beA Logo 
BRAK Logo 
 

Unterstützte Signaturkarten und Hardware-Token


Registrierung und Anmeldung

Für die einmalige Registrierung Ihres persönlichen beA-Postfachs wird die beA-Karte (Basis oder Signatur) benötigt. Für die einmalige Registrierung von Mitarbeitern wird die beA-Karte Mitarbeiter oder ein Software-Token benötigt.

Die Anmeldung an der beA-Anwendung ist mit den in Tabelle 1 genannten Hardware-Token (beA-Karten) oder einem Software-Token möglich.

Tabelle 1: Unterstützte Karten für die Registrierung und Anmeldung

Vertrauensdiensteanbieter (BNetzA Gütezeichen) Handelsname der Karte Schlüsselverwendung
Bundesnotarkammer Zertifizierungsstelle (Z0003) beA-Karte Basis Authentisierung, Verschlüsselung
Bundesnotarkammer Zertifizierungsstelle (Z0003) beA-Karte Signatur Authentisierung, Verschlüsselung, QES
Bundesnotarkammer Zertifizierungsstelle (Z0003) beA-Karte Mitarbeiter Authentisierung, Verschlüsselung

Qualifizierte elektronische Signatur (QES)

Die beA-Anwendung unterstützt die meisten von qualifizierten Vertrauensdiensteanbietern (qVDA) herausgegebenen Signaturkarten und Hardware-Token aus Deutschland. Die Signaturkarten erlauben in der Regel die Erzeugung von qualifizierten und fortgeschrittenen Signaturen. Außerdem können damit Daten ver- und entschlüsselt werden. Dieses gilt nur, wenn entsprechende Schlüssel/Zertifikate auf der Signaturkarte vorhanden sind. Bei Signaturkarten wird zwischen Einzel-, Stapel- und Multisignaturkarten unterschieden. Die beA-Anwendung unterstützt alle drei Kartenvarianten. 

Qualifizierte Signaturkarten basieren auf sogenannten sicheren Signaturerstellungseinheiten (SSEE) bzw. Qualified Signature Creation Devices (QSCD). Für eine Signaturkarte werden von einem Vertrauensdiensteanbieter manchmal unterschiedliche SSEE bzw. QSCD verwendet. Es kann auch vorkommen, dass eine SSEE/ QSCD von mehreren Vertrauensdiensteanbietern genutzt wird. Unterstützt werden die in der Tabelle angegebenen Kombinationen von Signaturkarte und SSEE.

Die unterstützten Signaturkarten müssen sich im Originalzustand befinden, d.h. so, wie sie durch den qVDA herausgegeben und zugestellt wurden. Es gibt eine Ausnahme: Wird von einem qVDA eine dezentrale Personalisierung einer Original-Signaturkarte angeboten, also das Nachladen von qualifizierten Zertifikaten, wird die Signaturkarte weiterhin unterstützt. Dieses ist zum Beispiel bei der beA-Karte möglich. Andere Modifizierungen der Signaturkarte, wie z.B. das lokale Aufspielen eigenen Schlüsselmaterials, könnten die Signaturkarte für diese Anwendung unbrauchbar machen oder sogar zerstören.

Tabelle 2: Unterstützte Signaturkarten für qualifizierte elektronische Signaturen
00013_01_R3.10.15.png

1) Qualified Signature Creation Device (QSCD)
2) Multisignaturkarte. In Abhängigkeit von der Anwendung ist nach der PIN-Eingabe die Erzeugung von a) genau einer QES möglich, b) bis zu 500 QES im Batchverfahren möglich. Die Erzeugung von Signaturen innerhalb eines festgelegten Zeitfensters ist nicht möglich.
3) Stapelsignaturkarte. In Abhängigkeit von der Anwendung ist nach der PIN-Eingabe die Erzeugung von a) genau einer QES möglich, b) kartenabhängig die Erzeugung von bis zu 100 QES im Batchverfahren möglich.
4) Der mit einem qualifizierten Zertifikat personalisierte PA kann technisch bedingt nicht für eine fortgeschrittene Signatur, für Ver- und Entschlüsselung sowie für zertifikatsbasierte Authentisierung verwendet werden, da das notwendige Schlüsselmaterial nicht vorhanden ist.
5) Gilt auch für Signaturkarte beA-Basis mit nachträglich aufgeladenem QES-Zertifikat
6) Die Signaturkarte wird nur an Mitarbeiter der Behörde ausgegeben (geschlossene Nutzergruppe)

PIN-Management der unterstützten Signaturkarten

Diese Anwendung unterstützt technisch die Eingabe einer 6 bis 12-stelligen numerischen PIN auf dem Chipkartenleser. Abweichend davon kann es technisch bedingte Einschränkungen geben. Im Anwendungsfall ist stets die gemeinsame Schnittmenge der unterstützten PIN-Längen von Signaturkarte, Chipkartenleser und dieser Anwendung maßgeblich. Beispiel: 

Komponente unterstützte PIN-Länge
diese Anwendung 6 bis 12-stellig
Ihre Signaturkarte (Signatur-PIN) 6 bis 10-stellig
Ihr Chipkartenleser für QES 4 bis 16-stellig
gemeinsame Schnittmenge 6 bis 10-stellig

Wichtig: Bei einer Signaturkarte kann die unterstützte PIN-Länge je nach Funktion der PIN (z.B. Signatur-PIN, Entschlüsselungs-PIN, Authentisierungs-PIN) unterschiedlich sein. Bitte informieren Sie sich anhand der Dokumentation Ihrer Signaturkarte und Ihres Chipkartenleser. Oder fragen Sie den Herausgeber Ihrer Signaturkarte oder den Hersteller Ihres Chipkartenleser, welche PIN-Längen unterstützt werden. Falls Sie dies nicht beachten, besteht die Gefahr, dass Ihre Signaturkarte unbrauchbar wird.

Sollten Sie beabsichtigen, Ihre PIN zu ändern, achten Sie bitte darauf, tatsächlich nur die alte PIN einzugeben und keinesfalls eine weitere Ziffer. Sonst kann es bei einigen Signaturkarten passieren, dass die neue PIN nicht so ist, wie sie es erwarten. 

Beispiel

Die richtige alte PIN ist 123456. Der Benutzer gibt aber versehentlich für die alte PIN 12345666 ein, weil die Tastatur des Chipkartenleser prellt (mechanisch ausgelöster Störeffekt, der bei Betätigung des Tastaturknopfs kurzzeitig ein mehrfaches Schließen und Öffnen des Kontakts hervorruft). Verwendet der Benutzer für die neue PIN 654321 und wiederholt diese korrekt, so wird die PIN-Änderung bei einigen Signaturkarten trotzdem durchgeführt. Bei diesen Signaturkarten ist die PIN dann 66654321. Die Ursache für dieses Verhalten ist die Anfälligkeit eines bestimmten verwendeten PIN-Verfahrens im Zusammenhang mit der für diesen Fall unzureichenden Spezifikation ISO 7816-4. Für die PIN-Änderung kann es daher sicherer sein, die PC-Tastatur zu verwenden.

Tags: