SLE66CX322P oder SLE66CX642P / CardOS ... - T-systems-zert.de
SLE66CX322P oder SLE66CX642P / CardOS ... - T-systems-zert.de
SLE66CX322P oder SLE66CX642P / CardOS ... - T-systems-zert.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Bestätigung zur Registrierungsnummer T-Systems.02192.TE.08.2007<br />
Seite 10 von 12 Seiten<br />
c) Auslieferung und Personalisierung<br />
Die Auslieferung <strong>de</strong>r SSEE durch <strong>de</strong>n ZDA liegt in <strong>de</strong>r Verantwortung <strong>de</strong>s ZDA und<br />
ist in <strong>de</strong>ssen Sicherheitskonzept in Übereinstimmung mit <strong>de</strong>n Anfor<strong>de</strong>rungen in<br />
"<strong>CardOS</strong>® V4.2B FIPS Delivery and Operation, Edition 06/2007", Version 1.00,<br />
06.06.2007 zu beschreiben.<br />
Bei <strong>de</strong>r Personalisierung wer<strong>de</strong>n zwei Varianten unterschie<strong>de</strong>n, die im Dokument<br />
Nr. 12 (s. "Lieferumfang") <strong>de</strong>tailliert beschrieben sind:<br />
- Bei <strong>de</strong>r Variante "pre-loa<strong>de</strong>d" wird die Karte nach Initialisierung, Schlüsselgenerierung<br />
und Personalisierung an eine LRA ausgeliefert. Der Karteninhaber muss<br />
vor Ort in <strong>de</strong>r LRA alle Anwendungen aktivieren, die PIN- und PUK-Objekte für<br />
je<strong>de</strong> Anwendung festlegen sowie <strong>de</strong>n Zertifikatsrequest signieren und erhält<br />
danach die von <strong>de</strong>r CA erzeugten Zertifikate auf seine Karte installiert. Vor<br />
diesen Aktivitäten wird die Authentizität <strong>de</strong>s Antragstellers geprüft; mithilfe einer<br />
(vorher ausgelieferten) Transport-PIN wird geprüft, ob die entsprechen<strong>de</strong> Karte<br />
bereits früher genutzt wur<strong>de</strong>.<br />
- Bei <strong>de</strong>r Variante "post-loa<strong>de</strong>d" wird die teil-initialisierte Karte (noch ohne<br />
Signaturanwendung) vorher an <strong>de</strong>n Antragsteller ausgeliefert, <strong>de</strong>r seinerseits mit<br />
<strong>de</strong>r Karte zur LRA gehen muss, um dort die Signaturanwendung auf seine Karte<br />
installiert zu bekommen und diese aktivieren zu können. Diese Vorgänge sind<br />
durch Authentisierungsmaßnahmen (Karte ↔ LRA) und Secure Messaging<br />
gesichert.<br />
Die Personalisierungsscripte dürfen nur an <strong>de</strong>n durch Kommentare kenntlich gemachten<br />
Stellen im Sinne <strong>de</strong>r Kommentare angepasst wer<strong>de</strong>n.<br />
Der ZDA muss in seinem Sicherheitskonzept alle Maßnahmen beschreiben, die für<br />
eine sichere Personalisierung erfor<strong>de</strong>rlich sind. Von <strong>de</strong>n im Dokument Nr. 12<br />
beschriebenen Abläufen darf nicht abgewichen wer<strong>de</strong>n.<br />
d) Nutzung <strong>de</strong>s Produktes<br />
Mit Auslieferung <strong>de</strong>r SSEE an <strong>de</strong>n ZDA ist dieser auf die Einhaltung <strong>de</strong>r unter a), b)<br />
und c) genannten Einsatzbedingungen hinzuweisen.<br />
Während <strong>de</strong>s Betriebes sind die folgen<strong>de</strong>n Bedingungen für <strong>de</strong>n sachgemäßen Einsatz<br />
zu beachten:<br />
Anfor<strong>de</strong>rungen an <strong>de</strong>n ZDA<br />
Der ZDA muss die Kartenhalter gemäß §6 Abs. 1 und 3 SigG über die sachgerechte<br />
Benutzung von Transport-PIN, PIN und PUK sowie <strong>de</strong>n Einsatz einer geeigneten<br />
Signaturanwendungskomponente unterrichten.