Ausschreibungssuche

Projekt 480: Integration von Post-Quanten Kryptografie in den E-Mail Client Thunderbird (Kurzbezeichnung: PQC@Thunderbird)

P 480

IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (72000000)

Dienstleistungen

Das Projekt realisiert eine quantencomputerresistente Ende-zu-Ende-Verschlüsselung mit verschlüsselten und digital signierten E-Mails.

Hierfür wird die Public-Key-Kryptografie der OpenPGP-Bestandteile des E-Mail-Clients Thunderbird um die Verschlüsselungs- und Signaturverfahren CRYSTALS-Kyber.CCAKEM und CRYSTALS-Dilithium aus der Post-Quanten-Kryptografie erweitert.

Ein entsprechendes kryptografisches Design gemäß der Handlungsempfehlungen des BSI "Migration zu Post-Quanten-Kryptografie" (siehe www.bsi.bund.de/PQ-Migration), insbesondere bezüglich Kryptoagilität und dem Einsatz hybrider Lösungen, ist zu berücksichtigen. Die Implementierungstätigkeiten werden dabei von den entsprechenden Standardisierungsaktivitäten begleitet.

Details sind der Leistungsbeschreibung (siehe Anlage) zu entnehmen.

IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung (72000000)

Bonn, Kreisfreie Stadt (DEA22, NUTS 3)

Beim Auftragnehmer

s. Punkt II 1.4

Laufzeit in Monaten:36

ja

Arbeitspaket 4.2 (OPTIONAL): CRYSTALS-* in Botan ist eine optionale Leistung. Diese muss vom Bieter angeboten werden, der Auftraggeber verzichtet jedoch ggf. generell auf deren Beauftragung. Insofern die Botan-Kryptobibliothek bis zum Ende des Arbeitspaket 2: Design und Feinkonzept nicht anderweitig um die in Abschnitt 1.3 genannten kryptografischen Verfahren erweitert wurde (z.B. im Rahmen von KBLS24) und diese Erweiterungen zur Verfügung stehen, so wird das Arbeitspaket 4.2 (OPTIONAL): CRYSTALS-* in Botan zu Beginn von Arbeitspaket 4: Implementierung schriftlich beauftragt.

nein

1. Referenzen

Legen Sie geeignete Referenzen der beteiligten Unternehmen vor. Referenzen sind geeignet, wenn die der Referenz zu Grunde liegenden Projekte hinsichtlich der fachlichen und technischen Leistungsfähigkeit im Wesentlichen ähnliche Anforderungen an die Unternehmen gestellt haben wie die ausgeschriebene Leistung. Dies ist bei der vorliegenden Ausschreibung insbesondere gegeben, bei Erfahrungen in der Neu- und Weiterentwicklung von Projekten im Bereich Kommunikations- und Informationssicherheit oder von Verschlüsselungs- und Signatursystemen und deren Komponenten.

Die genannten Referenzen müssen insbesondere die Fähigkeit der beteiligten Unternehmen belegen, Entwicklungsvorhaben mit multilateralen externen Abhängigkeiten und komplexen technischen Zusammenhängen durchzuführen. Im Wege der Referenzen ist daher nachzuweisen, dass die beteiligten Unternehmen bereits Erfahrungen in den folgenden Erfahrungsbereichen gesammelt haben:

1. Entwicklung von Open-Source-Software (OSS) für die Betriebssysteme Linux und Windows und Beiträge an bestehender Open-Source-Software (OSS) Upstream bringen

2. Standardisierungsaktivitäten in Gremien der Internet Engineering Task Force (IETF)

3. Erstellung von Konzepten im Bereich der IT-Sicherheitskomponenten und -systeme samt Umsetzung eines angemessenen kryptografischen Designs, insbesondere bezüglich Kryptoagilität

4. Erfahrung in der Umsetzung und Implementierung von Kryptoalgorithmen und -protokollen, insbesondere unter Berücksichtigung angemessener Gegenmaßnahmen gegen Seitenkanalattacken beziehungsweise Protokollangriffen

5. Anerkannte Programmierparadigmen wie Strukturierte und Modulare Programmierung sowie die GNU Coding Standards (siehe https://www.gnu.org/prep/standards/) mit entsprechender Dokumentation des Quellcodes anwenden

6. Umsetzung/Realisierung eines innovativen Test- oder Pilotbetriebs

7. Behandlung von Sicherheitslücken in Standards oder Software-Komponenten

Gehen Sie bei der Erstellung des Referenznachweises auf die folgenden Punkte ein:

- Auftraggeber inkl. Fachbereich

- (detaillierte) Darstellung des Auftragsgegenstands / der Tätigkeit

- Umfang / Betroffener Erfahrungsbereich

- Dauer

- Auftragsvolumen

Die Darstellung sollte zwei DIN A4-Seiten pro Referenzprojekt nicht überschreiten.

Es werden keine Referenzschreiben früherer Auftraggeber benötigt.

Mindestanforderungen: Insgesamt sind mindestens zwei geeignete Referenzen vorzulegen. Jeder Erfahrungsbereich muss durch mindestens eine geeignete Referenz belegt werden, wobei eine Referenz zur Abdeckung mehrerer Erfahrungsbereiche herangezogen werden darf.

2. Technische Ausrüstung

Geben Sie einen kurzen Überblick über das technische Equipment, welches Ihnen zur Verfügung steht und von Ihnen zur Erbringung der hier ausgeschriebenen Leistung eingesetzt wird.

Mindestanforderung: Der Auftragnehmer verfügt für die Leistungserbringung mindestens über die folgende technische Ausrüstung:

- Datenschutzfreundliches Videokonferenzsystem

- Webserver für Downloads

- Interaktive Kanban-Tafel oder ein entsprechendes Äquivalent (z.B. Ticketsystem)

3. Qualitätsmanagement

Bitte stellen Sie das Qualitätsmanagement Ihres Unternehmens dar. Machen Sie bitte auch Angaben zu Zertifizierungen, die Ihr Unternehmen erworben hat.

Mindestanforderung: Es ist ein Qualitätsmanagement etabliert und dokumentiert und kann nachgewiesen werden.

Ausführungsbedingungen gemäß Auftragsunterlagen

Verpflichtung zur Angabe der Namen und beruflichen Qualifikationen der Personen, die für die Ausführung des Auftrags verantwortlich sind

Offenes Verfahren

nein

19.08.2021

14:00

• Deutsch (DE)

3 (ab dem Schlusstermin für den Eingang der Angebote)

19.08.2021

14:00

Unternehmen haben Anspruch darauf, dass das BSI die Bestimmungen über das Vergabeverfahren einhält, vgl. § 97 Abs. 6 Gesetz gegen Wettbewerbsbeschränkungen (GWB). Rechte aus § 97 Abs. 6 GWB sowie sonstige Ansprüche gegen das BSI, die auf die Vornahme oder das Unterlassen einer Handlung in einem Vergabeverfahren gerichtet sind, können nur vor den

Vergabekammern und dem Beschwerdegericht geltend gemacht werden, § 156 Abs. 2 GWB. Die Vergabekammer leitet ein Nachprüfungsverfahren nur auf Antrag ein, § 160 Abs. 1 GWB.

Es wird darüber belehrt, dass ein solcher Nachprüfungsantrag gemäß § 160 Abs. 3 Satz 1 GWB unzulässig ist, soweit

1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem BSI nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 GWB bleibt unberührt,

2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,

3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem BSI gerügt werden,

4. mehr als 15 Kalendertage nach Eingang der Mitteilung des BSI, einer Rüge nicht abhelfen zu wollen, vergangen sind.

Die o.g. vier Unzulässigkeitsgründe gelten gemäß § 160 Abs. 3 Satz 2 GWB nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt unberührt.