Die <strong>AVA</strong>-<strong>Sign</strong> Software ist auf <strong>de</strong>m<br />
Personalcomputer vor manuellen Zugriffen und Datenaustausch per Datenträger durch<br />
Unbefugte zu schützen. Während <strong>de</strong>s <strong>Sign</strong>aturvorganges sollte <strong>de</strong>r Personalcomputer<br />
nicht mit <strong>de</strong>m Inter-/Intranet verbun<strong>de</strong>n sein. Als Einsatzumgebung ist eine geschützte<br />
Einsatzumgebung nach Punkt 4.2 gemäß [4] auf einem System mit Microsoft Windows<br />
2000 o<strong>de</strong>r Windows XP vorgesehen.<br />
Der Benutzer hat dafür Sorge zu tragen, dass <strong>de</strong>r Personalcomputer vor unberechtigten<br />
Zugriffen Dritter geschützt ist. Das be<strong>de</strong>utet, dass min<strong>de</strong>stens ein Virenscanner<br />
mit aktuellen Virensignaturen sowie eine Personal Firewall auf <strong>de</strong>m Personalcomputer<br />
aktiv ist. Der Personalcomputer ist durch Benutzernamen in Verbindung mit einem<br />
Passwort ohne Administratorrechte im Normalbetrieb zu schützen. Die in <strong>de</strong>r Benutzer-<br />
Seite 6 von 19 ventasoft GmbH 15.10.2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Sicherheitsvorgaben<br />
dokumentation von <strong>AVA</strong>-<strong>Sign</strong> beschriebenen Sicherheitsvorkehrungen wer<strong>de</strong>n<br />
eingehalten.<br />
(A3.3)<br />
(A3.4)<br />
Das verwen<strong>de</strong>te Chipkartenterminal muss die sichere PIN–Eingabe über seine<br />
Tastatur für die Benutzerauthenisierung und <strong>de</strong>n PIN-Wechsel unterstützen.<br />
Für die Arbeit von <strong>AVA</strong>-<strong>Sign</strong> ist zu ermöglichen:<br />
(i)<br />
(ii)<br />
(iii)<br />
ein Empfang <strong>de</strong>r Ausschreibungsunterlagen,<br />
ein Sen<strong>de</strong>n <strong>de</strong>r Angebotsunterlagen,<br />
eine Online-Abfrage <strong>de</strong>s Verzeichnisdienstes<br />
für die qualifizierten <strong>Sign</strong>atur<strong>zert</strong>ifikate.<br />
3 Sicherheitseigenschaften<br />
3.1 Subjekte / Objekte, Zugriffsarten<br />
Für die Formulierung <strong>de</strong>r Sicherheitseigenschaften <strong>de</strong>s EVG wer<strong>de</strong>n folgen<strong>de</strong> Objekte, Subjekte<br />
und Zugriffsarten beschrieben.<br />
Objekte<br />
Die vom EVG zu schützen<strong>de</strong>n Objekte umfassen:<br />
• Vergabeunterlagen,<br />
• Vertragsunterlagen und<br />
• Bietererklärungen sowie ggfs. Nebenangebote.<br />
Vergabeunterlagen, Vertragsunterlagen und Bietererklärungen wer<strong>de</strong>n von <strong>de</strong>r Vergabestelle<br />
an die Bieter gesen<strong>de</strong>t. Diese Objekte wer<strong>de</strong>n unter <strong>de</strong>m Begriff Ausschreibungsunterlagen<br />
zusammengefasst (vgl. auch Glossar). Wenn nicht an<strong>de</strong>rs erwähnt, meint Ausschreibungsunterlagen<br />
insbeson<strong>de</strong>re die Unterlagen, die von <strong>de</strong>r Vergabestelle an <strong>de</strong>n Bieter übermittelt<br />
wer<strong>de</strong>n.<br />
Die Integrität <strong>de</strong>r Ausschreibungsunterlagen ist vom EVG zu sichern, gegebenenfalls ist<br />
zusätzlich die Vertraulichkeit <strong>de</strong>r Daten o<strong>de</strong>r Teile dieser Daten (z.B. <strong>de</strong>r Vergabeunterlagen)<br />
zu sichern. Der EVG muss dazu in <strong>de</strong>r Lage sein, gesichert übertragene Daten zu prüfen<br />
(<strong>Sign</strong>aturprüfung) und entschlüsseln zu können.<br />
Die Vergabeunterlagen enthalten verbindliche Vertragsbedingungen und können nicht editiert<br />
wer<strong>de</strong>n. Die Vertragsunterlagen wer<strong>de</strong>n vom Bieter bearbeitet und an die Vergabestelle<br />
zurückgesen<strong>de</strong>t. Optional können Bieter untereinan<strong>de</strong>r Bietererklärungen abgeben und<br />
Nebenangebote an die Vergabestelle sen<strong>de</strong>n. Für die Evaluierung ist wesentlich, dass solche<br />
Daten optional ebenfalls zu schützen sind; das Verfahren ist dabei analog zu <strong>de</strong>n<br />
Vertragsunterlagen. Nach<strong>de</strong>m die Vertragsunterlagen vom Bieter bearbeitet wor<strong>de</strong>n sind,<br />
wer<strong>de</strong>n diese Daten an die Vergabestelle zurückgesen<strong>de</strong>t. Auf <strong>de</strong>m Übertragungsweg sind<br />
diese Daten zu schützen.<br />
15.10.2003 ventasoft GmbH Seite 7 von 19
Sicherheitsvorgaben <strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Vertragsunterlagen und Bietererklärungen sowie ggfs. Nebenangebote wer<strong>de</strong>n unter <strong>de</strong>m<br />
Begriff Angebotsunterlagen zusammengefasst. Wenn nicht an<strong>de</strong>rs erwähnt, meint Angebotsunterlagen<br />
insbeson<strong>de</strong>re die vom Bieter bearbeiteten und ausgefüllten Unterlagen, die vom<br />
Bieter zurück an die Vergabestelle übermittelt wer<strong>de</strong>n.<br />
Die Integrität und Vertraulichkeit <strong>de</strong>r Angebotsunterlagen ist vom EVG zu sichern. Der<br />
EVG muss dazu in <strong>de</strong>r Lage sein, gesichert zu übertragen<strong>de</strong> Daten zu signieren und zu<br />
verschlüsseln. Anmerkung: Eine <strong>Sign</strong>atur kann auch dazu verwen<strong>de</strong>t wer<strong>de</strong>n, lokal auf <strong>de</strong>m PC<br />
gespeicherte Daten vor Manipulation zu schützen.<br />
Der EVG verwen<strong>de</strong>t für die Sicherheitsfunktionen zusätzlich folgen<strong>de</strong> Objekte, auf die die unten<br />
<strong>de</strong>finierten Subjekte zugreifen können:<br />
Qualifizierte <strong>Sign</strong>atur<strong>zert</strong>ifikate <strong>de</strong>s Kartenhalters und <strong>de</strong>r Absen<strong>de</strong>r <strong>de</strong>r Ausschreibungsunterlagen,<br />
Verschlüsselungs<strong>zert</strong>ifikate <strong>de</strong>s Kartenhalters und <strong>de</strong>r Empfänger <strong>de</strong>r Ausschreibungsunterlagen.<br />
Subjekte<br />
Für die Formulierung <strong>de</strong>r Sicherheitseigenschaften <strong>de</strong>s EVG wer<strong>de</strong>n folgen<strong>de</strong> Subjekte <strong>de</strong>finiert:<br />
(S1)<br />
Bearbeiter: eingewiesener Benutzer <strong>de</strong>s EVG, <strong>de</strong>r Angebotsunterlagen aus <strong>de</strong>n<br />
Ausschreibungsunterlagen erstellt.<br />
(S2) Kartenhalter: eingewiesener Benutzer <strong>de</strong>s EVG, <strong>de</strong>r durch Kenntnis <strong>de</strong>r<br />
Authentisierungsdaten für die Chipkarte zum <strong>Sign</strong>ieren <strong>de</strong>r Angebotsunterlagen und<br />
zum Entschlüsseln <strong>de</strong>r Ausschreibungsunterlagen autorisiert ist.<br />
Sowohl (S1) als auch (S2) können <strong>Sign</strong>aturen prüfen und Angebotsunterlagen verschlüsseln.<br />
(S3)<br />
(S4)<br />
(S5)<br />
(S6)<br />
Absen<strong>de</strong>r <strong>de</strong>r Ausschreibungsunterlagen: zum Bereitstellen <strong>de</strong>r Ausschreibungsunterlagen<br />
auf <strong>de</strong>m <strong>AVA</strong>-Online-Server berechtigter Mitarbeiter <strong>de</strong>r Vergabestelle.<br />
Empfänger <strong>de</strong>r Angebotsunterlagen: zum Lesen <strong>de</strong>r Angebotsunterlagen auf <strong>de</strong>m <strong>AVA</strong>-<br />
Online-Server berechtigter Mitarbeiter <strong>de</strong>r Vergabestelle.<br />
Externer Angreifer: Unbefugter, <strong>de</strong>r versucht, lesen<strong>de</strong>n o<strong>de</strong>r schreiben<strong>de</strong>n Zugang zu<br />
<strong>de</strong>n Ausschreibungsunterlagen bzw. Angebotsunterlagen auf <strong>de</strong>m Übertragungskanal<br />
zwischen <strong>AVA</strong>-Online-Server und <strong>AVA</strong>-<strong>Sign</strong> zu erlangen.<br />
Lokaler Angreifer: Unbefugter, <strong>de</strong>r versucht, auf <strong>de</strong>m Personalcomputer lesen<strong>de</strong>n o<strong>de</strong>r<br />
schreiben<strong>de</strong>n Zugang auf Daten (insbeson<strong>de</strong>re Angebotsunterlagen bzw. Ausschreibungsunterlagen)<br />
zu erlangen o<strong>de</strong>r Programme auszuführen.<br />
Zugriffsarten<br />
(ZA1) Eingabe <strong>de</strong>r Authentisierungsdaten zur Benutzung <strong>de</strong>s privaten <strong>Sign</strong>aturschlüssels <strong>de</strong>r<br />
Chipkarte (SPIN)<br />
Seite 8 von 19 ventasoft GmbH 15.10.2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Sicherheitsvorgaben<br />
(ZA2) Eingabe <strong>de</strong>r Authentisierungsdaten zur Benutzung <strong>de</strong>s privaten<br />
Verschlüsselungsschlüssel <strong>de</strong>r Chipkarte (VPIN)<br />
(ZA3) Prüfen qualifizierter elektronischer <strong>Sign</strong>aturen über <strong>de</strong>n Ausschreibungsunterlagen<br />
(ZA4) Erstellen qualifizierter elektronischer <strong>Sign</strong>aturen über die Angebotsunterlagen<br />
(ZA5) Entschlüsseln <strong>de</strong>r Ausschreibungsunterlagen<br />
(ZA6) Verschlüsseln <strong>de</strong>r Angebotsunterlagen<br />
(ZA7) Bearbeiten <strong>de</strong>r Angebotsunterlagen<br />
3.2 Bedrohungen und Sicherheitsziele<br />
Bedrohungen<br />
B1 Ausschreibungsunterlagen wer<strong>de</strong>n auf <strong>de</strong>m Übertragungskanal vom Auftraggeber zum<br />
Bieter durch einen externen Angreifer manipuliert<br />
B2 Vertrauliche Ausschreibungsunterlagen wer<strong>de</strong>n auf <strong>de</strong>m Übertragungskanal vom<br />
Auftraggeber zum Bieter durch einen externen Angreifer offenbart<br />
B3 Ausschreibungsunterlagen wer<strong>de</strong>n auf <strong>de</strong>m Personalcomputer durch einen lokalen<br />
Angreifer manipuliert<br />
B4 Angebotsunterlagen wer<strong>de</strong>n auf <strong>de</strong>m Personalcomputer durch einen lokalen Angreifer<br />
manipuliert<br />
B5 Angebotsunterlagen wer<strong>de</strong>n auf <strong>de</strong>m Übertragungskanal vom Bieter zum Auftraggeber<br />
durch einen externen Angreifer manipuliert<br />
B6 Angebotsunterlagen wer<strong>de</strong>n auf <strong>de</strong>m Übertragungskanal vom Bieter zum Auftraggeber für<br />
einen externen Angreifer offenbart<br />
B7 die Chipkarte wird nach Authentisierung <strong>de</strong>s Kartenhalters für die Erstellung qualifizierter<br />
<strong>Sign</strong>aturen an<strong>de</strong>rer Daten durch einen lokalen Angreifer missbraucht<br />
Sicherheitsziele<br />
Z1 Verfälschungen <strong>de</strong>r Ausschreibungsunterlagen erkennen (<strong>Sign</strong>aturprüfung)<br />
Der EVG ermöglicht es <strong>de</strong>m Bearbeiter, Verfälschungen <strong>de</strong>r Ausschreibungsunterlagen<br />
durch einen externen Angreifer o<strong>de</strong>r einen lokalen Angreifer zu erkennen und unverfälschte<br />
Ausschreibungsunterlagen einem Absen<strong>de</strong>r zu zuordnen.<br />
Z2 Vertrauliche Ausschreibungsunterlagen lesbar machen (Entschlüsselung)<br />
Der EVG ermöglicht es <strong>de</strong>m Kartenhalter, vertrauliche Ausschreibungsunterlagen, die vom<br />
Absen<strong>de</strong>r <strong>de</strong>r Ausschreibungsunterlagen mit <strong>AVA</strong>-Online verschlüsselt an ihn übersandt<br />
wur<strong>de</strong>n, zu entschlüsseln.<br />
15.10.2003 ventasoft GmbH Seite 9 von 19
Sicherheitsvorgaben <strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Z3 Authentizität <strong>de</strong>r Angebotsunterlagen schützen (<strong>Sign</strong>aturerzeugung)<br />
Der EVG ermöglicht es als <strong>Sign</strong>aturanwendungskomponente, Verfälschungen <strong>de</strong>r durch<br />
<strong>de</strong>n Bieter erstellten und für eine Einreichung vorgsehenen Angebotsunterlagen durch eine<br />
qualifizierte elektronische <strong>Sign</strong>atur erkennbar zu machen.<br />
Z4 Vertraulichkeit <strong>de</strong>r Angebotsunterlagen vor externen Angreifern schützen (Verschlüsselung)<br />
Der EVG ermöglicht es <strong>de</strong>m Bearbeiter, die Vertraulichkeit <strong>de</strong>r Angebotsunterlagen vor<br />
externen Angreifern zu schützen. Nur <strong>de</strong>r Kartenhalter und die vorgesehenen Empfänger<br />
<strong>de</strong>r Angebotsunterlagen sollen die an <strong>de</strong>n <strong>AVA</strong>-Online-Server versandten Angebotsunterlagen<br />
lesen können.<br />
Z5 Schutz vor Mißbrauch<br />
Der EVG verhin<strong>de</strong>rt Mißbrauch <strong>de</strong>r Chipkarte nach Authentisierung <strong>de</strong>s Kartenhalters für<br />
die Erstellung qualifizierter <strong>Sign</strong>aturen an<strong>de</strong>rer Daten durch einen lokalen Angreifer.<br />
Die angenommenen Bedrohungen korrespondieren mit <strong>de</strong>n Sicherheitszielen <strong>de</strong>s EVG und <strong>de</strong>n<br />
Annahmen über die Einsatzumgebung:<br />
B1 B2 B3 B4 B5 B6 B7<br />
Z1 X X<br />
Z2<br />
X<br />
Z3 X X<br />
Z4<br />
X<br />
Z5<br />
X<br />
A1 (X) (X) (X) (X)<br />
A2 (X) (X)<br />
A3 (X) (X) (X)<br />
Tabelle 1: Zusammenhang von Bedrohungen, Sicherheitszielen<br />
und Annahmen zur Einsatzumgebung<br />
Legen<strong>de</strong>:<br />
X zeigt in <strong>de</strong>r Tabelle an, dass die Bedrohung durch das Sicherheitsziel <strong>de</strong>s EVG abgewehrt<br />
wird,<br />
(X) zeigt in <strong>de</strong>r Tabelle an, dass das Sicherheitsziel <strong>de</strong>s EVG von Sicherheitsvorkehrungen abhängig<br />
ist, die in <strong>de</strong>n Annahmen zur Einsatzumgebung dokumentiert sind.<br />
Seite 10 von 19 ventasoft GmbH 15.10.2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Sicherheitsvorgaben<br />
3.3 Sicherheitsfunktionen zur Abwehr <strong>de</strong>r Bedrohungen<br />
Der EVG benutzt für die Ausschreibungsunterlagen und die Angebotsunterlagen ein spezielles<br />
Format eines <strong>AVA</strong>-Datencontainers. Ein <strong>AVA</strong>-Datencontainer ist eine PKCS#7-codierte Datei<br />
mit<br />
(1) einer Liste <strong>de</strong>r vorgesehenen Empfänger und <strong>de</strong>n für sie verschlüsselten Datenschlüsseln,<br />
(2) einer Zip-Datei, die Ausschreibungsunterlagen enthält und verschlüsselt ist.<br />
Die Zip-Datei besteht aus<br />
(1) einer Beschreibungsdatei content.xml, die XML-codiert eine Beschreibung <strong>de</strong>r<br />
Ausschreibung und <strong>de</strong>s Inhalts <strong>de</strong>r Ausschreibungsunterlagen enthält,<br />
(2) <strong>de</strong>n Dateien <strong>de</strong>r Ausschreibungsunterlagen,<br />
(3) einer o<strong>de</strong>r mehreren digitalen <strong>Sign</strong>aturen eines o<strong>de</strong>r mehrerer Bieter in einem herstellerspezifischen<br />
Format als <strong>AVA</strong>-Multipart-Message über eine Auswahl von Dateien <strong>de</strong>r<br />
Ausschreibungsunterlagen.<br />
Die digitale <strong>Sign</strong>atur einer <strong>AVA</strong>-Multipart-Message kann im S/MIME-Format exportiert wer<strong>de</strong>n.<br />
F1<br />
<strong>Sign</strong>aturprüfung<br />
Die SSF F1 <strong>Sign</strong>aturprüfung prüft qualifizierte elektronische <strong>Sign</strong>aturen über die <strong>AVA</strong>-Multipart-<br />
Message innerhalb <strong>de</strong>r Zip-Datei. Die SSF F1 <strong>Sign</strong>aturprüfung umfasst für je<strong>de</strong> <strong>Sign</strong>aturprüfung<br />
die Anzeige,<br />
(1) auf welche Dateien innerhalb <strong>de</strong>r Zip-Datei sich die <strong>Sign</strong>atur <strong>de</strong>r <strong>AVA</strong>-Multipart-Message<br />
bezieht,<br />
(2) ob die Dateien <strong>de</strong>r <strong>AVA</strong>-Multipart-Message insgesamt unverän<strong>de</strong>rt sind,<br />
(3) welchem <strong>Sign</strong>aturschlüssel-Inhaber die <strong>Sign</strong>atur zuzuordnen ist,<br />
(4) <strong>de</strong>r Inhalte <strong>de</strong>s qualifizierten Zertifikats, auf <strong>de</strong>m die <strong>Sign</strong>atur beruht, und zugehörige<br />
qualifizierte Attribut-Zertifikate,<br />
(5) ob die nachgeprüften qualifizierten Zertifikate im jeweiligen Zertifikatverzeichnis zum<br />
angegebenen Zeitpunkt vorhan<strong>de</strong>n und nicht gesperrt waren,<br />
(6) ob die <strong>Sign</strong>aturprüfung korrekt durchgeführt wer<strong>de</strong>n konnte.<br />
Der öffentliche Schlüssel <strong>de</strong>r RegTP, <strong>de</strong>r als höchste Stelle für Prüfung <strong>de</strong>r digitalen <strong>Sign</strong>aturen<br />
nach <strong>de</strong>m Kettenmo<strong>de</strong>ll verwen<strong>de</strong>t wird, ist im EVG fest kodiert.<br />
Eine Online-Prüfung <strong>de</strong>r Zertifikate in <strong>de</strong>n Verzeichnisdiensten erfolgt auf Anfor<strong>de</strong>rung <strong>de</strong>s<br />
Benutzers.<br />
15.10.2003 ventasoft GmbH Seite 11 von 19
Sicherheitsvorgaben <strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Im Rahmen <strong>de</strong>r <strong>Sign</strong>aturprüfung wer<strong>de</strong>n die Hashfunktionen SHA-1 und RIPEMD160<br />
unterstützt.<br />
Der Inhalt <strong>de</strong>r signierten Dateien im Textformat kann durch die SSF F5 Sichere Anzeige<br />
angezeigt wer<strong>de</strong>n.<br />
F2<br />
Unterstützung <strong>de</strong>r <strong>Sign</strong>aturerstellung<br />
Die SSF F2 Unterstützung <strong>de</strong>r <strong>Sign</strong>aturerstellung unterstützt die Erstellung qualifizierter<br />
elektronischer <strong>Sign</strong>aturen über die <strong>AVA</strong>-Multipart-Message innerhalb <strong>de</strong>r Zip-Datei. Die SSF F2<br />
Unterstützung <strong>de</strong>r <strong>Sign</strong>aturerstellung umfasst für je<strong>de</strong> <strong>Sign</strong>aturerstellung<br />
(1) die Zusammenstellung <strong>de</strong>r <strong>AVA</strong>-Multipart-Message aus Dateien <strong>de</strong>r Zip-Datei und damit<br />
die Anzeige auf welche Dateien sich die zu erstellen<strong>de</strong> <strong>Sign</strong>atur bezieht,<br />
(2) die Berechnung <strong>de</strong>s Hashwerts,<br />
(3) die ein<strong>de</strong>utige Anzeige <strong>de</strong>r Erzeugung <strong>de</strong>r <strong>Sign</strong>atur durch die Chipkarte,<br />
(4) die Auffor<strong>de</strong>rung zur Authentisierung <strong>de</strong>s Kartenhalters gegenüber <strong>de</strong>r Chipkarte über<br />
das Chipkartenterminal,<br />
(5) die Kodierung <strong>de</strong>r <strong>AVA</strong>-Multipart-Message mit <strong>de</strong>r qualifizierten elektronischen <strong>Sign</strong>atur<br />
in <strong>de</strong>r Zip-Datei.<br />
Die SSF F2 Unterstützung <strong>de</strong>r <strong>Sign</strong>aturerstellung berechnet <strong>de</strong>n Hashwert über die in <strong>de</strong>r <strong>AVA</strong>-<br />
Multipart-Message referenzierten Dateien <strong>de</strong>r Zip-Datei gemäß <strong>de</strong>r Hasfunktion SHA-1. Sie<br />
selektiert <strong>de</strong>n <strong>Sign</strong>aturschlüssel <strong>de</strong>s Kartenhalters auf <strong>de</strong>r Chipkarte, übergibt <strong>de</strong>n Hashwert an<br />
die Chipkarte und erhält die digitale <strong>Sign</strong>atur von <strong>de</strong>r Chipkarte zurück. Sie codiert die <strong>AVA</strong>-<br />
Multipart-Message mit <strong>de</strong>r <strong>Sign</strong>aturinformation mit <strong>de</strong>m Zertifikat <strong>de</strong>s unterzeichnen<strong>de</strong>n<br />
Kartenhalters und <strong>de</strong>r digitalen <strong>Sign</strong>atur im S/MIME-Format.<br />
Die Erzeugung <strong>de</strong>r digitalen <strong>Sign</strong>atur durch die Chipkarte erfor<strong>de</strong>rt die erfolgreiche<br />
Authentisierung <strong>de</strong>s Kartenhalters gegenüber <strong>de</strong>r Chipkarte über das Chipkartenterminal sowie<br />
die Verwendung <strong>de</strong>s privaten <strong>Sign</strong>aturschlüssels zur Erstellung <strong>de</strong>r digitalen <strong>Sign</strong>atur. Diese<br />
Funktionen <strong>de</strong>r sicherheitsbestätigten <strong>Sign</strong>aturkomponenten in <strong>de</strong>r IT-Umgebung <strong>de</strong>s EVG<br />
wer<strong>de</strong>n durch SSF F2 Unterstützung <strong>de</strong>r <strong>Sign</strong>aturerstellung genutzt.<br />
Der Inhalt <strong>de</strong>r zu signieren<strong>de</strong>n Dateien im Textformat kann durch die SSF F5 Sichere Anzeige<br />
angezeigt wer<strong>de</strong>n.<br />
F3<br />
Entschlüsseln<br />
Die SSF F3 Entschlüsseln entschlüsselt die Zip-Datei innerhalb <strong>de</strong>s <strong>AVA</strong>-Datencontainer in<br />
folgen<strong>de</strong>n Schritten:<br />
(1) <strong>de</strong>r <strong>AVA</strong>-Datencontainer wird entsprechend <strong>de</strong>m PKCS#7-Format <strong>de</strong>codiert,<br />
(2) <strong>de</strong>r Datenschlüssel in <strong>de</strong>r Empfängerliste <strong>de</strong>s <strong>AVA</strong>-Datencontainer wird mit <strong>de</strong>m<br />
privaten Verschlüsselungsschlüssel in <strong>de</strong>r Chipkarte <strong>de</strong>s Kartenhalters entschlüsselt,<br />
Seite 12 von 19 ventasoft GmbH 15.10.2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Sicherheitsvorgaben<br />
(3) die Zip-Datei <strong>de</strong>s <strong>AVA</strong>-Datencontainers wird mit 3-Schlüssel-Triple-DES im CBC-Mo<strong>de</strong><br />
entschlüsselt,<br />
(4) <strong>de</strong>r erhaltene Klartext <strong>de</strong>r Zip-Datei wird lokal gespeichert.<br />
Die Entschlüsselung <strong>de</strong>s Datenschlüssels durch die Chipkarte erfor<strong>de</strong>rt die erfolgreiche<br />
Authentisierung <strong>de</strong>s Kartenhalters gegenüber <strong>de</strong>r Chipkarte über das Chipkartenterminal sowie<br />
die Verwendung <strong>de</strong>s privaten Verschlüsselungsschlüssels zur Entschlüsselung. Diese<br />
Funktionen <strong>de</strong>r Chipkarte und <strong>de</strong>s Chipkartenterminals in <strong>de</strong>r IT-Umgebung <strong>de</strong>s EVG wer<strong>de</strong>n<br />
durch SSF F3 Entschlüsseln genutzt.<br />
F4<br />
Verschlüsseln<br />
Die SSF F4 Verschlüsseln verschlüsselt die Zip-Datei innerhalb <strong>de</strong>s <strong>AVA</strong>-Datencontainer in<br />
folgen<strong>de</strong>n Schritten:<br />
(1) Bildung eines Datenschlüssels mit 168 Bit für die Verschlüsselung mit 3-Schlüssel-<br />
Triple-DES CBC und eines Initialisierungsvektors mit einem Zufallsgenerator,<br />
(2) Generierung <strong>de</strong>r Liste berechtigter Empfänger durch manuelle Auswahl bzw.<br />
Übernahme aus <strong>de</strong>n Vergabeunterlagen mit <strong>de</strong>n Geheimtexten <strong>de</strong>s Datenschlüssels,<br />
<strong>de</strong>r mit <strong>de</strong>n öffentlichen Verschlüsselungsschlüsseln aus <strong>de</strong>n Verschlüsselungs-<br />
Zertifikaten <strong>de</strong>r berechtigten Empfänger verschlüsselt wird,<br />
(3) Verschlüsselung <strong>de</strong>r Zip-Datei mit <strong>de</strong>m Datenschlüssel mit 3-Schlüssel-Triple-DES im<br />
CBC-Mo<strong>de</strong>,<br />
(4) Kodierung <strong>de</strong>s <strong>AVA</strong>-Datencontainer im PKCS#7 Format.<br />
F5<br />
Sichere Anzeige<br />
Die SSF F5 Sichere Anzeige interpretiert Dateien mit Text-Erweiterung entsprechend ISO8859-<br />
1 und zeigt diese vollständig und ein<strong>de</strong>utig an. Diese Anzeige schließt ver<strong>de</strong>ckten Text o<strong>de</strong>r die<br />
Anzeige in Abhängigkeit von <strong>de</strong>n Einstellungen <strong>de</strong>s Darstellungsprogramms (d. h. aktive<br />
Inhalte) aus, d.h., es gibt keinen ver<strong>de</strong>ckten Text; sämtlicher Text wird ein<strong>de</strong>utig angezeigt.<br />
Damit kann <strong>de</strong>r Unterzeichner diese Daten als Teil <strong>de</strong>r zu unterzeichnen<strong>de</strong>n Daten zweifelsfrei<br />
erkennen.<br />
F6<br />
Umgebungskontrolle<br />
Die Sicherheitsvorkehrungen <strong>de</strong>r SSF F6 Umgebungskontrolle sollen in <strong>de</strong>r Kombination mit<br />
Sicherheitsvorkehrungen <strong>de</strong>r Einsatzumgebung potentielle Angriffe auf <strong>de</strong>n EVG mit hoher<br />
Sicherheit abwehren (vgl. auch A3: Geschützter Einsatzbereich). Diese Sicherheitsvorkehrungen<br />
umfassen<br />
(1) eine Prüfung <strong>de</strong>r Integrität <strong>de</strong>s EVG bei Inbetriebnahme und Programmstart,<br />
(2) die Feststellung von Manipulationen am Hashwert bei <strong>de</strong>r Übertragung an die Chipkarte.<br />
15.10.2003 ventasoft GmbH Seite 13 von 19
Sicherheitsvorgaben <strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
3.4 Sicherheitsmechanismen<br />
M1<br />
Hashwertberechnung<br />
Der Sicherheitsmechanismus M1 implementiert die Hashfunktion SHA-1 gemäß FIPS 180-2 [7]<br />
o<strong>de</strong>r RIPEMD-160. Er wird für die Sicherheitsfunktionen F1 <strong>Sign</strong>aturprüfung und die F2<br />
Unterstützung <strong>de</strong>r <strong>Sign</strong>aturerstellung benutzt.<br />
M2<br />
Prüfung digitaler <strong>Sign</strong>atur<br />
Der Sicherheitsmechanismus M2 prüft digitale <strong>Sign</strong>aturen gemäß PKCS#1 v1.5 [9] 3 , Abschnitt<br />
8.2.2.<br />
M3<br />
Pseudozufallsgenerator<br />
Der Sicherheitsmechanismus M3 implementiert einen <strong>de</strong>terministischen Zufallsgenerator.<br />
M4<br />
Triple-DES<br />
Der Sicherheitsmechanismus M4 implementiert <strong>de</strong>n 3-Schlüssel-Triple-DES gemäß [8].<br />
M5<br />
Anzeige<br />
Der Sicherheitsmechanismus M5<br />
(a) ermöglicht eine Auswahl einer Datei mit TXT-Dateierweiterung im <strong>AVA</strong>-<br />
Datencontainer,<br />
(b) zeigt in einem geson<strong>de</strong>rten Fenster <strong>de</strong>n Dateiort, <strong>de</strong>n Dateinamen und die<br />
enthaltenen Daten nach ISO8859-1 an.<br />
3.5 Zweckmäßigkeit <strong>de</strong>r Sicherheitsfunktionen/-mechanismen<br />
Das Ergebnis <strong>de</strong>r Zweckmäßigkeitsuntersuchung ist in <strong>de</strong>r folgen<strong>de</strong>n Tabelle dargestellt. In<br />
je<strong>de</strong>r Tabellenzelle kennzeichnet ein Kreuz „X“ die <strong>de</strong>n Bedrohungen entgegenwirken<strong>de</strong>n<br />
Funktionen. Die Abwehr <strong>de</strong>r Bedrohung erfolgt im Sinne <strong>de</strong>r Sicherheitsziele <strong>de</strong>s EVG.<br />
3 Hinweis: Das Dokument [9] spezifiziert sowohl die <strong>Version</strong> <strong>2.1</strong> <strong>de</strong>s Standards (relevante Teile dazu<br />
fin<strong>de</strong>n sich in Abschnitt 8.1) als auch die ältere <strong>Version</strong> 1.5 (vgl. Abschnitt 8.2).<br />
Seite 14 von 19 ventasoft GmbH 15.10.2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Sicherheitsvorgaben<br />
B1<br />
B2<br />
B3<br />
F1<br />
<strong>Sign</strong>aturprüfung<br />
X<br />
X<br />
F2<br />
Unterstützung<br />
<strong>de</strong>r<br />
<strong>Sign</strong>aturerstellung<br />
B4 X X<br />
B5<br />
B6<br />
X<br />
F3<br />
Entschlüsseln<br />
X<br />
F4<br />
Verschlüsseln<br />
F5<br />
Sichere<br />
Anzeige<br />
F6<br />
Umgebungskontrolle<br />
B7 X X<br />
Tabelle 2: Wirksamkeit <strong>de</strong>r Sicherheitsfunktionen zur Abwehr <strong>de</strong>r Bedrohungen<br />
X<br />
Die Bedrohung B1 (Manipulation <strong>de</strong>r Ausschreibungsunterlagen auf <strong>de</strong>m Übertragungsweg)<br />
wird durch die Prüfung <strong>de</strong>r elektronischen <strong>Sign</strong>atur über <strong>de</strong>n Ausschreibungsunterlagen durch<br />
die Sicherheitsfunktion F1 <strong>Sign</strong>aturprüfung erkannt. Dadurch wird die Integrität <strong>de</strong>r empfangenen<br />
Ausschreibungsunterlagen im Sinne <strong>de</strong>s Sicherheitsziels Z1 erkannt.<br />
Hinweis: Unter <strong>de</strong>r Annahme A2 unterstützt auch die verschlüsselte Übertragung <strong>de</strong>r Ausschreibungsunterlagen<br />
die Abwehr <strong>de</strong>r Bedrohung B1, da eine zielgerichtete Manipulation im<br />
CBC-Mo<strong>de</strong> verschlüsselter Daten zusätzlich erschwert ist. In diesem Fall muss die Verschlüsselung<br />
durch die Umgebung geleistet wer<strong>de</strong>n.<br />
Die Bedrohung B2 (Offenbarung <strong>de</strong>r Ausschreibungsunterlagen auf <strong>de</strong>m Übertragungsweg)<br />
wird durch die verschlüsselte Übertragung zwischen <strong>de</strong>m Absen<strong>de</strong>r (unter <strong>de</strong>r Annahme A2)<br />
und <strong>de</strong>m Empfänger unter Nutzung <strong>de</strong>r Sicherheitsfunktion F3 Entschlüsseln gewährleistet. Die<br />
Sicherheitsfunktion F3 Entschlüsseln macht die verschlüsselten Ausschreibungsunterlagen <strong>de</strong>m<br />
Bieter entsprechend Sicherheitsziel Z2 lesbar.<br />
Die Bedrohung B3 (Manipulation <strong>de</strong>r Ausschreibungsunterlagen auf <strong>de</strong>m lokalen Rechner)<br />
kann ebenso wie die Bedrohung B1 mit Hilfe <strong>de</strong>r Prüfung <strong>de</strong>r elektronischen <strong>Sign</strong>atur über <strong>de</strong>n<br />
Ausschreibungsunterlagen durch die Sicherheitsfunktion F1 <strong>Sign</strong>aturprüfung erkannt wer<strong>de</strong>n.<br />
Die Bedrohung B4 (Manipulation <strong>de</strong>r Angebotsunterlagen auf <strong>de</strong>m lokalen Rechner) kann mit<br />
Hilfe <strong>de</strong>r Prüfung <strong>de</strong>r (mittels F2) selbst erstellten elektronischen <strong>Sign</strong>atur über <strong>de</strong>n Angebotsunterlagen<br />
durch die Sicherheitsfunktion F1 <strong>Sign</strong>aturprüfung erkannt wer<strong>de</strong>n.<br />
Hinweis: Die Sicherheitsfunktion F5 Sichere Anzeige ermöglicht <strong>de</strong>m Bieter seine TXT-Dateien<br />
visuell vor und nach <strong>de</strong>r <strong>Sign</strong>aturerstellung zu prüfen. Die Sicherheitsfunktion F6 Umgebungskontrolle<br />
kontrolliert <strong>de</strong>n Transport <strong>de</strong>s Hashwerts <strong>de</strong>r zu signieren<strong>de</strong>n Daten auf <strong>de</strong>m Weg von<br />
<strong>AVA</strong>-<strong>Sign</strong> zur Chipkarte im <strong>Sign</strong>ierprozess <strong>de</strong>r Sicherheitsfunktion F2 Unterstützung <strong>de</strong>r<br />
<strong>Sign</strong>aturerstellung. Bei<strong>de</strong> Funktionen wirken zwar auch hier unterstützend, wer<strong>de</strong>n aber im<br />
Zusammenhang mit Bedrohung B7 diskutiert.<br />
15.10.2003 ventasoft GmbH Seite 15 von 19
Sicherheitsvorgaben <strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Die Bedrohung B5 (Manipulation <strong>de</strong>r Angebotsunterlagen auf <strong>de</strong>m Übertragungskanal) wird mit<br />
Hilfe <strong>de</strong>r Prüfung (durch <strong>de</strong>n Empfänger) <strong>de</strong>r elektronischen <strong>Sign</strong>atur über die Angebotsunterlagen<br />
durch die Sicherheitsfunktion F2 Unterstützung <strong>de</strong>r <strong>Sign</strong>aturerstellung abgewehrt, da<br />
Manipulationen für <strong>de</strong>n Empfänger gemäß Annahme A1 erkannt wer<strong>de</strong>n können.<br />
Die Bedrohung B6 (Offenbarung <strong>de</strong>r Angebotsunterlagen auf <strong>de</strong>m Übertragungskanal) wird<br />
durch die Verschlüsselung <strong>de</strong>r Angebotsunterlagen mit <strong>de</strong>r Sicherheitsfunktion F4 Verschlüsseln<br />
in Verbindung mit <strong>de</strong>r Annahme A2 ausgeschlossen.<br />
Die Sicherheitsfunktion F6 Umgebungskontrolle stellt Manipulationen am Hashwert bei <strong>de</strong>r<br />
Übertragung an die Chipkarte fest. In Verbindung mit <strong>de</strong>r Annahme A3 verhin<strong>de</strong>rt sie so eine<br />
Erstellung qualifizierter <strong>Sign</strong>aturen über an<strong>de</strong>re als vom Kartenhalter gewollte Daten durch<br />
einen lokalen Angreifer (Bedrohung B7). Die Sicherheitsfunktion F5 Sichere Anzeige verhin<strong>de</strong>rt,<br />
dass Daten falsch angezeigt wer<strong>de</strong>n, so dass <strong>de</strong>r Kartenhalter fälschlicherweise einer <strong>Sign</strong>aturerstellung<br />
zustimmt (möglicherweise wird er über <strong>de</strong>n Inhalt <strong>de</strong>s von ihm zu signieren<strong>de</strong>n Textes<br />
getäuscht).<br />
Den sicherheitsspezifischen Funktionen F1 bis F6 sind folgen<strong>de</strong> Mechanismen M1 bis M5<br />
zugeordnet:<br />
M1<br />
Hashwertberechnung<br />
M2<br />
Prüfung<br />
digitaler<br />
<strong>Sign</strong>atur<br />
M3<br />
Pseudozufallsgenerator<br />
M4<br />
Triple-DES<br />
M5<br />
Anzeige<br />
F1<br />
<strong>Sign</strong>aturprüfung<br />
x<br />
x<br />
F2<br />
Unterstützung <strong>de</strong>r<br />
<strong>Sign</strong>aturerstellung<br />
x<br />
F3<br />
Entschlüsseln<br />
x<br />
F4<br />
Verschlüsseln<br />
x<br />
x<br />
F5<br />
Sichere Anzeige<br />
x<br />
F6<br />
Umgebungskontrolle<br />
x<br />
x<br />
Tabelle 3: Zuordnung Sicherheitsfunktionen und Sicherheitsmechanisemn<br />
Diese Zuordnung begrün<strong>de</strong>t sich wie folgt. Die SSF F1 benötigt für die korrekte Umsetzung die<br />
Mechanismen M1 und M2. Für die SSF F2 wird nur <strong>de</strong>r Mechanismus M1 benötigt, die weitere<br />
Umsetzung erfolgt durch externe Sicherheitsmassnahmen <strong>de</strong>r Chipkarte. SSF F3 wird durch<br />
M4 realisiert, die weitere Umsetzung erfolgt durch externe Sicherheitsmassnahmen <strong>de</strong>r Chipkarte.<br />
Die Umsetzung <strong>de</strong>r SSF F4 erfolgt durch die Mechanismen M3 und M4. Der Mechanismus<br />
M5 ermöglicht die SSF F5. SSF F6 wird durch die Mechanismen M1 und M2 sichergestellt.<br />
Seite 16 von 19 ventasoft GmbH 15.10.2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Sicherheitsvorgaben<br />
4 Evaluationsstufe und die Mechanismenstärke<br />
Die angestrebte Evaluierungsstufe ist E2.<br />
Die Stärke <strong>de</strong>r Mechanismen vom ITSEM-Typ A soll min<strong>de</strong>stens „hoch“ sein.<br />
5 Anhang<br />
5.1 Glossar<br />
Ausschreibungsunterlagen Oberbegriff für Angebotsunterlagen und Vergabeunterlagen;<br />
wenn nicht an<strong>de</strong>rs erwähnt, meint Ausschreibungsunterlagen<br />
insbeson<strong>de</strong>re die Unterlagen, die von <strong>de</strong>r Vergabestelle an <strong>de</strong>n<br />
Bieter übermittelt wer<strong>de</strong>n.<br />
Angebotsunterlagen<br />
Vergabeunterlagen<br />
Vertragsunterlagen<br />
Geschützter<br />
Einsatzbereich<br />
Oberbegriff für vom Bieter zu bearbeitete Bietererklärungen und<br />
Vertragsunterlagen, <strong>de</strong>ren Vertraulichkeit und Integrität zu<br />
schützen sind; wenn nicht an<strong>de</strong>rs erwähnt, meint Angebotsunterlagen<br />
insbeson<strong>de</strong>re die vom Bieter bearbeiteten und ausgefüllten<br />
Unterlagen, die vom Bieter zurück an die Vergabestelle<br />
übermittelt wer<strong>de</strong>n.<br />
Wer<strong>de</strong>n von <strong>de</strong>r Vergabestelle herausgegeben. Auf Grund <strong>de</strong>r<br />
Vergabeunterlagen wird das / wer<strong>de</strong>n die Angebote in Form von<br />
Vertragunterlagen erstellt.<br />
Dies sind Daten, die <strong>de</strong>r Bieter als Angebot bei <strong>de</strong>r Vergabestelle<br />
einreicht. Vertragsunterlagen setzen rechtlich und inhaltlich<br />
auf <strong>de</strong>n Vergabeunterlagen auf.<br />
Einsatzumgebung für die <strong>Sign</strong>aturanwendungskomponente gemäß<br />
[4], bei <strong>de</strong>r potentielle Bedrohungen über ?das Internet, ein<br />
angeschlossenes Intranet, einen manuellen Zugriff Unbefugter<br />
und Datenaustausch per Datenträger durch eine Kombination<br />
von Sicherheitsvorkehrungen in <strong>de</strong>r <strong>Sign</strong>aturanwendungskomponente<br />
selbst und <strong>de</strong>r Einsatzumgebung mit hoher Sicherheit<br />
abgewehrt wer<strong>de</strong>n.<br />
Die EVG-spezifischen Anfor<strong>de</strong>rungen an die Anwendungsumgebung<br />
<strong>de</strong>s geschützten Bereichs sind Abschnitt AR 5.1.1 <strong>de</strong>finiert.<br />
Isolierter Einsatzbereich<br />
Die <strong>Sign</strong>aturanwendungskomponente wird in einer „<strong>Sign</strong>atur-<br />
Arbeitsstation“ eingesetzt, bei <strong>de</strong>r gegenüber <strong>de</strong>n potentiellen<br />
Bedrohungen folgen<strong>de</strong>r Schutz besteht:<br />
Es erfolgt zu keinem Zeitpunkt eine Anbindung an ein Kommunikationsnetz<br />
und in <strong>de</strong>r Einsatzumgebung sind Sicherheitsvorkehrungen<br />
vorhan<strong>de</strong>n, die potentielle Angriffe über manuellen<br />
15.10.2003 ventasoft GmbH Seite 17 von 19
Sicherheitsvorgaben <strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Zugriff Unbefugter/Datenaustausch per Datenträger mit hoher<br />
Sicherheit abwehren.<br />
Terminal Klasse 1<br />
Terminal Klasse 2<br />
Terminal Klasse 3<br />
Bedienerführung<br />
Die EVG-spezifischen Anfor<strong>de</strong>rungen an die Anwendungsumgebung<br />
<strong>de</strong>s isolierten Bereichs sind Abschnitt 5.3 Pkt. 4 <strong>de</strong>finiert.<br />
Benutzereingabeschnittstelle<br />
Physikalische Schnittstelle bereitstellen<br />
Physikalische Schnittstelle bereitstellen + Tastatur<br />
Physikalische Schnittstelle bereitstellen + Tastatur + Anzeige<br />
Auffor<strong>de</strong>rung zu Benutzeraktivitäten<br />
Tastatur für PIN-Eingabe<br />
GAEB - Datei „Gemeinsamer Ausschuss für Elektronik im Bauwesen“<br />
Standardformat für Leistungsverzeichnisse<br />
Die Begriffe „Auftraggeber“ und „Vergabestelle“ wer<strong>de</strong>n synonym verwen<strong>de</strong>t und bezeichnen<br />
<strong>de</strong>n Betreiber <strong>de</strong>s <strong>AVA</strong>-Online-Servers. Die Begriffe „Bearbeiter“ und „Bieter“ wer<strong>de</strong>n ebenfalls<br />
synonym verwen<strong>de</strong>t und bezeichnen <strong>de</strong>n Nutzer <strong>de</strong>s <strong>AVA</strong>-<strong>Sign</strong>-Pakets.<br />
5.2 Abkürzungen<br />
AR<br />
FE<br />
SIK<br />
SPIN<br />
SRF<br />
SRK<br />
SSF<br />
SSK<br />
SV<br />
TE<br />
VPIN<br />
Architekturentwurf<br />
Feinentwurf<br />
Sicherheitsirrelevante Komponente (AR, FE: „an<strong>de</strong>re Komponente“)<br />
Authentisierungsdaten für <strong>de</strong>n privaten <strong>Sign</strong>aturschlüssel auf <strong>de</strong>r Chipkarte<br />
Sicherheitsrelevante Funktion<br />
Sicherheitsrelevante Komponente<br />
Sicherheitsspezifische Funktion<br />
Sicherheitsspezifische Komponente<br />
Sicherheitsvorgaben<br />
Implementierung, Test<br />
Authentisierungsdaten für <strong>de</strong>n privaten Verschlüsselungsschlüssel auf <strong>de</strong>r Chipkarte<br />
Seite 18 von 19 ventasoft GmbH 15.10.2003
<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Sicherheitsvorgaben<br />
5.3 Literatur<br />
[1] Kriterien für die Bewertung <strong>de</strong>r Sicherheit von Systemen <strong>de</strong>r Informationstechnik<br />
(ITSEC). Vorläufige Form <strong>de</strong>r harmonisierten Kriterien. Amt für amtliche Veröffentlichungen<br />
<strong>de</strong>r Europäischen Gemeinschaften, Juni 1991<br />
[2] Gesetz über Rahmenbedingungen für elektronische <strong>Sign</strong>aturen (<strong>Sign</strong>aturgesetz SigG),<br />
Artikel 1 in „Gesetz über Rahmenbedingungen für elektronische <strong>Sign</strong>aturen und zur Än<strong>de</strong>rung<br />
weiterer Vorschriften“, 16. Mai 2001, Bun<strong>de</strong>sgesetzblatt vom 21. Mai 2001<br />
[3] Verordnung zur digitalen <strong>Sign</strong>atur (<strong>Sign</strong>aturverordnung - SigV) in <strong>de</strong>r Fassung <strong>de</strong>s Beschlusses<br />
<strong>de</strong>r Bun<strong>de</strong>sregierung vom 16. November 2001<br />
[4] Einheitliche Spezifizierung <strong>de</strong>r Einsatzbedingungen für <strong>Sign</strong>aturanwendungskomponenten<br />
- Arbeitsgrundlage für Entwickler/Hersteller und Prüf-/Bestätigungsstellen, RegTP<br />
<strong>Version</strong> 1.0, Stand: 30.01.2002<br />
[5] Geeignete Kryptoalgorithmen zur Erfüllung <strong>de</strong>r Anfor<strong>de</strong>rungen nach §17 Abs. 1 bis 3<br />
SigG vom 22. Mai 2001 in Verbindung mit Anlage 1 Abschnitt I Nr. 2 SigV vom 22.<br />
November 2001, Regulierungsbehör<strong>de</strong> für Telekommunikation und Post (RegTP),<br />
21.01.2003<br />
[6] Anwendungshinweise und Interpretationen zum Schema, AIS20, <strong>Version</strong> 1, <strong>2.1</strong><strong>2.1</strong>999,<br />
Bun<strong>de</strong>samt für Sicherheit in <strong>de</strong>r Informationstechnik<br />
[7] Fe<strong>de</strong>ral Information Processing Standards Publication 180-2 Secure Hash Standard,<br />
NIST, 2002 August 1<br />
[8] FIPS PUB 46-3 Fe<strong>de</strong>ral Information Processing Standards Publication Data Encryption<br />
Standard (DES), Reaffirmed 1999 October 25, U.S. Department Of Commerce/National<br />
Institute of Standards and Technology<br />
[9] PKCS #1 v<strong>2.1</strong>: RSA Cryptographic Standard, 14.6.2002.<br />
En<strong>de</strong> <strong>de</strong>r Sicherheitsvorgaben zu<br />
„<strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong>“.<br />
15.10.2003 ventasoft GmbH Seite 19 von 19
(Diese Seite ist beabsichtigterweise leer.)
<strong>Zertifizierungsreport</strong> T-Systems-DSZ-ITSEC-04097-2003<br />
Hrsg.: T-Systems GEI GmbH<br />
Adresse: Rabinstr.8, 53111 Bonn<br />
Telefon: 0228/9841-0<br />
Fax: 0228/9841-60<br />
Web: www.t-<strong>systems</strong>-itc-security.com<br />
www.t-<strong>systems</strong>-<strong>zert</strong>.com