diff --git a/docs/details/crypto.md b/docs/details/crypto.md
index 6c7c6ae443365aed474b50bc61a28f2da12f189a..8e81d495c60ec746332a79e69c75e77e563e4417 100644
--- a/docs/details/crypto.md
+++ b/docs/details/crypto.md
@@ -24,7 +24,7 @@ Für die den JSON Web Keys zugrundeliegenden X.509-Zertifikate gelten die folgen
| -------------------- | ---------- | ----------- |
| Hashfunktion | SHA-512 | Hashfunktion, die bei der Signatur des Zertifikats verwendet werden muss. (vgl. [BSI TR-02102-1 Tabelle 4.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html)). |
| asym. Schlüssellänge | 4096 Bit | Schlüssellänge des zugrundeliegenden RSA-Schlüssels. Vorgabe gemäß [BSI TR-02102-1, Tabelle 3.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html)) |
-| Signaturalgorithmus | RSASSA-PSS | Entspricht dem Standard beschrieben in [RFC 4056](https://tools.ietf.org/html/rfc4056) und vom BSI empfohlen in [BSI TR-02102-1 Abschnitt 5.4.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
+| Signaturalgorithmus | RSASSA-PSS | Entspricht dem Standard beschrieben in [RFC 4056](https://tools.ietf.org/html/rfc4056) und vom BSI empfohlen in [BSI TR-02102-1 Abschnitt 5.3.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
| Schlüsselverwendung (Key Usage) | `keyEncipherment` für (asymmetrische) Verschlüsselung; `digitalSignature` sowie `nonRepudiation` für Signaturen | Erlaubte Schlüsselverwendungen gemäß [RFC 5280, Abschnitt 4.3.1.3](https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.3) |
## Vorgaben zur Ver- und Entschlüsselung von Daten
@@ -105,7 +105,7 @@ Der JSON Web Key muss über die folgenden Attribute gemäß [RFC 7517, Abschnitt
| --------- | ----------------------------------------- | ----------- |
| `kty` | `"RSA"` | Keytype gemäß [RFC 7517, Abschnitt 4.1](https://datatracker.ietf.org/doc/html/rfc7517#section-4.1) |
| `key_ops` | `["verify"]` | Funktion des Keys (Prüfung von digitalen Signaturen) gemäß [RFC 7517, Abschnitt 4.3](https://tools.ietf.org/html/rfc7517#section-4.3) |
-| `alg` | `"PS512"` | Legt RSASSA-PSS mit SHA-512 und MGF1 mit SHA-512 als Algorithmus zur Erstellung und Prüfung von Signaturen in Kombination mit diesem JWK fest. Bezeichner des Algorithmus gemäß [RFC 7518, Abschnitt 3.5](https://tools.ietf.org/html/rfc7518.html#section-3.5). Vorgabe gemäß [BSI TR-02102-1, Abschnitt 5.4.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
+| `alg` | `"PS512"` | Legt RSASSA-PSS mit SHA-512 und MGF1 mit SHA-512 als Algorithmus zur Erstellung und Prüfung von Signaturen in Kombination mit diesem JWK fest. Bezeichner des Algorithmus gemäß [RFC 7518, Abschnitt 3.5](https://tools.ietf.org/html/rfc7518.html#section-3.5). Vorgabe gemäß [BSI TR-02102-1, Abschnitt 5.3.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
| `x5c` | *Die gemäß RFC kodierte Zertifikatskette* | Zertifikatskette vom Teilnehmer:innen-Zertifikat bis zum Wurzelzertifikat einschließlich aller Zwischenzertifikate gemäß [Abschnitt 4.7 RFC 7518](https://tools.ietf.org/html/rfc7517#section-4.7). Hinweis: Gemäß RFC muss das erste Zertifikat der hinterlegten Zertifikatskette dem Teilnehmer:innen-Zertifikat entsprechen. |
| `kid` | *Eindeutige ID des Keys* | Eindeutige ID zur Referenzierung des JSON Web Key gemäß [RFC 7515, Abschnitt 4.1.4](https://tools.ietf.org/html/rfc7515#section-4.1.4). |
| `n` | *Modulus des Public Key zum Zertifikat* | Der Modulus des Public Key gemäß [RFC 7518, Abschitt 6.3.1.1](https://tools.ietf.org/html/rfc7518.html#section-6.3.1.1) ("Base64urlUInt" enkodiert) |
@@ -137,7 +137,7 @@ Für die Bereitstellung von signierten Statusinformationen über Security Event
Zur Signatur der Event Tokens verfügt der Server, der die Tokens ausstellt, über einen Signaturschlüssel. Bei der Verwaltung der Signaturschlüssel sind insbesondere die Hinweise in [BSI TR-03116-4, Abschnitt 6](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03116/BSI-TR-03116-4.html) und [BSI TR-02102-1, Abschnitt 8](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html) zu beachten. Der zu dem auf dem Server verwendeten Signaturschlüssel zugehörige Public Key muss als JSON Web Key bereitgestellt werden.
-Als Algorithmus für die Signatur MUSS RSASSA-PSS in Verbindung mit SHA-512 und MGF1 in Verbindung mit SHA-512 eingesetzt werden (`"PS512"`). Das entspricht dem Standard beschrieben in [RFC 7518 Abschnitt 3.5](https://tools.ietf.org/html/rfc7518.html#section-3.5) und wird vom BSI als Signaturverfahren in [BSI TR-02102-1 Abschnitt 5.4.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html) empfohlen.
+Als Algorithmus für die Signatur MUSS RSASSA-PSS in Verbindung mit SHA-512 und MGF1 in Verbindung mit SHA-512 eingesetzt werden (`"PS512"`). Das entspricht dem Standard beschrieben in [RFC 7518 Abschnitt 3.5](https://tools.ietf.org/html/rfc7518.html#section-3.5) und wird vom BSI als Signaturverfahren in [BSI TR-02102-1 Abschnitt 5.3.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html) empfohlen.
Zu Ãœbermittlung der Signatur wird das in [RFC 7515, Abschnitt 7.1](https://tools.ietf.org/html/rfc7515#section-7.1) beschriebene Verfahren "JWS Compact Serialization" verwendet.
@@ -146,7 +146,7 @@ Die folgenden Attribute müssen im JOSE-Header bei der Übertragung signierter D
| Feld | Inhalt | Erläuterung |
| ----- | ------------------ | ----------- |
-| `alg` | `"PS512"` | Legt RSASSA-PSS mit SHA-512 und MGF1 mit SHA-512 als Algorithmus für die Signatur fest. Bezeichner des Algorithmus gemäß [RFC 7518, Abschnitt 3.5](https://tools.ietf.org/html/rfc7518.html#section-3.5). Vorgabe gemäß [BSI TR-02102-1, Abschnitt 5.4.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
+| `alg` | `"PS512"` | Legt RSASSA-PSS mit SHA-512 und MGF1 mit SHA-512 als Algorithmus für die Signatur fest. Bezeichner des Algorithmus gemäß [RFC 7518, Abschnitt 3.5](https://tools.ietf.org/html/rfc7518.html#section-3.5). Vorgabe gemäß [BSI TR-02102-1, Abschnitt 5.3.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
| `kid` | *ID des öffentlichen Schlüssels* | Die ID des öffentlichen Schlüssels (JSON Web Key) aus dem Schlüsselpaar, mit dem die JWS signiert wurde. Gemäß [RFC7515, Abschnitt 4.1.4](https://tools.ietf.org/html/rfc7515#section-4.1.4). |
| `cty` | *MIME-Type der Inhaltsdaten* | MIME-Type der Inhaltsdaten (Fachdaten, Medatadaten) nach [RFC 7515, Abschnitt 4.1.10](https://tools.ietf.org/html/rfc7515#section-4.1.10) |
@@ -160,7 +160,7 @@ Alle generierten JWT-Tokens MÃœSSEN den Vorgaben aus [RFC 7519](https://tools.ie
| Feld | Inhalt | Erläuterung |
| ----- | ------- | ----------- |
-| `alg` | `PS512` | Zur Signaturerstellung wird der Signaturalgorithmus RSASSA-PSS mit SHA-512 und MGF1 mit SHA-512 verwendet. Bezeichner des Algorithmus gemäß [RFC 7518, Abschnitt 3.5](https://tools.ietf.org/html/rfc7518.html#section-3.5). Vorgabe gemäß [BSI TR-02102-1, Abschnitt 5.4.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
+| `alg` | `PS512` | Zur Signaturerstellung wird der Signaturalgorithmus RSASSA-PSS mit SHA-512 und MGF1 mit SHA-512 verwendet. Bezeichner des Algorithmus gemäß [RFC 7518, Abschnitt 3.5](https://tools.ietf.org/html/rfc7518.html#section-3.5). Vorgabe gemäß [BSI TR-02102-1, Abschnitt 5.3.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
| `kid` | *ID des öffentlichen Schlüssels* | Die ID des öffentlichen Schlüssels (JSON Web Key) aus dem Schlüsselpaar, mit dem der JWT signiert wurde. Gemäß [RFC7515, Abschnitt 4.1.4](https://tools.ietf.org/html/rfc7515#section-4.1.4). |
| `cty` | *nicht vorhanden* | Abweichend von den Vorgaben für JSON Web Signatures SOLLTE das Feld `cty` gemäß [RFC 7519, Abschnitt 5.2](https://datatracker.ietf.org/doc/html/rfc7519.html#section-5.2) nicht gesetzt sein. |
@@ -170,7 +170,7 @@ Alle generierten JWT-Tokens MÃœSSEN den Vorgaben aus [RFC 8417](https://tools.ie
| Feld | Inhalt | Erläuterung |
| ----- | ------- | ----------- |
| `typ` | `secevent+jwt` | Legt gemäß [RFC 8417, Abschnitt 2.3](https://datatracker.ietf.org/doc/html/rfc8417#section-2.3) fest, dass es sich bei diesem JSON Web Token um einen Security Event Token handelt.
-| `alg` | `PS512` | Zur Signaturerstellung wird der Signaturalgorithmus RSASSA-PSS mit SHA-512 und MGF1 mit SHA-512 verwendet. Bezeichner des Algorithmus gemäß [RFC 7518, Abschnitt 3.5](https://tools.ietf.org/html/rfc7518.html#section-3.5). Vorgabe gemäß [BSI TR-02102-1, Abschnitt 5.4.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
+| `alg` | `PS512` | Zur Signaturerstellung wird der Signaturalgorithmus RSASSA-PSS mit SHA-512 und MGF1 mit SHA-512 verwendet. Bezeichner des Algorithmus gemäß [RFC 7518, Abschnitt 3.5](https://tools.ietf.org/html/rfc7518.html#section-3.5). Vorgabe gemäß [BSI TR-02102-1, Abschnitt 5.3.1](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
| `kid` | *ID des öffentlichen Schlüssels* | Die ID des öffentlichen Schlüssels (JSON Web Key) aus dem Schlüsselpaar, mit dem der JWT signiert wurde. Gemäß [RFC7515, Abschnitt 4.1.4](https://tools.ietf.org/html/rfc7515#section-4.1.4). |
| `cty` | *nicht vorhanden* | Abweichend von den Vorgaben für JSON Web Signatures SOLLTE das Feld `cty` gemäß [RFC 7519, Abschnitt 5.2](https://datatracker.ietf.org/doc/html/rfc7519.html#section-5.2) nicht gesetzt sein. |
@@ -183,7 +183,7 @@ Darüber hinaus gelten für die Werte der Header-Attribute der Access Tokens die
| Feld | Inhalt | Erläuterung |
| ----- | ------- | ----------- |
-| `alg` | `EdDSA` | Zur Signaturerstellung wird der Signaturalgorithmus Edwards-curve Digital Signature Algorithm (EdDSA) verwendet. Bezeichner des Algorithmus gemäß [RFC 8037, Abschnitt 3.1](https://datatracker.ietf.org/doc/html/rfc8037#section-3.1). Vorgabe gemäß [BSI TR-02102-1, Abschnitt 5.4.3](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
+| `alg` | `EdDSA` | Zur Signaturerstellung wird der Signaturalgorithmus Edwards-curve Digital Signature Algorithm (EdDSA) verwendet. Bezeichner des Algorithmus gemäß [RFC 8037, Abschnitt 3.1](https://datatracker.ietf.org/doc/html/rfc8037#section-3.1). Vorgabe gemäß [BSI TR-02102-1, Abschnitt 5.3.3](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
Der für die Signatur des Access Tokens genutzte JSON Web Key (JWK) des OAuth-Servers muss über die folgenden Attribute gemäß [RFC 7517, Abschnitt 4](https://datatracker.ietf.org/doc/html/rfc7517#section-4) verfügen.
@@ -191,7 +191,7 @@ Der für die Signatur des Access Tokens genutzte JSON Web Key (JWK) des OAuth-Se
| ----- | ------- | ----------- |
| `kty` | `"OKP"` | Keytype "OKP" (Octet Key Pair) für ECC-Schlüssel gemäß [RFC 7517, Abschnitt 4.1](https://datatracker.ietf.org/doc/html/rfc7517#section-4.1). Bezeichner gemäß [RFC 8037, Abschnitt 2](https://datatracker.ietf.org/doc/html/rfc8037#section-2). |
| `use` | `"sig"` | Funktion des Keys (Prüfung von digitalen Signaturen) gemäß [RFC 7517, Abschnitt 4.2](https://datatracker.ietf.org/doc/html/rfc7517#section-4.2) |
-| `crv` | `"Ed25519"` | Legt EdDSA mit SHA-512 unter Verwendung der Kurve Curve25519 als Algorithmus zur Erstellung und Prüfung von Signaturen in Kombination mit diesem JWK fest. Bezeichner des Algorithmus gemäß [RFC 8037, Abschnitt 3.1](https://datatracker.ietf.org/doc/html/rfc8037#section-3.1). Vorgabe gemäß [BSI TR-02102-1, Abschnitt 5.4.3](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
+| `crv` | `"Ed25519"` | Legt EdDSA mit SHA-512 unter Verwendung der Kurve Curve25519 als Algorithmus zur Erstellung und Prüfung von Signaturen in Kombination mit diesem JWK fest. Bezeichner des Algorithmus gemäß [RFC 8037, Abschnitt 3.1](https://datatracker.ietf.org/doc/html/rfc8037#section-3.1). Vorgabe gemäß [BSI TR-02102-1, Abschnitt 5.3.3](https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html). |
| `kid` | *Eindeutige ID des Keys* | Eindeutige ID zur Referenzierung des JSON Web Key gemäß [RFC 7515, Abschnitt 4.1.4](https://tools.ietf.org/html/rfc7515#section-4.1.4). |
| `x` | *Parameter `x` des öffentlichen Schlüssels* | Der öffentliche Parameter `x` des Public Key gemäß [RFC 8037, Abschitt 2](https://datatracker.ietf.org/doc/html/rfc8037#section-2) |