Zertifizierungsreport AVA-Sign Version 2.1 - T-systems-zert.de
Zertifizierungsreport AVA-Sign Version 2.1 - T-systems-zert.de
Zertifizierungsreport AVA-Sign Version 2.1 - T-systems-zert.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Sicherheitsvorgaben <strong>AVA</strong>-<strong>Sign</strong> <strong>Version</strong> <strong>2.1</strong><br />
Vertragsunterlagen und Bietererklärungen sowie ggfs. Nebenangebote wer<strong>de</strong>n unter <strong>de</strong>m<br />
Begriff Angebotsunterlagen zusammengefasst. Wenn nicht an<strong>de</strong>rs erwähnt, meint Angebotsunterlagen<br />
insbeson<strong>de</strong>re die vom Bieter bearbeiteten und ausgefüllten Unterlagen, die vom<br />
Bieter zurück an die Vergabestelle übermittelt wer<strong>de</strong>n.<br />
Die Integrität und Vertraulichkeit <strong>de</strong>r Angebotsunterlagen ist vom EVG zu sichern. Der<br />
EVG muss dazu in <strong>de</strong>r Lage sein, gesichert zu übertragen<strong>de</strong> Daten zu signieren und zu<br />
verschlüsseln. Anmerkung: Eine <strong>Sign</strong>atur kann auch dazu verwen<strong>de</strong>t wer<strong>de</strong>n, lokal auf <strong>de</strong>m PC<br />
gespeicherte Daten vor Manipulation zu schützen.<br />
Der EVG verwen<strong>de</strong>t für die Sicherheitsfunktionen zusätzlich folgen<strong>de</strong> Objekte, auf die die unten<br />
<strong>de</strong>finierten Subjekte zugreifen können:<br />
Qualifizierte <strong>Sign</strong>atur<strong>zert</strong>ifikate <strong>de</strong>s Kartenhalters und <strong>de</strong>r Absen<strong>de</strong>r <strong>de</strong>r Ausschreibungsunterlagen,<br />
Verschlüsselungs<strong>zert</strong>ifikate <strong>de</strong>s Kartenhalters und <strong>de</strong>r Empfänger <strong>de</strong>r Ausschreibungsunterlagen.<br />
Subjekte<br />
Für die Formulierung <strong>de</strong>r Sicherheitseigenschaften <strong>de</strong>s EVG wer<strong>de</strong>n folgen<strong>de</strong> Subjekte <strong>de</strong>finiert:<br />
(S1)<br />
Bearbeiter: eingewiesener Benutzer <strong>de</strong>s EVG, <strong>de</strong>r Angebotsunterlagen aus <strong>de</strong>n<br />
Ausschreibungsunterlagen erstellt.<br />
(S2) Kartenhalter: eingewiesener Benutzer <strong>de</strong>s EVG, <strong>de</strong>r durch Kenntnis <strong>de</strong>r<br />
Authentisierungsdaten für die Chipkarte zum <strong>Sign</strong>ieren <strong>de</strong>r Angebotsunterlagen und<br />
zum Entschlüsseln <strong>de</strong>r Ausschreibungsunterlagen autorisiert ist.<br />
Sowohl (S1) als auch (S2) können <strong>Sign</strong>aturen prüfen und Angebotsunterlagen verschlüsseln.<br />
(S3)<br />
(S4)<br />
(S5)<br />
(S6)<br />
Absen<strong>de</strong>r <strong>de</strong>r Ausschreibungsunterlagen: zum Bereitstellen <strong>de</strong>r Ausschreibungsunterlagen<br />
auf <strong>de</strong>m <strong>AVA</strong>-Online-Server berechtigter Mitarbeiter <strong>de</strong>r Vergabestelle.<br />
Empfänger <strong>de</strong>r Angebotsunterlagen: zum Lesen <strong>de</strong>r Angebotsunterlagen auf <strong>de</strong>m <strong>AVA</strong>-<br />
Online-Server berechtigter Mitarbeiter <strong>de</strong>r Vergabestelle.<br />
Externer Angreifer: Unbefugter, <strong>de</strong>r versucht, lesen<strong>de</strong>n o<strong>de</strong>r schreiben<strong>de</strong>n Zugang zu<br />
<strong>de</strong>n Ausschreibungsunterlagen bzw. Angebotsunterlagen auf <strong>de</strong>m Übertragungskanal<br />
zwischen <strong>AVA</strong>-Online-Server und <strong>AVA</strong>-<strong>Sign</strong> zu erlangen.<br />
Lokaler Angreifer: Unbefugter, <strong>de</strong>r versucht, auf <strong>de</strong>m Personalcomputer lesen<strong>de</strong>n o<strong>de</strong>r<br />
schreiben<strong>de</strong>n Zugang auf Daten (insbeson<strong>de</strong>re Angebotsunterlagen bzw. Ausschreibungsunterlagen)<br />
zu erlangen o<strong>de</strong>r Programme auszuführen.<br />
Zugriffsarten<br />
(ZA1) Eingabe <strong>de</strong>r Authentisierungsdaten zur Benutzung <strong>de</strong>s privaten <strong>Sign</strong>aturschlüssels <strong>de</strong>r<br />
Chipkarte (SPIN)<br />
Seite 8 von 19 ventasoft GmbH 15.10.2003