Generell können wir leider keine Aussage darüber treffen, ob die Chipkarten eines bestimmten Anbieters geeignet sind oder nicht, da uns bislang nicht alle erhältlichen Karten zu Testzwecken zur Verfügung stehen und die Produkte auch häufig geändert oder aktualisiert werden.
Die mit SFirm/EBICS erfolgreich getesteten Chipkarten beschränken sich zur Zeit auf die aktuellen SECCOS-Chipkarten des Verlags Giesecke & Devrient.
Die Frage ist, für welche EBICS-Funktionen die Chipkarte genutzt werden soll, entweder nur für Authentifikation/Verschlüsselung oder nur zum Leisten der EU oder für beides.
für den Authentifikations-/Verschlüsselungsschlüssel (X002/E002):
Grundsätzlich gilt, dass für die Authentifikationssignatur und die Verschlüsselung ausschließlich SECCOS-Chipkarten mit einer Schlüssellänge größer gleich 1984 Bit, auf denen eine entsprechende Signaturapplikation enthalten ist, unterstützt werden.
für die Elektronische Unterschrift (A005/A006):
Mit der EBICS Version 2.5 dürfen bis 11/2023 noch Schlüssel für die Authentifikation (X002) und Verschlüsselung (E002) von mindesten 1984 bit verwendet werden, soweit dabei eine Signaturkarte eingesetzt wird. Für die EU (A005/A006) gilt diese Regelung nicht - EU Schlüssel müssen ab 11/2021 mindestens 2048 bit lang sein.
In Bezug auf die A005-EU gelten weiterhin die aus dem FTAM-Bereich bekannten Vorgaben, d.h. hier wird eine 1024 Bit-Karte (nicht höher) benötigt.
Sollen Chipkarten für Authentifikation/Verschlüsselung (X002/E002) und EU (A004) gemeinsam genutzt werden, wird eine 2048 Bit-Karte benötigt. Die Karten müssen folgende Merkmale haben:
- Die Chipkarte muss über eine Signaturapplikation und das SECCOS-Betriebssystem verfügen (SECCOS = Secure Chip Card Operating System).
- Es muss sich um eine personalisierte Chipkarte handeln, die bereits mit folgenden Schlüsseln vorkonfiguriert ist:
- Die Authentifikations- und Verschlüsselungsschlüssel X001/E001 (RSA) mit einer Länge von mindestens 1984 Bit .
- Ein digitaler Signaturschlüssel (RSA) mit 2048 Bit Schlüssellänge ist Voraussetzung für die elektronische Unterschrift A005/A006.
WICHTIGER HINWEIS:
Die Auslieferung der Karte erfolgt mit einer Transport-PIN. Diese gilt bis zur Änderung durch den Nutzer als EU-PIN und als CSA-Passwort. Diese müssen beide geändert werden. Die PIN-Eingabe während der Änderung erfolgt über die PC-Tastatur, da es Karten gibt, die als PIN auch Buchstaben akzeptieren.
empfohlene Schritte / Reihenfolge:
1. Stammdaten/EBICS/EBICS Schlüsselverwaltung - EU PIN ändern
2. Stammdaten/EBICS/EBICS Schlüsselverwaltung - CSA Passwort ändern
3. EBICS-Schlüsselverwaltung:
- EU erzeugen
- Authentifikationsschlüssel erzeugen
- Schlüssel senden (INI/HIA)
4. Ini-Briefe freischalten lassen
5. EBICS-Schlüsselverwaltung:
- Bankschlüssel abholen