Geeignete Signaturerstellungseinheiten

23. Juni 2019

Signaturerstellungseinheiten

Signaturerstellungseinheiten enthalten den privaten Schlüssel, der zur Erzeugung einer fortgeschrittenen Signatur erforderlich ist. Üblicherweise erfolgt die Aufbewahrung in einer verschlüsselten Datei die mittels PIN (Passwort) genutzt werden kann (Details siehe https://www.globaltrust.eu/static/help.html#HLP_B11).

Spezielle Hardware kann die Aufbewahrung und Sicherung der Signaturerstellungsdaten erleichtern. Die anerkannten Signaturerstellungseinheiten werden in einer Liste bei den einzelnen Evaluationsstellen veröffentlicht.

Da die digitale Signatur EU-weit durch eine gemeinsame Verordnung (eIDAS) geregelt ist, müssen in den einzelnen Ländern evaluierte gleichwertige Verfahren in den anderen Ländern gegenseitig anerkannt werden.

Geeignete qualifizierte Signaturerstellungseinheiten (QSCD) zur qualifizierten Signatur

Untenstehende Signaturerstellungseinheiten werden von GLOBALTRUST zur qualifizierten Signatur unterstützt.

Produkt: TRUST2GO®

  • Typ: remote-QSCD-Gesamtsystem
    Bestätigungsstelle: A-SIT (AT)
    Bestätigung: AIT VIG A-SIT-VIG-20-105 (https://www.a-sit.at/downloads/1909)
    Ausgestellt: 12.07.2022
    Zertifizierung: § 7 ABS. 1 SVG IVM ART. 30 ABS. 3 LIT. B EIDAS-VO
    Signatursuite:
  • RSASSA-PKCS1-v1_5 nach PKCS#1 v2.2 (RFC 8017) mit Schlüssellängen von 2048, 3072 oder 4096 Bit,
  • RSASSA-PSS nach PKCS#1 v2.2 (RFC 8017) mit Schlüssellängen von 2048, 3072 oder 4096 Bit und
  •  ECDSA nach FIPS PUB 186-4 und den NIST29-Kurven P-256, P-384 oder P-521 mit Länge der Parameter p, q von 256, 384 oder 512 Bit,
    Hashfunktionen:
  • SHA31-256, SHA-384 und SHA-512 nach ISO32/IEC33 10118-3 bzw. FIPS 180-4
Produkt: Atos CardOS v5.3

Typ: Smartcard
Bestätigungsstelle: A-SIT (AT)
Bestätigung: A-SIT-1.108 Sichere Signaturerstellungseinheit
CardOS V5.3 QES, V1.0 (http://www.a-sit.at/pdfs/bescheinigungen_sig/1108_bescheinigung_cardos-v53-qes-v1…)
Ausgestellt: 08.08.2014
Zertifizierung: Common Criteria Part 3 conformantEAL 4 augmented by AVA_VAN.5
Signatursuite:
– ECDSA12 nach ANSI X 9.62 bzw. ISO/IEC 15946-2 mit Längen der Parameter p, q von 256 oder 384 Bit. Es werden die Kurven P-256 bzw. P-384 nach FIPS PUB 186-4 sowie brainpoolP256r1 bzw. brainpoolP384r1 nach RFC 5639 unterstützt.
Hashfunktion: SHA-2
Anmerkungen: –
weitere Dokumente: –

 

Geeignete Kartenlesegeräte (Cardreader)

Eine Bestätigung ist für den Betrieb eines Kartenlesegeräts nach den österreichischen Signaturbestimmungen nicht zwingend erforderlich, kann aber bei der Auswahl zuverlässiger Geräte hilfreich sein. Auf Anfrage testet GLOBALTRUST gewünschte Kartenlesegeräte und stellt eine Bestätigung aus, unter welchen Bedingungen sie für GLOBALTRUST-Smartcards geeignet sind.

Grundsätzlich sind alle Cardreader, die ISO 7816 unterstützen für die Verwendung von GLOBALTRUST-Smartcards geeignet.

Aktuelle Listen offiziell bestätigter Kartenlesegeräte nach dem Signaturgesetz finden sich unter http://www.a-sit.at/, http://www.bundesnetzagentur.de/cln_1421/DE/Service-Funktionen/Qualifizierteelekt…

 

Produkt: Cherry SmartTerminal ST-2xxx

Typ: kontaktbehaftet, Single-Slot-Kartenleser, extern,
Schnittstelle: USB, PIN-Eingabe
Kartenformat: Standard (Smartcard Standard im Scheckkartenformat, ID-1: Full-size, Größe 85,60*53,98, Dicke 0,76, ISO/IEC 7810:2003)
Zertifizierungsstelle: BSI
Zertifikat: BSI-DSZ-CC-0660-2010 (https://www.bsi.bund.de/SharedDocs/Zertifikate/CC/Digitale_Signatur_Kartenleseger…)
Gültigkeit: 31.12.2016
Anmerkungen: –
weitere Dokumente: –

 

Produkt: Gemalto IDBridge CT40 Smart Card Reader

Typ: kontaktbehaftet, Single-Slot-Kartenleser, extern,
Schnittstelle: USB, keine PIN-Eingabe
Kartenformat: Standard (Smartcard Standard im Scheckkartenformat, ID-1: Full-size, Größe 85,60*53,98, Dicke 0,76, ISO/IEC 7810:2003)
Zertifizierungsstelle: keine Zertifizierung
Zertifikat: –
Gültigkeit: –
Anmerkungen: –
Datenblatt: https://drivers.softpedia.com/get/CARD-READERS/Gemalto/Gemalto-IDBridge-CT40-USB-…
Treiber Windows: –

 

Produkt: Gemalto IDBridge K30 Smart Card Reader

Typ: kontaktbehaftet, Single-Slot-Kartenleser, extern, Größe etwa ein USB-Datenstick
Schnittstelle: USB, keine PIN-Eingabe
Kartenformat: Mini (Smartcard Telefon-Micro-SIM-Card-Format, Mini-UICC: Micro-SIM, Größe 15,00*12,00, Dicke 0,76, ETSI TS 102 221 V9.0.0)
Zertifizierungsstelle: keine Zertifizierung
Zertifikat: –
Gültigkeit: –
Anmerkungen: –
Datenblatt: https://drivers.softpedia.com/dyn-search.php?search_term=gemalto+k30&p_category=27
Treiber Windows: –

 

Produkt:  ACS ACR39TA1-Short Smart Card Reader

Typ: kontaktbehaftet, Single-Slot-Kartenleser, extern, sehr kurz (nur 47 mm lang, inkl. Stecker)
Schnittstelle: USB, keine PIN-Eingabe
Kartenformat: Mini (Smartcard Telefon-Micro-SIM-Card-Format, Mini-UICC: Micro-SIM, Größe 15,00*12,00, Dicke 0,76, ETSI TS 102 221 V9.0.0)
Zertifizierungsstelle: keine Zertifizierung
Zertifikat: –
Gültigkeit: –
Anmerkungen: –
Datenblatt: http://www.acs.com.hk/en/products/331/acr39t-a1-smart-card-reader/
Treiber Windows: –

 

Produkt: Feitian bR301 Bluetooth+USB Smart Card Reader

Typ: kontaktbehaftet, Single-Slot-Kartenleser, extern,
Schnittstelle: Bluetooth und USB, keine PIN-Eingabe
Kartenformat: Standard (Smartcard Standard im Scheckkartenformat, ID-1: Full-size, Größe 85,60*53,98, Dicke 0,76, ISO/IEC 7810:2003)
Zertifizierungsstelle: keine Zertifizierung
Zertifikat: –
Gültigkeit: –
Anmerkungen: von GLOBALTRUST unter Windows 8.1 getestet, Geräte ohne integrierte Bluetoothschnittstelle benötigen zusätzlich einen Adapter!
Datenblatt: http://www.ftsafe.com/products/reader/Bluetooth
Driver Windows: https://github.com/FeitianSmartcardReader/bR301_SDK_Latest/tree/master/bR301 Bluetooth Driver
Driver Windows: http://crypt.as/br301_driver
Entwicklung: https://github.com/FeitianSmartcardReader/bR301_SDK_Latest

 

Produkt: Gemalto IDBridge CT710 Smart Card Reader

Typ: kontaktbehaftet, Single-Slot-Kartenleser, extern,
Schnittstelle: USB, PIN-Eingabe, LED Anzeige
Kartenformat: Standard (Smartcard Standard im Scheckkartenformat, ID-1: Full-size, Größe 85,60*53,98, Dicke 0,76, ISO/IEC 7810:2003)
Zertifizierungsstelle: keine Zertifizierung
Zertifikat: –
Gültigkeit: –
Anmerkungen: mit Standardtreiber nur ohne PinPad verwendbar; für PinPad Unterstützung eigenen Treiber installieren
Datenblatt:
Treiber Windows: http://support.gemalto.com/?id=idbridge_ct710#.VjiAsSviOAA

 

Produkt: LENOVO Gemplus ExpressCard Card Reader

Typ: kontaktbehaftet, Single-Slot-Kartenleser, intern,
Schnittstelle: ExpressCard/54, keine PIN-Eingabe
Kartenformat: Standard (Smartcard Standard im Scheckkartenformat, ID-1: Full-size, Größe 85,60*53,98, Dicke 0,76, ISO/IEC 7810:2003)
Zertifizierungsstelle: keine Zertifizierung
Zertifikat: –
Gültigkeit: –
Anmerkungen: von GLOBALTRUST unter Windows 7 64bit getestet
Datenblatt: –
Treiber Windows: –

 

Geeignete Signaturerstellungssoftware für qualifizierte Signaturen

Grundlagen

Die Spezifikation eines Formats für zu signierende Daten muss allgemein verfügbar sein und sicherstellen, dass die signierten Daten sowohl bei der Signaturerstellung als auch bei der Signaturprüfung zweifelsfrei und mit gleichem Ergebnis darstellbar sind. Können in einem Format dynamische Änderungen kodiert werden, so dürfen jene Elemente, die dynamische Änderungen hervorrufen können, nicht verwendet werden.

 

Produkt: GlobalTrustApp

Dokumentenformate: pdf, xml
Signaturformate: Adobe (pdf), XMLDSIG (xml)
Anmerkung: Kostenlose Software direkt von GLOBALTRUST
Download Windows: https://www.globaltrust.eu/static/globaltrustapp.exe
Dokumentation: https://www.globaltrust.eu/static/doku-globaltrustapp.pdf

 

Geeignete Signaturerstellungseinheiten zur fortgeschrittenen Signatur

 

Produkt: Safenet (vormals Aladdin) eToken Pro 72k

Typ:Token
Zertifizierungsstelle: NIST
Zertifikat: #1135, #1136 (http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140val-all.htm)
Gültigkeit: zeitlich unbeschränkt
Zertifizierung: EAL4+ (Prozessor), FIPS 140-2 L2, FIPS 140-2 L3
Signatursuite: 001 (RSA)
Padding: PKCS1-v1.5 (3.01)
Hashfunktion: SHA-1 (2.01)
Anmerkungen: –
weitere Dokumente: http://www.safenet-inc.com/products/data-protection/two-factor-authentication/eto…/

Der „eToken Pro“ der Firma Safenet (vormals Aladdin) enthält einen Prozessor-Chip (Smartchip) mit einem Betriebssystem für die Erstellung von Signaturen.

Der Token hat eine USB-Schnittstelle und kann daher bei jedem Computer mit USB-Anschluss verwendet werden. Der eToken ist eine Smartcard mit USB-Anschluss.

Die Entscheidung von GLOBALTRUST für diese Hardware erfolgte, da zur Benutzung kein Zusatzgerät (Kartenleser) erforderlich ist, die erforderlichen Treiber leicht zu installieren sind und Standardprodukte, wie Adobe Acrobat (ab Version 7) den Token unterstützen.

Zur Verwendung des Safenet eToken ist eine Treibersoftware des Herstellers notwendig. Diese erhalten Kunden, die ein Zertifikat auf einem eToken bestellen, von uns auf Anfrage.