Authorisierungscode

§ 2

(1) Der Authorisierungscode des Benutzers einer Verwaltungssignatur darf in keiner der für die Verwaltungssignatur eingesetzten Systemkomponenten gespeichert sein und darf nach seiner Erstellung nur für den Benutzer verfügbar sein. Das System muss so ausgelegt sein, dass ein für Zwecke des Signierens eingegebener Authorisierungscode ausschließlich zur Erstellung von Signaturen und zum Ändern des Codes an einen allenfalls beteiligten Sicherheitsserver übermittelt werden kann. Dabei darf der Code weder im Eingabegerät, noch auf dem Weg zur Signaturerstellungseinheit, noch in der Signaturerstellungseinheit selbst über den Vorgang der Signaturerstellung oder Code-Änderung hinaus gespeichert bleiben.

(2) Sofern der Authorisierungscode nicht frei durch den Signator gewählt wird, muss seine Erstellung auf Zufallselementen beruhen, sodass ein Errechnen des Codes aus den Schlüsselwerten oder aus anderen Authorisierungscodes nicht möglich ist. Die Länge des Codes muss mindestens sechs Dezimalziffern entsprechen.