Signaturerstellungseinheiten
Signaturerstellungseinheiten enthalten den privaten Schlüssel, der zur Erzeugung einer fortgeschrittenen Signatur erforderlich ist. Üblicherweise erfolgt die Aufbewahrung in einer verschlüsselten Datei die mittels PIN (Passwort) genutzt werden kann (Details siehe https://www.globaltrust.eu/static/help.html#HLP_B11).
Spezielle Hardware kann die Aufbewahrung und Sicherung der Signaturerstellungsdaten erleichtern. Die anerkannten Signaturerstellungseinheiten werden in einer Liste bei den einzelnen Evaluationsstellen veröffentlicht.
Da die digitale Signatur EU-weit durch eine gemeinsame Verordnung (eIDAS) geregelt ist, müssen in den einzelnen Ländern evaluierte gleichwertige Verfahren in den anderen Ländern gegenseitig anerkannt werden.
Geeignete qualifizierte Signaturerstellungseinheiten (QSCD) zur qualifizierten Signatur
Untenstehende Signaturerstellungseinheiten werden von GLOBALTRUST zur qualifizierten Signatur unterstützt.
Produkt: TRUST2GO®
- Typ: remote-QSCD-Gesamtsystem
Bestätigungsstelle: A-SIT (AT)
Bestätigung: AIT VIG A-SIT-VIG-20-105 (https://www.a-sit.at/downloads/1909)
Ausgestellt: 12.07.2022
Zertifizierung: § 7 ABS. 1 SVG IVM ART. 30 ABS. 3 LIT. B EIDAS-VO
Signatursuite: - RSASSA-PKCS1-v1_5 nach PKCS#1 v2.2 (RFC 8017) mit Schlüssellängen von 2048, 3072 oder 4096 Bit,
- RSASSA-PSS nach PKCS#1 v2.2 (RFC 8017) mit Schlüssellängen von 2048, 3072 oder 4096 Bit und
- ECDSA nach FIPS PUB 186-4 und den NIST29-Kurven P-256, P-384 oder P-521 mit Länge der Parameter p, q von 256, 384 oder 512 Bit,
Hashfunktionen: - SHA31-256, SHA-384 und SHA-512 nach ISO32/IEC33 10118-3 bzw. FIPS 180-4
Produkt: Atos CardOS v5.3
Typ: Smartcard
Bestätigungsstelle: A-SIT (AT)
Bestätigung: A-SIT-1.108 Sichere Signaturerstellungseinheit
CardOS V5.3 QES, V1.0 (http://www.a-sit.at/pdfs/bescheinigungen_sig/1108_bescheinigung_cardos-v53-qes-v1…)
Ausgestellt: 08.08.2014
Zertifizierung: Common Criteria Part 3 conformantEAL 4 augmented by AVA_VAN.5
Signatursuite:
– ECDSA12 nach ANSI X 9.62 bzw. ISO/IEC 15946-2 mit Längen der Parameter p, q von 256 oder 384 Bit. Es werden die Kurven P-256 bzw. P-384 nach FIPS PUB 186-4 sowie brainpoolP256r1 bzw. brainpoolP384r1 nach RFC 5639 unterstützt.
Hashfunktion: SHA-2
Anmerkungen: –
weitere Dokumente: –
Geeignete Kartenlesegeräte (Cardreader)
Eine Bestätigung ist für den Betrieb eines Kartenlesegeräts nach den österreichischen Signaturbestimmungen nicht zwingend erforderlich, kann aber bei der Auswahl zuverlässiger Geräte hilfreich sein. Auf Anfrage testet GLOBALTRUST gewünschte Kartenlesegeräte und stellt eine Bestätigung aus, unter welchen Bedingungen sie für GLOBALTRUST-Smartcards geeignet sind.
Grundsätzlich sind alle Cardreader, die ISO 7816 unterstützen für die Verwendung von GLOBALTRUST-Smartcards geeignet.
Aktuelle Listen offiziell bestätigter Kartenlesegeräte nach dem Signaturgesetz finden sich unter http://www.a-sit.at/, http://www.bundesnetzagentur.de/cln_1421/DE/Service-Funktionen/Qualifizierteelekt…
Produkt: Cherry SmartTerminal ST-2xxx
Typ: Kontaktbehaftet, Single-Slot-Kartenleser, extern,
Schnittstelle: USB, PIN-Eingabe
Kartenformat: Standard (Smartcard Standard im Scheckkartenformat, ID-1: Fullsize, Größe 85,60*53,98, Dicke 0,76, ISO/IEC 7810:2003)
Zertifizierungsstelle: BSI
Zertifikat: BSI-DSZ-CC-0660-2010 (https://www.bsi.bund.de/SharedDocs/Zertifikate/CC/Digitale_Signatur_Kartenleseger…)
Gültigkeit: 31.12.2016
Anmerkungen: –
weitere Dokumente: –
Produkt: Gemalto IDBridge CT40 Smart Card Reader
Typ: kontaktbehaftet, Single-Slot-Kartenleser, extern,
Schnittstelle: USB, keine PIN-Eingabe
Kartenformat: Standard (Smartcard Standard im Scheckkartenformat, ID-1: Fullsize, Größe 85,60*53,98, Dicke 0,76, ISO/IEC 7810:2003)
Zertifizierungsstelle: keine Zertifizierung
Zertifikat: –
Gültigkeit: –
Anmerkungen: –
Datenblatt: https://drivers.softpedia.com/get/CARD-READERS/Gemalto/Gemalto-IDBridge-CT40-USB-…
Treiber Windows: –
Produkt: Gemalto IDBridge K30 Smart Card Reader
Typ: kontaktbehaftet, Single-Slot-Kartenleser, extern, Größe etwa ein USB-Datenstick
Schnittstelle: USB, keine PIN-Eingabe
Kartenformat: Mini (Smartcard Telefon-Micro-SIM-Card-Format, Mini-UICC: Micro-SIM, Größe 15,00*12,00, Dicke 0,76, ETSI TS 102 221 V9.0.0)
Zertifizierungsstelle: keine Zertifizierung
Zertifikat: –
Gültigkeit: –
Anmerkungen: –
Datenblatt: https://drivers.softpedia.com/dyn-search.php?search_term=gemalto+k30&p_category=27
Treiber Windows: –
Produkt: ACS ACR39TA1-Short Smart Card Reader
Typ: kontaktbehaftet, Single-Slot-Kartenleser, extern, sehr kurz (nur 47 mm lang, inkl. Stecker)
Schnittstelle: USB, keine PIN-Eingabe
Kartenformat: Mini (Smartcard Telefon-Micro-SIM-Card-Format, Mini-UICC: Micro-SIM, Größe 15,00*12,00, Dicke 0,76, ETSI TS 102 221 V9.0.0)
Zertifizierungsstelle: keine Zertifizierung
Zertifikat: –
Gültigkeit: –
Anmerkungen: –
Datenblatt: http://www.acs.com.hk/en/products/331/acr39t-a1-smart-card-reader/
Treiber Windows: –
Produkt: Feitian bR301 Bluetooth+USB Smart Card Reader
Typ: kontaktbehaftet, Single-Slot-Kartenleser, extern,
Schnittstelle: Bluetooth und USB, keine PIN-Eingabe
Kartenformat: Standard (Smartcard Standard im Scheckkartenformat, ID-1: Fullsize, Größe 85,60*53,98, Dicke 0,76, ISO/IEC 7810:2003)
Zertifizierungsstelle: keine Zertifizierung
Zertifikat: –
Gültigkeit: –
Anmerkungen: von GLOBALTRUST unter Windows 8.1 getestet, Geräte ohne integrierte Bluetoothschnittstelle benötigen zusätzlich einen Adapter!
Datenblatt: http://www.ftsafe.com/products/reader/Bluetooth
Driver Windows: https://github.com/FeitianSmartcardReader/bR301_SDK_Latest/tree/master/bR301 Bluetooth Driver
Driver Windows: http://crypt.as/br301_driver
Entwicklung: https://github.com/FeitianSmartcardReader/bR301_SDK_Latest
Produkt: Gemalto IDBridge CT710 Smart Card Reader
Typ: kontaktbehaftet, Single-Slot-Kartenleser, extern,
Schnittstelle: USB, PIN-Eingabe, LED Anzeige
Kartenformat: Standard (Smartcard Standard im Scheckkartenformat, ID-1: Fullsize, Größe 85,60*53,98, Dicke 0,76, ISO/IEC 7810:2003)
Zertifizierungsstelle: keine Zertifizierung
Zertifikat: –
Gültigkeit: –
Anmerkungen: mit Standardtreiber nur ohne PinPad verwendbar; für PinPad Unterstützung eigenen Treiber installieren
Datenblatt:
Treiber Windows: http://support.gemalto.com/?id=idbridge_ct710#.VjiAsSviOAA
Produkt: LENOVO Gemplus ExpressCard Card Reader
Typ: kontaktbehaftet, Single-Slot-Kartenleser, intern,
Schnittstelle: ExpressCard/54, keine PIN-Eingabe
Kartenformat: Standard (Smartcard Standard im Scheckkartenformat, ID-1: Fullsize, Größe 85,60*53,98, Dicke 0,76, ISO/IEC 7810:2003)
Zertifizierungsstelle: keine Zertifizierung
Zertifikat: –
Gültigkeit: –
Anmerkungen: von GLOBALTRUST unter Windows 7 64 Bit getestet
Datenblatt: –
Treiber Windows: –
Geeignete Signaturerstellungssoftware für qualifizierte Signaturen
Grundlagen
Die Spezifikation eines Formats für zu signierende Daten muss allgemein verfügbar sein und sicherstellen, dass die signierten Daten sowohl bei der Signaturerstellung als auch bei der Signaturprüfung zweifelsfrei und mit gleichem Ergebnis darstellbar sind. Können in einem Format dynamische Änderungen kodiert werden, so dürfen jene Elemente, die dynamische Änderungen hervorrufen können, nicht verwendet werden.
Produkt: GlobalTrustApp
Dokumentenformate: pdf, xml
Signaturformate: Adobe (pdf), XMLDSIG (xml)
Anmerkung: Kostenlose Software direkt von GLOBALTRUST
Download Windows: https://www.globaltrust.eu/static/globaltrustapp.exe
Dokumentation: https://www.globaltrust.eu/static/doku-globaltrustapp.pdf
Geeignete Signaturerstellungseinheiten zur fortgeschrittenen Signatur
Produkt: Safenet (vormals Aladdin) eToken Pro 72k
Typ:Token
Zertifizierungsstelle: NIST
Zertifikat: #1135, #1136 (http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm)
Gültigkeit: zeitlich unbeschränkt
Zertifizierung: EAL4+ (Prozessor), FIPS 140-2 L2, FIPS 140-2 L3
Signatursuite: 001 (RSA)
Padding: PKCS1-v1.5 (3.01)
Hashfunktion: SHA-1 (2.01)
Anmerkungen: –
weitere Dokumente: http://www.safenet-inc.com/products/data-protection/two-factor-authentication/eto…/
Der „eToken Pro“ der Firma Safenet (vormals Aladdin) enthält einen Prozessor-Chip (Smartchip) mit einem Betriebssystem für die Erstellung von Signaturen.
Der Token hat eine USB-Schnittstelle und kann daher bei jedem Computer mit USB-Anschluss verwendet werden. Der eToken ist eine Smartcard mit USB-Anschluss.
Die Entscheidung von GLOBALTRUST für diese Hardware erfolgte, da zur Benutzung kein Zusatzgerät (Kartenleser) erforderlich ist, die erforderlichen Treiber leicht zu installieren sind und Standardprodukte, wie Adobe Acrobat (ab Version 7) den Token unterstützen.
Zur Verwendung des Safenet eToken ist eine Treibersoftware des Herstellers notwendig. Diese erhalten Kunden, die ein Zertifikat auf einem eToken bestellen, von uns auf Anfrage.