Um den Anwender:innen und Hersteller:innen von Software eine schnelle Implementierung von OSCI zu ermöglichen, bietet der Lenkungsausschuss der IT-Planungsrats Anwendung Governikus eine OSCI-Bibliothek und einen Testintermediär an, an den OSCI-Nachrichten geschickt werden können.
Download OSCI-Bibliothek
OSCI 1.2-Bibliothek
OSCI basiert auf den vom W3C koordinierten, weltweit anerkannten Standards XML und SOAP. Die Empfehlungen des W3C zur digital signature werden in geeigneter Weise konkretisiert, um die rechtlichen Anforderungen zu erfüllen. Dabei unterstützt OSCI von der fortgeschrittenen bis hin zur qualifizierten elektronischen Signatur alle Qualitätsniveaus. Zudem werden für die Verschlüsselungsverfahren ebenfalls genaue Vorgaben gemacht, um auch auf dieser Ebene die Interoperabilität und Herstellerunabhängigkeit sicherzustellen.
Darüber hinaus definiert OSCI die notwendigen Datenstrukturen für Quittungsmechanismen mit Zeitstempeln. Ähnlich dem „Einschreiben mit Rückschein“ ist beweisbar, dass eine Nachricht den Empfänger erreicht hat, und wann dies geschehen ist.
OSCI erlaubt die sichere und medienbruchfreie Nutzung von Verwaltungsanwendungen durch „Externe“, die in Anhängigkeit von den rechtlichen Anforderungen der Geschäftsvorfälle durch elektronische Signaturen verschiedener Niveaus authentisiert und identifiziert werden können.
Die Eignung von OSCI für die Anforderungen des E-Government sowie die Erfüllung der einschlägigen europäischen Sicherheitsanforderungen wird durch ein Gutachten des BSI bestätigt. Für die einschlägigen DV-Anwendungen des Bundes wird OSCI durch das SAGA 5.0 Modul Technische Spezifikationen empfohlen.
Darüber hinaus definiert OSCI die notwendigen Datenstrukturen für Quittungsmechanismen mit Zeitstempeln. Ähnlich dem „Einschreiben mit Rückschein“ ist beweisbar, dass eine Nachricht den Empfänger erreicht hat, und wann dies geschehen ist.
OSCI erlaubt die sichere und medienbruchfreie Nutzung von Verwaltungsanwendungen durch „Externe“, die in Anhängigkeit von den rechtlichen Anforderungen der Geschäftsvorfälle durch elektronische Signaturen verschiedener Niveaus authentisiert und identifiziert werden können.
Die Eignung von OSCI für die Anforderungen des E-Government sowie die Erfüllung der einschlägigen europäischen Sicherheitsanforderungen wird durch ein Gutachten des BSI bestätigt. Für die einschlägigen DV-Anwendungen des Bundes wird OSCI durch das SAGA 5.0 Modul Technische Spezifikationen empfohlen.
Mit der Spezifikation des OSCI 1.2-Protokolls wird ein sicheres, herstellerunabhängiges und interoperables Datenaustauschformat beschrieben. Um die Implementierung für Anwender in der öffentlichen Verwaltung sowie der Fachverfahrenshersteller zu erleichtern, stellen wir im Kontext der Anwendung Governikus des IT-Planungsrates die OSCI Bibliothek zum Download unter der EUPL-Lizenz zur Verfügung.
Die Bibliothek implementiert OSCI in der Version 1.2 und ist damit unabhängig von Fachinhalten. Sie ist Bestandteil der OSCI Infrastruktur. Die OSCI Bibliothek soll in Fachverfahren (auf Verwaltungsseite) oder Clientsystemen (auf Kundenseite) implementiert werden.
Die OSCI-Bibliothek dient dem Ziel, die für den Einsatz von OSCI erforderliche Funktionalität und Interoperabilität für die in den öffentlichen Verwaltungen zum Einsatz kommenden Fachverfahren auf pragmatische Weise sicherzustellen.
Die OSCI 1.2-Bibliothek wird von Governikus in Java und .NET ab Version 1.9 herausgegeben und kann im Downloadbereich heruntergeladen werden.
Die Bibliothek implementiert OSCI in der Version 1.2 und ist damit unabhängig von Fachinhalten. Sie ist Bestandteil der OSCI Infrastruktur. Die OSCI Bibliothek soll in Fachverfahren (auf Verwaltungsseite) oder Clientsystemen (auf Kundenseite) implementiert werden.
Die OSCI-Bibliothek dient dem Ziel, die für den Einsatz von OSCI erforderliche Funktionalität und Interoperabilität für die in den öffentlichen Verwaltungen zum Einsatz kommenden Fachverfahren auf pragmatische Weise sicherzustellen.
Die OSCI 1.2-Bibliothek wird von Governikus in Java und .NET ab Version 1.9 herausgegeben und kann im Downloadbereich heruntergeladen werden.
Die zentrale Aufgabe der OSCI-Transport-Bibliothek besteht in der Komposition valider OSCI-Transport-Nachrichten für den Versand, sowie der Dekomposition von OSCI-Transport-Nachrichten bei deren Empfang und der Prüfung ihrer syntaktischen Korrektheit. Weiter werden alle kryptografischen Funktionen zur Signaturerzeugung und -prüfung sowie Ver- und Entschlüsselung über Funktionen der Bibliothek verwaltet, wobei die eigentliche Abarbeitung kryptografischer Aufgaben inkl. der Zugriffe auf Krypto-Token durch entsprechende Drittimplementierungen zur Verfügung gestellt werden müssen.
In diesem Sinne werden durch die OSCI-Transport-Bibliothek alle für den vollständigen Aufbau einer OSCI-Transport-Nachricht benötigten Objekte wie die eigentlichen Inhaltsdaten, die Signatur- und Verschlüsselungszertifikate aller Kommunikationsbeteiligten und deren physikalische Adressen in Form entsprechender Klassen bzw. deren Attribute bereitgestellt.
Die Erstellung und Weiterverarbeitung von Inhaltsdaten ist nicht Aufgabe der OSCI-Transport-Bibliothek, sondern muss durch die Client-Systeme und Fachanwendungen erfolgen. Durch die Klassen und Methoden der Bibliothek wird lediglich sichergestellt, dass diese Schema-konform in die Nachrichtenobjekte eingebettet werden.
Eine weitere wesentliche Aufgabe der OSCI-Transport-Bibliothek besteht in der Steuerung und Überwachung des Kommunikationsvorgangs. Für diesen Zweck stellt die Bibliothek Klassen und Methoden zur Verfügung, anhand derer die Plausibilität einer Kommunikation überprüft und dokumentiert werden kann.
Methoden für den technischen Versand und Empfang von OSCI-Transport-Nachrichten (z.B. auf Basis des HTTP-Protokolls), die Bereitstellung kryptografischer Funktionen für die Signatur und Verschlüsselung von Nachrichten sowie die Visualisierung signierter Nachrichtenkomponenten sind nicht Bestandteil der OSCI-Transport-Bibliothek. Diese Funktionalitäten müssen durch separate Module realisiert und durch Interfaces der OSCI-Transport-Bibliothek eingebunden werden. Dies erlaubt den Einsatz unterschiedlicher Module für den jeweiligen Aufgabenbereich.
Bei dem Design der OSCI-Transport-Bibliothek wurde versucht, größtmöglichen Komfort für den Benutzer zu erreichen ohne ihn in seinen Möglichkeiten einzuschränken.
Eine vollständige Beschreibung der Funktionen kann der Funktionsbeschreibung der OSCI-Bibliothek, sowie den Dokumentationen zur JAVA-Implementierung und .net-Implementierung im Downloadbereich entnommen werden.
In OSCI 1.2 Korrigenda 7 wird ein Initialisierungsvektor (IV) mit der Länge 96 Bit für den Einsatz des GC Modus (GCM) für die AES-Verschlüsselung festgelegt; diese Festlegung erfolgt auf der Basis der W3C Recommendation „XML Encryption Syntax and Processing Version 1.1“ (https://www.w3.org/TR/2013/REC-xmlenc-core1-20130411/#sec-AES-GCM).
Ab der OSCI-Bibliothek Version 2.0.1 ist 96 Bit als Default-Wert für die Länge des IV gesetzt. Der OSCI-Manager unterstützt seit der Version 3.23.0.0 (Herbst 2019) IV-Längen von 96 Bit und 128 Bit; in Auftragsantworten verwendet der OSCI-Manager jeweils die IV-Länge des anfragenden OSCI-Clients. (Im OSCI-Manager wird ab Version 3.23.0.11 auch die Verschlüsselung zu passiven OSCI-Empfängern mit IV-Länge von 96 Bit unterstützt.)
Bitte beachten Sie: Bei der Kommunikation zwischen einem Client mit OSCI-Bibliothek und einem OSCI-Manager (Intermediär) kann es abhängig von den eingesetzten Versionsständen und ggf. angepassten Default-Werten zu Fehler- oder Warnmeldungen in den jeweiligen Logs kommen.
Ferner ist es möglich, dass die Kommunikation abgebrochen wird. Dies passiert, wenn eine IV-Länge verwendet wird, die bei einem der beiden Kommunikationspartner aufgrund alter Versionsstände nicht implementiert ist.
In diesem Sinne werden durch die OSCI-Transport-Bibliothek alle für den vollständigen Aufbau einer OSCI-Transport-Nachricht benötigten Objekte wie die eigentlichen Inhaltsdaten, die Signatur- und Verschlüsselungszertifikate aller Kommunikationsbeteiligten und deren physikalische Adressen in Form entsprechender Klassen bzw. deren Attribute bereitgestellt.
Die Erstellung und Weiterverarbeitung von Inhaltsdaten ist nicht Aufgabe der OSCI-Transport-Bibliothek, sondern muss durch die Client-Systeme und Fachanwendungen erfolgen. Durch die Klassen und Methoden der Bibliothek wird lediglich sichergestellt, dass diese Schema-konform in die Nachrichtenobjekte eingebettet werden.
Eine weitere wesentliche Aufgabe der OSCI-Transport-Bibliothek besteht in der Steuerung und Überwachung des Kommunikationsvorgangs. Für diesen Zweck stellt die Bibliothek Klassen und Methoden zur Verfügung, anhand derer die Plausibilität einer Kommunikation überprüft und dokumentiert werden kann.
Methoden für den technischen Versand und Empfang von OSCI-Transport-Nachrichten (z.B. auf Basis des HTTP-Protokolls), die Bereitstellung kryptografischer Funktionen für die Signatur und Verschlüsselung von Nachrichten sowie die Visualisierung signierter Nachrichtenkomponenten sind nicht Bestandteil der OSCI-Transport-Bibliothek. Diese Funktionalitäten müssen durch separate Module realisiert und durch Interfaces der OSCI-Transport-Bibliothek eingebunden werden. Dies erlaubt den Einsatz unterschiedlicher Module für den jeweiligen Aufgabenbereich.
Bei dem Design der OSCI-Transport-Bibliothek wurde versucht, größtmöglichen Komfort für den Benutzer zu erreichen ohne ihn in seinen Möglichkeiten einzuschränken.
Eine vollständige Beschreibung der Funktionen kann der Funktionsbeschreibung der OSCI-Bibliothek, sowie den Dokumentationen zur JAVA-Implementierung und .net-Implementierung im Downloadbereich entnommen werden.
In OSCI 1.2 Korrigenda 7 wird ein Initialisierungsvektor (IV) mit der Länge 96 Bit für den Einsatz des GC Modus (GCM) für die AES-Verschlüsselung festgelegt; diese Festlegung erfolgt auf der Basis der W3C Recommendation „XML Encryption Syntax and Processing Version 1.1“ (https://www.w3.org/TR/2013/REC-xmlenc-core1-20130411/#sec-AES-GCM).
Ab der OSCI-Bibliothek Version 2.0.1 ist 96 Bit als Default-Wert für die Länge des IV gesetzt. Der OSCI-Manager unterstützt seit der Version 3.23.0.0 (Herbst 2019) IV-Längen von 96 Bit und 128 Bit; in Auftragsantworten verwendet der OSCI-Manager jeweils die IV-Länge des anfragenden OSCI-Clients. (Im OSCI-Manager wird ab Version 3.23.0.11 auch die Verschlüsselung zu passiven OSCI-Empfängern mit IV-Länge von 96 Bit unterstützt.)
Bitte beachten Sie: Bei der Kommunikation zwischen einem Client mit OSCI-Bibliothek und einem OSCI-Manager (Intermediär) kann es abhängig von den eingesetzten Versionsständen und ggf. angepassten Default-Werten zu Fehler- oder Warnmeldungen in den jeweiligen Logs kommen.
Ferner ist es möglich, dass die Kommunikation abgebrochen wird. Dies passiert, wenn eine IV-Länge verwendet wird, die bei einem der beiden Kommunikationspartner aufgrund alter Versionsstände nicht implementiert ist.
Damit Sie Ihre Implementierung der Bibliothek testen können, stellen wir einen Testintermediär zur Verfügung, an den Sie OSCI-Nachrichten senden können. Dieser steht unter http://gov.test.osci.de/osci-manager-entry/externalentry zur Verfügung.
Wichtige Hinweise zur Verwendung des Testintermediärs
Über den Testintermediär kann ein passiver OSCI-Empfänger angesprochen werden. Dieser quittiert den Empfang eingehender Nachrichten bzw. sendet eine leere Nachricht zurück (Request-Response-Szenario, Quellcode s. Sample „PassiveRecipient.java“).
Der Testintermediär ist ausschließlich für funktionale Tests ausgelegt. Insbesondere Last-Tests mit bspw. vielen (großen) Nachrichten pro Minute sind nicht erlaubt. Die funktionale Ergänzung von OSCI zur effizienten Übertragung großer Datenmengen ist mit folgenden Parametern aktiviert:
Maximale Nachrichtengröße: 500 MB
Minimale Paketgröße: 1 MB
Maximale Paketgröße: 50 MB
Aufbewahrungszeit für empfangene Pakete einer Nachricht: 4 Tage
Aufbewahrungszeit für nicht abgeholte Pakete einer Nachricht: 3 Tage
Löschfrist: 30 Kalendertage
Für den Intermediär muss ein Zertifikat verwendet werden, das zusammen mit anderen Ersatzzertifikaten (für die bisherigen, abgelaufenen Testzertifikate) im Downloadbereich heruntergeladen werden kann.
Für die Verfügbarkeit wird keine Gewähr übernommen. Insbesondere kann der Intermediär ohne Vorwarnung jederzeit neu gestartet werden, was zum Verlust gespeicherter Nachrichten und Laufzettel führen kann.
Die Funktion des Intermediärs wird nur mit der jeweils aktuell verfügbaren Version der OSCI-Bibliothek getestet.
Log-Ausgaben des Intermediärs enthalten im wesentlichen Informationen über eingehende Requests sowie im Fehlerfall Stack-Traceausgaben. Auch der Inhalt dieser Datei kann ohne Vorankündigung gelöscht werden. Auf Anfrage kann die Log-Ausgabe des Intermediärs bereitgestellt werden. Wenden Sie sich hierzu bitte an helpline@governikus.de. Der Inhalt dieser Datei wird regelmäßig und automatisiert gelöscht.
Wichtige Hinweise zur Verwendung des Testintermediärs
Über den Testintermediär kann ein passiver OSCI-Empfänger angesprochen werden. Dieser quittiert den Empfang eingehender Nachrichten bzw. sendet eine leere Nachricht zurück (Request-Response-Szenario, Quellcode s. Sample „PassiveRecipient.java“).
Der Testintermediär ist ausschließlich für funktionale Tests ausgelegt. Insbesondere Last-Tests mit bspw. vielen (großen) Nachrichten pro Minute sind nicht erlaubt. Die funktionale Ergänzung von OSCI zur effizienten Übertragung großer Datenmengen ist mit folgenden Parametern aktiviert:
Maximale Nachrichtengröße: 500 MB
Minimale Paketgröße: 1 MB
Maximale Paketgröße: 50 MB
Aufbewahrungszeit für empfangene Pakete einer Nachricht: 4 Tage
Aufbewahrungszeit für nicht abgeholte Pakete einer Nachricht: 3 Tage
Löschfrist: 30 Kalendertage
Für den Intermediär muss ein Zertifikat verwendet werden, das zusammen mit anderen Ersatzzertifikaten (für die bisherigen, abgelaufenen Testzertifikate) im Downloadbereich heruntergeladen werden kann.
Für die Verfügbarkeit wird keine Gewähr übernommen. Insbesondere kann der Intermediär ohne Vorwarnung jederzeit neu gestartet werden, was zum Verlust gespeicherter Nachrichten und Laufzettel führen kann.
Die Funktion des Intermediärs wird nur mit der jeweils aktuell verfügbaren Version der OSCI-Bibliothek getestet.
Log-Ausgaben des Intermediärs enthalten im wesentlichen Informationen über eingehende Requests sowie im Fehlerfall Stack-Traceausgaben. Auch der Inhalt dieser Datei kann ohne Vorankündigung gelöscht werden. Auf Anfrage kann die Log-Ausgabe des Intermediärs bereitgestellt werden. Wenden Sie sich hierzu bitte an helpline@governikus.de. Der Inhalt dieser Datei wird regelmäßig und automatisiert gelöscht.
Erfolgt die Integration des Werkes in unveränderter Form, liegt keine Bearbeitung im Sinne der EUPL bzw. des deutschen Urheberrechts vor. Die Art und Weise der Verlinkung des Werkes innerhalb einer anderen Software führt insbesondere nicht zur Schaffung eines abgeleiteten Werkes. Die unveränderte Übernahme des Werkes in eine andere Software führt damit nicht dazu, dass diese Software unter den Bedingungen der EUPL zu lizenzieren ist.
Für die Weitergabe des Werkes selbst, in unveränderter oder bearbeiteter Form, als Quellcode oder ausführbares Programm, gelten die Lizenzbedingungen der EUPL in unveränderter Weise.
Für die Weitergabe des Werkes selbst, in unveränderter oder bearbeiteter Form, als Quellcode oder ausführbares Programm, gelten die Lizenzbedingungen der EUPL in unveränderter Weise.
Die OSCI-Spezifikation wird durch die Koordinierungsstelle für IT-Standards (KoSIT) herausgegeben. Die Spezifikationsdokumente finden Sie auf den Seiten der KoSIT unter https://www.xoev.de/downloads-2316#Standards.
Die Aufgabe der OSCI Bibliothek besteht darin, Anwendungsprogrammen und Fachverfahren eine Softwarekomponente zur Verfügung zu stellen, mit deren Hilfe sie das OSCI-Transportprotokoll zum Erzeugen und Empfangen von Nachrichten gemäß der OSCI-Spezifikation nutzen können. Die OSCI-Transport-Bibliothek soll eine möglichst einfache Integration von OSCI-Transport 1.2 in bestehende Systeme ermöglichen.
Im Zusammenwirken mit den in der Funktionsbeschreibung näher erläuterten externen Modulen umfasst sie alle für Benutzer im Sinne der Spezifikation erforderlichen Funktionalitäten, nämlich Aufbau, Versand, Empfang, Speicherung, Ver- und Entschlüsselung sowie die mathematische Signaturprüfung sämtlicher Nachrichtentypen.
Mit Blick auf die Fachverfahrensintegration bildet die Schnittstelle der OSCI-Transport-Bibliothek den Zugang zu einer kompletten OSCI-Transport-Infrastruktur und ist somit der einzige Punkt, an dem eine Anpassung an die unterschiedlichen Fachverfahren erfolgen muss.
Im Zusammenwirken mit den in der Funktionsbeschreibung näher erläuterten externen Modulen umfasst sie alle für Benutzer im Sinne der Spezifikation erforderlichen Funktionalitäten, nämlich Aufbau, Versand, Empfang, Speicherung, Ver- und Entschlüsselung sowie die mathematische Signaturprüfung sämtlicher Nachrichtentypen.
Mit Blick auf die Fachverfahrensintegration bildet die Schnittstelle der OSCI-Transport-Bibliothek den Zugang zu einer kompletten OSCI-Transport-Infrastruktur und ist somit der einzige Punkt, an dem eine Anpassung an die unterschiedlichen Fachverfahren erfolgen muss.
Governikus-Kunden und-Partner, die bereits über einen Portalzugang verfügen, können die OSCI-Bibliothek herunterladen.
Sofern Sie über keinen Zugang zum Governikus-Portal verfügen, verwenden Sie bitte die auf dieser Seite zur Verfügung gestellte Download-Möglichkeit. Damit wir Sie über sicherheitsrelevante Meldungen informieren können, bitten wir um Verständnis, dass wir den Download nur nach Angabe einer gültigen E-Mail-Adresse und Einverständniserklärung zur Datenspeicherung zur Verfügung stellen können.
Sofern Sie über keinen Zugang zum Governikus-Portal verfügen, verwenden Sie bitte die auf dieser Seite zur Verfügung gestellte Download-Möglichkeit. Damit wir Sie über sicherheitsrelevante Meldungen informieren können, bitten wir um Verständnis, dass wir den Download nur nach Angabe einer gültigen E-Mail-Adresse und Einverständniserklärung zur Datenspeicherung zur Verfügung stellen können.
zur aktuellen Version:
Derzeit liegen keine Sicherheitshinweise vor.
Derzeit liegen keine Sicherheitshinweise vor.
Mit der Spezifikation des OSCI 1.2-Protokolls wird ein sicheres, herstellerunabhängiges und interoperables Datenaustauschformat beschrieben. Um die Implementierung für Anwender in der öffentlichen Verwaltung sowie der Fachverfahrenshersteller zu erleichtern, stellen wir im Kontext der Anwendung Governikus des IT-Planungsrates die OSCI Bibliothek zum Download unter der EUPL-Lizenz zur Verfügung. Erfolgt die Integration der OSCI Bibliothek in unveränderter Form, liegt keine Bearbeitung im Sinne der EUPL bzw. des deutschen Urheberrechts vor. Die Art und Weise der Verlinkung der OSCI Bibliothek innerhalb einer Implementierung führt insbesondere nicht zur Schaffung eines abgeleiteten Werkes. Die unveränderte Übernahme der OSCI Bibliothek in eine Fachverfahrens- und/oder Clientsoftware führt damit nicht dazu, dass dies Fachverfahrens- und/oder Clientsoftware unter den Bedingungen der EUPL zu lizenzieren ist. Für die Weitergabe der OSCI Bibliothek selbst, in unveränderter oder bearbeiteter Form, als Quellcode oder ausführbares Programm, gelten die Lizenzbedingungen der EUPL in unveränderter Weise.