Zertifizierungsreport AVA-Sign Version 2.1 - T-systems-zert.de
Zertifizierungsreport AVA-Sign Version 2.1 - T-systems-zert.de
Zertifizierungsreport AVA-Sign Version 2.1 - T-systems-zert.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
insbeson<strong>de</strong>re <strong>de</strong>r Annahme A3.1 in <strong>de</strong>n Sicherheitsvorgaben (s. Anhang)<br />
wi<strong>de</strong>rspricht und somit nicht als „<strong>zert</strong>ifiziert“ betrachtet wer<strong>de</strong>n kann.<br />
2. Für Anwendungen im Bereich <strong>de</strong>r elektronischen <strong>Sign</strong>atur ist auf folgen<strong>de</strong>s<br />
zu achten: Bezieht <strong>de</strong>r Nutzer <strong>de</strong>n Kartenleser nicht über <strong>de</strong>n Hersteller<br />
ventasoft als Teil <strong>de</strong>s <strong>AVA</strong>-<strong>Sign</strong> Pakets, muß sichergestellt wer<strong>de</strong>n, daß<br />
<strong>de</strong>r Kartenleser entsprechend SigG sicherheitsbestätigt ist; in Zweifelsfällen<br />
ist <strong>de</strong>r Hersteller zu kontaktieren; beim verschie<strong>de</strong>ntlich angebotenen<br />
Firmware-Update für Kartenleser ist darauf zu achten, daß nur auf solche<br />
Firmware-<strong>Version</strong>en aktualisiert wird, die unter die entsprechen<strong>de</strong> Sicherheitsbestätigung<br />
fallen.<br />
6 Anwendung <strong>de</strong>r Ergebnisse<br />
33 Die Prozesse <strong>de</strong>r Evaluierung und Zertifizierung wer<strong>de</strong>n nach <strong>de</strong>m Stand<br />
<strong>de</strong>r Technik durchgeführt, können aber keine absolute Garantie dafür geben,<br />
daß <strong>de</strong>r EVG frei von Schwachstellen ist. Mit steigen<strong>de</strong>r Evaluationsstufe<br />
verringert sich allerdings die Wahrscheinlichkeit erheblich, daß ausnutzbare<br />
Schwachstellen unent<strong>de</strong>ckt bleiben.<br />
34 Der <strong>Zertifizierungsreport</strong> dient <strong>de</strong>m Hersteller als Nachweis <strong>de</strong>r<br />
durchgeführten Evaluierung und <strong>de</strong>m Nutzer als eine Grundlage für die<br />
sichere Nutzung <strong>de</strong>s EVG.<br />
35 Für die sichere Nutzung <strong>de</strong>s EVG enthalten insbeson<strong>de</strong>re die folgen<strong>de</strong>n<br />
Stellen im <strong>Zertifizierungsreport</strong> wichtige Informationen:<br />
- Kapitel 1: die genaue Produkt- und <strong>Version</strong>sbezeichnung:<br />
Zertifikat und <strong>Zertifizierungsreport</strong> gelten nur für dieses Produkt und diese<br />
spezielle <strong>Version</strong>.<br />
- Kapitel 5: Angaben zum Auslieferungsverfahren <strong>de</strong>s EVG.<br />
An<strong>de</strong>re Auslieferungsverfahren können unter Umstän<strong>de</strong>n nicht die für die<br />
Stufe E2 erfor<strong>de</strong>rliche Sicherheit bieten.<br />
- Kapitel 5: Angaben zu evaluierten Konfigurationen <strong>de</strong>s EVG.<br />
Der EVG gilt nur in diesen Konfigurationen als <strong>zert</strong>ifiziert.<br />
- Kapitel 5: Hinweise für <strong>de</strong>n Nutzer <strong>de</strong>s EVG.<br />
Die Sicherheit bei <strong>de</strong>r Anwendung <strong>de</strong>s EVG kann ggf. nicht mehr gegeben<br />
sein, wenn diese Hinweise nicht beachtet wer<strong>de</strong>n.<br />
- Anhang: Sicherheitsvorgaben zum EVG.<br />
Hier sind insbeson<strong>de</strong>re die Informationen zur Art <strong>de</strong>r Nutzung <strong>de</strong>s EVG,<br />
zum Lieferumfang, zu seinen Sicherheitszielen bzw. <strong>de</strong>n betrachteten Bedrohungen<br />
und zur Einsatzumgebung zu beachten.<br />
Seite 22 von 23<br />
T-Systems-DSZ-ITSEC-04097-2003