Dokumentation der MCard-Bibliothek 1.12.0.0 der bremen
Dokumentation der MCard-Bibliothek 1.12.0.0 der bremen
Dokumentation der MCard-Bibliothek 1.12.0.0 der bremen
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Handbuch<br />
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
<strong>bremen</strong> online services<br />
GmbH & Co. KG<br />
Version <strong>MCard</strong> <strong>1.12.0.0</strong><br />
25.05.2010<br />
Dokumentenversion 1.0<br />
© 2010 bos <strong>bremen</strong> online services GmbH & Co. KG, Bremen
Än<strong>der</strong>ungsnachweise<br />
Version Freigabedatum<br />
Autor Kapitel Än<strong>der</strong>ungen<br />
0.1 JP Alle Erstellung<br />
0.5 07.01.2010 JP Alle Erweiterung<br />
0.8 25.03.2010 JP Alle Qualitätssicherung<br />
0.9 10.05.2010 TN Alle Erweiterung und Qualitätssicherung<br />
1.0 25.05.2010 TN Alle Freigabe
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Inhaltsverzeichnis<br />
1 Rechtliche Informationen und weitere Hinweise...............................................................4<br />
2 Einleitung.........................................................................................................................5<br />
2.1 Auflagen für die Nutzung <strong>der</strong> <strong>MCard</strong> gemäß Signaturgesetz ...................................5<br />
3 Varianten <strong>der</strong> <strong>MCard</strong>........................................................................................................7<br />
3.1 Releasezyklen <strong>der</strong> <strong>MCard</strong>........................................................................................8<br />
3.2 Funktionsweise <strong>MCard</strong>.............................................................................................8<br />
4 Hard- und Softwareanfor<strong>der</strong>ungen.................................................................................10<br />
4.1 Betriebssysteme ....................................................................................................10<br />
4.1.1 Unterstützte Betriebssysteme.......................................................................11<br />
4.1.2 Abkündigungen von Betriebssystemen.........................................................11<br />
4.2 SUN Java Standard Edition Runtime Environment (JRE).......................................12<br />
4.2.1 Unterstützte JREs ........................................................................................12<br />
4.2.2 Abkündigungen von JREs ............................................................................12<br />
4.3 Chipkartenlesegeräte.............................................................................................13<br />
4.3.1 Unterstützte Chipkartenlesegeräte ...............................................................14<br />
4.3.2 Abkündigungen Chipkartenlesegeräte..........................................................15<br />
4.4 Signaturkarten .......................................................................................................16<br />
4.4.1 Unterstützte Signaturkarten..........................................................................17<br />
4.4.2 Abkündigungen Signaturkarten ....................................................................18<br />
4.4.3 Unterstützte Kombinationen aus Betriebssystem, Chipkartenlesegerät und<br />
Signaturkarte .........................................................................................................19<br />
4.4.4 Terminalserver .............................................................................................19<br />
4.5 Abwärtskompatibilität <strong>der</strong> <strong>MCard</strong> zum Governikus SDK.........................................20<br />
5 Benötigte <strong>Bibliothek</strong>en ...................................................................................................21<br />
5.1.1 Third-Party <strong>Bibliothek</strong>en ...............................................................................21<br />
5.1.2 Native <strong>Bibliothek</strong>en.......................................................................................21<br />
5.1.3 Verwendung unter JWS................................................................................21<br />
6 Konfiguration <strong>der</strong> <strong>MCard</strong> <strong>Bibliothek</strong>................................................................................22<br />
7 Austausch <strong>der</strong> <strong>MCard</strong>-<strong>Bibliothek</strong>en in existierenden Anwendungen...............................23<br />
7.1 Austausch <strong>der</strong> <strong>MCard</strong> <strong>Bibliothek</strong>............................................................................23<br />
8 Anhang ..........................................................................................................................24<br />
8.1 Unterstützte Signaturkarten ...................................................................................24<br />
8.2 Unterstützte Chipkartenlesegeräte.........................................................................27<br />
8.3 Unterstützte Kombinationen Betriebssystem - Chipkartenlesegerät - Signaturkarte29<br />
8.4 Unterstützte Terminalserver-Kombinationen ..........................................................36<br />
3
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
1 Rechtliche Informationen und weitere Hinweise<br />
Obwohl diese Produktdokumentation nach bestem Wissen und mit größter Sorgfalt erstellt<br />
wurde, können Fehler und Ungenauigkeiten nicht vollständig ausgeschlossen werden. Eine<br />
juristische Verantwortung o<strong>der</strong> Haftung für eventuell verbliebene fehlerhafte Angaben und<br />
<strong>der</strong>en Folgen wird nicht übernommen. Die in dieser Produktdokumentation enthaltenen Angaben<br />
spiegeln den aktuellen Entwicklungsstand wi<strong>der</strong> und können ohne Ankündigung geän<strong>der</strong>t<br />
werden. Künftige Auflagen können zusätzliche Informationen enthalten. Technische<br />
und typografische Fehler werden in künftigen Auflagen korrigiert.<br />
Wenn Ihnen in diesem Dokument Fehler auffallen o<strong>der</strong> wenn Sie Verbesserungsvorschläge<br />
haben, schicken Sie diese bitte per E-Mail an: mailto:technikredaktion@bos-<strong>bremen</strong>.de.<br />
Diese Produktinformation sowie sämtliche urheberrechtsfähigen Materialien, die mit dem<br />
Produkt vertrieben werden, sind urheberrechtlich geschützt. Alle Rechte sind <strong>der</strong> <strong>bremen</strong><br />
online services Entwicklungs- und Betriebsgesellschaft mbH & Co. KG, Bremen, (bos KG)<br />
vorbehalten. Alle urheberrechtsfähigen Materialien dürfen ohne vorherige Einwilligung <strong>der</strong><br />
bos KG we<strong>der</strong> ganz noch teilweise kopiert o<strong>der</strong> auf sonstige Art und Weise reproduziert werden.<br />
Für rechtmäßige Nutzer des Produkts gilt diese Einwilligung im Rahmen <strong>der</strong> vertraglichen<br />
Vereinbarungen als erteilt. Jegliche Kopien dieser Produktinformation bzw. von Teilen<br />
daraus müssen den gleichen Hinweis auf das Urheberrecht enthalten wie das Original.<br />
Governikus, Govello und erv-d sind eingetragene Marken <strong>der</strong> <strong>bremen</strong> online services Entwicklungs-<br />
und Betriebsgesellschaft mbH & Co. KG, Bremen.<br />
Das Copyright für die Programmiersprache Java und allen weiteren, frei bei SUN Microsystems<br />
verfügbaren Technologien, liegt bei SUN Microsystems. Das Copyright für JBoss<br />
liegt bei Red Hat, Inc. Hierfür sind <strong>der</strong>en geltenden Markenbestimmungen zu beachten. An<strong>der</strong>e<br />
in diesem Produkt aufgeführten Produkt- und/ o<strong>der</strong> Firmennamen sind möglicherweise<br />
Marken weiterer Eigentümer, <strong>der</strong>en Rechte ebenfalls zu wahren sind.<br />
Sofern in diesem Handbuch für Personen ausschließlich die männliche Form benutzt wird,<br />
geschieht dies nur aus Gründen <strong>der</strong> besseren Lesbarkeit und hat keinen diskriminierenden<br />
Hintergrund.<br />
4
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
2 Einleitung<br />
Dieses Handbuch bietet die notwendigen Informationen, um die Governikus Kartenansteuerung<br />
<strong>MCard</strong> in Clients, die den OSCI-Client-Enabler des Governikus SDK verwenden, zu<br />
aktualisieren.<br />
Es adressiert Entwickler, die auf <strong>der</strong> Grundlage des Governikus SDK Komponenten eigene<br />
Client-Anwendungen als Signaturanwendungskomponente entwickeln o<strong>der</strong> entwickelt haben,<br />
und Produktmanager, die den Anwen<strong>der</strong>n dieser Clients Informationen zum Portfolio<br />
<strong>der</strong> unterstützten Signaturkarten und Chipkartenlesegeräte sowie zu den unterstützten Betriebssystemen<br />
in Form einer Endanwen<strong>der</strong>dokumentation zur Verfügung stellen müssen.<br />
Hinweis: Wichtige Hinweise, vor allem zum signaturgesetzkonformen<br />
Einsatz <strong>der</strong> <strong>MCard</strong> als Teil einer Signaturanwendungskomponente<br />
(SAK), die in die eigene Endanwen<strong>der</strong>dokumentation aufgenommen<br />
werden müssen, werden im Folgenden mit einem Rahmen umgeben.<br />
2.1 Auflagen für die Nutzung <strong>der</strong> <strong>MCard</strong> gemäß Signaturgesetz<br />
Das Governikus SDK ist gemäß § 15 Abs. 7 und § 17 Abs. 4 Signaturgesetz (SigG) sowie<br />
§ 11 Abs. 3 Signaturverordnung (SigV) bestätigt o<strong>der</strong> herstellererklärt, sodass <strong>der</strong> OSCI-<br />
Client-Enabler eine Funktionsbibliothek darstellt, die Teilfunktionalitäten einer Signaturanwendungskomponente<br />
zur Verfügung stellt. Dazu gehört auch die Governikus Kartenansteuerung<br />
(<strong>MCard</strong>) als Teil dieser Funktionsbibliothek.<br />
Applikationen, die den OSCI-Client-Enabler und die <strong>MCard</strong> (und damit Kartenleser und Signaturkarten)<br />
verwenden, können damit Teil einer Signaturanwendungskomponente (SAK)<br />
sein. SAK werden in § 1, 11 SigG definiert als “Software- und Hardwareprodukte, die dazu<br />
bestimmt sind Daten dem Prozess <strong>der</strong> Erzeugung o<strong>der</strong> Prüfung qualifizierter elektronischer<br />
Signaturen zuzuführen. Damit sind auch die die Kartenleser und Signaturkarten Bestandteil<br />
<strong>der</strong> SAK. Diese ist allerdings nicht per se durch Verwendung dieser <strong>Bibliothek</strong>en SigGkonform.<br />
Für einen SigG-konformen Betrieb sind vielmehr bestimmte organisatorische und<br />
technische Maßnahmen erfor<strong>der</strong>lich, die die SAK-Umgebung betreffen. Die organisatorischen<br />
und technischen Maßnahmen sollen sicherstellen, dass den Ergebnissen <strong>der</strong> Signaturanwendungskomponente<br />
auch tatsächlich vertraut werden kann, weil das ganze System<br />
auf dem die SAK ausgeführt wird, vertrauenswürdig ist.<br />
5
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Wird die <strong>MCard</strong> als Teil einer SAK verwendet, sollte in <strong>der</strong> Anwen<strong>der</strong>dokumentation <strong>der</strong> folgende<br />
Hinweis zur SigG-konformen Nutzung sinngemäß aufgenommen werden:<br />
Die Nutzung <strong>der</strong> Clientapplikation als Signaturanbringungskomponente<br />
(d. h., zur Anbringung von qualifizierten elektronischen Signaturen nach deutschem<br />
Signaturgesetz), macht es erfor<strong>der</strong>lich, dass den potenziellen Bedrohungen<br />
durch einen unterschiedlichen „Mix“ von Sicherheitsvorkehrungen in <strong>der</strong> SAK<br />
selbst und durch die Einsatzumgebung begegnet wird. In <strong>der</strong> Einsatzumgebung<br />
„Geschützter Einsatzbereich“ (Einzelplatz-PCs, die privat o<strong>der</strong> in Büros im täglichen<br />
Einsatz sind) sind das in <strong>der</strong> Regel folgende Sicherheitsmaßnahmen:<br />
• Wenn ein Internetzugang besteht, ist die Verwendung einer Firewall notwendig,<br />
um einen entfernten Zugriff auszuschließen.<br />
• Um Trojaner und Viren weitestgehend ausschließen zu können, ist die Installation<br />
eines aktuellen Anti-Virenprogramms (automatisches Update möglichst<br />
aktiviert) erfor<strong>der</strong>lich.<br />
• Grundsätzlich darf nur vertrauenswürdige Software installiert und verwendet<br />
werden. Das gilt beson<strong>der</strong>s für das Betriebssystem, es muss sichergestellt<br />
werden, dass das Betriebssystem bezüglich <strong>der</strong> Sicherheitspatches und Updates<br />
auf dem aktuellen Stand ist (Windows: automatisches Update ist zu aktivieren,<br />
etwaige Service Packs müssen installiert sein) und dass das JRE bezüglich<br />
<strong>der</strong> Sicherheitspatches und Updates auf dem aktuellen Stand ist.<br />
• Ebenfalls ist Sorge dafür zu tragen, dass kein Unbefugter Zugriff auf Ihr System<br />
erlangen kann. Hierfür ist die Bildschirm-Sperr-Funktion Ihres Betriebssystems<br />
zu aktivieren. Nutzen mehrere Nutzer Ihr System, ist für jeden Nutzer<br />
ein eigenes Benutzerkonto anzulegen.<br />
Beachten Sie in diesem Zusammenhang bitte auch das entsprechende Kapitel im OSCI-<br />
Client-Enabler-Entwicklerhandbuch.<br />
6
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
3 Varianten <strong>der</strong> <strong>MCard</strong><br />
Die Governikus Kartenansteuerung (<strong>MCard</strong>) wird in zwei Varianten erstellt:<br />
• mcard.jar für Clientanwendungen<br />
• mcardServer.jar nur für die Verwendung mit dem Governikus-NetSigner<br />
Die <strong>MCard</strong> wird Kunden bereitgestellt, die eigene Anwendungen auf <strong>der</strong> Basis des Governikus<br />
SDK entwickeln. Sie wird außerdem in <strong>der</strong> Governikus Signer Familie (mit entsprechen<strong>der</strong><br />
Signaturkarte Stapelsignaturfunktion möglich), im EGVP und Governikus MultiMessenger<br />
verwendet. Die <strong>MCard</strong> unterstützt die meisten elektronischen Einzel- und Stapelsignaturkarten,<br />
die durch deutsche Zertifizierungsdiensteanbieter (ZDA) herausgegeben werden und mit<br />
denen man eine qualifizierte elektronische Signatur o<strong>der</strong> eine qualifizierte Signatur mit Anbieterakkreditierung<br />
erzeugen kann.<br />
Stapelsignaturkarten erlauben in <strong>der</strong> Regel 100 mögliche Signaturerzeugungen nach einer<br />
erfolgreichen Authentifizierung mit <strong>der</strong> Signatur-PIN. Es ist daher durch die Signaturanwendungskomponente<br />
(SAK) sicherzustellen, dass keine missbräuchliche Nutzung <strong>der</strong><br />
Stapelsignaturfunktionalität möglich ist. Solange dieses noch nicht gewährleistet werden<br />
kann, wird die Anzahl <strong>der</strong> möglichen Signaturerzeugungen durch Stapelsignaturkarten nach<br />
einer erfolgreichen Authentifizierung mit <strong>der</strong> Signatur-PIN durch die <strong>MCard</strong> daher auf 1 begrenzt.<br />
Zur Verwendung <strong>der</strong> Stapelsignaturfunktion einer Karte, entsprechende Verfügbarkeit<br />
<strong>der</strong> Signaturkarte vorausgesetzt, muss ab <strong>der</strong> <strong>MCard</strong> <strong>1.12.0.0</strong> das Erzeugen <strong>der</strong> Signaturen<br />
in einem Transaction-Block erfolgen. D. h., zu Beginn <strong>der</strong> Signaturen muss eine Transaktion<br />
begonnen werden und am Ende beendet werden. Eine Karte bleibt bis zum Ende <strong>der</strong> Transaktion<br />
„offen“ und kann weiterhin für Signaturen verwendet werden. Dies ist aber ausschließlich<br />
durch die Applikation, in <strong>der</strong> die Transaktion gestartet wurde, möglich, hier also die<br />
<strong>MCard</strong>.<br />
Multisignaturkarten erlauben technisch eine unbegrenzte Anzahl von Signaturen nach erfolgreicher<br />
Authentifizierung mit <strong>der</strong> Signatur-PIN. Multisignaturkarten dürfen ausschließlich in<br />
beson<strong>der</strong>s gesicherten Umgebungen und durch entsprechend bestätigte SAK genutzt werden.<br />
Multisignaturkarten werden nicht durch die <strong>MCard</strong> getestet und nicht unterstützt.<br />
Die <strong>MCard</strong>-Server wird exklusiv nur für Betreiber des Governikus-NetSigner bereitgestellt.<br />
Diese Variante unterstützt den vollen Funktionsumfang <strong>der</strong> von deutschen ZDA herausgegebenen<br />
Multisignaturkarten.<br />
7
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Kartentyp unterstützt / Signaturen nach PIN-Eingabe<br />
<strong>MCard</strong>-Variante Einzelsignatur Stapelsignaturen Multisignaturen<br />
Client Ja / 1 Ja 1 / bis 100 Nein / -<br />
Server (NetSigner) Nein / - Nein / - Ja / unbegrenzt<br />
Tabelle 1: Überblick über die Varianten <strong>der</strong> <strong>MCard</strong> und unterstützte Kartentypen<br />
3.1 Releasezyklen <strong>der</strong> <strong>MCard</strong><br />
Die Governikus Kartenansteuerung ist seit <strong>der</strong> Governikus Version 3.1.0.0 gekapselt. Sie<br />
wird bei Bedarf aktualisiert und unabhängig von den SDK-Releasezyklen zur Verfügung gestellt.<br />
Bitte informieren Sie sich im bos-Portal, ob eine neuere Version <strong>der</strong> <strong>MCard</strong> zur Verfügung<br />
steht, als im aktuellen Release des Governikus SDK (<strong>MCard</strong>) bereitgestellt wurde. Verwenden<br />
Sie bitte immer nur die aktuelle Version <strong>der</strong> <strong>MCard</strong>. Nur so können Sie sicherstellen,<br />
dass auch alle Signaturkarten und unterstützten Kartenleser verwendet werden können.<br />
3.2 Funktionsweise <strong>MCard</strong><br />
Die <strong>MCard</strong> ist eine Funktionsbibliothek in <strong>der</strong> Programmiersprache Java, die die Verwendung<br />
von Kartenlesern über das OpenCard-Framework (OCF) und den Zugriff auf Signaturkarten<br />
durch einen speziellen JCE/JCA-Kryptoprovi<strong>der</strong> ermöglicht.<br />
Das OCF unterteilt sich in zwei Teile: einerseits die CardTerminal-Klassen, welche die Funktionalität<br />
des Kartenterminals in einer Javaklasse kapseln, und an<strong>der</strong>erseits die verschiedenen<br />
CardService-Klassen, welche die unterschiedlichen Funktionen einer Chipkarte in<br />
entsprechenden Javaklassen kapseln. OCF kennt konzeptionell schon Klasse-3-Terminals<br />
und bietet für einen Großteil <strong>der</strong> Funktionen von Chipkarten bereits vordefinierte Schnittstellen.<br />
Der Provi<strong>der</strong> ermöglicht eine einheitliche Behandlung von Signaturkarten, indem er<br />
Signatur-, Chiffrierungs- und Authentisierungsdienste zur Verfügung stellt. Der vom Provi<strong>der</strong><br />
bereitgestellte KeyStore enthält alle gefundenen Schlüssel aller erkannten Signaturkarten.<br />
Zu diesem Zweck wird das OCF, das den Zugriff auf Kartenleser verwaltet und das Absetzen<br />
von Kommandos für Karten und Leser regelt, gekapselt. Wie Sie den Provi<strong>der</strong> nutzen, wird<br />
ausführlich im Entwicklerhandbuch beschrieben.<br />
Jede kartenspezifische Implementierung erfolgt konform zu OCF in einer von CardService<br />
abgeleiteten Klasse. Die Erkennung erfolgt in einer <strong>MCard</strong> spezifischen Implementierung <strong>der</strong><br />
Klasse CardServiceFactory des OCF. Die Schnittstelle <strong>der</strong> CardService-Kartenimplementierungen<br />
enthält sowohl Funktionen zur Erkennung und Struktur einer Karte als auch die<br />
Funktionen für das Signieren, Entschlüsseln, Authentisieren, Verifizieren und Än<strong>der</strong>n einer<br />
1 Nur in Verbindung mit einer geeigneten Signaturkarte<br />
8
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
PIN. Die OCF spezifischen Fehlermeldungen werden in den JCE/JCA-Provi<strong>der</strong>-Klassen in<br />
konforme Fehlermeldungen umgesetzt.<br />
Der PIN-Dialog wird dem Benutzer angezeigt, wenn eine PIN für einen Schlüssel eingegeben<br />
werden muss. Über die Implementierung des PIN-Dialogs kann die Kommunikation mit<br />
dem Benutzer in unterschiedlicher Weise gestaltet werden. Dies beinhaltet die Beeinflussung<br />
des Aussehens, die Anzeige von Informationen über den verwendeten Schlüssel und Eingabeauffor<strong>der</strong>ungen.<br />
Für Klasse 1-Kartenleser erfolgt über den Dialog auch die Eingabe <strong>der</strong><br />
PIN. Bei <strong>der</strong> PIN-Dialog-Schnittstelle handelt sich um ein Java-Interface, das je nach Anfor<strong>der</strong>ung<br />
zum Anzeigen einer sichtbaren Java-Komponente, wie einem JDialog, benutzt werden<br />
kann, aber auch die Steuerung über die Konsole ermöglicht. Der letzte Fall ist insbeson<strong>der</strong>e<br />
für Server interessant, die unter Umständen nur über eine Kommandozeile verfügen.<br />
Die genaue Implementierung ist im OSCI-Client-Enabler-Handbuch beschrieben.<br />
9
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
4 Hard- und Softwareanfor<strong>der</strong>ungen<br />
4.1 Betriebssysteme<br />
Die <strong>MCard</strong> unterstützt eine Reihe von Clientbetriebssystemen, die in <strong>der</strong> Regel solange weiterhin<br />
unterstützt werden, wie <strong>der</strong> Hersteller dieses Betriebssystems dafür Sicherheitspatches<br />
herausgibt. Die Abkündigung für ein unterstütztes Betriebssystem erfolgt rechtzeitig<br />
unter Beachtung des End-of-Life Zeitpunkts (nachfolgend EOL genannt) für das Betriebssystem.<br />
Eine Abkündigung muss allerdings nicht zwingend erfolgen, wenn <strong>der</strong> Hersteller angekündigt<br />
hat, keine Sicherheitsupdates ab einem bestimmten Datum mehr bereitzustellen. In<br />
diesem Fall sollte folgen<strong>der</strong> Warnhinweis aufgenommen werden:<br />
Der Hersteller stellt ab Datum xx.xx.xxxx keine Sicherheitspatches mehr bereit.<br />
Dieser Umstand kann die für eine SAK gefor<strong>der</strong>te hohe Sicherheit gegen potenzielle<br />
Bedrohungen beeinträchtigen.<br />
Grundsätzlich führend bei <strong>der</strong> Ankündigung von unterstützten Betriebssystemen ist die<br />
<strong>MCard</strong>, da zunächst die Funktionsfähigkeit zumindest eines gewissen Subsets von Kartenlesern<br />
mit dem neuen Betriebssystem abgewartet werden muss. Hier sind in <strong>der</strong> Regel die<br />
Kartenleserhersteller gefor<strong>der</strong>t, ggf. neue Treiber für dieses Betriebssystem zur Verfügung<br />
zu stellen.<br />
Bei Windows-Betriebssystemen wird <strong>der</strong> folgende Automatismus angestrebt: Eine neue<br />
Windowsversion (wenn marktverfügbar) wird möglichst mit <strong>der</strong> nächsten <strong>MCard</strong> unterstützt,<br />
vorbehaltlich, dass genügend Kartenleser-Treiber zu Verfügung stehen.<br />
Dabei gilt grundsätzlich für die Unterstützung von Windows-Betriebssystemen:<br />
• Es werden die aktuelle Windows-Version und max. 2 Vorversionen unterstützt, für die<br />
EOL noch nicht erreicht ist. Wenn unterstützt, werden (soweit vorhanden) die 32- und 64-<br />
Bit-Varianten unterstützt.<br />
• Grundsätzlich werden Windows-Betriebssysteme nur mit den jeweils aktuellen Service<br />
Packs (SP) und Sicherheitsupdates unterstützt.<br />
• Sollte ein Windows-Betriebssystem in mehreren Ausprägungen verfügbar sein, wird<br />
grundsätzlich die Professional-Version o<strong>der</strong> die Premium-Version für den Privatkonsumentenbereich<br />
unterstützt, da für diese in <strong>der</strong> Regel am längsten Sicherheitsupdates<br />
zur Verfügung gestellt werden.<br />
• Bei openSUSE wird angestrebt, dass jeweils die (zum Zeitpunkt <strong>der</strong> Tests <strong>der</strong> <strong>MCard</strong>)<br />
aktuelle Version unterstützt wird und die openSUSE-Version des letzten Releases <strong>der</strong><br />
<strong>MCard</strong>. Somit werden in <strong>der</strong> Regel zwei openSUSE-Versionen unterstützt. Sollte es keinen<br />
Versionswechsel zwischen zwei <strong>MCard</strong>-Releases geben, bleibt es bei <strong>der</strong> Unterstützung<br />
<strong>der</strong> bisher unterstützten Versionen von openSUSE.<br />
Die Abkündigung eines Windows-Betriebssystems erfolgt in <strong>der</strong> <strong>Dokumentation</strong> eines<br />
<strong>MCard</strong>-Release möglichst ein Jahr im Voraus. Die Abkündigung bedeutet für die <strong>MCard</strong>,<br />
dass ab dem kommunizierten Datum o<strong>der</strong> Release keine Gewährleistung mehr für die Funk-<br />
10
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
tionsfähigkeit des Betriebssystems mit <strong>der</strong> <strong>MCard</strong> mehr übernommen werden kann und somit<br />
auch kein Support mehr geleistet werden kann.<br />
Abkündigungen von Betriebssystemen sollten, soweit durch die Clientanwendung bisher<br />
unterstützt, in jedem Fall in die Release-<strong>Dokumentation</strong> <strong>der</strong> jeweiligen Clientanwendung aufgenommen<br />
werden.<br />
4.1.1 Unterstützte Betriebssysteme<br />
Mit <strong>der</strong> vorliegenden Version <strong>der</strong> <strong>MCard</strong> wurde die Funktionsfähigkeit mit folgenden Client-<br />
Betriebssystemen getestet:<br />
Betriebssystem<br />
• Windows XP Professional 32 Bit SP3 X<br />
• Windows XP Professional 64 Bit SP3 X<br />
• Windows Vista Home Premium 32 Bit SP2 X<br />
• Windows Vista Home Premium 64 Bit SP2 X<br />
• Windows 7 Professional 32 X<br />
• Windows 7 Professional 64 X<br />
• openSUSE 11.x 32 Bit X<br />
Tabelle 2: Unterstützte Betriebssysteme und JREs<br />
Unterstützte JRE<br />
Version<br />
1.6_20<br />
Eine Tabelle mit den unterstützten Betriebssystemen ist in jedem Fall in die Release-<br />
<strong>Dokumentation</strong> <strong>der</strong> jeweiligen Clientanwendung aufzunehmen. Bei einer Anwendung, die<br />
eine SAK im Sinne des Signaturgesetzes darstellt (also zur Erzeugung von qualifizierten<br />
elektronischen Signaturen verwendet werden kann), ist diese Tabelle zwingend erfor<strong>der</strong>lich,<br />
da die unterstützten Clientbetriebssysteme in einer Positivliste zu veröffentlichen sind. Dabei<br />
ist zu beachten, ob ggf. nur ein Subset <strong>der</strong> durch die <strong>MCard</strong> unterstützten Betriebssysteme<br />
unterstützt werden soll.<br />
4.1.2 Abkündigungen von Betriebssystemen<br />
Mit <strong>der</strong> vorliegenden Version <strong>der</strong> <strong>MCard</strong> werden folgende, bereits seit Längerem abgekündigte<br />
Betriebssysteme nicht mehr unterstützt:<br />
nicht mehr unterstützte Betriebssysteme:<br />
• openSUSE 10.3 32 Bit<br />
Mit <strong>der</strong> nächsten Version <strong>der</strong> <strong>MCard</strong> bzw. ab dem angegebenen Datum werden folgende<br />
Betriebssysteme durch die <strong>MCard</strong> abgekündigt:<br />
Abgekündigte Betriebssysteme Abgekündigt zu Version/Datum<br />
• Keine Abkündigung<br />
11
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
4.2 SUN Java Standard Edition Runtime Environment (JRE)<br />
Grundsätzlich führend bei <strong>der</strong> Kommunikation <strong>der</strong> An- und Abkündigungspraxis von JREs ist<br />
die <strong>MCard</strong>. Typischerweise erfolgen Abkündigungen innerhalb <strong>der</strong> Release-<strong>Dokumentation</strong><br />
<strong>der</strong> jeweiligen Clientanwendung. Dabei ist zu beachten, dass Clients ggf. nur ein Subset <strong>der</strong><br />
durch die <strong>MCard</strong> unterstützten JREs unterstützen.<br />
In <strong>der</strong> Regel sollen die aktuelle JRE-Version und die Vorversion unterstützt werden. Dabei<br />
werden grundsätzlich die jeweils aktuellen Updates zum Zeitpunkt <strong>der</strong> Tests <strong>der</strong> <strong>MCard</strong> verwendet.<br />
Abkündigungen von JRE-Versionen sollen grundsätzlich in <strong>der</strong> <strong>Dokumentation</strong> eines Release<br />
<strong>der</strong> <strong>MCard</strong> möglichst ein Jahr im Voraus erfolgen, wenn z. B. das EOL bekannt wird.<br />
Typischerweise erfolgen Abkündigungen innerhalb <strong>der</strong> Release-<strong>Dokumentation</strong> <strong>der</strong> jeweiligen<br />
Clientanwendung. Ab Abkündigungstermin kann keine Gewährleistung mehr für die<br />
Funktionsfähigkeit des JREs mit <strong>der</strong> <strong>MCard</strong> mehr übernommen werden und somit auch kein<br />
Support mehr geleistet werden.<br />
Eine Abkündigung sollte erfolgen, wenn SUN ankündigt hat, keine Sicherheitsupdates ab<br />
einem bestimmten Datum mehr bereitzustellen (EOL). Wird diese Version über das EOL hinaus<br />
unterstützt, sollte folgen<strong>der</strong> Warnhinweis aufgenommen werden:<br />
Der Hersteller stellt ab Datum xx.xx.xxxx keine Sicherheitspatches mehr bereit.<br />
Dieser Umstand kann die für eine SAK gefor<strong>der</strong>te hohe Sicherheit gegen potenzielle<br />
Bedrohungen beeinträchtigen.<br />
4.2.1 Unterstützte JREs<br />
Die beiden <strong>MCard</strong>-Varianten unterstützen SUN Java Standard Edition Runtime Environment<br />
(JRE) in den in <strong>der</strong> Tabelle 2 angegebenen Versionen und Updates. Empfohlen werden die<br />
jeweils aktuellen Updates.<br />
Mit dem vorliegenden Release <strong>der</strong> <strong>MCard</strong> wurden folgende Update-Versionen getestet:<br />
• JRE 1.6_20<br />
Bitte beachten Sie:<br />
Am 30. Oktober 2009 endete die Unterstützung des JRE 1.5 durch SUN Microsystems, Inc.<br />
(Java Technology End of Life (EOL) transition period). Die <strong>MCard</strong> wird weiterhin mit dem<br />
JDK 1.5 lauffähig bleiben, um die Abwärtskompatibilität zum Governikus-OSCI-Clientenabler<br />
<strong>der</strong> Governikus Version 3.3 und zum SDK 1.1 sicherzustellen. Berücksichtigen Sie jedoch<br />
bitte, dass SUN ab diesem Datum keine Sicherheits-Updates mehr für das JRE 1.5 bereitstellen<br />
wird. Dieser Umstand kann die für eine SAK gefor<strong>der</strong>te hohe Sicherheit gegen potenzielle<br />
Bedrohungen beeinträchtigen. Diese Warnung sollte in die Anwen<strong>der</strong>dokumentation<br />
aufgenommen werden.<br />
4.2.2 Abkündigungen von JREs<br />
Mit <strong>der</strong> vorliegenden Version <strong>der</strong> <strong>MCard</strong> wird folgende, bereits abgekündigte JRE-Version<br />
nicht mehr unterstützt:<br />
12
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
nicht mehr unterstützte JRE-Versionen<br />
• Keine Abkündigung<br />
Mit dem nächsten Release <strong>der</strong> <strong>MCard</strong> bzw. ab dem angegebenen Datum werden folgende<br />
JRE-Versionen abgekündigt:<br />
Abgekündigte JRE-Versionen Abgekündigt zu Version/Datum<br />
• Keine Abkündigung<br />
4.3 Chipkartenlesegeräte<br />
Ein Chipkartenleser ist ein Peripheriegerät. Wie bei jedem an<strong>der</strong>en Gerät wird seine Funktionalität<br />
dem PC über einen entsprechenden Treiber zur Verfügung gestellt. Hier gibt es viele<br />
unterschiedlich komplexe Treiberkonzepte, die auf unterschiedlichen Standards beruhen.<br />
Die <strong>MCard</strong> verwendet die international sehr weit verbreitete plattformunabhängige Schnittstelle<br />
PC/SC zur Kommunikation mit Chipkartenlesern, die in Form einer C-basierten Betriebssystemschnittstelle<br />
unter Windows, Linux und Mac OS verwendet werden kann (bei<br />
MacOS bis Version 10.5 mit Einschränkungen). Im Dezember 1997 wurde die Version<br />
PC/SC 1 <strong>der</strong> aus acht Teilen bestehenden „Interoperability Specification for ICCs and Personal<br />
Computer Systems“ veröffentlicht. PC/SC ist komplex und spricht als Version 1.0. konzeptionell<br />
nur Klasse 1-Chipkartenterminals an, d. h., Treiber auf Basis von PC/SC 1 bieten<br />
keine Möglichkeit, PIN-Pad und Display eines Kartenlesers zu verwenden. Dieses ist erst<br />
seit <strong>der</strong> Erweiterung <strong>der</strong> PC/SC 2 Spezifikation möglich, die die alte Spezifikation um den<br />
Part 9 und 10 ergänzen. Diese beschreiben die Abfrage und Verwendung von speziellen<br />
Funktionen eines Kartenlesers und die darauf basierende Unterstützung eines Chipkartenterminal–PIN-Pads.<br />
PC/SC teilt sich in drei Teile auf: den Resource Manager, die Service Provi<strong>der</strong> und die Interface<br />
Device Handler (IFD-Handler). Der IFD-Handler stellt den entsprechenden Gerätetreiber<br />
zur Anbindung des Kartenterminals dar. Sämtliche Funktionalitäten des Kartenterminals<br />
werden hier in einem C++ Objekt gekapselt, sodass diese ohne Kenntnis <strong>der</strong> zugrunde liegenden<br />
Schnittstelle genutzt werden können. Die Funktionalitäten einer Chipkarte werden in<br />
einem Service Provi<strong>der</strong> Objekt abgebildet. Da gleichzeitig mehrere Chipkarten und Kartenterminals<br />
angemeldet und betrieben werden können, müssen diese zentral verwaltet werden.<br />
Diese Aufgabe übernimmt <strong>der</strong> Resource Manager. Die <strong>MCard</strong> ist im Sinne von PC/SC ein<br />
ICC-ServiceProvi<strong>der</strong>.<br />
PC/SC ist sehr weit verbreitet und wird häufig auch als Basis an<strong>der</strong>er Treiberstandards verwendet,<br />
wobei herstellerspezifische Erweiterungen über den PC/SC-Standard hinaus weitere<br />
Funktionalitäten zur Verfügung stellen. Meldungen können allerdings in PC/SC 2.0 nur aus<br />
einem vorher festgelegten Satz von Meldungen für verschiedene Sprachen gewählt werden.<br />
Die Treiber-Schnittstelle von PC/SC sieht die Möglichkeit vor, den Zugriff auf Kartenleser in<br />
zwei Modi zu ermöglichen. Im Modus EXCLUSIVE erhält die Anwendung den exklusiven<br />
Zugriff auf den Kartenleser und sperrt den Kartenleser für alle an<strong>der</strong>en Anwendungen und<br />
13
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
SAKs. Im Modus SHARED können alle Anwendungen und SAK gleichzeitig den Kartenleser<br />
verwenden. Dabei tritt das Problem auf, dass zwei Anwendungen sich gegenseitig blockieren<br />
können und im schlimmsten Fall dazu, dass eine Karte teilweise o<strong>der</strong> ganz unbrauchbar<br />
wird. Häufig passiert es, dass meist nur eine Anwendung die Karte korrekt erkennt und damit<br />
korrekt verwenden kann. Dies geschieht, weil <strong>der</strong> Zugriff <strong>der</strong> Anwendungen nicht synchronisiert<br />
wird.<br />
Die <strong>MCard</strong> verwendet zwar den SHARED-Modus, die beschriebenen Probleme treten aber<br />
ab <strong>der</strong> Version <strong>1.12.0.0</strong> <strong>der</strong> <strong>MCard</strong> nicht mehr auf. Ab <strong>der</strong> genannten Version verwendet die<br />
<strong>MCard</strong> die in PC/SC definierten Transaction-Funktionalität des PC/SC-Resource Manager.<br />
Dadurch erfolgt ein temporär exklusiver Zugriff auf Karte und Kartenleser. Diese Synchronisation<br />
funktioniert auch bei gleichzeitiger Installation einer Anwendung o<strong>der</strong> SAK eines an<strong>der</strong>en<br />
Herstellers o<strong>der</strong> bei <strong>der</strong> Verwendung einer älteren <strong>MCard</strong>. Nach dem Ende <strong>der</strong> Transaktion<br />
ist es einer an<strong>der</strong>en Anwendung wie<strong>der</strong> möglich, die Karte zu verwenden. Sowohl die<br />
Erkennung einer Karte als auch die Verwendung einzelner Funktionen <strong>der</strong> Karte sind synchronisiert.<br />
4.3.1 Unterstützte Chipkartenlesegeräte<br />
Für die Erzeugung einer qualifizierten Signatur dürfen nur Chipkartenlesegeräte verwendet<br />
werden, die gem. deutschem Signaturgesetz (SigG) bestätigt sind und wenn diese Bestätigung<br />
bei <strong>der</strong> Bundesnetzagentur (BNetzA) veröffentlicht wurde. Dieses sind ausschließlich<br />
Geräte, die eine sichere PIN-Eingabe über das PIN-Pad des Chipkartenlesers erlauben (Geräte<br />
<strong>der</strong> sogenannten HBCI-Klassen 2 und 3). Zum Zeitpunkt des Inverkehrbringens dieser<br />
<strong>MCard</strong>-Version genügen die in <strong>der</strong> Tabelle 6 benannten Chipkartenlesegeräte diesen Anfor<strong>der</strong>ungen.<br />
Diese Liste ist die sogenannte Positivliste <strong>der</strong> unterstützten Kartenleser. Diese ist<br />
im Rahmen des Bestätigungsprozesses gemäß SigG o<strong>der</strong> bei einer Herstellererklärung zusammen<br />
mit <strong>der</strong> SAK zu veröffentlichen. Jede Än<strong>der</strong>ung in <strong>der</strong> Liste bedingt dabei einen<br />
Nachtrag zur Bestätigung o<strong>der</strong> Herstellererklärung, <strong>der</strong> zu veröffentlichen ist.<br />
Die Funktionsfähigkeit <strong>der</strong> in <strong>der</strong> Positivliste benannten Chipkartenlesegeräte wurde jeweils<br />
für die oben benannten Betriebssysteme getestet. Verwendet werden jeweils bei den Herstellern<br />
verfügbare und aktuelle Treiber - auch generische Linux-Treiber - sowie die zum<br />
Testzeitpunkt aktuelle Firmware. Detailinformationen zu den getesteten Treiber- und Firmwareversionen<br />
siehe Tabelle 8 bis 14. Es kann keine Gewährleistung dafür übernommen werden,<br />
• dass die Chipkartenlesegeräte auch mit älteren Treiberversionen, an<strong>der</strong>er Firmware<br />
o<strong>der</strong> an<strong>der</strong>en als den genannten Betriebssystemen funktionieren und<br />
• dass an<strong>der</strong>e als die explizit benannten Chipkartenlesegeräte unterstützt werden.<br />
Es werden nur die in <strong>der</strong> Tabelle angegebenen Versionen unterstützt.<br />
Bitte beachten Sie, dass für den Anwen<strong>der</strong> daher <strong>der</strong> folgende Hinweis in <strong>der</strong> Anwen<strong>der</strong>dokumentation<br />
aufgenommen werden sollte:<br />
14
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Die Funktionsfähigkeit <strong>der</strong> Chipkartenlesegeräte mit <strong>der</strong> >Name <strong>der</strong> Applikation<<br />
wurde für die oben angegebenen Betriebssysteme getestet. Verwendet werden<br />
jeweils die bei den Herstellern verfügbaren aktuellen Treiber bzw. generischen<br />
Linux-Treiber sowie die zum Testzeitpunkt aktuelle Firmware. Es kann keine Gewährleistung<br />
dafür übernommen werden, dass die Chipkartenlesegeräte auch mit<br />
älteren Treiberversionen o<strong>der</strong> an<strong>der</strong>en als den oben genannten Betriebssystemen<br />
funktionieren. Es werden nur die in <strong>der</strong> Tabelle angegebenen Versionen<br />
unterstützt.<br />
Die Tabelle <strong>der</strong> unterstützten Chipkartenlesegeräte hat den Status eines Textbausteins. Sie<br />
kann als Grundlage verwendet werden, um die eigene Anwen<strong>der</strong>dokumentation um eine<br />
Übersicht über die unterstützten Chipkartenleser zu ergänzen. Hat die Anwendung den Status<br />
einer SAK (d. h., es können mit ihr qualifizierte Signaturen angebracht werden), muss<br />
eine Liste <strong>der</strong> unterstützten, SigG-bestätigten Chipkartenleser zusammen mit <strong>der</strong> Software<br />
veröffentlicht werden.<br />
Wenn ein bei <strong>der</strong> Bundesnetzagentur geführtes bestätigtes Chipkartenlesegerät mit PIN das<br />
nicht in <strong>der</strong> Tabelle gelistet ist, o<strong>der</strong> ein Gerät mit PIN-Pad, welches sich noch im Bestätigungsprozess<br />
nach SigG befindet, verwendet wird, wird die <strong>MCard</strong> nicht als Teil einer Signaturanwendungskomponente<br />
(SAK) verwendet, mit <strong>der</strong> qualifizierte Signaturen erzeugt werden<br />
dürfen.<br />
Die <strong>MCard</strong> unterstützt auch die in <strong>der</strong> Tabelle 7 benannten Chipkartenlesegeräte <strong>der</strong> HBCI-<br />
Klasse 1 ohne PIN-Pad. Es handelt sich ausschließlich um externe Geräte mit USB-<br />
Schnittstelle, die über einen PC/SC-Treiber angesprochen werden. Neben diesen explizit<br />
benannten Geräten können auch viele weitere externe USB-Kartenleser o<strong>der</strong> interne Kartenleser<br />
in Notebooks <strong>der</strong> HBCI-Klasse 1 verwendet werden. Natürlich muss <strong>der</strong> Hersteller für<br />
das verwendete Betriebssystem einen PC/SC-Treiber zur Verfügung stellen. Eine Gewährleistung<br />
für die Funktionsfähigkeit kann gleichwohl nicht übernommen werden.<br />
Da die <strong>MCard</strong> grundsätzlich auch die Verwendung von Kartenlesern ohne PIN-Pad ermöglicht<br />
o<strong>der</strong> von Geräten, die sich noch im Bestätigungsprozess befinden, muss immer <strong>der</strong> folgende<br />
Hinweis in die Anwen<strong>der</strong>dokumentation einer SAK aufgenommen werden:<br />
Die Client-Anwendung >Name <strong>der</strong> Applikation< unterstützt auch Chipkartenlesegeräte,<br />
die keine sichere PIN-Eingabe erlauben.<br />
Auch kann es vorkommen, dass nicht in <strong>der</strong> Liste aufgeführte, bei <strong>der</strong> Bundesnetzagentur<br />
geführte SigG-bestätigte Geräte o<strong>der</strong> Chipkartenlesegeräte mit PIN-<br />
Pad, die sich noch im Bestätigungsprozess befinden, verwendet werden können.<br />
Wenn Sie ein solches Chipkartenlesegerät verwenden, nutzen Sie die >Name<br />
<strong>der</strong> Applikation< nicht als Teil einer Signaturanwendungskomponente (SAK), mit<br />
<strong>der</strong> qualifizierte Signaturen erzeugt werden dürfen.<br />
4.3.2 Abkündigungen Chipkartenlesegeräte<br />
Bei <strong>der</strong> An- und Abkündigungspraxis von Kartenlesern ist die <strong>MCard</strong> führend. Clients unterstützen<br />
daher maximal das angegebene Set von Kartenlesern. Eine geson<strong>der</strong>te Ankündigung<br />
neuer Kartenleser erfolgt nicht. Diese werden in <strong>der</strong> Regel zeitnah unterstützt, sobald<br />
die SigG-Bestätigung bei <strong>der</strong> BNetzA veröffentlicht wurde und Treiber für die unterstützten<br />
15
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Betriebssysteme zur Verfügung stehen. Eine Abkündigung eines unterstützten Kartenlesers<br />
erfolgt in <strong>der</strong> Regel, wenn <strong>der</strong> Hersteller das Gerät abgekündigt hat und absehbar ist, dass<br />
auch keine Treiberaktualisierung mehr erfolgen wird o<strong>der</strong> eine Befristung in <strong>der</strong> Bestätigung<br />
vorliegt.<br />
Mit <strong>der</strong> vorliegenden Version <strong>der</strong> <strong>MCard</strong> werden folgende, bereits abgekündigte, Kartenleser<br />
nicht mehr unterstützt:<br />
nicht mehr unterstützte Kartenleser<br />
• Keine Abkündigung<br />
Mit <strong>der</strong> nächsten Release <strong>der</strong> <strong>MCard</strong> bzw. ab dem angegebenen Datum werden folgende<br />
Kartenleser abgekündigt:<br />
Abgekündigte Kartenleser Abgekündigt zu Version/Datum<br />
• Keine Abkündigung<br />
4.4 Signaturkarten<br />
Die <strong>MCard</strong> unterstützt die meisten elektronischen Signaturkarten, die durch deutsche Zertifizierungsdiensteanbieter<br />
(ZDA) herausgegeben werden und mit denen man eine qualifizierte<br />
elektronische Signatur o<strong>der</strong> eine qualifizierte Signatur mit Anbieterakkreditierung erzeugen<br />
kann. Eine beson<strong>der</strong>e Ankündigung <strong>der</strong> Unterstützung neuer Signaturkarten erfolgt nicht.<br />
Vielmehr wird angestrebt, dass eine neue Signaturkarte o<strong>der</strong> eine neue SSEE-Version einer<br />
bereits unterstützten Signaturkarte vier bis sechs Wochen nach Marktverfügbarkeit durch ein<br />
neues <strong>MCard</strong>-Release unterstützt wird. Dieses Verfahren gilt nicht für Signaturkarten, die<br />
ausschließlich für geschlossene Nutzergruppen herausgegeben werden.<br />
Die <strong>MCard</strong> unterstützt neben „normalen“ Signaturkarten für Einzelsignaturen auch sogenannte<br />
Stapelsignaturkarten. Es ist daher durch die Signaturanwendungskomponente (SAK)<br />
sicherzustellen, dass keine missbräuchliche Nutzung <strong>der</strong> Stapelsignaturfunktionalität möglich<br />
ist. Solange dieses noch nicht gewährleistet werden kann, wird die Anzahl <strong>der</strong> möglichen<br />
Signaturerzeugungen durch Stapelsignaturkarten nach einer erfolgreichen Authentifizierung<br />
mit <strong>der</strong> Signatur-PIN durch die <strong>MCard</strong> daher auf 1 begrenzt. Zur Verwendung <strong>der</strong> Stapelsignaturfunktion<br />
einer Karte, entsprechende Verfügbarkeit <strong>der</strong> Signaturkarte vorausgesetzt,<br />
muss ab <strong>der</strong> <strong>MCard</strong> <strong>1.12.0.0</strong> das Erzeugen <strong>der</strong> Signaturen in einem Transaction-Block erfolgen.<br />
D. h., zu Beginn <strong>der</strong> Signaturen muss eine Transaktion begonnen werden und am Ende<br />
beendet werden. Eine Karte bleibt bis zum Ende <strong>der</strong> Transaktion „offen“ und kann weiterhin<br />
für Signaturen verwendet werden. Dies ist aber ausschließlich durch die Applikation, in <strong>der</strong><br />
die Transaktion gestartet wurde möglich, hier also die <strong>MCard</strong>.<br />
Multisignaturkarten werden nur durch die separat bereitgestellte <strong>MCard</strong>-Server unterstützt,<br />
die für den Governikus NetSigner relevant ist. Sollte trotzdem eine Multisignaturkarte erkannt<br />
werden, wird aus Sicherheitsgründen die Anzahl <strong>der</strong> möglichen Signaturerzeugungen<br />
nach einer erfolgreichen Authentifizierung mit <strong>der</strong> Signatur-PIN immer auf 1 begrenzt.<br />
16
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
In die Anwen<strong>der</strong>dokumentation von Anwendungen o<strong>der</strong> SAKs, die die <strong>MCard</strong> ohne die Stapelsignaturfunktion<br />
verwenden, ist deshalb <strong>der</strong> folgende Hinweis aufzunehmen:<br />
Die Client-Anwendung >Name <strong>der</strong> Applikation< unterstützt die meisten elektronischen<br />
Signaturkarten, die durch deutsche Zertifizierungsdiensteanbieter (ZDA)<br />
herausgegeben werden und mit denen man eine qualifizierte elektronische Signatur<br />
o<strong>der</strong> eine qualifizierte Signatur mit Anbieterakkreditierung erzeugen kann.<br />
Dazu gehören auch Stapelsignaturkarten. Aus Sicherheitsgründen ist bei Stapelsignaturkarten<br />
die Anzahl <strong>der</strong> möglichen Signaturerzeugungen nach einer erfolgreichen<br />
Authentifizierung mit <strong>der</strong> Signatur-PIN auf 1 begrenzt.<br />
In die Anwen<strong>der</strong>dokumentation von Anwendungen o<strong>der</strong> SAKs, die die <strong>MCard</strong> mit <strong>der</strong> Stapelsignaturfunktion<br />
verwenden, ist <strong>der</strong> folgende Hinweis aufzunehmen:<br />
Die Client-Anwendung >Name <strong>der</strong> Applikation< unterstützt die meisten elektronischen<br />
Signaturkarten, die durch deutsche Zertifizierungsdiensteanbieter (ZDA)<br />
herausgegeben werden und mit denen man eine qualifizierte elektronische Signatur<br />
o<strong>der</strong> eine qualifizierte Signatur mit Anbieterakkreditierung erzeugen kann.<br />
Es wird auch bei Stapelsignaturkarten <strong>der</strong> volle Funktionsumfang gewährleistet,<br />
d. h., nach einer erfolgreichen Authentifizierung mit <strong>der</strong> Signatur-PIN können – je<br />
nach Hersteller – bis zu 100 Signaturen erzeugt werden.<br />
4.4.1 Unterstützte Signaturkarten<br />
Signaturkarten, mit denen man qualifiziert signieren kann, basieren auf sogenannten sicheren<br />
Signaturerstellungseinheiten (SSEE). Für eine Signaturkarte werden von einem ZDA<br />
häufig mehrere unterschiedliche SSEE verwendet und personalisiert. Eine SSEE wird<br />
manchmal auch von mehreren ZDA/Trustcentern verwendet (personalisiert). Unterstützt werden<br />
nur die in den Tabellen aufgeführten Kombinationen von herausgebenden ZDA und<br />
SSEE. Der folgende Hinweis sollte daher in die Anwen<strong>der</strong>dokumentation aufgenommen<br />
werden, da er das Verständnis <strong>der</strong> Tabellen erleichtert:<br />
Signaturkarten, mit denen man qualifiziert signieren kann, basieren auf sogenannten<br />
sicheren Signaturerstellungseinheiten (SSEE). Für eine Signaturkarte<br />
werden von einem ZDA manchmal mehrere unterschiedliche SSEE-Versionen<br />
(z. B. unterschiedlicher Hersteller) verwendet. Soweit nichts an<strong>der</strong>es angegeben<br />
ist, werden alle vom ZDA verwendeten SSEE-Versionen für eine Signaturkarte<br />
unterstützt, solange mit einer SSEE-Version vom Anwen<strong>der</strong> qualifizierte Signaturen<br />
erzeugt werden können.<br />
Eine SSEE wird manchmal von mehreren ZDA verwendet und personalisiert. Unterstützt<br />
werden nur die in <strong>der</strong> Tabelle xxx aufgeführten Kombinationen von ZDA<br />
und SSEE.<br />
Detailinformationen zu den unterstützten elektronischen Signaturkarten entnehmen Sie bitte<br />
den Tabellen 3 bis 5 im Anhang dieses Dokuments. Die Tabelle hat den Status eines Textbausteins.<br />
Sie kann als Grundlage verwendet werden, um eine eigene Endanwen<strong>der</strong>doku-<br />
17
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
mentation um eine Übersicht über die unterstützten Signaturkarten zu ergänzen. Bei einer<br />
Anwendung, die eine SAK im Sinne des Signaturgesetztes ist (also zur Erzeugung von qualifizierten<br />
elektronischen Signaturen verwendet werden kann), ist die Tabelle <strong>der</strong> unterstützten<br />
Signaturkarten zwingend erfor<strong>der</strong>lich, da die unterstützten Signaturkarten in einer Positivliste<br />
zu veröffentlichen sind.<br />
In <strong>der</strong> Tabelle ist für jede unterstützte Signaturkarte, mit <strong>der</strong> eine qualifizierte elektronische<br />
Signatur erzeugen kann, angeben:<br />
• <strong>der</strong> herausgebende Zertifizierungsdiensteanbieter (ZDA) mit dem von <strong>der</strong> Bundesnetzagentur<br />
vergebenen Gütezeichen (nur bei qualifizierter Signatur mit Anbieterakkreditierung),<br />
• <strong>der</strong> Handelsname <strong>der</strong> Signaturkarte und<br />
• die Namen <strong>der</strong> SSEE in <strong>der</strong> Bestätigungsurkunde, die für diese Signaturkarte verwendet<br />
werden mit <strong>der</strong> Registrierungsnummer <strong>der</strong> Bestätigungsurkunde <strong>der</strong> SSEE.<br />
Unterstützt wird bei je<strong>der</strong> Signaturkarte, soweit entsprechende Schlüssel und zugehörige<br />
Zertifikate mit <strong>der</strong> benötigten KeyUsage (extended Keyusage) auf <strong>der</strong> Signaturkarte vorhanden<br />
sind:<br />
• die Erzeugung von qualifizierten elektronischen Signaturen<br />
• die Ent-/Verschlüsselung von Daten und die<br />
• die Authentisierung (in <strong>der</strong> Regel damit auch die Anbringung einer fortgeschrittenen<br />
Signatur).<br />
Die Klassifizierung <strong>der</strong> Eignung des öffentlichen Schlüssels im Zertifikat für die Prüfung einer<br />
qualifizierten elektronischen Signatur, die Ent-/Verschlüsselung bzw. Authentisierung beruht<br />
auf <strong>der</strong> Zuordnung in <strong>der</strong> CommonPKI-Spezifikation Version 2.0. Für die Prüfung <strong>der</strong> qualifizierten<br />
elektronischen Signatur mit dem öffentlichen Signaturprüfschlüssel im Zertifikat muss<br />
das KeyUsage bit nonRepudiation (o<strong>der</strong> neu: contentCommitment) gesetzt sein. An<strong>der</strong>e<br />
KeyUsages dürfen gemäß <strong>der</strong> CommonPKI-Spezifikation Version 2, Part 9, SigG-Profil nicht<br />
gleichzeitig mit diesem Bit verwendet werden. Für die Authentisierung wird demgegenüber<br />
das Bit digital signature (zusätzlich z. T. auch die extended KeyUsage clientauthentication)<br />
gesetzt, die eine Signaturverifizierung erlaubt, die sich nicht auf die Verifizierung einer Signatur<br />
einer Willenserklärung bezieht und für eine fortgeschrittene Signatur verwendet wird. Für<br />
die Datenentschlüsselung wird das Keyusage bit dataEncipherment gesetzt. Häufig finden<br />
sich auch Zertifikate, die zur Verschlüsselung und Authentisierung verwendet werden können.<br />
4.4.2 Abkündigungen Signaturkarten<br />
Soweit nichts an<strong>der</strong>es angegeben ist, werden alle vom ZDA verwendeten SSEE-Versionen<br />
für eine Signaturkarte unterstützt, solange mit einer SSEE-Version vom Anwen<strong>der</strong> qualifizierte<br />
Signaturen erzeugt werden können. Eine geson<strong>der</strong>te Abkündigung gibt es nicht.<br />
18
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
4.4.3 Unterstützte Kombinationen aus Betriebssystem, Chipkartenlesegerät und<br />
Signaturkarte<br />
Aus technischen Gründen kann es in Ausnahmefällen vorkommen, dass eine elektronische<br />
Signaturkarte/SSEE mit einer bestimmten Chipkartenleser-Betriebssystem-Kombination nicht<br />
funktioniert. Häufigste Ursache ist die Nichtbereitstellung des notwendigen PC/SC-Treibers<br />
durch den Hersteller des Kartenlesers. Die Detailinformationen, welche Kombinationen nicht<br />
unterstützt werden, ist den Tabellen 8 bis 14 im Anhang zu entnehmen.<br />
Die Tabellen haben den Status eines Textbausteins. Sie können als Grundlage verwendet<br />
werden, um eine eigene Anwen<strong>der</strong>dokumentation um eine Übersicht über die unterstützten<br />
Kombinationen von Signaturkarte, Chipkartenleser und Betriebssystem zu ergänzen.<br />
Bitte beachten Sie, dass für den Anwen<strong>der</strong> <strong>der</strong> folgende Hinweis in <strong>der</strong> Anwen<strong>der</strong>dokumentation<br />
sinnvoll ist, da er das Verständnis <strong>der</strong> Tabelle erleichtert:<br />
Aus technischen Gründen kann es in Ausnahmefällen vorkommen, dass eine<br />
elektronische Signaturkarte/SSEE mit einer bestimmten Chipkartenleser-<br />
Betriebssystem-Kombination nicht funktioniert. Häufigste Ursache ist die Nichtbereitstellung<br />
des notwendigen PC/SC-Treibers durch den Hersteller des Kartenlesers.<br />
Prüfen Sie daher bitte, ob Ihre Kombination von Betriebssystem, Signaturkarte<br />
und Chipkartenlesegerät unterstützt wird.<br />
4.4.4 Terminalserver<br />
Die <strong>MCard</strong>-Varianten unterstützen den PC/SC-Standard. Dieser bietet zur Ansteuerung von<br />
Kartenlesern eine einheitliche Schnittstelle. Die unterstützten Betriebssysteme bieten einen<br />
Smartcard-Dienst, <strong>der</strong> von <strong>der</strong> <strong>MCard</strong> unter Verwendung dieses Standards adressiert wird.<br />
Die Treiber <strong>der</strong> Chipkartenlesegeräte (diese werden im Falle von Windows in <strong>der</strong> Regel vom<br />
Hersteller des Lesers bereitgestellt) stehen dann zwischen diesem Smartcard-Dienst und<br />
dem eigentlichen Chipkartenlesegerät. Hier kann auf weitere Treiber, etwa USB-Treiber,<br />
zurückgegriffen werden. So kann die <strong>MCard</strong> eine Vielzahl von Lesern unterstützen, so diese<br />
den PC/SC-Standard unterstützten. Wenn die Chipkartenlesegeräte-Treiber auch die Version<br />
2 dieses Standards im vollen Umfang beherrschen, können in <strong>der</strong> Regel auch PIN-Pad<br />
und Display <strong>der</strong> Chipkartenlesegeräte genutzt werden.<br />
Heutige Terminalserver-Software spielt über virtuelle USB-Schnittstellen dem Treiber eines<br />
Chipkartenlesegerätes vor, dass sich dieses am lokalen Rechner (dem Terminalserver) befindet,<br />
obwohl es sich tatsächlich an <strong>der</strong> Arbeitsstation des Nutzers befindet. Dies funktioniert<br />
häufig sehr gut, bedeutet aber auch, dass für die Funktionsfähigkeit <strong>der</strong> einzelnen Konstellationen<br />
die Hersteller <strong>der</strong> jeweils zum Einsatz kommenden Treiber und <strong>der</strong> Terminalserver-<br />
Software verantwortlich sind. D. h., es liegt in <strong>der</strong> Regel nicht in <strong>der</strong> Verantwortung <strong>der</strong><br />
<strong>MCard</strong>, wenn Kombinationen nicht funktionieren. Auch kann eine Funktionsfähigkeit nicht<br />
durch Än<strong>der</strong>ungen in <strong>der</strong> <strong>MCard</strong> herbeigeführt werden. Dieses gilt insbeson<strong>der</strong>e für nicht<br />
aufgeführte Client-Betriebssysteme, die keine dynamische Kartenlesererkennung unterstützen.<br />
Freigeben zur Nutzung wird daher nur ein Subset <strong>der</strong> grundsätzlich mit <strong>der</strong> <strong>MCard</strong> unterstützten<br />
Betriebssysteme-Kartenleser-Kombinationen. Ob eine Kombination von Signaturkarte,<br />
Chipkartenleser, Terminalserversoftware, Serverbetriebssystem und Clientbetriebssystem<br />
unterstützt wird, ist den Tabellen 8 bis 14 zu entnehmen. Die Tabelle hat den Status<br />
eines Textbausteins. Er kann als Grundlage verwendet werden, um eine eigene Anwen<strong>der</strong>-<br />
19
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
dokumentation um eine Übersicht über die unterstützten Kombinationen zu ergänzen. Bei<br />
einer Anwendung, die eine SAK (also zur Erzeugung von qualifizierten elektronischen Signaturen<br />
verwendet werden kann) im Sinne des Signaturgesetztes darstellt, ist die Tabelle mit<br />
den benannten Kombinationen von Signaturkarte, Chipkartenleser, Terminalserversoftware,<br />
Serverbetriebssystem und Clientbetriebssystem zwingend erfor<strong>der</strong>lich, da die unterstützten<br />
Chipkartenlesegeräte in einer Positivliste zu veröffentlichen sind.<br />
Bitte beachten Sie, dass für den Anwen<strong>der</strong> <strong>der</strong> folgende Hinweis in <strong>der</strong> Anwen<strong>der</strong>dokumentation<br />
sinnvoll ist, da sie das Verständnis <strong>der</strong> Tabelle erleichtert:<br />
Heutige Terminalserver-Software spielt über virtuelle USB-Schnittstellen dem<br />
Treiber eines Chipkartenlesegerätes vor, dass sich dieses am lokalen Rechner<br />
(dem Terminalserver) befindet, obwohl es sich tatsächlich an <strong>der</strong> Arbeitsstation<br />
des Nutzers befindet. Dies funktioniert häufig sehr gut, bedeutet aber auch, dass<br />
für die Funktionsfähigkeit <strong>der</strong> einzelnen Konstellationen die Hersteller <strong>der</strong> jeweils<br />
zum Einsatz kommenden Treiber und <strong>der</strong> Terminalserver-Software verantwortlich<br />
sind. D. h., es liegt in <strong>der</strong> Regel nicht in <strong>der</strong> Verantwortung <strong>der</strong> Client-Anwendung<br />
>Name <strong>der</strong> Applikation
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
5 Benötigte <strong>Bibliothek</strong>en<br />
5.1.1 Third-Party <strong>Bibliothek</strong>en<br />
Das <strong>MCard</strong>.jar enthält das OpenCard-Framework und den PC/SC Wrapper von IBM.<br />
5.1.2 Native <strong>Bibliothek</strong>en<br />
Seit <strong>der</strong> <strong>MCard</strong> 1.9.0 werden neue native <strong>Bibliothek</strong>en zur Unterstützung von 32bit/64bit-<br />
Systemen/Java unter Windows/Linux verwendet. Ein Update <strong>der</strong> DLLs/SO ist daher zwingend<br />
erfor<strong>der</strong>lich, sollte die aktuelle <strong>MCard</strong> eine Version kleiner <strong>MCard</strong> 1.9.0 ersetzen.<br />
Seit <strong>der</strong> Version 1.9.0 heißt die native <strong>Bibliothek</strong> jetzt konform zu Konventionen JNI<br />
OCFPCSC1.dll. Sie unterstützt auch die notwendigen Erweiterungen für PC/SC 2.0. Mit <strong>der</strong><br />
<strong>MCard</strong>-Version <strong>1.12.0.0</strong> werden neue Versionen <strong>der</strong> nativen <strong>Bibliothek</strong>en zur Verfügung gestellt,<br />
die zwingend ab dieser Version verwendet werden müssen. Hintergrund ist die neue<br />
Unterstützung <strong>der</strong> PC/SC Funktion transaction für den synchronisierten Zugriff auf den Kartenleser.<br />
5.1.3 Verwendung unter JWS<br />
Der Einsatz <strong>der</strong> <strong>MCard</strong> in einer Application über Java Web Start setzt einen Standard Web<br />
Server, die Definition geeigneter JNLP-Dateien und Java-<strong>Bibliothek</strong>en voraus.<br />
Die nativen <strong>Bibliothek</strong>en stehen in <strong>der</strong> Auslieferung als signierte Jars namens ocfpcscbridge.jar<br />
zur Verfügung. Für bestimmte Linux-Distributionen kann es notwendig sein, die native<br />
<strong>Bibliothek</strong> für das Zielsystem entsprechend zu kompilieren und selbst zu signieren. Dies<br />
hängt davon ab, inwieweit die ausgelieferte Version mit den Versionen von PC/SC-Lite und<br />
an<strong>der</strong>en Komponenten des Systems kompatibel sind.<br />
Als Java-Bilbiotheken werden die Standard-Logging-Bilbiotheken für commons-logging und<br />
log4j von Apache, <strong>der</strong> JCA/JCE-Provi<strong>der</strong> von Bouncy Castle und <strong>der</strong> GovernikusCryptoprovi<strong>der</strong><br />
von <strong>bremen</strong> online services benötigt.<br />
21
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
6 Konfiguration <strong>der</strong> <strong>MCard</strong> <strong>Bibliothek</strong><br />
Zur Konfiguration <strong>der</strong> <strong>MCard</strong>-<strong>Bibliothek</strong> <strong>MCard</strong> im OSCI-Client-Enabler lesen Sie bitte die<br />
Ausführungen im Handbuch "OSCI-Client-Enabler allgemeine Funktions- und Schnittstellenbeschreibung",<br />
beson<strong>der</strong>s das Kapitel 2.3.10 „Kryptografische Operationen“.<br />
22
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
7 Austausch <strong>der</strong> <strong>MCard</strong>-<strong>Bibliothek</strong>en in existierenden Anwendungen<br />
7.1 Austausch <strong>der</strong> <strong>MCard</strong> <strong>Bibliothek</strong><br />
Zum Austausch <strong>der</strong> <strong>MCard</strong> gehen Sie bitte wie folgt vor:<br />
a) Bitte entpacken Sie das Archiv GOVERNIKUS_3_MCARD_x_xx_x_x.zip.<br />
b) Entfernen Sie das alte Java-Archiv mcard.jar in Ihrer Applikation.<br />
c) Das neue mcard.jar befindet sich im Ordner \<strong>MCard</strong>\Software des Archivs.<br />
d) Kopieren Sie bitte das neue Java-Archiv in Ihre Applikation.<br />
Zum Einsatz <strong>der</strong> neuen <strong>Bibliothek</strong> muss eine neue Version <strong>der</strong> nativen <strong>Bibliothek</strong> eingesetzt<br />
werden. Es muss außerdem eine kompatible Version des ci.jar (Certificate Interpreter) ab<br />
1.5.0 eingesetzt werden. Sollte die <strong>MCard</strong> in einem eigenen Projekt genutzt werden, wird<br />
ggf. das ci.jar benötigt. Bitte wenden Sie sich in diesem Fall an unseren Servicedesk<br />
(Servicedesk@bos-<strong>bremen</strong>.de).<br />
23
8 Anhang<br />
8.1 Unterstützte Signaturkarten<br />
Tabelle 3: Deutsche Zertifizierungsdiensteanbieter, qualifizierte elektronische Signatur mit Anbieterakkreditierung<br />
Zertifizierungsdiensteanbieter<br />
(Gütezeichen BNetzA)<br />
Produktzentrum Tele-<br />
Sec <strong>der</strong> Deutschen<br />
Telekom AG (Z0001)<br />
Bundesnotarkammer,<br />
Zertifizierungsstelle<br />
(Z0003)<br />
DATEV eG Zertifizierungsstelle<br />
(Z0004)<br />
Handelsname <strong>der</strong><br />
Signaturkarte<br />
1 TeleSec NetKey 3.0 mit PKS<br />
3 Bundesnotarkammer, Zertifizierungsstelle<br />
qual. elektronische<br />
Signatur<br />
- Stapelsignaturkarte -<br />
QES 1) C 1) A 1) Name <strong>der</strong> SSEE in <strong>der</strong> Bestätigungsurkunde<br />
x x x<br />
x 3) x x<br />
Signaturerstellungseinheit TCOS 3.0 Signature<br />
Card, Version 1.0, Version 1.1<br />
Registrierungsnr. <strong>der</strong> Bestätigungsurkunde<br />
<strong>der</strong> SSEE<br />
TUVIT.93119.TE.09.2006<br />
TUVIT.93146.TE.12.2006<br />
Signaturerstellungseinheit STARCOS 3.2 BSI.02114.TE.12.2008<br />
4 zertifizierte Signaturkarte für Berufsträger<br />
<strong>der</strong> DATEV x x x Signaturerstellungseinheit STARCOS 3.2 BSI.02114.TE.12.2008<br />
D-Trust GmbH (Z0017) 5 D-TRUST Card 2.02c, 2.2, 2.3, 24<br />
Deutsche Post Com<br />
GmbH Geschäftsfeld<br />
Signtrust (Z0002)<br />
TC TrustCenter<br />
TrustCenter GmbH<br />
(Z0032)<br />
S-Trust, Deutscher<br />
Sparkassen Verlag<br />
GmbH (Z0035)<br />
x x x<br />
SEE „Chipkarte mit Prozessor SLE66CX322P,<br />
CardOS V4.3B mit Applikation für digitale<br />
Signatur“<br />
T-Systems.02122.TE.05. 2005<br />
6 SIGNTRUST CARD x x x Signaturerstellungseinheit STARCOS 3.2 BSI.02114.TE.12.2008<br />
7 SIGNTRUST MCARD 100<br />
- Stapelsignaturkarte - x 3) x x<br />
9 TC QSign (limited)<br />
dgnservice (Z0033) 11 dgnservice Card<br />
x x x<br />
10 SparkassenCard o<strong>der</strong> kontounabhängige<br />
GeldKarte x x 4) x 4)<br />
x x x<br />
Signaturerstellungseinheit STARCOS 3.2 BSI.02114.TE.12.2008<br />
SEE „Chipkarte mit Prozessor SLE66CX322P,<br />
CardOS V4.3B mit Applikation für digitale<br />
Signatur“<br />
SEE ZKA Banking Signature Card, Version<br />
6.6 <strong>der</strong> Giesecke & Devrient GmbH<br />
T-Systems.02122.TE.05. 2005<br />
TUVIT.93130.TU.05.2006, 2. Nachtrag<br />
vom 18.10.2006<br />
Signaturerstellungseinheit STARCOS 3.0 TUVIT.93100.TE.09.2005<br />
Nachträge vom 08.08.2006,<br />
20.10.2006 und 07.12.2006
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Tabelle 4: Deutsche Zertifizierungsdiensteanbieter, qualifizierte elektronische Signatur<br />
Zertifizierungsdiensteanbieter<br />
Handelsname <strong>der</strong><br />
Signaturkarte<br />
D-Trust GmbH 12 D-TRUST Card 2.02c 2.2, 2.3, 2.4<br />
S-Trust, Deutscher<br />
Sparkassen Verlag<br />
GmbH<br />
Deutsche Rentenversicherung<br />
Bund 5)<br />
14 SparkassenCard o<strong>der</strong> kontounabhängige<br />
GeldKarte<br />
QES 1) C A 2) Name <strong>der</strong> SSEE in <strong>der</strong> Bestätigungsurkunde<br />
x x x<br />
x x 4) x 4)<br />
15 Signaturkarte <strong>der</strong> Deutschen Rentenversicherung<br />
Bund x x x<br />
SEE „Chipkarte mit Prozessor<br />
SLE66CX322P, CardOS V4.3B mit Applikation<br />
für digitale Signatur“<br />
SEE ZKA-Signaturkarte, Version 5.02 <strong>der</strong><br />
Gemplus-mids GmbH<br />
SEE ZKA Banking Signature Card, Version<br />
6.2b NP und 6.2f NP, Type 3 <strong>der</strong> Giesecke &<br />
Devrient GmbH<br />
SEE ZKA Banking Signature Card, Version<br />
6.31 NP, Type 3 <strong>der</strong> Giesecke & Devrient<br />
GmbH<br />
SEE ZKA Banking Signature Card, Version<br />
6.32 NP, Type 3 <strong>der</strong> Giesecke & Devrient<br />
GmbH<br />
SEE ZKA Banking Signature Card, Version<br />
6.4 <strong>der</strong> Giesecke & Devrient GmbH<br />
SEE ZKA Banking Signature Card, Version<br />
6.6 <strong>der</strong> Giesecke & Devrient GmbH<br />
SEE ZKA-Signaturkarte, Version 5.10 <strong>der</strong><br />
Gemplus-mids GmbH<br />
ZKA-Signaturkarte, Version 5.11 Gemplus<br />
GmbH (Gemalto)<br />
Signaturerstellungseinheit ZKA SECCOS Sig<br />
v1.5.3 <strong>der</strong> Sagem Orga GmbH<br />
Signaturerstellungseinheit ZKA Banking<br />
Signature Card, Version 7.1.2 <strong>der</strong> Giesecke &<br />
Devrient GmbH<br />
SEE „Chipkarte mit Prozessor<br />
SLE66CX322P, CardOS V4.3B mit Applikation<br />
für digitale Signatur“<br />
Registrierungsnr. <strong>der</strong> Bestätigungsurkunde<br />
<strong>der</strong> SSEE<br />
T-Systems.02122.TE.05. 2005<br />
TUVIT.09385.TU.09.2004<br />
TUVIT.09395.TU.01.2005<br />
TUVIT.09397.TU.03.2005<br />
TUVIT.93125.TU.12.2005<br />
TUVIT.93123.TU.12.2006<br />
TUVIT.93130.TU.05.2006, 1.<br />
Nachtrag vom 28.08.2006 und 2.<br />
Nachtrag vom 18.10.2006<br />
TUVIT.93132.TU.06.2006<br />
TUVIT.93138.TU.11.2006<br />
BSI.02076.TE.08.2006<br />
TUVIT.93166.TU.06.2008<br />
T-Systems.02122.TE.05. 2005<br />
25
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
1) QES = qualifizierte elektronische Signatur, C = Chiffrierung, A = Authentisierung, X = unterstützt 0 = nicht unterstützt, - Funktionalität nicht vorhanden<br />
2) Die verwendete KeyUsage des Zertifikats „digital signature“ ermöglicht es auch, eine fortgeschrittene elektronische Signatur zu erzeugen<br />
3) Solange die Signaturerzeugung nicht im Transaction-Block erfolgt, ist die Anzahl <strong>der</strong> möglichen Signaturerzeugungen nach einer erfolgreichen Authentifizierung mit <strong>der</strong> Signatur-PIN<br />
bei <strong>der</strong> <strong>MCard</strong> auf 1 begrenzt.<br />
4) ein Zertifikat für Verschlüsselung und Authentisierung<br />
5) Die Signaturkarte <strong>der</strong> Deutschen Rente Bund wird nur an Mitarbeiter dieser Behörde ausgegeben.<br />
Tabelle 5: unterstützte elektronische Signaturkarten, fortgeschrittene elektronische Signatur<br />
Trustcenter Handelsname <strong>der</strong><br />
Signaturkarte<br />
TESTA-CA (unter <strong>der</strong><br />
PKI-1 Verwaltung) 2)<br />
Hessen-PKI (unter <strong>der</strong><br />
PKI-1 Verwaltung) 3)<br />
Europäisches Patentamt<br />
– European Patent<br />
Office (EPO)<br />
18 Signaturkarte <strong>der</strong> T-System Netkey<br />
3.0 und 3.01 -- x x<br />
19 Signaturkarte <strong>der</strong> T-System Netkey<br />
3.0 und 3.01 mit Hessen-PKI-<br />
Zertifikat<br />
QES 1) F, A 2) C 2) Name <strong>der</strong> SSEE in <strong>der</strong> Bestätigungsurkunde<br />
x 4) x --<br />
19 Online Services Smart Card Epoline<br />
-- x 5) --<br />
Signaturerstellungseinheit TCOS 3.0<br />
Signature Card, Version 1.0, Version 1.1<br />
Signaturerstellungseinheit TCOS 3.0<br />
Signature Card, Version 1.0, Version 1.1<br />
Registrierungsnr. <strong>der</strong> Bestätigungsurkunde<br />
<strong>der</strong> SSEE<br />
TUVIT.93119.TE.09.2006<br />
TUVIT.93146.TE.12.2006<br />
TUVIT.93119.TE.09.2006<br />
TUVIT.93146.TE.12.2006<br />
-- --<br />
1) QES = qualifizierte elektronische Signatur, F = fortgeschrittene Signatur, C = Chiffrierung, A = Authentisierung, X = unterstützt 0 = nicht unterstützt,<br />
- Funktionalität nicht vorhanden<br />
2) Die Signaturkarte wird nur an Mitarbeiter von Behörden im Kontext DVDV ausgegeben.<br />
3) Die Signaturkarte wird nur an Mitarbeiter Hessischer Behörden ausgegeben.<br />
4) Diese Signaturkarte kann zusätzlich auch mit einem qualifizierten Signaturzertifikat (mit Anbieterakkreditierung) des Public Key Service des Produktzentrum TeleSec<br />
<strong>der</strong> Deutschen Telekom AG (Gütezeichen des ZDA: Z0001) personalisiert werden. Siehe Tabelle 1, lfd. Nummer 1.<br />
5) Unterstützt wird nur die fortgeschrittene Signatur<br />
26
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
8.2 Unterstützte Chipkartenlesegeräte<br />
Tabelle 6: Unterstützte Chipkartenlesegeräte mit veröffentlichter Bestätigung durch die Bundesnetzagentur<br />
Handelsname des unterstützten<br />
Geräts<br />
Angaben aus <strong>der</strong> veröffentlichten Bestätigung bei <strong>der</strong> BNetzA Schnittstelle<br />
CardMan 3621 OMNIKEY GmbH SAK Chipkartenterminal <strong>der</strong> Familie CardMan Trust<br />
CM3621, Firmware-Version 6.00<br />
BSI.02057.TE.12.2005 USB ja<br />
CardMan 3821 OMNIKEY GmbH SAK Chipkartenterminal <strong>der</strong> Familie CardMan Trust<br />
CM3821, Firmware-Version 6.00<br />
BSI.02057.TE.12.2005 USB ja<br />
Cherry Smartboard G83-6744 Cherry GmbH Chipkartenterminal <strong>der</strong> Familie SmartBoard xx44 Firmware-Version<br />
1.04<br />
BSI.02048.TE.12.2004 USB ja<br />
Cherry SmartTerminal 2000 U Cherry GmbH Chipkartenterminal <strong>der</strong> Familie SmartTerminal ST-2xxx,<br />
Firmware Version 5.11<br />
BSI.02059.TE.02.2006 USB ja<br />
CyberJack e-com Reiner SCT Kartenlesegeräte<br />
GmbH<br />
CyberJack e-com, Version 3.0 TUVIT.93155.TE.09.2008 USB ja<br />
CyberJack e-com plus Reiner SCT Kartenlesegeräte<br />
GmbH<br />
CyberJack e-com plus, Version 3.0 TUVIT.93156.TE.09.2008 USB ja<br />
CyberJack pinpad Version 3 Reiner SCT Kartenlesegeräte<br />
GmbH<br />
Chipkartenleser, cyberJack pinpad, Version 3.0 TUVIT.93107.TU.11.2004 USB ja<br />
CyberJack seco<strong>der</strong> Reiner SCT Kartenlesegeräte<br />
GmbH<br />
Chipkartenleser CyberJack seco<strong>der</strong> Version 3.0 TUVIT.93154.TE.09.2008 USB ja<br />
Fujitsu Siemens Chipkartenleser-<br />
Tastatur KB SCR Pro<br />
Kobil EMV-TriCAP Rea<strong>der</strong> Kobil Systems<br />
GmbH<br />
Kobil KAAN Advanced Kobil Systems<br />
GmbH<br />
Kobil SecOVID Rea<strong>der</strong> III Kobil Systems<br />
GmbH<br />
Kobil TriB@ank Kobil Systems<br />
GmbH<br />
SPR 532 usb (Chipdrive pinpad pro) SCM Microsystems<br />
GmbH<br />
Fujitsu Siemens Chipkartenleser-Tastatur Sachnummer S26381-K329-<br />
V2xx Firmware Version 1.06<br />
EMV-TriCAP Rea<strong>der</strong> (Art.-Nr. HCPNCKS/A03, Firmware<br />
69.18)<br />
Chipkartenterminal KAAN Advanced, Firmware Version<br />
1.02, Hardware Version K104R3,<br />
Firmware 1.19 Nachtrag zur Bestätigung<br />
SecOVID Rea<strong>der</strong> III (Art.-Nr. HCPNCKS/B05, Firmware<br />
69.18)<br />
KAAN TriB@nk (Art.-Nr. HCPNCKS/C05, Firmware<br />
79.23)<br />
Chipkartenleser SPR132, SPR332, SPR532, Firmware<br />
Version 4.15<br />
BSI.02082.TE.01.2007 USB ja<br />
BSI.02096.TE.12.2008<br />
Nachtrag Nr. 1 vom 03.04.2009<br />
USB ja<br />
BSI.02050.TE.12.2006<br />
Nachtrag zur Bestätigung vom<br />
07.04.2008: T-<br />
Systems.02207.TU.04.2008<br />
USB ja<br />
BSI.02096.TE.12.2008<br />
Nachtrag Nr. 1 vom 03.04.2009<br />
USB ja<br />
BSI.02096.TE.12.2008<br />
Nachtrag Nr. 1 vom 03.04.2009<br />
USB ja<br />
TUVIT.09370.TE.03.2003 USB ja<br />
Sichere<br />
PIN-<br />
Eingabe<br />
27
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Tabelle 7: Auswahl unterstützter Chipkartenlesegeräte ohne PIN-Pad<br />
Handelsname des unterstützten<br />
Geräts<br />
Hersteller Schnittstelle<br />
CardMan 3121 Omnikey USB<br />
Omnikey Cardman 5321 RFID 1 Omnikey USB<br />
SCM SDI010 RFID 1 SCM Microsystems GmbH USB<br />
SCR 3310 SCM Microsystems GmbH USB<br />
SCR 3311 (Chipdrive desktop pro) SCM Microsystems GmbH USB<br />
SCR 335 (Chipdrive micro pro) SCM Microsystems GmbH USB<br />
1 Nur die Nutzung des kontaktbehafteten Interfaces möglich<br />
28
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
8.3 Unterstützte Kombinationen Betriebssystem - Chipkartenlesegerät - Signaturkarte<br />
Tabelle 8: Unterstützte Kombinationen Windows XP Professional SP3 (32 Bit) - Chipkartenlesegerät - Signaturkarte<br />
Handelsname des unterstützten<br />
Chipkartenlesegeräts<br />
bestätigt<br />
nach SigG<br />
Schnittstelle<br />
Windows XP Prof. SP 3 Zertifizierungsdiensteanbieter 1<br />
Sichere<br />
PIN-<br />
Firmware Treiber Eingabe<br />
Cherry® Smartboard G83-6744 ja USB 01.04.00.00 1.2.2.8 ja � � � � � � � � �<br />
Cherry® SmartTerminal 2000 U ja USB 6.01.00.00 4.45.0.0 ja � � � � � � � � �<br />
CyberJack® e-com ja USB 3.0.69 6.9.6 ja � � � � � � � � �<br />
CyberJack® e-com plus ja USB 3.0.2 6.9.6 ja � � � � � � � � �<br />
CyberJack® pinpad Version 3 ja USB 3.0.12 6.9.6 ja � � � � � � � � �<br />
CyberJack® seco<strong>der</strong> ja USB 3.0.14 6.9.6 ja � � � � � � � � �<br />
Fujitsu Siemens KB SCR Pro ja USB 1.06 1.2.2.8 ja � � � � � � � � �<br />
Kobil KAAN Advanced ja USB 1.19 2010.1.12.1 ja � � � � � � � � �<br />
Kobil SecOVID 3, EMV-TriCap, Trib@nk ja USB 69.18/79.23 4 2010.1.12.1 ja � � � � � � � � �<br />
Omnikey CardMan 3121 nein USB nicht bekannt 1.2.2.8 nein 2 � � � � � � � � �<br />
Omnikey CardMan 3621 ja USB 6.00 1.2.2.8 ja � � � � � � � � �<br />
Omnikey CardMan 3821 ja USB 6.00 1.2.2.8 ja � � � � � � � � �<br />
Omnikey Cardman 5321 RFID 3 nein USB 5.10 1.2.2.7 nein 2 � � � � � � � � �<br />
SCM SCR 3310 nein USB nicht bekannt 4.49.0.0 nein 2 � � � � � � � � �<br />
SCM SCR 3311 (Chipdrive desktop pro) nein USB nicht bekannt 4.49.0.0 nein 2 � � � � � � � � �<br />
SCM SDI010 RFID 3 nein USB 7.33 5.18.0.0 nein 2 � � � � � � � � �<br />
SCM SPR 532 usb (Chipdrive pinpad) ja USB 5.1.0 4.45.0.0 ja � � � � � � � � �<br />
SCR 335 (Chipdrive micro pro) nein USB 5.3.2 4.49.0.0 nein 2 � � � � � � � � �<br />
1 unterstützte Signaturkarten (SSEE) siehe Tabellen 3 bis 5<br />
2 keine sichere PIN-Eingabe möglich da nur HBCI-Klasse 1<br />
3 unterstützt wird nur das kontaktbehaftete Interface<br />
4 Firmware 79.23 nur Kobil Trib@ank<br />
TeleSec<br />
DP-Com<br />
Datev<br />
BNotK<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
Deutsche<br />
Rente<br />
Hessen-<br />
PKI<br />
29
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Tabelle 9: Unterstützte Kombinationen Windows XP Professional SP3 (64 Bit) - Chipkartenlesegerät - Signaturkarte<br />
Handelsname des unterstützten<br />
Chipkartenlesegeräts<br />
bestätigt<br />
nach SigG<br />
Schnittstelle<br />
Windows Vista Home<br />
Premium SP2<br />
Firmware Treiber<br />
Sichere<br />
PIN-<br />
Eingabe<br />
Zertifizierungsdiensteanbieter 1<br />
Cherry® Smartboard G83-6744 ja USB 01.04.00.00 1.2.2.8 ja � � � � � � � � �<br />
Cherry® SmartTerminal 2000 U ja USB 6.01.00.00 4.45.0.0 ja � � � � � � � � �<br />
CyberJack® e-com ja USB 3.0.69 6.9.6 ja � � � � � � � � �<br />
CyberJack® e-com plus ja USB 3.0.2 6.9.6 ja � � � � � � � � �<br />
CyberJack® pinpad Version 3 ja USB 3.0.12 6.9.6 ja � � � � � � � � �<br />
CyberJack® seco<strong>der</strong> ja USB 3.0.14 6.9.6 ja � � � � � � � � �<br />
Fujitsu Siemens KB SCR Pro ja USB 1.06 1.2.2.8 ja � � � � � � � � �<br />
Kobil KAAN Advanced ja USB 1.19 2010.1.12.1 ja � � � � � � � � �<br />
Kobil SecOVID 3, EMV-TriCap, Trib@nk ja USB 69.18/79.23 4 2010.1.12.1 ja � � � � � � � � �<br />
Omnikey CardMan 3121 nein USB nicht bekannt 1.2.2.8 nein 2 � � � � � � � � �<br />
Omnikey CardMan 3621 ja USB 6.00 1.2.2.8 ja � � � � � � � � �<br />
Omnikey CardMan 3821 ja USB 6.00 1.2.2.8 ja � � � � � � � � �<br />
Omnikey Cardman 5321 RFID 3 nein USB 5.10 1.2.2.7 nein 2 � � � � � � � � �<br />
SCM SCR 3310 nein USB nicht bekannt 4.49.0.0 nein 2 � � � � � � � � �<br />
SCM SCR 3311 (Chipdrive desktop pro) nein USB nicht bekannt 4.49.0.0 nein 2 � � � � � � � � �<br />
SCM SDI010 RFID 3 nein USB 7.33 5.18.0.0 nein 2 � � � � � � � � �<br />
SCM SPR 532 usb (Chipdrive pinpad) ja USB 5.1.0 4.45.0.0 ja � � � � � � � � �<br />
SCR 335 (Chipdrive micro pro) nein USB 5.3.2 4.49.0.0 nein 2 � � � � � � � � �<br />
1 unterstützte Signaturkarten (SSEE) siehe Tabelle 3 bis 5<br />
2 keine sichere PIN-Eingabe möglich da nur HBCI-Klasse 1<br />
3 unterstützt wird nur das kontaktbehaftete Interface<br />
4 Firmware 79.23 nur Kobil Trib@ank<br />
TeleSec<br />
DP-Com<br />
Datev<br />
BNotK<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
Deutsche<br />
Rente<br />
Hessen-<br />
PKI<br />
30
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Tabelle 10: Unterstützte Kombinationen Windows Vista Home Premium SP2 (32 Bit) - Chipkartenlesegerät - Signaturkarte<br />
Handelsname des unterstützten<br />
Chipkartenlesegeräts<br />
bestätigt<br />
nach SigG<br />
Schnittstelle<br />
Windows Vista Home<br />
Premium SP2<br />
Firmware Treiber<br />
Sichere<br />
PIN-<br />
Eingabe<br />
Zertifizierungsdiensteanbieter 1<br />
Cherry® Smartboard G83-6744 ja USB 01.04.00.00 1.2.2.8 ja � � � � � � � � �<br />
Cherry® SmartTerminal 2000 U ja USB 6.01.00.00 4.45.0.0 ja � � � � � � � � �<br />
CyberJack® e-com ja USB 3.0.69 6.9.6 ja � � � � � � � � �<br />
CyberJack® e-com plus ja USB 3.0.2 6.9.6 ja � � � � � � � � �<br />
CyberJack® pinpad Version 3 ja USB 3.0.12 6.9.6 ja � � � � � � � � �<br />
CyberJack® seco<strong>der</strong> ja USB 3.0.14 6.9.6 ja � � � � � � � � �<br />
Fujitsu Siemens KB SCR Pro ja USB 1.06 1.2.2.8 ja � � � � � � � � �<br />
Kobil KAAN Advanced ja USB 1.19 2010.1.12.1 ja � � � � � � � � �<br />
Kobil SecOVID 3, EMV-TriCap, Trib@nk ja USB 69.18/79.23 4 2010.1.12.1 ja � � � � � � � � �<br />
Omnikey CardMan 3121 nein USB nicht bekannt 1.2.2.8 nein 2 � � � � � � � � �<br />
Omnikey CardMan 3621 ja USB 6.00 1.2.2.8 ja � � � � � � � � �<br />
Omnikey CardMan 3821 ja USB 6.00 1.2.2.8 ja � � � � � � � � �<br />
Omnikey Cardman 5321 RFID 3 nein USB 5.10 1.2.2.7 nein 2 � � � � � � � � �<br />
SCM SCR 3310 nein USB nicht bekannt 4.49.0.0 nein 2 � � � � � � � � �<br />
SCM SCR 3311 (Chipdrive desktop pro) nein USB nicht bekannt 4.49.0.0 nein 2 � � � � � � � � �<br />
SCM SDI010 RFID 3 nein USB 7.33 5.18.0.0 nein 2 � � � � � � � � �<br />
SCM SPR 532 usb (Chipdrive pinpad) ja USB 5.1.0 4.45.0.0 ja � � � � � � � � �<br />
SCR 335 (Chipdrive micro pro) nein USB 5.3.2 4.49.0.0 nein 2 � � � � � � � � �<br />
1 unterstützte Signaturkarten (SSEE) siehe Tabelle 3 bis 5<br />
2 keine sichere PIN-Eingabe möglich da nur HBCI-Klasse 1<br />
3 unterstützt wird nur das kontaktbehaftete Interface<br />
4 Firmware 79.23 nur Kobil Trib@ank<br />
TeleSec<br />
DP-Com<br />
Datev<br />
BNotK<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
Deutsche<br />
Rente<br />
Hessen-<br />
PKI<br />
31
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Tabelle 11: Unterstützte Kombinationen Windows Vista Home Premium SP2 (64 Bit) - Chipkartenlesegerät - Signaturkarte<br />
Handelsname des unterstützten<br />
Chipkartenlesegeräts<br />
bestätigt<br />
nach SigG<br />
Schnittstelle<br />
Windows Vista Home<br />
Premium SP2<br />
Firmware Treiber<br />
Sichere<br />
PIN-<br />
Eingabe<br />
Zertifizierungsdiensteanbieter 1<br />
Cherry® Smartboard G83-6744 ja USB 01.04.00.00 1.2.2.8 ja � � � � � � � � �<br />
Cherry® SmartTerminal 2000 U ja USB 6.01.00.00 4.45.0.0 ja � � � � � � � � �<br />
CyberJack® e-com ja USB 3.0.69 6.9.6 ja � � � � � � � � �<br />
CyberJack® e-com plus ja USB 3.0.2 6.9.6 ja � � � � � � � � �<br />
CyberJack® pinpad Version 3 ja USB 3.0.12 6.9.6 ja � � � � � � � � �<br />
CyberJack® seco<strong>der</strong> ja USB 3.0.14 6.9.6 ja � � � � � � � � �<br />
Fujitsu Siemens KB SCR Pro ja USB 1.06 1.2.2.8 ja � � � � � � � � �<br />
Kobil KAAN Advanced ja USB 1.19 2010.1.12.1 ja � � � � � � � � �<br />
Kobil SecOVID 3, EMV-TriCap, Trib@nk ja USB 69.18/79.23 4 2010.1.12.1 ja � � � � � � � � �<br />
Omnikey CardMan 3121 nein USB nicht bekannt 1.2.2.8 nein 2 � � � � � � � � �<br />
Omnikey CardMan 3621 ja USB 6.00 1.2.2.8 ja � � � � � � � � �<br />
Omnikey CardMan 3821 ja USB 6.00 1.2.2.8 ja � � � � � � � � �<br />
Omnikey Cardman 5321 RFID 3 nein USB 5.10 1.2.2.7 nein 2 � � � � � � � � �<br />
SCM SCR 3310 nein USB nicht bekannt 4.49.0.0 nein 2 � � � � � � � � �<br />
SCM SCR 3311 (Chipdrive desktop pro) nein USB nicht bekannt 4.49.0.0 nein 2 � � � � � � � � �<br />
SCM SDI010 RFID 3 nein USB 7.33 5.18.0.0 nein 2 � � � � � � � � �<br />
SCM SPR 532 usb (Chipdrive pinpad) ja USB 5.1.0 4.45.0.0 ja � � � � � � � � �<br />
SCR 335 (Chipdrive micro pro) nein USB 5.3.2 4.49.0.0 nein 2 � � � � � � � � �<br />
1 unterstützte Signaturkarten (SSEE) siehe Tabelle 3 bis 5<br />
2 keine sichere PIN-Eingabe möglich da nur HBCI-Klasse 1<br />
3 unterstützt wird nur das kontaktbehaftete Interface<br />
4 Firmware 79.23 nur Kobil Trib@ank<br />
TeleSec<br />
DP-Com<br />
Datev<br />
BNotK<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
Deutsche<br />
Rente<br />
Hessen-<br />
PKI<br />
32
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Tabelle 12: Unterstützte Kombinationen Windows 7 Professional (32 Bit) - Chipkartenlesegerät - Signaturkarte<br />
Handelsname des unterstützten<br />
Chipkartenlesegeräts<br />
bestätigt<br />
nach SigG<br />
Schnittstelle<br />
Windows 7 Professional Zertifizierungsdiensteanbieter 1<br />
Sichere<br />
PIN-<br />
Firmware Treiber Eingabe<br />
Cherry® Smartboard G83-6744 ja USB 01.04.00.00 1.2.2.8 ja � � � � � � � � �<br />
Cherry® SmartTerminal 2000 U ja USB 6.01.00.00 4.45.0.0 ja � � � � � � � � �<br />
CyberJack® e-com ja USB 3.0.69 6.9.6 ja � � � � � � � � �<br />
CyberJack® e-com plus ja USB 3.0.2 6.9.6 ja � � � � � � � � �<br />
CyberJack® pinpad Version 3 ja USB 3.0.12 6.9.6 ja � � � � � � � � �<br />
CyberJack® seco<strong>der</strong> ja USB 3.0.14 6.9.6 ja � � � � � � � � �<br />
Fujitsu Siemens KB SCR Pro ja USB 1.06 1.2.2.8 ja � � � � � � � � �<br />
Kobil KAAN Advanced ja USB 1.19 2010.1.12.1 ja � � � � � � � � �<br />
Kobil SecOVID 3, EMV-TriCap, Trib@nk ja USB 69.18/79.23 4 2010.1.12.1 ja � � � � � � � � �<br />
Omnikey CardMan 3121 nein USB nicht bekannt 1.2.2.8 nein 2 � � � � � � � � �<br />
Omnikey CardMan 3621 ja USB 6.00 1.2.2.8 ja � � � � � � � � �<br />
Omnikey CardMan 3821 ja USB 6.00 1.2.2.8 ja � � � � � � � � �<br />
Omnikey Cardman 5321 RFID 3 nein USB 5.10 1.2.2.7 nein 2 � � � � � � � � �<br />
SCM SCR 3310 nein USB nicht bekannt 4.49.0.0 nein 2 � � � � � � � � �<br />
SCM SCR 3311 (Chipdrive desktop pro) nein USB nicht bekannt 4.49.0.0 nein 2 � � � � � � � � �<br />
SCM SDI010 RFID 3 nein USB 7.33 5.18.0.0 nein 2 � � � � � � � � �<br />
SCM SPR 532 usb (Chipdrive pinpad) ja USB 5.1.0 4.45.0.0 ja � � � � � � � � �<br />
SCR 335 (Chipdrive micro pro) nein USB 5.3.2 4.49.0.0 nein 2 � � � � � � � � �<br />
1 unterstützte Signaturkarten (SSEE) siehe Tabelle 3 bis 5<br />
2 keine sichere PIN-Eingabe möglich da nur HBCI-Klasse 1<br />
3 unterstützt wird nur das kontaktbehaftete Interface<br />
4 Firmware 79.23 nur Kobil Trib@ank<br />
TeleSec<br />
DP-Com<br />
Datev<br />
BNotK<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
Deutsche<br />
Rente<br />
Hessen-<br />
PKI<br />
33
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Tabelle 13: Unterstützte Kombinationen Windows 7 Professional (64 Bit) - Chipkartenlesegerät - Signaturkarte<br />
Handelsname des unterstützten<br />
Chipkartenlesegeräts<br />
bestätigt<br />
nach SigG<br />
Schnittstelle<br />
Windows 7 Professional Zertifizierungsdiensteanbieter 1<br />
Sichere<br />
PIN-<br />
Firmware Treiber Eingabe<br />
Cherry® Smartboard G83-6744 ja USB 01.04.00.00 1.2.2.8 ja � � � � � � � � �<br />
Cherry® SmartTerminal 2000 U ja USB 6.01.00.00 4.45.0.0 ja � � � � � � � � �<br />
CyberJack® e-com ja USB 3.0.69 6.9.6 ja � � � � � � � � �<br />
CyberJack® e-com plus ja USB 3.0.2 6.9.6 ja � � � � � � � � �<br />
CyberJack® pinpad Version 3 ja USB 3.0.12 6.9.6 ja � � � � � � � � �<br />
CyberJack® seco<strong>der</strong> ja USB 3.0.14 6.9.6 ja � � � � � � � � �<br />
Fujitsu Siemens KB SCR Pro ja USB 1.06 1.2.2.8 ja � � � � � � � � �<br />
Kobil KAAN Advanced ja USB 1.19 2010.1.12.1 ja � � � � � � � � �<br />
Kobil SecOVID 3, EMV-TriCap, Trib@nk ja USB 69.18/79.23 4 2010.1.12.1 ja � � � � � � � � �<br />
Omnikey CardMan 3121 nein USB nicht bekannt 1.2.2.8 nein 2 � � � � � � � � �<br />
Omnikey CardMan 3621 ja USB 6.00 1.2.2.8 ja � � � � � � � � �<br />
Omnikey CardMan 3821 ja USB 6.00 1.2.2.8 ja � � � � � � � � �<br />
Omnikey Cardman 5321 RFID 3 nein USB 5.10 1.2.2.7 nein 2 � � � � � � � � �<br />
SCM SCR 3310 nein USB nicht bekannt 4.49.0.0 nein 2 � � � � � � � � �<br />
SCM SCR 3311 (Chipdrive desktop pro) nein USB nicht bekannt 4.49.0.0 nein 2 � � � � � � � � �<br />
SCM SDI010 RFID 3 nein USB 7.33 5.18.0.0 nein 2 � � � � � � � � �<br />
SCM SPR 532 usb (Chipdrive pinpad) ja USB 5.1.0 4.45.0.0 ja � � � � � � � � �<br />
SCR 335 (Chipdrive micro pro) nein USB 5.3.2 4.49.0.0 nein 2 � � � � � � � � �<br />
1 unterstützte Signaturkarten (SSEE) siehe Tabelle 3 bis 5<br />
2 keine sichere PIN-Eingabe möglich da nur HBCI-Klasse 1<br />
3 unterstützt wird nur das kontaktbehaftete Interface<br />
4 Firmware 79.23 nur Kobil Trib@ank<br />
TeleSec<br />
DP-Com<br />
Datev<br />
BNotK<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
Deutsche<br />
Rente<br />
Hessen-<br />
PKI<br />
34
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
Tabelle 14: Unterstützte Kombinationen openSUSE 11.2 (32 Bit) - Chipkartenlesegerät - Signaturkarte<br />
Handelsname des unterstützten<br />
Chipkartenlesegeräts<br />
bestätigt<br />
nach SigG<br />
Schnittstelle<br />
OpenSUSE 11.2 Zertifizierungsdiensteanbieter 1<br />
Sichere<br />
Firmware<br />
Treiber für<br />
Daemon-<br />
PCSC-light<br />
Version 1.5.5 8<br />
PIN-<br />
Eingabe<br />
Cherry® Smartboard G83-6744 ja USB 01.04.00.00 ifdokccid-lnx-3.5.1 ja ���� � 5 � 5 � 5 � � � � ����<br />
Cherry® SmartTerminal 2000 U ja USB 6.01.00.00 scmccid_5.0.11 ja � 7 � 7 � 7 � 7 � 7 � 7 � 7 � 7 � 7<br />
CyberJack® e-com ja USB 3.0.69 ifd-cyberjack 3.3.5.1 ja � � � � � � � � �<br />
CyberJack® e-com plus ja USB 3.0.2 ifd-cyberjack 3.3.5.1 ja � � � � � � � � �<br />
CyberJack® pinpad Version 3 ja USB 3.0.12 ifd-cyberjack 3.3.5.1 ja � � � � � � � � �<br />
CyberJack® seco<strong>der</strong> ja USB 3.0.14 ifd-cyberjack 3.3.5.1 ja � � � � � � � � �<br />
Fujitsu Siemens KB SCR Pro ja USB 1.06 ifdokccid-lnx-3.5.1 ja � � 5 � 5 � 5 � � � � �<br />
Kobil KAAN Advanced ja USB 1.19 CCID 1.3.11 6 ja ���� � 5 � 5 � 5 � 4 � 4 � � ����<br />
Kobil SecOVID 3, EMV-TriCap, Trib@nk ja USB 69.18/79.23 9 CCID 1.3.11 6 ja ���� � 5 � 5 � 5 � 4 � 4 � � ����<br />
Omnikey CardMan 3121 nein USB nicht bekannt ifdokccid-lnx-3.5.1 nein 2 ���� � 5 � 5 � 5 � � � � ����<br />
Omnikey CardMan 3621 ja USB 6.00 ifdokccid-lnx-3.5.1 ja ���� � 5 � 5 � 5 � � � � ����<br />
Omnikey CardMan 3821 ja USB 6.00 ifdokccid-lnx-3.5.1 ja ���� � 5 � 5 � 5 � � � � ����<br />
Omnikey Cardman 5321 RFID 3 nein USB 5.10 ifdokrfid_lnx-2.7.0 nein 2 � � � � � � � � �<br />
SCM SCR 3310 nein USB nicht bekannt scmccid 5.0.11 nein 2 � � � � � � � � �<br />
SCM SCR 3311 (Chipdrive desktop pro) nein USB nicht bekannt scmccid 5.0.11 nein 2 � � � � � � � � �<br />
SCM SDI010 RFID 3 nein USB 7.33 scmccid 5.0.11 nein 2 � � � � � � � � �<br />
SCM SPR 532 usb (Chipdrive pinpad) ja USB 5.1.0 scmccid_5.0.11 ja � 7 � 7 � 7 � 7 � 7 � 7 � 7 � 7 � 7<br />
SCR 335 (Chipdrive micro pro) nein USB 5.3.2 scmccid 5.0.11 nein 2 � � � � � � � � �<br />
1<br />
unterstützte Signaturkarten (SSEE) siehe Tabelle 3 bis 5<br />
6<br />
Der Name des Lesers muss in Info.plist gekürzt werden (ifd-ccid.bundle)<br />
2<br />
keine sichere PIN-Eingabe möglich da nur HBCI-Klasse 1<br />
7<br />
eine stabile PIN-Eingabe ohne Nutzung des PinPad möglich<br />
3<br />
unterstützt wird nur das kontaktbehaftete Interface<br />
8<br />
Bei generischen CCID-Treibern muss <strong>der</strong> Name des Lesers mit * angeführt werden<br />
4<br />
Siemens Card OS 4.3b kein entschlüsseln und authentisieren möglich<br />
9<br />
Firmware 79.23 nur Kobil Trib@ank<br />
5 StarCos 3.2 kein entschlüsseln möglich<br />
TeleSec<br />
DP-Com<br />
Datev<br />
BNotK<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
Deutsche<br />
Rente<br />
Hessen-<br />
PKI<br />
35
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
8.4 Unterstützte Terminalserver-Kombinationen<br />
Tabelle 15: Unterstützte Einsatzumgebungen<br />
Clientbetriebssysteme: <br />
Serverbetriebssysteme:<br />
Handelsname des<br />
Chipkartenterminals<br />
Cherry® SmartTerminal<br />
2000 U<br />
Windows XP Prof. SP3 32 Bit<br />
Windows 2003 Server SP2 32 Bit<br />
Windows 2008 Server SP2 32 Bit<br />
Schnittstelle<br />
Firmware Treiber Terminalserver<br />
USB 6.01.00.00 4.55.0.0 • Citrix Metaframe Presentation Server 4.5<br />
• Windows Terminal Server 2003/2008<br />
CyberJack® e-com USB 3.0.69 6.0.8.0 • Citrix Metaframe Presentation Server 4.5<br />
• Windows Terminal Server 2003/2008<br />
Kobil KAAN Advanced USB 1.19 2008.7.1.1 • Citrix Metaframe Presentation Server 4.5<br />
• Windows Terminal Server 2003/2008<br />
Omnikey 3821 USB 6.00 1.1.24 • Citrix Metaframe Presentation Server 4.5<br />
Clientbetriebssysteme: <br />
Serverbetriebssysteme:<br />
Handelsname des<br />
Chipkartenterminals<br />
elux RL V 2.6.0-1<br />
Windows 2003 Server SP2 32 Bit<br />
Schnittstelle<br />
Kobil KAAN Advanced USB 1.19 PC/SC Lite<br />
V2.1.3.1-3-5<br />
• Windows Terminal Server 2003/2008<br />
Firmware Treiber Terminalserver<br />
Windows Terminal Server 2003<br />
TeleSec<br />
DP-Com<br />
Zertifizierungsdiensteanbieter<br />
Datev<br />
BNotK<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
Deutsche<br />
Rente<br />
� � � � � � � - �<br />
� � � � � � � - �<br />
� � � � � � � - �<br />
� � � � � � � - �<br />
TeleSec<br />
DP-Com<br />
Zertifizierungsdiensteanbieter<br />
Datev<br />
BNotK<br />
TC-Trust<br />
D-Trust<br />
S-Trust<br />
Deutsche<br />
Rente<br />
Hessen-PKI<br />
Hessen-PKI<br />
- � � � � � � - �<br />
36
Governikus - Kartenansteuerung (<strong>MCard</strong>)<br />
37