QSCD
Zertifizierung als qualifizierte elektronische Signaturerstellungseinheit bzw. Siegelerstellungseinheit nach Art. 30, Abs. 3 der eIDAS Verordnung. SRC ist Ihre eIDAS-Zertifizierungsstelle.
SRC unterstützt Sie bei der Zertifizierung von Karten, HSMs und anderen Hardwarekomponenten als Qualified Signature/Seal Creation Device (QSCD).
Konformitätsbewertung für Module
Wir unterstützen Sie bei der Konformitätsbewertung gemäß den Vorgaben der Verordnung (EU) Nr. 910/2014 von Teildiensten (z.B. Identifizierung) und ihrer Organisation, um die Integration des Teildienstes in qualifizierte Vertrauensdienste zu ermöglichen.
Vertrauensdienste
Wir unterstützen Sie bei der Qualifizierung Ihrer Dienste und Ihrer Organisation durch die zugelassene Aufsichtsstelle. SRC führt Konformitätsbewertungen nach den Vorgaben der Verordnung (EU) Nr. 910/2014 durch.
QSCD
Zertifizierung als qualifizierte elektronische Signaturerstellungseinheit bzw. Siegelerstellungseinheit nach Art. 30 Abs. 3 der eIDAS Verordnung. SRC ist Ihre eIDAS-Zertifizierungsstelle.
SRC unterstützt Sie bei der Zertifizierung von Karten, HSMs und anderen Hardwarekomponenten als Qualified Signature/Seal Creation Device (QSCD).
Im Detail …
Unterschriften und Firmensiegel sind kritisch für die Sicherheit
Die Leistung einer Unterschrift bzw. das Erzeugen eines Firmensiegels sind sicherheitskritische Vorgänge, deren Fälschung für alle Beteiligten unangenehme Konsquenzen haben kann, möglicherweise mit einem hohen geldwerten Verlust einhergeht bzw. einen deutlichen Schaden am Ansehen eines Anbieters verursacht. Für Produkte zur Erzeugung der technischen Pendants von Unterschrift und Siegel, den qualifizierten elektronischen Signaturen und qualifizierten elektronischen Siegeln, hat deshalb der Gesetzgeber in der eIDAS-Verordnung ein Zulassungsverfahren mit entsprechend hohen Sicherheitsanforderungen festgelegt.
Zertifizierung nach Art. 30, Abs. 3 der eIDAS Verordnung
Die „eIDAS-Zertifizierungsstelle“ der SRC ist in der Lage für ein Produkt in Kombination mit oder basierend auf einer existierenden Evaluierung gemäß Common Criteria die Zertifizierung als qualifizierte elektronische Signaturerstellungseinheit bzw. Siegelerstellungseinheit (QSCD) nach Art. 30, Abs. 3 der eIDAS Verordnung durchzuführen.
Anwendung von Sicherheitsvorgaben
Hierbei sind für Produkte Sicherheitsvorgaben (Protection Profiles) anzuwenden, die in dem „Durchführungsbeschluss (EU) 2016/650 der Kommission vom 25. April 2016 zur Festlegung von Normen für die Sicherheitsbewertung qualifizierter Signatur- und Siegelerstellungseinheiten gemäß Art. 30, Abs. 3 und Art. 39, Abs. 2 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ aufgeführt werden (Art. 30, Abs. 3 (a)).
SRC hat ein Prüfverfahren bei der EU Kommision notifiziert
Alternativ dazu, ermöglicht die eIDAS-Verordnung die Anwendung anderer Prüfverfahren, sofern dabei gleichwertige Sicherheitsniveaus angewandt werden und das Prüfverfahren der EU Kommission mitgeteilt wurde (Art. 30, Abs. 3 (b)). Da der oben genannte Durchführungsbeschluss (EU) 2016/650 keine Protection Profiles auflistet, die Sicherheitsvorgaben für QSCDs zum Einsatz bei einem Vertrauensdiensteanbieter enthält, hat SRC ein Prüfverfahren „Certification of the conformity of QSCDs for server-signing with the requirements laid down in Annex II of Regulation (EU) No. 910/2014“ zur Zertifizierung von QSCDs zum Einsatz im Rahmen von Fernsignaturen bei der EU Kommission notifiziert (vgl. Dashboard der EU Kommission).
SRC zertifiziert Ihre Produkte
SRC Security Research & Consulting GmbH wurde durch die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen als „eIDAS-Zertifizierungsstelle“ nach Art. 30, Abs. 1 der eIDAS-Verordnung benannt.
Gerne bieten wir Ihnen die Möglichkeit bei der Zertifizierung Ihres Produktes als qualifizierte Signatur- und/oder Siegelerstellungseinheit die Expertise und umfangreiche Erfahrung unserer unabhängigen Experten zu nutzen.
Die EU Kommission veröffentlicht und aktualisiert Listen mit gemeldeten „eIDAS-Zertifizierungsstellen“ und QSCDs sowie aller aktuell notifizierten alternativen Prüfverfahren.
Im Detail …
Konformitätsbewertungen gemäß den Anforderungen der Verordnung (EU) Nr. 910/2014 können auch für Teildienste eines Vertrauensdienstes vorgenommen werden, um eine wiederholte Prüfung von Teildiensten, die in verschiedenen qualifizierten Vertrauensdiensten zum Einsatz kommen, zu vermeiden. Ein solcher Dienst ist z.B. die Identifizierung von natürlichen Personen, der durch einen Identifizierungsdienstleister angeboten wird. Die erfolgreiche Konformitätsbewertung dieses Teildienstes kann dann für die Konformitätsbewertung eines Vertrauensdienstes, z.B. zur Erstellung von qualifizerten Zertifikaten für elektronische Signaturen, herangezogen werden. Die Konformitätsbewertungsstelle der SRC unterstützt die Bewertung von Teildiensten oder auch sogenannten „Modulen“.
Konformitätsbewertung für Module
Wir unterstützen Sie bei der Konformitätsbewertung gemäß den Vorgaben der Verordnung (EU) Nr. 910/2014 von Teildiensten (z.B. Identifizierung) und ihrer Organisation, um die Integration des Teildienstes in qualifizierte Vertrauensdienste zu ermöglichen.
Vertrauensdienste
Wir unterstützen Sie bei der Qualifizierung Ihrer Dienste und Ihrer Organisation durch die zugelassene Aufsichtsstelle. SRC führt Konformitätsbewertungen nach den Vorgaben der Verordnung (EU) Nr. 910/2014 durch.
Im Detail…
Vertrauensdienste. qualifizierte Unterschriften und Siegel
Mit Einführung der eIDAS-Verordnung hat die Gesetzgebung der Europäischen Union die Anforderungen an die qualifizierte elektronische Signatur, den digitalen Ersatz der handschriftlichen Unterschrift, neu festgelegt. Zusätzlich wurde die Möglichkeit eines qualifizierten elektronischen Siegels geschaffen, mit dem die Echtheit gesiegelter Daten durch eine Firma oder Organisation (juristische Person) gegenüber Dritten nachgewiesen werden kann. Rund um die Erzeugung und Nutzung von qualifizierten Unterschriften und Siegeln können Dienstleistungen (Vertrauensdienste) etabliert werden, denen nach einer erfolgreichen Konformitätsbewertung der Status „qualifiziert“ verliehen werden kann.
Konformitätsbewertung mit Dokumentation und Audit
Die Durchführung einer Konformitätsbewertung für Sie als Vertrauensdiensteanbieter erfolgt in zwei Schritten: einer Prüfung der Dokumentation und einer Prüfung vor Ort (Audit) in der verifiziert wird, ob die dokumentierten Sicherheitsmechanismen auch korrekt umgesetzt wurden. Eine detailliertere Beschreibung des Vorgehens und der anzuwendenden Sicherheitsanforderungen aus der Gesetzgebung und relevanter Standards finden Sie im zugehörigen Zertifizierungsprogramm. Die Konformitätsbewertung wird durch SRC vorgenommen, die Verleihung des Status erfolgt durch die zuständige Aufsichtsstelle. In Deutschland sind dies das BSI (qualifizierte Zertifikate für Webseiten) und die Bundesnetzagentur (alle anderen Dienste).
SRC ist durch die DAkkS als Konformitätsbewertungsstelle akkreditiert.
Für die Durchführung einer solchen Bewertung muss auch die SRC als prüfende Stelle ihre Expertise und Unabhängigkeit in einem Akkreditierungsverfahren nachweisen. Nationale Konformitätsbewertungsstellen werden durch die Deutsche Akkreditierungsstelle (DAkkS) akkreditiert.
Gern bieten wir Ihnen die Möglichkeit bei der Konformitätsbewertung Ihres Vertrauensdienstes auf die Expertise und Erfahrung unserer unabhängigen Sicherheitsexperten zurück zu greifen.
Die Vertrauensdienste im Detail…
Erstellung qualifizierter Zertifikate für elektronische Signaturen
Der qualifizierte Vertrauensdienst zur Erstellung qualifizierter Zertifikate gemäß Artikel 28 der Verordnung (EU) Nr. 910/2014 (eIDAS Verordnung) beinhaltet die Erstellung, Ausgabe und Verwaltung von qualifizierten Zertifikaten zur Erstellung von (qualifizierten) Signaturen. Er kann mit der Option zur Verwaltung der Signaturerstellungsdaten (der private Schlüssel) im Auftrag des Unterzeichners (Fernsignaturen) angeboten werden. Für die Erstellung von qualifizierten Signaturen ist die Verwendung einer qualifizierten Signaturerstellungseinheit (QSCD) zwingend erforderlich. Hierzu kann dem Unterzeichner eine Signaturkarte ausgeliefert werden oder die QSCD wird durch den Vertrauensdiensteanbieter gehostet (Fernsignaturen). Die Durchführung der Konformitätsbewertung basiert auf den Anforderungen der eIDAS Verordnung und den Anforderungen der Standards ETSI EN 319 401 und ETSI EN 319 411-2 / -1. Im Falle der Fernsignaturen werden zusätzlich die Anforderungen des Standards CEN EN 419 241-1 zur Prüfung herangezogen.
Erstellung qualifizierter Zertifikate für elektronische Siegel
Der qualifizierte Vertrauensdienst zur Erstellung qualifizierter Zertifikate gemäß Artikel 38 der Verordnung (EU) Nr. 910/2014 (eIDAS Verordnung) beinhaltet die Erstellung, Ausgabe und Verwaltung von qualifizierten Zertifikaten zur Erstellung von (qualifizierten) Siegeln. Er kann mit der Option zur Verwaltung der Siegelerstellungsdaten (der private Schlüssel) im Auftrag des Siegelerstellers (Fernsiegel) angeboten werden. Für die Erstellung von qualifizierten Siegeln ist die Verwendung einer qualifizierten Siegelerstellungseinheit (QSCD) zwingend erforderlich. Hierzu kann dem Siegelersteller eine Siegelkarte ausgeliefert werden oder die QSCD wird durch den Vertrauensdiensteanbieter gehostet (Fernsiegel). Die Durchführung der Konformitätsbewertung basiert auf den Anforderungen der eIDAS Verordnung und den Anforderungen der Standards ETSI EN 319 401 und ETSI EN 319 411-2 / -1. Im Falle der Fernsignaturen werden zusätzlich die Anforderungen des Standards CEN EN 419 241-1 zur Prüfung herangezogen.
Erstellung von qualifizierten Zertifikaten für die Website-Authentifizierung
Dieser qualifizierte Vertrauensdienst beinhaltet die Erstellung, Ausgabe und Verwaltung von qualifizierten Zertifikaten zur Website-Authentifizierung (QWAC) gemäß Artikel 45 der Verordnung (EU) Nr. 910/2014 (eIDAS Verordnung). Die Durchführung der Konformitätsbewertung basiert auf den Anforderungen der eIDAS Verordnung und den Anforderungen der Standards ETSI EN 319 401 und ETSI EN 319 411-2 / -1.
Erstellung qualifizierter elektronischer Zeitstempel
Dieser qualifizierte Vertrauensdienst beinhaltet die Erstellung qualifizierter elektronischer Zeitstempel gemäß den Anforderungen des Artikel 42 der Verordnung (EU) Nr. 910/2014 (eIDAS Verordnung). Für qualifizierte elektronische Zeitstempel gilt die Vermutung der Richtigkeit des Datums und der Zeit, die darin angegeben sind, sowie die Unversehrtheit der mit dem Datum und der Zeit verbundenen Daten. Sie dienen als Nachweis, dass die Daten zu einem gegebenen Datum und Zeit vorgelegen haben. Die Durchführung der Konformitätsbewertung basiert auf den Anforderungen der eIDAS Verordnung und den Anforderungen der Standards ETSI EN 319 401 und ETSI EN 319 421.
Zustellung elektronischer Einschreiben
Dieser qualifizierte Vertrauensdienst beinhaltet die Zustellung elektronischer Einschreiben gemäß den Anforderungen des Artikel 44 der Verordnung (EU) Nr. 910/2014 (eIDAS Verordnung). Sie stellen die Identifizierung von Absender und Empfänger sicher, Absenden und Empfangen von Daten sind mindestens durch eine fortgeschrittene Signatur oder eines fortgeschrittenen Siegels eines Vertrauensdiensteanbieters gesichert und binden qualifizierte elektronische Zeitstempel ein, um Datum und Zeit des Absendens und Empfangens anzuzeigen. Die Durchführung der Konformitätsbewertung basiert auf den Anforderungen der eIDAS Verordnung sowie auf den Anforderungen der Standards ETSI EN 319 401 und ETSI EN 319 521 (Electronic Registered Delivery Services) oder dem Standard ETSI EN 319 531 (Policy and security Requirements for Registered Electronic Mail Service Providers) sofern die Umsetzung auf der Verwendung von E-Mails basiert.
Validierungsdienst für qualifizierte elektronische Signaturen
Der qualifizierte Validierungsdienst gemäß Artikel 33 der Verordnung (EU) Nr. 910/2014 (eIDAS Verordnung) beinhaltet die Durchführung der Validierung von qualifizierten elektronischen Signaturen gemäß Artikel 32 Absatz 1 der eIDAS Verordnung. Das Ergebnis der Validierung ist den vertrauenden Beteiligten mit Bestätigung durch eine fortgeschrittene elektronische Signatur oder ein fortgeschrittenes elektronisches Siegel des Anbieters des Validierungsdienstes zu übermitteln. Die Durchführung der Konformitätsbewertung basiert auf den Anforderungen der eIDAS Verordnung sowie auf den Anforderungen des Standards ETSI EN 319 401 sowie der Technical Specification ETSI TS 119 441 (Policy Requirements for TSP providing signature validation services).
Validierungsdienst für qualifizierte elektronische Siegel
Der qualifizierte Validierungsdienst gemäß Artikel 40 (i.V.m. Art. 33) der Verordnung (EU) Nr. 910/2014 (eIDAS Verordnung) beinhaltet die Durchführung der Validierung von qualifizierten elektronischen Siegeln. Das Ergebnis der Validierung ist den vertrauenden Beteiligten mit Bestätigung durch eine fortgeschrittene elektronische Signatur oder ein fortgeschrittenes elektronisches Siegel des Anbieters des Validierungsdienstes zu übermitteln. Die Durchführung der Konformitätsbewertung basiert auf den Anforderungen der eIDAS Verordnung sowie auf den Anforderungen des Standards ETSI EN 319 401 sowie der Technical Specification ETSI TS 119 441 (Policy Requirements for TSP providing signature validation services).
Bewahrungsdienste für qualifizierte elektronische Signaturen
Der qualifizierte Bewahrungsdienst für qualifizierte elektronische Signaturen gemäß Artikel 34 der Verordnung (EU) Nr. 910/2014 (eIDAS Verordnung) beinhaltet die Verlängerung der Vertrauenswürdigkeit von qualifizierten Signaturen über den Zeitraum ihrer technologischen Geltung hinaus. Die Durchführung der Konformitätsbewertung basiert auf den Anforderungen der eIDAS Verordnung sowie auf den Anforderungen des Standards ETSI EN 319 401 sowie der Technical Specification ETSI TS 119 511 (Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques).
Bewahrungsdienste für qualifizierte elektronische Siegel
Der qualifizierte Bewahrungsdienst für qualifizierte elektronische Siegel gemäß Artikel 40 (i.V.m. Art. 34) der Verordnung (EU) Nr. 910/2014 (eIDAS Verordnung) beinhaltet die Verlängerung der Vertrauenswürdigkeit von qualifizierten Siegeln über den Zeitraum ihrer technologischen Geltung hinaus. Die Durchführung der Konformitätsbewertung basiert auf den Anforderungen der eIDAS Verordnung sowie auf den Anforderungen des Standards ETSI EN 319 401 sowie der Technical Specification ETSI TS 119 511 (Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques).