C_12188_Anlage

Inhaltsverzeichnis

1 Änderung in gemSpec_Kon

Anforderung A_23536-02 wird neu erhoben.

A_23536-02 - TUC_KON_159 - "Signaturdatenelemente nachbereiten"

Der Konnektor MUSS den technischen Use Case TUC_KON_159 "Signaturdatenelemente nachbereiten" umsetzen.

Tabelle 1: TAB_KON_892 – TUC_KON_159 „Signaturdatenelemente nachbereiten"

Element
 Beschreibung
Name
 TUC_KON_159 „Signaturdatenelemente nachbereiten“
Beschreibung
 Es wird für das verwendete Signaturzertifikat die Statusauskunft eingeholt, überprüft und falls gefordert, in die vorab erstellte Signatur eingebettet.
Auslöser
 TUC_KON_150 „Dokumente QES signieren“, TUC_KON_170 Dokumente mit Komfort signieren", TUC_KON_160 „Dokumente nonQES signieren“
Vorbedingungen
 keine
Eingangsdaten
      signatureMode (Signaturart: QES | nonQES)
      Signierte Dokumente / signiertes Dokument
      signatureType 
       (URI für den Signaturtyp XML-, CMS-, S/MIME- oder PDF-Signatur)
      Zertifikatsreferenz  (zu verwendende Signatur-Identität)
      includeRevocationInfo [Boolean] - optional; Default: true
(Dieser Parameter steuert die Einbettung von OCSP-Responses in die Signatur.
true: Die Sperrinformationen werden in die Signatur eingebettet.)
Komponenten
 Konnektor, Kartenterminal, Signaturkarte
Ausgangsdaten
      Prüfergebnis für das Zertifikat
      Signiertes Dokument/ Dokumente mit eingebetteter OCSP-Antwort
optional/nur wenn includeRevocationInfo = true
Standardablauf
1. Ermitteln des Signaturzeitpunktes aus dem Signierten Dokument

2. Einholen einer OCSP-Response zur Zertifikatsreferenz mit TUC_PKI_006 mit
       Referenzzeitpunkt=Signaturzeitpunkt
       OCSP-Graceperiod=0
       Timeout-Parameter=2s
und extrahieren der OCSP_creation_Time

3. Wenn includeRevocationInfo=true und signatureMode=QES:        Ermitteln der Zeitdifferenz
        dT = Signaturzeitpunkt - OCSP_Creation_Time
    Wenn 0 < dT < 2s , dann führe nach dT erneut TUC_PKI_006 aus

4.     Signaturprüfung
 a) Wenn signatureMode=QES und/oder           includeRevocationInfo=true wird das Signaturzertifikat durch Aufruf von TUC_KON_037 „Zertifikat prüfen“{
   certificate = Zertifikatsreferenz;
   qualifiedCheck = if_QC_present;
   offlineAllowNoCheck = true;
   gracePeriod=0;
   validationMode = OCSP;
    ocspResponse = OCSP-Response aus (2) oder (3)
   }
geprüft. Die OCSP-Auskunft muss ausgewertet werden. Andere Zertifikatsprüfergebnisse können aus dem Cache genommen werden.
b) sonst
Aufruf von TUC_KON_037 „Zertifikat prüfen“{
   certificate = Zertifikatsreferenz;
   qualifiedCheck = if_QC_present;
   offlineAllowNoCheck = true;
   validationMode = OCSP} 
Zertifikatsprüfergebnisse können aus dem Cache genommen werden.
5.     Falls includeRevocationInfo== true wird die OCSP-Antwort gemäß des signatureType in die Signatur für jedes Dokument eingebettet. 

signatureType = XMLDSig (XAdES)
Einbettung der OCSP-Response im Sinne vom AdES-X-L; 
die base-64 kodierte OCSP-Response wird im Feld
  QualifyingProperties/UnsignedProperties
/UnsignedSignatureProperties/RevocationValues
/OCSPValues/EncapsulatedOCSPValue (selbst DER-kodiert)
gespeichert.

signatureType = CMS (CAdES)
Ist die Einbettung von OCSP-Responses gefordert, wird die für die
Offline-Prüfung notwendige OCSP-Antwort des EE-Zertifikats im Attribut  SignedData.crls.other abgelegt.

signatureType = PDF/A (PAdES)
OCSP-Responses werden bei PAdES nicht eingebettet.

keine
Fehlerfälle
 (->2) Für MGM_LU_ONLINE=Enabled gilt:
Liefert die Zertifikatsprüfung (OCSP-Abfrage) die Warnung CERT_REVOKED oder CERT_UNKNOWN gemäß [gemSpec_PKI#Tab_PKI_274], dann wird der TUC mit Fehler 4123 abgebrochen.
Nichtfunktionale Anforderungen
 keine
Zugehörige Diagramme
 keine

Tabelle 2: TAB_KON_893 Fehlercodes TUC_KON_159 „Signaturdatenelemente nachbereiten

Fehlercode
 ErrorType
 Severity
 Fehlertext
Neben den Fehlercodes der aufgerufenen technischen Use Cases können folgende weitere Fehlercodes auftreten:
4123
 Security
 Error
 Fehler bei Signaturerstellung

Festlegen, welche Parameter sind in Schritt 3 an TUC_PKI_006 zu übergeben sind, insbes. Referenzzeitpunkt. [<=]

Anforderung A_23536-01 entfällt.

A_23536-01 - TUC_KON_159 - "Signaturdatenelemente nachbereiten"

Der Konnektor MUSS den technischen Use Case TUC_KON_159 "Signaturdatenelemente nachbereiten" umsetzen.

Tabelle 3: TAB_KON_892 – TUC_KON_159 „Signaturdatenelemente nachbereiten"

Element
 Beschreibung
Name
 TUC_KON_159 „Signaturdatenelemente nachbereiten“
Beschreibung
 Es wird für das verwendete Signaturzertifikat die Statusauskunft eingeholt, überprüft und falls gefordert, in die vorab erstellte Signatur eingebettet.
Auslöser
 TUC_KON_150 „Dokumente QES signieren“, TUC_KON_170 Dokumente mit Komfort signieren", TUC_KON_160 „Dokumente nonQES signieren“
Vorbedingungen
 keine
Eingangsdaten
      signatureMode (Signaturart: QES | nonQES)
      Signierte Dokumente / signiertes Dokument
      signatureType 
       (URI für den Signaturtyp XML-, CMS-, S/MIME- oder PDF-Signatur)
      Zertifikatsreferenz  (zu verwendende Signatur-Identität)
      includeRevocationInfo [Boolean] - optional; Default: true
(Dieser Parameter steuert die Einbettung von OCSP-Responses in die Signatur.
true: Die Sperrinformationen werden in die Signatur eingebettet.)
Komponenten
 Konnektor, Kartenterminal, Signaturkarte
Ausgangsdaten
      Prüfergebnis für das Zertifikat
      Signiertes Dokument/ Dokumente mit eingebetteter OCSP-Antwort
optional/nur wenn includeRevocationInfo = true
Standardablauf
1.     Signaturprüfung
 a) Wenn signatureMode=QES und/oder           includeRevocationInfo=true wird das Signaturzertifikat durch Aufruf von TUC_KON_037 „Zertifikat prüfen“{
   certificate = Zertifikatsreferenz;
   qualifiedCheck = if_QC_present;
   offlineAllowNoCheck = true;
   gracePeriod=0;
   validationMode = OCSP;
   getOCSPResponses = includeRevocationInfo}
geprüft. Eine OCSP-Auskunft muss eingeholt werden. Andere Zertifikatsprüfergebnisse können aus dem Cache genommen werden.
b) sonst
Aufruf von TUC_KON_037 „Zertifikat prüfen“{
   certificate = Zertifikatsreferenz;
   qualifiedCheck = if_QC_present;
   offlineAllowNoCheck = true;
   validationMode = OCSP} Zertifikatsprüfergebnisse können aus dem Cache genommen werden.
2.     Falls includeRevocationInfo== true wird die OCSP-Antwort gemäß des signatureType in die Signatur für jedes Dokument eingebettet. 

signatureType = XMLDSig (XAdES)
Einbettung der OCSP-Response im Sinne vom AdES-X-L; 
die base-64 kodierte OCSP-Response wird im Feld
  QualifyingProperties/UnsignedProperties
/UnsignedSignatureProperties/RevocationValues
/OCSPValues/EncapsulatedOCSPValue (selbst DER-kodiert)
gespeichert.

signatureType = CMS (CAdES)
Ist die Einbettung von OCSP-Responses gefordert, wird die für die
Offline-Prüfung notwendige OCSP-Antwort des EE-Zertifikats im Attribut  SignedData.crls.other abgelegt.

signatureType = PDF/A (PAdES)
OCSP-Responses werden bei PAdES nicht eingebettet.

Varianten/Alternativen
 keine
Fehlerfälle
 (->1) Für MGM_LU_ONLINE=Enabled gilt:
Liefert die Zertifikatsprüfung (OCSP-Abfrage) die Warnung CERT_REVOKED oder CERT_UNKNOWN gemäß [gemSpec_PKI#Tab_PKI_274], dann wird der TUC mit Fehler 4123 abgebrochen.
Nichtfunktionale Anforderungen
 keine
Zugehörige Diagramme
 keine

Tabelle 4: TAB_KON_893 Fehlercodes TUC_KON_159 „Signaturdatenelemente nachbereiten

Fehlercode
 ErrorType
 Severity
 Fehlertext
Neben den Fehlercodes der aufgerufenen technischen Use Cases können folgende weitere Fehlercodes auftreten:
4123
 Security
 Error
 Fehler bei Signaturerstellung

[<=]