Forscher der Ruhr Universität Bochum haben Schwachstellen in PDF-Programmen ausfindig gemacht, die die Prüfung von PDF-Signaturen beeinflussen können. Im Vorfeld der Veröffentlichung der Schwachstellendarstellung (sogenannte „Shadow Attack“) wurden die gängigen PDF-Software-Hersteller von den Forschern informiert und Updates für verschiedene Programme werden zur Verfügung gestellt. Weitere Informationen finden Sie auf der Website https://pdf-insecurity.org/index.html. Bitte achten Sie in Ihrem eigenen Interesse darauf, dass Ihre Software den neuesten Stand hat.

Die Bundesnetzagentur hat nach Anhörung der betroffenen Kreise und im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik eine Änderung der Verfügung i.S.d. § 11 Absatz 1 VDG im Amtsblatt 15/2020 vom 19.08.2020 (Verfügung Nr. 93) veröffentlicht.

Amtsblatt 15/2020 Verfügung Nr. 93 (pdf / 107 KB)

Amtsblatt 11/2018 Mitteilung Nr. 208 (Erstverfügung) (pdf / 452 KB)

Bitte beachten Sie den folgenden Auslegungshinweis zum Punkt 10. b) Satz 1 der Verfügung:

Auslegungshinweis Punkt 10 b) Satz 1 der Verfügung (pdf / 176 KB)

Es ist geplant, die auf LDAP basierende Zertifikatsauskunft zum 20. April 2020 einzustellen. In diesem Zusammenhang wird der Status sämtlicher Eintragungen der ehemaligen Wurzelinstanz der BNetzA in der deutschen Vertrauensliste (TL) auf „deprecatedatnationallevel“ gesetzt.

Es wird darauf hingewiesen, dass die unter der Wurzelinstanz ausgestellten und im DA:VE-Verfahren verwendeten OCSP-Auskünfte hiervon nicht beeinträchtig werden (dürfen).

Nach Inbetriebnahme des dauerhaften Verzeichnisses DA:VE im November 2019 wird die Bundesnetzagentur den ehemaligen Auskunftsdienst nach dem Signaturgesetz (deutsche Root, Wurzelinstanz) in Kürze endgültig abschalten. Hiermit verbunden ist eine Einstellung der auf dem Lightweight Directory Access Protocol (LDAP) basierenden Zertifikatauskunft. 

Mit der Umstellung der technischen Systeme ist ein Umzug des Bereitstellungspfades der deutschen Vertrauensliste verbunden. Für eine kurze Übergangszeit wird die Vertrauensliste gleichzeitig unter dem alten und dem neuen Verteilpunkt angeboten werden. Nach endgültiger Eintragung des neuen Verteilpunktes in der EU List of the Lists (LOTL) wird die deutsche Vertrauensliste nur noch unter https://tl.bundesnetzagentur.de/TL-DE.XML und das zugehörige SHA-Companion-file entsprechend unter https://tl.bundesnetzagentur.de/TL-DE.sha2 angeboten.

Der Hinweis wurde am 27.08.2019 unten stehend aktualisiert.

Die Bundesnetzagentur hat gemäß § 16 Abs. 5 VDG eine Vertrauensinfrastruktur zur dauerhaften Prüfbarkeit qualifizierter elektronischer Zertifikate und qualifizierter elektronischer Zeitstempel einzurichten und zu unterhalten. Die derzeitige Infrastruktur wird in Kürze erneuert.

In Vorbereitung auf die Inbetriebnahme der neuen Infrastruktur, dem „Dauerhaften Verzeichnis (DA:VE)“, wird die Bundesnetzagentur einen öffentlichen Testbetrieb des Verfahrens durchführen, der es Anwendern wie z.B. Produktentwicklern ermöglichen soll, das Verfahren zu erproben und die Kompatibilität der technischen Schnittstellen von DA:VE mit eigenen Anwendungen zu prüfen.

DA:VE erteilt Auskunft zum Widerruf von Zertifikaten der Bundesnetzagentur und von Zertifikaten von Vertrauensdiensteanbietern, die ihren Betrieb gemäß § 16 Abs. 1 VDG bzw. § 13 Abs. 2 SigG eingestellt haben. Die technische Umsetzung basiert auf dem OCSP-Protokoll (RFC 6960).

Aufgrund der fachlichen Gegebenheiten sind bei der Nutzung von DA:VE einige technische Besonderheiten zu beachten:

• Die OCSP-Antworten werden nicht für jede OCSP-Anfrage neu erzeugt, sondern liegen vorgefertigt und signiert vor.

• Sofern vorhanden, verwendet das System die ursprünglichen OCSP-Antworten der Anbieter, die den Betrieb eingestellt haben. Anderenfalls nutzt das System OCSP-Antworten, die von der Bundesnetzagentur signiert sind.

• Der Vertrauensstatus der zur Signatur der OCSP-Antworten gehörigen Zertifikate ist über die deutsche Vertrauensliste prüfbar. Dies gilt auch für die Zertifikate der Bundesnetzagentur.

• Bei OCSP-Anfragen zu Zertifikaten, die der Bundesnetzagentur nicht vorliegen, erfolgt anstelle der OCSP-Antwort „unknown“ eine Fehlermeldung.

Aktualisierung des Hinweises (27.08.2019):

Der Testbetrieb von DA:VE ist nun gestartet und für eine Dauer von voraussichtlich vier Wochen freigeschaltet.

Die Nutzung des Dienstes erfolgt über die OCSP-Schnittstelle wahlweise unter der Adresse ocsp.bundesnetzagentur.de oder direkt unter der IP-Adresse 194.156.220.107. Der Zugriff ist über http (Port 80 oder 8080) möglich, unter ocsp.bundesnetzagentur.de ist der Zugriff auch gesichert über https (Port 443) möglich.

Der Dienst gibt Auskunft zu den Zertifikaten der ehemaligen Wurzelinstanz der Bundesnetzagentur sowie zu den Zertifikaten der bereits durch die Bundesnetzagentur übernommenen Anbieter, die unter folgendem Link einsehbar sind: https://www.nrca-ds.de/repository.htm
(Ausnahme: DATEV Zertifikate werden derzeit nicht elektronisch per OCSP beauskunftet). Der Datenbestand kann sich während des Testzeitraums ändern.

Für Fragen oder Rückmeldungen zum Testbetrieb wenden Sie sich bitte an das Email-Postfach dave@bnetza.de.

Die Bundesnetzagentur gibt seit dem Außerkrafttreten des Signaturgesetzes (SigG) keine eigene Übersicht über geeignete Algorithmen zur Erfüllung der Anforderungen nach § 17 Abs. 1 bis 3 SigG ("Algorithmenkatalog") mehr heraus.

Nach einer Übereinkunft der eIDAS-Expertengruppe der EU-Kommission sollen für elektronische Vertrauensdienste die einschlägigen Empfehlungen des SOG-IS-Kryptokataloges herangezogen werden.

Die Bundesnetzagentur verweist in Ausführung der Hinweispflichten aus § 13 Abs. 1 Nr. 1 des Vertrauensdienstegesetzes über Maßnahmen, die erforderlich sind, um zur Sicherheit der angebotenen qualifizierten Vertrauensdienste und deren zuverlässiger Nutzung beizutragen, in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik auf die gemeinsamen Empfehlungen zur technischen Umsetzung von Signaturdiensten (pdf / 132 KB) .

Qualifizierte Vertrauensdiensteanbieter, für die anlässlich ihrer Qualifikation die Nutzung der von der Bundesnetzagentur empfohlenen Algorithmen durch eine Konformitätsbewertungsstelle bestätigt wurde, können diese bis zum prognostizierten Zeitpunkt des Auslaufens ihrer Eignung für qualifizierte Endnutzerzertifikate verwenden. Auch die im SOG-IS-Katalog aufgeführten „Legacy-Mechanismen“ sind vollumfänglich als geeignet zu betrachten. Einer elektronischen Signatur darf nicht allein wegen der Verwendung von Legacy-Mechanismen des verwendeten Zertifikats oder der verwendeten Signatur- oder Siegelerstellungseinheit (z.B. Signaturkarte) die Qualität einer qualifizierten elektronischen Signatur abgesprochen werden.

Die qualifizierten Vertrauensdiensteanbieter müssen frühzeitig Vorkehrungen treffen, um spätestens zum Zeitpunkt des Auslaufens der Eignung der Algorithmen zum Ausstellen qualifizierter Zertifikate ihren Betrieb auf die Verwendung weiterhin geeigneter Algorithmen umzustellen.

Herstellern von qualifizierten Signaturerstellungseinheiten sowie Herstellern von Signaturanwendungskomponenten wird empfohlen, dies zu berücksichtigen.