Stadt Wien Trustcenter

Transkript

1 Magistratsabteilung 14 ADV 1, Rathausstraße 1, A 1082 Wien, Tel , Nebenstelle Telefax Telefax Ausland +43/1/ e mail: pst@adv.magwien.gv.at, DVR: Stadt Wien Trustcenter Zertifizierungsrichtlinien Certificatin Plicy V 1.0 Dezember 2005 Versin /12/2005

2 1 Inhalt 1 Inhalt Zuständigkeit Identifikatin der Plicy Anwendungsbereich Stadt Wien Trustcenter Rt CA Server und Applikatinen CA Benutzer Signaturen CA Benutzer Verschlüsselung CA Netzwerk Dienste CA Externe CA Identifizierung des Antragstellers Persnenbezgene Identitätsprüfung Server und Applikatinszertifikate CA Generiert Zulässige Überprüfungsmethden Identifizierung bei Zertifikatswiderruf Zertifikatsantrag und ausstellung Gültigkeit vn Zertifikaten Zertifikatserneuerung Widerruf Suspendierung Namensgebung Algrithmen und Schlüssellängen Eingesetzte Kmpnenten Schlüsselerzeugung und speicherung Verpflichtungen des Zertifikatsinhaber Durchführung Haftung Gebühren Sicherheit Aufzeichnungen Veröffentlichung Begriffe und Abkürzungen Bibligraphie und Gesetzesverweise...16 Versin /12/2005

3 Einleitung Mit diesen Zertifizierungsrichtlinien wird die Ausstellung vn Zertifikaten durch die Magistratsabteilung 14 des Magistrats Wien geregelt. 2 Zuständigkeit Dieses Dkument wurde vn der Magistratsabteilung 14 des Magistrats Wien erstellt und wird auch vn dieser Stelle gewartet. Betreiber: Kntaktpersn: Magistratsabteilung 14 ADV 1, Rathausstraße 1, A 1082 Wien, Tel Telefax Telefax Ausland +43/1/ e mail: pst@adv.magwien.gv.at DVR: Peter Pfläging Rathausstraße 1 A 1082 Wien pfp@adv.magwien.gv.at Tel.: (+43 1) Fax.: (+43 1) Web : Identifikatin der Plicy Name: STADT WIEN TRUSTCENTER Richtlinien für die Ausstellung vn Zertifikaten durch den Magistrat Wien Versin: 1.0 vm 12. Dezember 2005 Objekt ID: Die verwendete Plicy ID ist wie flgt aufgeschlüsselt: ISO assigned 1 Member bdy 2 at 40 Österreichische Registrierungsstelle 0 magwien 11 Certificatin Service 6 Plicies 1 Versin /12/2005

4 Majr Versin 1 Minr Versin 0 Versin /12/2005

5 3 Anwendungsbereich Sämtliche vm STADT WIEN TRUSTCENTER Zertifizierungsdienst ausgestellten Zertifikate werden für den Einsatz bei Mitarbeitern und auf Rechnern des Magistrats Wien, bei externen Dienstleistern des Magistrats swie bei Kunden des Magistrats für den Zweck der elektrnischen Kmmunikatin swie der digitalen Signatur eingesetzt. Der Zertifizierungsdienst ist hierarchisch aufgebaut. Abbildung 1 illustriert diese Hierarchie. Die flgenden Unterabschnitte legen den Anwendungsbereich der Zertifikate, die vn der jeweiligen Sub CA ausgestellt werden, fest. Abbildung 1: Struktur der Stadt Wien Trustcenter Zertifizierungshierarchie Stadt Wien Trustcenter Rt CA Die Rt CA bildet die Wurzel der STADT WIEN TRUSTCENTER Zertifizierungshierarchie. Sie stellt ausschließlich Zertifikate für untergerdnete Zertifizierungsstellen aus. (cn = Stadt Wien Trustcenter) Versin /12/2005

6 3.1.2 Server und Applikatinen CA Die Server und Applikatins CA stellt Zertifikate für Applikatinen aus, die nicht einem bestimmten Benutzer zugerdnet werden, sndern einer Applikatin, die sich einer anderen gegenüber mit Hilfe dieses Zertifikats identifiziert. Ein Beispiel hierfür sind Webserver, Applikatinsserver, Applikatinensaccunts, WebServices... (cn = Stadt Wien CA Applikatinen) Benutzer Signaturen CA Die Benutzer Signaturen CA stellt Signaturzertifikate für Benutzer und Amtssignaturen nach 19 E Gvernment Gesetz [EGvG] aus. (cn = Stadt Wien CA Benutzer) Benutzer Verschlüsselung CA Die Anwender Verschlüsselungs CA stellt Zertifikate an natürliche Persnen für den Einsatz bei der Verschlüsselung vn Daten während der Speicherung der bei der Übertragung vn Daten aus. (cn = Stadt Wien CA Verschluesselung) Netzwerk Dienste CA Diese CA stellt Zertifikate für Kmpnenten einer Netzwerk Infrastruktur aus, wie sie beispielsweise für den Einsatz vn IPSEC benötigt werden. (cn = Stadt Wien CA Netz) Externe CA Diese CA stellt Zertifikate für Applikatinen aus, die extern bei Dienstleistungsunternehmen, Kunden der anderen Vertragspartnern des Magistrat Wien eingesetzt werden. Diese Zertifikate können swhl Verschlüsselungs als auch Signaturzertifikate sein wbei letztere für die Amtssignatur geeignet sein können. (cn = Stadt Wien CA Extern) 4 Identifizierung des Antragstellers Dieser Abschnitt beschreibt die Vrgangsweise, die vn den beteiligten Parteien einzuhalten ist, wenn die Identität eines Zertifikatsantragsstellers überprüft wird. Diese Vrgangsweise ist unterschiedlich und hängt vm Typ des beantragten Zertifikats ab. 4.1 Persnenbezgene Identitätsprüfung Der Antragsteller muss persönlich erscheinen und ist entweder amtsbekannt der identifiziert sich mit einem amtlichen Lichtbildausweis. Der STADT WIEN TRUSTCENTER Mitarbeiter hält die Art der Identifikatin in einem Feld der Datenbank fest. Für die Ausstellung vn Zertifikaten an Externe werden dieselben Mechanismen angewandt. Zusätzlich wird nch durch geeignete Dkumente (Firmenbuchauszug der Überprüfung der Zeichnungsberechtigung) geprüft, b die Persn berechtigt ist, die externe Stelle für den Zweck der Zertifikatsausstellung zu vertreten. Für die Durchführung der Prüfung sind verantwrtlich Für externe Benutzer wird eine zentrale Registrierungsstelle (RA) eingerichtet. Versin /12/2005

7 Die Identität vn Mitarbeitern wird entweder bei dieser zentralen RA der in der Persnalabteilung geprüft, die dann die Funktin einer RA ausübt. Die Registrierungsstellen prtkllieren die durchgeführten Identitätsprüfungen mit Hilfe einer einfachen Liste, in der mitgeführt wird, welcher RA Mitarbeiter welchen Zertifikatswerber überprüft hat und welches Mittel der Identifikatin verwendet wurde. Das Anlegen vn Kpien vn amtlichen Lichtbildausweisen.Ä. wird nicht generell gefrdert; Kpien können jedch bei Bedarf erzeugt und aufbewahrt werden. 4.2 Server und Applikatinszertifikate Zertifikate für Server Sftware und Applikatinen werden vn zuständigen Mitarbeitern angefrdert und applikatinsspezifisch installiert. Diese Mitarbeiter gewährleisten, dass der Schlüssel und das Zertifikat tatsächlich auch am richtigen Server installiert werden. 4.3 CA Generiert Es wird swhl der Schlüssel als auch das Zertifikat vn STADT WIEN TRUSTCENTER generiert und vn einem Mitarbeiter zur Dienststelle gebracht der verschickt. Der Schlüssel wird bei der Übertragung mit PKCS#12 gesichert und das dazugehörige Passwrt auf einem alternativen, sicheren Weg der Dienststelle übermittelt. Versin /12/2005

8 4.4 Zulässige Überprüfungsmethden Die flgende Tabelle zeigt die für die einzelnen Zertifizierungsstellen zulässigen Identitätsprüfungsmethden. Dabei Zertifizerungsstelle Pers.bez. Server CA Gen. Rt CA n.a. 1 n.a. n.a. Server und Applikatins CA Benutzer Signaturen CA Benutzer Verschlüsselungs CA Netzwerk Dienste CA Externe CA Tabelle 1: Identifikatinsprüfung, mögliche Kmbinatinen 4.5 Identifizierung bei Zertifikatswiderruf Wenn ein Zertifikat widerrufen werden sll, gelten dieselben Identifizierungsregeln wie bei der Zertifikatsantragstellung. Zusätzlich wird auch ein mit dem aktuellen Schlüssel signierter Widerrufsantrag der die Bekanntgabe eines bei der Zertifikatsantragstellung übermittelten geheimen Passwrts als Authentisierung akzeptiert. Wenn der Antragsteller den Widerruf bei einer externen Registrierungsstelle beantragt (beispielsweise Persnalabteilung) dann ist der Antrag der RA an die CA auch digital zu signieren. 5 Zertifikatsantrag und ausstellung Um vn einer der STADT WIEN TRUSTCENTER CAs ein Zertifikat erhalten zu können, muss der Antragsteller eine selbst signierte Zertifizierungsanfrderung vrlegen. Für die Benutzer CAs ist dies nicht erfrderlich, da drt swhl Schlüssel als auch die Zertifikate vn STADT WIEN TRUSTCENTER erzeugt werden. Der Antrag kann über E Mail der über ein Webinterface übermittelt, der persönlich vrgelegt werden. Die STADT WIEN TRUSTCENTER CA wird die Echtheit des Antrags durch Prüfung des Fingerprints feststellen und, falls erflgreich, ein Zertifikat ausstellen. Die Gültigkeitsdauer der an Anwender ausgestellten Zertifikate beträgt drei Jahre. Die STADT WIEN TRUSTCENTER CA behält sich vr, Anträge auf Zertifikatsausstellung abzulehnen. Alle ausgestellten Zertifikate entsprechen dem X.509v3 Standard und werden dem Antragsteller als Zertifikatskette (beginnend bei der STADT WIEN TRUSTCENTER Rt CA) in Frm einer DER der PEM frmatierten PKCS#7 certlist, der einem anderen geeigneten Frmat, über der auf einem anderen Medium zugestellt. Dem Antragsteller wird empfhlen, die Zertifikatskette bei Inempfangnahme zu prüfen. 1 nicht anwendbar Versin /12/2005

9 Die STADT WIEN TRUSTCENTER CA wird die ausgestellten Zertifikate (über ldap der http) veröffentlichen, mit Ausnahme der Zertifikate, bei denen die Antragsteller das Unterlassen der Veröffentlichung gefrdert haben. 5.1 Gültigkeit vn Zertifikaten Für die Gültigkeit der ausgestellten Zertifikate gelten flgende Regeln: Das selbst signierte Wurzelzertifikat der STADT WIEN TRUSTCENTER CA Hierarchie ist 30 Jahre gültig. Zertifikate, die vn der STADT WIEN TRUSTCENTER Wurzel CA ausgestellt werden, sind 10 Jahre gültig. Zertifikate für Endanwender und Services sind bis zu 5 Jahre gültig. 5.2 Zertifikatserneuerung Zertifikate der Stadt Wien werden nicht erneuert. Es wird in jedem Fall ein neues Zertifikat ausgestellt. 6 Widerruf Die STADT WIEN TRUSTCENTER CA veröffentlicht für die abgeleiteten CAs zumindest täglich, jedenfalls jedch nach erflgtem Widerruf eines Zertifikates, eine neue Zertifikatswiderrufsliste (CRL), die dem Standard X.509v2 entsprechen. Jedes ausgestellte Zertifikat enthält eine CRL Distributin Pints Erweiterung mit einer URL, unter der die Widerufsliste abgerufen werden kann. Es ist Aufgabe des Anwenders vn Zertifikaten, bzw. der vn ihm eingesetzten Sftware, diese Widerrufslisten herunterzuladen und auszuwerten. STADT WIEN TRUSTCENTER behält sich vr, in Zukunft auch OCSP Widerufsdienste anzubieten. STADT WIEN TRUSTCENTER wird jedes Zertifikat widerrufen, bei dem der Verdacht besteht, dass die mit dem Zertifikat bestätigte Infrmatin ungültig wird der kmprmittiert wurde, bzw. der begründete Verdacht dafür besteht. Insbesndere betrifft dies die flgenden Fälle: Die mit dem Zertifikat bestätigten Daten des Antragsstellers haben sich geändert; der private Schlüssel wurde kmprmittiert; der Antragssteller hält seine Verpflichtungen nicht ein. Ein Widerruf kann vm Inhaber eines Zertifikats gefrdert werden, aber auch vn jeder anderen Persn, die den Nachweis der Kmprmittierung der der geänderten Daten vrlegen kann. Versin /12/2005

10 Eine Persn, die den Widerruf eines Zertifikats frdert, muss sich authentisieren. Jeder Widerrufsantrag, der mit einem nicht abgelaufenen und nicht widerrufenen Zertifikat, ausgestellt vn STADT WIEN TRUSTCENTER der einem vn ihr anerkannten Zertifizierungsdienst, signiert wurde, gilt hierbei als authentisiert. Alternativ kann eine Registrierungsstelle vn STADT WIEN TRUSTCENTER aufgesucht und ein geeignetes Dkument zur Identifikatin vrgelegt werden. Der Widerruf ist auch über das Callcenter möglich, das unter der Nummer erreichbar ist. Das Callcenter gibt den Request an den Zertifizierungsdienst über ein Online Ticket weiter; der Zertifizierungsdienst ruft zur Überprüfung der Identität die zu dem Zertifikat gehörende eingetragene Telefnnummer zurück. Widerrufe werden werktags zwischen 8:00 und 15:30 Uhr entgegengenmmen und werden innerhalb vn maximal 48 Stunden bearbeitet. STADT WIEN TRUSTCENTER kann auch selbst ein Zertifikat aus einem der ben genannten Gründe der ähnlichen Ursachen widerrufen. 7 Suspendierung Suspendierung vn Zertifikaten wird nicht unterstützt. Versin /12/2005

11 8 Namensgebung Jedes ausgestellte Zertifikat enthält einen Distinguished Name (DN), der den Antragssteller eindeutig identifiziert, und dem flgenden Namensschema unterliegt: Sämtliche ausgestellten Zertifikate enthalten flgende Felder AVA Bedeutung Inhalt C Cuntry at CN Cmmn Name Name der natürlichen Persn der des Dienstes, für die das Zertifikat ausgestellt wurde. Pseudnyme sind nicht zulässig. Beispiele: Jhann Mustermitarbeiter Magistrat Wien Amtssignatur CA O Organisatin Für an intern ausgestellte Zertifikate OU Organisatinal Unit (Abteilung) Stadt Wien Snst der Name der externen Firma Bezeichnung der Abteilung; nur bei Zertifikaten an Mitarbeitern der Diensten der Stadt Wien. Beispiel MA 14 Anderenfalls entfällt dieses Feld. E Bei natürlichen Persnen: Adresse. Diese wird auch in der Subject Alternate Name Erweiterung veröffentlicht. 9 Algrithmen und Schlüssellängen Derzeit werden ausschließlich Zertifikate für das RSA Verfahren ausgestellt und mittels SHA 1 und RSA signiert. In der Zukunft könne darüber hinaus auch andere Algrithmen, wie ECDSA, unterstützt werden. Versin /12/2005

12 Für die Schlüssellängen der privaten Schlüssel ausgestellter Zertifikate gelten flgende Regeln: Der zum selbst signierten Wurzelzertifikat der STADT WIEN TRUSTCENTER CA Hierarchie gehörige private Schlüssel ist zumindest 2048 Bit lang. Die privaten Schlüssel der einzelen Sub CAs sind ebenfalls zumindest 2048 Bit lang. Schlüssel der Endanwender und Services sind zumindest 1024 Bit lang. 10 Eingesetzte Kmpnenten Die STADT WIEN TRUSTCENTER CA verwendet einen Server PC unter Linux. Als Zertifzierungssftware wird Open CA und Open SSL in der jeweils aktuellen Versin eingesetzt. 11 Schlüsselerzeugung und speicherung Es ist Aufgabe des Antragstellers, den Schlüssel mit einer geeigneten Mindestlänge zu erzeugen und für die Sicherheit der Speicherung des privaten Schlüssels durch geeignete Maßnahmen, wie Verwendung vn Smartcards der Verschlüsselung über Passwrt basierte Verfahren zu srgen. Die STADT WIEN TRUSTCENTER CA übernimmt weder Verantwrtung nch Haftung für Schäden der andere Flgen die durch ungeeignete Schlüsselgenerierung der speicherung hervrgerufen werden. Für Amtssignaturen werden die Schlüssel vn der STADT WIEN TRUSTCENTER CA für das RSA Verfahren mit einer Länge vn 2048 Bit erzeugt und in einem PKCS 12 File passwrt der passphrasen geschützt gespeichert. 12 Verpflichtungen des Zertifikatsinhaber Zertifikatsinhaber dürfen ausgestellte Zertifikate nur für den vrgesehenen Zweck verwenden. Sie haben auch den privaten Schlüssel geeignet zu schützen und verwendete PINs und Passwörter nirgends schriftlich der elektrnisch aufzuzeichnen. 13 Durchführung Für die Interpretatin dieser Plicy gilt österreichisches Recht. STADT WIEN TRUSTCENTER stellt keine qualifizierten Zertifikate aus. Die ausgestellten Zertifikate können aber (beispielsweise im Falle der Amtssignatur CA) für die Amtssignatur geeignet sein. Versin /12/2005

13 14 Haftung STADT WIEN TRUSTCENTER übernimmt keine Garantieren über die Sicherheit der Eignung der angebtenen Dienste. Die Zertifizierungs und Widerrufsdienste werden mit einem vernünftigen Maß an Sicherheit betrieben, eine Garantie dafür wird jedch nicht übernmmen. In keinem Fall werden Haftungen finanzieller der anderer Art für Prbleme, die durch den Dienst der die ausgestellten Zertifikate entstehen, übernmmen. 15 Gebühren Die Gebühren der Zertifikate des STADT WIEN TRUSTCENTER sind aus dem Leistungs und Prduktkatalg der Stadt Wien, MA 14 ADV der per Anfrage ersichtlich. 16 Sicherheit Stadt Wien Trustcenter Rt CA wird ffline auf einer Arbeitsstatin hne Netzwerkverbindung betrieben. Die delegierten Unter CAs sind auf gesicherten Rechnern im abgeschlssenen Netz der Stadt Wien in Betrieb. Der Zugang zu den Geräten entsprich den Vrgaben für Transaktin auf sensible Daten ( 4 (2) DSG 2000) und Risikanalysestrategie (SIHB Teil 1/3.4.1) Schutzbedarfskategrie hch. Zugang zu den Geräten haben nur befugte vertrauenswürdige Mitarbeiter vn STADT WIEN TRUSTCENTER. Die Authentisierung gegenüber dem Rechner erflgt durch Smartcards der Passwrte. Der private Schlüssel für die Ausstellung der Zertifikate ist ein Schlüssel mit zumindest 2048 Bit für RSA und DSA swie mindestens 160 Bit für ECDSA, der durch eine Passphrase geschützt ist. Der Schlüssel wird auf einem externen Medium, wie Diskette, Zip disk, CDROM der Smartcard, aufbewahrt. Um sich gegen Prbleme durch Zerstörung des Mediums zu schützen, kann eine Kpie des Schlüssels auf einem vergleichbaren Medium aufbewahrt werden. Versin /12/2005

14 17 Aufzeichnungen Das STADT WIEN TRUSTCENTER wird flgende Infrmatinen archivieren: Zertifikatsanfrderungen der ausgestellten Zertifikate Ausgestellte Zertifikate Ausgestellte CRLs Verträge mit anderen Parteien Kpien vn Dkumente und andere Validierungsinfrmatin der Antragsteller, mit Ausnahme persönlich bekannter Antragsteller, sfern eine Kpie erzeugt wurde. Die Dkumente werden für mindestens fünf Jahre archiviert. 18 Veröffentlichung Ausgestellte Zertifikate und CRL s sind auf zu finden. Zertifikate entsprechen dem X.509v3 Standard, CRL s X.509v2. Sie werden PEM der DERkdiert veröffentlicht. Der Inhalt der Zertifikate entspricht dem RFC STADT WIEN TRUSTCENTER behält sich vr, in Zukunft auch andere Zertifikatsfrmate, wie Attributzertifikate der Zertifikate im XML Frmat auszugeben. Versin /12/2005

15 19 Begriffe und Abkürzungen AVA CA CRL DER DN http LDAP OCSP PEM PKCS PKCS#7 PKCS#12 RA Attribute Value Assertin; Kmpnente eines Namens in einem Zertifikat Certificatin Authrity, Zertifizierungsstelle Certificate Revcatin List, Zertifikatswiderrufsliste Distinguished Encding Rules; Kdierungsvrschrift für ASN.1 Distinguished Name eindeutiger Name Lightweight Directry Access Prtcl Zugangsprtkll für Verzeichnisdienste Online Certificate Status Prtcl Prtkll zur Online Abfrage des Status eines Zertifikates. Privacy Enhanced Mail; definiert häufig verwendeten Kdierungsstandard für Zertifikate Public Key Cryptgraphy Standard Standard, der ein Frmat für signierte und verschlüsselte Dkumente spezifiziert. Vrläufer vn CMS. Standard, der die sicher Speicherung privater Schlüssel und dazugehöriger Zertifikate spezifiziert. Registratin Authrity, Registrierungsstelle RSA Asymmetrischer Kryptgraphischer Algrithmus, kann für Signatur und Verschlüsselung eingesetzt werden, SHA 1 URL Secure Hash Algrithmus Universal Resurce Lcatr identifizieren eine Ressurce über ihren primären Zugriffsmechanismus und den Ort der Ressurce X.509 Standard für digitale Zertifikate und Widerrufslisten XML Fingerprint Identität eindeutige Identität Extensible Markup Language Hash über einen Schlüssel, ein Zertifikat der eine andere Datenstruktur, die dieselbe eindeutig repräsentiert die Bezeichnung der Nämlichkeit vn Betrffenen (Z 7) durch Merkmale, die in besnderer Weise geeignet sind, ihre Unterscheidbarkeit vn anderen zu ermöglichen; slche Merkmale sind insbesndere der Name, das Geburtsdatum und der Geburtsrt, aber auch etwa die Firma der (alpha)nummerische Bezeichnungen [EGvG] die Bezeichnung der Nämlichkeit eines Betrffenen (Z 7) durch ein Versin /12/2005

16 Wiederhlungsidentität Identifikatin Authentizität Authentifizierung Amtssignatur der mehrere Merkmale, wdurch die unverwechselbare Unterscheidung vn allen anderen bewirkt wird [EGvG] die Bezeichnung vn Betrffenen (Z 7) in der Weise, dass zwar nicht ihre eindeutige Identität, aber ihre Wiedererkennung im Hinblick auf ein früheres Ereignis, wie etwa ein früher gestelltes Anbringen, gesichert ist [EGvG] den Vrgang, der zum Nachweis bzw. zur Feststellung der Identität erfrderlich ist [EGvG] die Echtheit einer Willenserklärung der Handlung in dem Sinn, dass der vrgebliche Urheber auch ihr tatsächlicher Urheber ist [EGvG] den Vrgang, der zum Nachweis bzw. zur Feststellung der Authentizität erfrderlich ist [EGvG] Die Amtssignatur ist eine elektrnische Signatur im Sinne des Signaturgesetzes, deren Besnderheit durch ein entsprechendes Attribut im Signaturzertifikat ausgewiesen wird. [EGvG] Versin /12/2005

17 20 Bibligraphie und Gesetzesverweise [EGvG] E Gvernment Gesetz, Bundesgesetzblatt vm 27. Februar 2004, sit.at/signatur/rechtsrahmen/e gvg_d.pdf [SigG] [SigV] Signaturgesetz, BGBl. I Nr. 190/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 152/2001. Signaturverrdnung, BGBl. II Nr. 30/2000 vm 2. Februar 2000, geändert durch BGBl. II Nr. 527/2004, in Kraft getreten am [RFC 3280] Husley, R., Plk, W., Frd, W., Sl, D., Internet X.509 Public Key Infrastructure Certificate and Certificate Revcatin List (CRL) Prfile; April 2002, [RFC 3647] Chkani, S., Frd, W., Sabett, R., Merrill, C., Wu, S.: Internet X.509 Public Key Infrastructure: Certificate Plicy and Certificatin Practices Framewrk; Nvember Versin /12/2005