Certification Practice Statement for the S-TRUST Network (S-TRUST Network-CPS) - Zertifikatsrichtlinien für das S-TRUST Netzwerk -

Transkript

1 Certification Practice Statement for the S-TRUST Network (S-TRUST Network-CPS) - Zertifikatsrichtlinien für das S-TRUST Netzwerk -

2 Dokumentenhistorie Version Datum Beschreibung/ Änderungsgrund Änderungen in den Kapiteln 2.1.1, und Ergänzung und Beschreibung der zweiten Zertifizierungshierarchie für die Erstellung von Authentifizierungs- und Verschlüßelungszertifikaten Anpassung Impressum Änderungen / Ergänzungen i.v.m. ETSI Prüfung durch TÜV Informationstechnik GmbH am 09/ Kapitel : Anpassung der Version für die ETSI- Norm V2.1.1 ( ) Anpassung der Impressumdaten Änderungen / Ergänzungen i.v.m. ETSI Prüfung durch TÜV Informationstechnik GmbH am 09/ Ergänzung Zertifizierungspolitik im Abschnitt 1.1 Überblick: Die CPS erfüllt alle Anforderungen der Normen ETSI TS (QCP Public + SSCD) und ETSI TS (NCP+) Änderungen / Ergänzungen i.v.m. ETSI Prüfung durch TÜV Informationstechnik GmbH am 25/ Anpassung des Namens: Certification Practice Statement for the S-TRUST Network (S-TRUST Network- CPS) - Zertifikatsrichtlinien für das S-TRUST Netzwerk Abschnitt Anpassung gemäß ETSI: Die Rolleninhaber und deren Vorgesetzte werden durch den Sicherheitsmanager informiert, sobald die Sicherheitsüberprüfung abgeschlossen ist und die Tätigkeit als Rolleninhaber aufgenommen werden kann. Anpassung Impressum - neuer Geschäftsführer Änderungen / Ergänzungen i.v.m. ETSI Prüfung durch TÜV Informationstechnik GmbH am , sowie Änderungen der Impressumdaten: Kapitel Kapitel und Herausnahme der DSV-seitigen monetären Beschränkung, da die in 2010 ausgestellten Zertifikate keine solche Beschränkung mehr enthalten. Anpassung Kap. 2 Hinweis auf Änderung ab , Zertifikate ohne CRL / Sperrlistenverweis (ohne CDP, nur noch OCSP- Abfrage) S-TRUST Network CPS Seite: 2 von 101

3 Anpassung Kap. 3 Hinweis auf Änderung ab , Zertifikate ohne CRL / Sperrlistenverweis (ohne CDP, nur noch OCSP- Abfrage) Änderungen / Ergänzungen i.v.m. ETSI Prüfung durch TÜV Informationstechnik GmbH am 29./ Kapitel 2 Punkt Erweiterung um den Hinweis: Das Authentisierungs- und Verschlüsselungszertifikat ist immer Bestandteil bei der Ausstellung qualifizierter Zertifikate. Diese werden automatisch generiert, ohne dass diese gesondert beantragt werden müssen. Die Prozesse in Folge sind dabei identisch für die Ausstellung der Zertifikate, ansonsten wird dies explizit in den jeweiligen Unterpunkten erwähnt. Kapitel 2 Punkt Benutzerpseudonym_Ftl.Nummer:PN im qualifizierten Personenzertifikat und in das Authentisierungs- und Verschlüsselungszertifikat Kapitel 2 Punkt Alternativ kann die Prüfung über eine OCSP-Abfrage erfolgen Kapitel 2 Punkt ausgestellte qualifizierten Zertifikate und Authentisierungs- und Verschlüsselungszertifikate Kapitel 2 Punkt Im Falle der Einstellung der Zertifizierungsdienste siehe Punkt Kapitel 2 Punkt Der öffentliche Schlüssel der qualifizierten S-TRUST Wurzel-CA,der qualifizierten Signatur-CA und der Authentisierungs/Verschlüsselungszertifikats CA wird auf der Chipkarte gespeichert. Kapitel 2 Punkt gemäß den gesetzlichen Anforderungen (SigG 10 i.v.m. 8 SigV) archiviert. Kapitel 2 Punkt gelöscht: Keine Bestimmungen. Neue Formulierung: Es bestehen keine weiteren Offenlegungsgründe. Kapitel 3 : Übernahme der o.g. Änderungen analog Kapitel Ergänzungen für den akkreditierten Betrieb eingearbeitet: Ergänzungen in der Einleitung, Kapitel 1.1; 1.2.1; Neuerstellung Kapitel 3 Signaturvorbereitete Chipkarte für die qualifizierte Signatur mit Anbieterakkreditierung Überarbeitung Kap. 2: S-TRUST Network CPS Seite: 3 von 101

4 Ergänzung zur Sperrung von Zertifikaten; Formale Verbesserungen eingearbeitet in Kapitel ; , ; ; ; ; ; , ; Angabe der Telefongebühren für Sperrhotline (Kapitel ; 5.2.3) Anpassungen in Kapitel 1.2.1; 2.4ff; 2.5ff; und 5 Ergänzungen und Korrekturen zur Einführung eines Pseudonyms Ergänzungen zur Einführung der Attribute: berufsbezogene oder sonstige Angaben Ergänzung: Sperrung durch die für berufsbezogene oder sonstige Angaben zuständige Stelle Anpassungen in Kapitel 3 durch ETSI-Prüfung Einstellung ZDA / Sperrung von Zertifikaten Umbenennung der Produktbezeichnung SparkassenCard/kontounabhängige GeldKarte zu Signaturvorbereitete Chipkaten für die qualifizierte Signatur von S-TRUST Einführung eines personalisierten Download-Links zur E- Mail-Adressverifikation bei qualifizierten Signaturprodukten FIPS Level 2 auf Level 3 für kryptographische CA Module (nicht SigG) erhöht Ergänzungsregelung für den Fall einer Einstellung der Zertifizierungsdienste für die qualifizierten Signaturprodukte eingefügt Transaktionslimit von 2,5 Millionen Euro für die qualifizierten Signaturprodukte nachgetragen Verbesserungen aus ETSI-Audits ETSI TS sowie ETSI eingearbeitet Erstversion S-TRUST Network CPS Seite: 4 von 101

5 Impressum Deutscher Sparkassen Verlag GmbH Postanschrift: Stuttgart Hausanschrift: Am Wallgraben 115, Stuttgart Telefon: Telefax: Aufsichtsratsvorsitzender: Thomas Mang, Sitz der Gesellschaft: Stuttgart, Registergericht: Stuttgart, Handelsregister: Nr. B/748, Bankverbindung: Baden-Württembergische Bank (BW-Bank), BLZ: , Konto: , USt. ID-Nr.: DE , Geschäftsführung: Prof. Michael Ilg (Vorsitzender), Wilhelm Gans, Markus Keggenhoff, Oliver Lux 2014 Deutscher Sparkassen Verlag GmbH, Stuttgart Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. S-TRUST Network CPS Seite: 5 von 101

6 Inhaltsverzeichnis 1 Einleitung Überblick Karten und Zertifikate Signaturvorbereitete Chipkarten zur Erstellung qualifizierter Signaturen Signaturvorbereitete Chipkarte zur Erstellung qualifizierter Signaturen mit Anbieterakkreditierung S-TRUST Signaturkarte Dokumentenidentifikation Policy-Verwaltung Genehmigung Ansprechpartner Änderungsprozedur 13 2 Signaturvorbereitete Chipkarten für qualifizierte Signatur Zertifizierungshierarchie, Teilnehmer und Instanzen der PKI Zertifizierungshierarchie Registrierungsstellen Endteilnehmer (Endkunde) Vertrauende Dritte Weitere Dienste und Teilnehmer Anwendbarkeit von Zertifikaten Zulässige Anwendung von Zertifikaten Unzulässige Anwendung von Zertifikaten Bekanntmachung und Verzeichnisdienst Verzeichnisse Veröffentlichung von Zertifikatsinformationen Veröffentlichung von Geschäftsbedingungen Häufigkeit und Zyklen für Veröffentlichungen Zugriffskontrolle auf Verzeichnisse Identifizierung und Authentisierung Namensgebung Erstmalige Identifizierung Anforderungen an den Lebenszyklus der Zertifikate Antragstellung auf Zertifizierung Antragsbearbeitung Zertifikatsausstellung Zertifikatsübergabe und -annahme Nutzung der Schlüsselpaare und der Zertifikate Re-Zertifizierung von Zertifikaten mit Schlüsselwechsel Re-Zertifizierung von Schlüsseln Re-Zertifizierung von Schlüsseln mit Datenanpassung Wiederholte Ausstellung von Zertifikaten Sperrung von Zertifikaten Physikalische, organisatorische und personelle Sicherheitsmaßnahmen Physikalische Sicherheitsmaßnahmen 28 S-TRUST Network CPS Seite: 6 von 101

7 2.6.2 Organisatorische Sicherheitsmaßnahmen Personelle Sicherheitsmaßnahmen Protokollierung sicherheitskritischer Ereignisse Schlüsselwechsel der Wurzel-CA Archivierung Wiederanlauf nach Katastrophen Einstellung der Zertifizierungsdienste Technische Sicherheitsmaßnahmen Erzeugung und Installation von Schlüsseln Schutz der privaten Schlüssel und kryptographischen Module Weitere Aspekte der Verwaltung von Schlüsselpaaren Aktivierungsdaten Sicherheitsbestimmungen für Computer Technische Kontrollen des Software-Lebenszyklus Maßnahmen zur Netzwerksicherheit Zeitstempel Profile Zertifikatsprofile Profil der Sperrlisten OCSP-Profil Audits, Revisionen und weitere Prüfungen Häufigkeit Identität und Qualifikation des Prüfers Beziehungen zwischen Prüfer und zu untersuchender Partei Umfang der Prüfungen Maßnahmen bei Mängeln Veröffentlichung der Ergebnisse der Audits und Revisionen Geschäftliche und rechtliche Bestimmungen Gebühren Finanzielle Verantwortung Vertraulichkeit betrieblicher Informationen Vertraulichkeit personenbezogener Informationen 45 3 Signaturvorbereitete Chipkarte für die qualifizierte Signatur mit Anbieterakkreditierung Zertifizierungshierarchie, Teilnehmer und Instanzen der PKI Zertifizierungshierarchie Registrierungsstelle Endteilnehmer (Endkunde) Vertrauende Dritte Weitere Dienste und Teilnehmer Anwendbarkeit von Zertifikaten Zulässige Anwendung von Zertifikaten Unzulässige Anwendung von Zertifikaten Bekanntmachung und Verzeichnisdienst Verzeichnisse Veröffentlichung von Zertifikatsinformationen Veröffentlichung von Geschäftsbedingungen 52 S-TRUST Network CPS Seite: 7 von 101

8 3.3.4 Häufigkeit und Zyklen für Veröffentlichungen Zugriffskontrolle auf Verzeichnisse Identifizierung und Authentisierung Namensgebung Erstmalige Identifizierung Anforderungen an den Lebenszyklus der Zertifikate Antragstellung auf Zertifizierung Antragsbearbeitung Zertifikatsausstellung Zertifikatsübergabe und -annahme Nutzung der Schlüsselpaare und der Zertifikate Re-Zertifizierung von Zertifikaten mit Schlüsselwechsel Re-Zertifizierung von Schlüsseln Re-Zertifizierung von Schlüsseln mit Datenanpassung Wiederholte Ausstellung von Zertifikaten Sperrung von Zertifikaten Physikalische, organisatorische und personelle Sicherheitsmaßnahmen Physikalische Sicherheitsmaßnahmen Organisatorische Sicherheitsmaßnahmen Personelle Sicherheitsmaßnahmen Protokollierung sicherheitskritischer Ereignisse Schlüsselwechsel der Wurzel-CA Archivierung Wiederanlauf nach Katastrophen Einstellung der Zertifizierungsdienste Technische Sicherheitsmaßnahmen Erzeugung und Installation von Schlüsseln Schutz der privaten Schlüssel und kryptographischen Module Weitere Aspekte der Verwaltung von Schlüsselpaaren Aktivierungsdaten Sicherheitsbestimmungen für Computer Technische Kontrollen des Software-Lebenszyklus Maßnahmen zur Netzwerksicherheit Zeitstempel Profile Zertifikatsprofile Profil der Sperrlisten OCSP-Profil Audits, Revisionen und weitere Prüfungen Häufigkeit Identität und Qualifikation des Prüfers Beziehungen zwischen Prüfer und zu untersuchender Partei Umfang der Prüfungen Maßnahmen bei Mängeln Veröffentlichung der Ergebnisse der Audits und Revisionen Geschäftliche und rechtliche Bestimmungen Gebühren 71 S-TRUST Network CPS Seite: 8 von 101

9 Finanzielle Verantwortung Vertraulichkeit betrieblicher Informationen Vertraulichkeit personenbezogener Informationen 72 4 S-TRUST Signaturkarte Zertifizierungshierarchie, Teilnehmer und Instanzen der PKI Zertifizierungshierarchie Registrierungsstellen Endteilnehmer Vertrauende Dritte Weitere Teilnehmer und Dienste Anwendbarkeit von Zertifikaten Zulässige Anwendung von Zertifikaten Unzulässige Anwendung von Zertifikaten Bekanntmachung und Verzeichnisdienst Verzeichnisse Veröffentlichung von Zertifikatsinformationen Veröffentlichung der Geschäftsbedingungen Häufigkeit und Zyklen für Veröffentlichungen Zugriffskontrolle auf Verzeichnisse Identifizierung und Authentisierung Namensgebung Erstmalige Identifizierung Anforderungen an den Lebenszyklus des Zertifikats Antragstellung auf Zertifizierung Antragsbearbeitung Zertifikatsausstellung Zertifikatsübergabe und -annahme Nutzung des Schlüsselpaares und des Zertifikats Re-Zertifizierung von Zertifikaten mit Schlüsselwechsel Re-Zertifizierung von Schlüsseln Re-Zertifizierung mit Datenanpassung Sperrung von Zertifikaten Physikalische, organisatorische und personelle Sicherheitsmaßnahmen Physikalische Sicherheitsmaßnahmen Organisatorische Sicherheitsmaßnahmen Personelle Sicherheitsmaßnahmen Protokollierung sicherheitskritischer Ereignisse Schlüsselwechsel der Wurzel-CA Archivierung Wiederanlauf nach Katastrophen Einstellung der Zertifizierungsdienste Technische Sicherheitsmaßnahmen Erzeugung und Installation von Schlüsseln Schutz der privaten Schlüssel und kryptographischen Module Weitere Aspekte der Verwaltung von Schlüsselpaaren Aktivierungsdaten Sicherheitsbestimmungen für Computer 88 S-TRUST Network CPS Seite: 9 von 101

10 4.7.6 Technische Kontrollen des Software-Lebenszyklus Maßnahmen zur Netzwerksicherheit Zeitstempel Profile Zertifikatsprofile Profil der Sperrlisten OCSP-Profil Audits, Revisionen und weitere Prüfungen Häufigkeit Identität und Qualifikation des Prüfers Beziehungen zwischen Prüfer und zu untersuchender Partei Umfang der Prüfungen Maßnahmen bei Mängeln Veröffentlichung der Ergebnisse der Audits und Revisionen Geschäftliche und rechtliche Bestimmungen Gebühren Finanzielle Verantwortung Vertraulichkeit betrieblicher Informationen Vertraulichkeit personenbezogener Informationen 90 5 Weitere geschäftliche und rechtliche Bestimmungen Geistiges Eigentum und dessen Rechte Sorgfalts-, Mitwirkungspflichten u. Obliegenheiten des Zertifikatsinhabers Aufbewahrung und Nutzung der privaten Schlüssel und Zertifikate Geheimhaltung Anzeige- und Mitteilungspflichten Nutzung durch Dritte Haftung des Kunden/Zertifikatsinhabers Störungen und Schlechtleistung Schlichtungsstelle Haftung von ZDA DSV Gültigkeit der CPS Gültigkeitszeitraum Ende der Gültigkeit Änderungen und Ergänzungen der CPS Verfahren für die Ergänzung der CPS Benachrichtigungsverfahren und Veröffentlichungsperioden Anwendbares Recht Gerichtsstand Vorrang zwingender gesetzlicher Regelungen 94 6 Anhang A: Definitionen und Abkürzungen 95 S-TRUST Network CPS Seite: 10 von 101

11 1 Einleitung 1.1 Überblick Die Deutscher Sparkassen Verlag GmbH ist ein Zertifizierungsdiensteanbieter ( ZDA ). Unter der Marke S-TRUST bietet die Deutscher Sparkassen Verlag GmbH ( ZDA DSV ) Leistungen zur Erstellung fortgeschrittener elektronischer Signaturen, zur Erstellung qualifizierter elektronischer Signaturen und zur Erstellung qualifizierter elektronischer Signaturen mit Anbieterakkreditierung an. Das vorliegende Dokument bildet das Certification Practice Statement (CPS) der Zertifizierungsdienste für kartenbasierte Zertifikate von S-TRUST. Es dient zur Information über die Zertifizierungsdienstleistungen der Deutschen Sparkassen Verlag GmbH. Dieses CPS legt die Praktiken dar, die der Zertifizierungsdiensteanbieter Deutscher Sparkassen Verlag GmbH (ZDA DSV) bei der Beantragung, Generierung, Auslieferung und Verwaltung der Zertifikate anwendet. Die CPS erfüllt alle Anforderungen der Normen ETSI TS (QCP Public + SSCD) und ETSI TS (NCP+). Die Konformität zu den Normen wird jährlich durch einen externen Auditor geprüft und per Zertifikat bestätigt. 1.2 Karten und Zertifikate Signaturvorbereitete Chipkarten zur Erstellung qualifizierter Signaturen Die Chipkarten für die qualifizierte Signatur von S-TRUST werden mit Vorbereitung für die elektronische Signatur vom ZDA DSV angeboten. Alle für die Aufnahme von Zertifikaten vorbereiteten Chipkarten wie z. B. die SparkassenCard sind am S-TRUST Logo auf der Kartenrückseite zu erkennen. Außer der Signaturfunktion bieten diese Karten eine Authentisierungs-, und Verschlüsselungsfunktion an. Neben den Wurzelzertifikaten von S- TRUST werden folgende Personenzertifikate auf die Chipkarte heruntergeladen: Signaturzertifikat für die Erstellung qualifizierter elektronischer Signaturen, Verschlüsselungs-/ Authentisierungszertifikat. Mit dem privaten Schlüssel der Chipkarte in Verbindung mit dem qualifizierten Zertifikat können qualifizierte elektronische Signaturen nach 2 Abs. 3 des deutschen Signaturgesetzes (SigG) erstellt werden. Die qualifizierte elektronische Signatur ist der eigenhändigen Unterschrift in ihrer rechtlichen Bedeutung gleichgestellt, wenn sich aus dem Gesetz nichts anderes ergibt. Mit dem Verschlüsselungs-/ Authentisierungs-Zertifikat können vertrauliche Daten, wie z.b. E- Mails oder Dokumente verschlüsselt und Authentifizierungen gegenüber Anwendungen durchgeführt werden. Der ZDA DSV bietet die Möglichkeit an, Angaben des Antragstellers (Attribute) über seine Vertretungsmacht in das Zertifikat mit aufzunehmen (vgl. 5 Abs. 2 SigG). Ein qualifiziertes Personenzertifikat und das fortgeschrittene Authentifizierungs-/Verschlüsselungszertifikat können den Firmennamen oder ein ähnliches Unternehmenskennzeichen enthalten. Das qualifiziertes Personenzertifikat kann zusätzlich eine Beschränkung in Form eines Freitextes sowie berufsbezogene Angaben enthalten. S-TRUST Network CPS Seite: 11 von 101

12 Angaben zur Firma oder Organisation können in das Zertifikat nur aufgenommen werden, wenn der Kunde eine entsprechende Berechtigung durch Vorlage einer schriftlichen Bestätigung des Rechteinhabers an dem Firmennamen oder dem Unternehmenskennzeichen nachweist. Berufsbezogene Angaben oder die Angabe einer Beschränkung mit Bezug zu einem Dritten sind durch die für die berufsbezogenen Angaben oder sonstigen Angaben zuständigen Stelle zu bestätigen. (vgl. 5 Abs. 2 SigG, 3 Abs. 2 SigV). Der Rechteinhaber und/oder die zuständige bestätigende Stelle sind zur Sperrung des Zertifikats berechtigt Signaturvorbereitete Chipkarte zur Erstellung qualifizierter Signaturen mit Anbieterakkreditierung S-TRUST bietet eine Chipkarte mit Vorbereitung zur Erstellung qualifizierter Signaturen mit Anbieter-Akkreditierung an. Durch Freischaltung der Chipkarte und nach Download des/der Zertifikat(e) wird die Chipkarte eine sichere Signaturerstellungseinheit i.s.v. 2 Nr. 10 SigG. Die signaturvorbereitete Chipkarte ist am S-TRUST Logo auf der Kartenrückseite zu erkennen. Außer der Signaturfunktion bietet diese Chipkarte eine Authentisierungs-, und Verschlüsselungsfunktion an. Neben dem Wurzelzertifikat der Bundesnetzagentur und dem Ausstellerzertifikat von S-TRUST werden folgende Personenzertifikate auf die Chipkarte geladen und gespeichert: Signaturzertifikat für die Erstellung qualifizierter elektronischer Signaturen mit Anbieterakkreditierung, Verschlüsselungs-/ Authentisierungszertifikat. Mit dem privaten Schlüssel der Chipkarte und der PIN in Verbindung mit dem qualifizierten Zertifikat können qualifizierte elektronische Signaturen nach 2 Nrn. 3 und 15, 15 Abs. 1 Satz 4 des deutschen Signaturgesetzes (SigG) erstellt werden. Die qualifizierte elektronische Signatur ist der eigenhändigen Unterschrift in ihrer rechtlichen Bedeutung gleichgestellt, wenn sich aus dem Gesetz nichts anderes ergibt. Mit dem Verschlüsselungs-/ Authentisierungs-Zertifikat können vertrauliche Daten, wie z.b. E- Mails oder Dokumente verschlüsselt und Authentifizierungen gegenüber Anwendungen durchgeführt werden. Der ZDA DSV bietet die Möglichkeit an, Angaben des Antragstellers (Attribute) über seine Vertretungsmacht in das Zertifikat mit aufzunehmen (vgl. 5 Abs. 2 SigG). Ein qualifiziertes Personenzertifikat und das Authentifizierungs-/Verschlüsselungszertifikat können den Firmennamen oder ein ähnliches Unternehmenskennzeichen enthalten. Das qualifizierte Personenzertifikat kann zusätzlich eine Beschränkung in Form eines Freitextes sowie berufsbezogene Angaben enthalten. Angaben über eine Vertretungsmacht sowie Unternehmens- und Organisationsangaben können in das Zertifikat nur aufgenommen werden, wenn der Kunde eine entsprechende Berechtigung durch Vorlage einer schriftlichen Bestätigung des Vertretenen und/oder des Rechteinhabers an dem Firmennamen oder dem Unternehmenskennzeichen nachweist. Berufsbezogene Angaben oder die Angabe einer Beschränkung mit Bezug zu einem Dritten sind durch die für die berufsbezogenen Angaben oder sonstigen Angaben zuständige Stelle zu bestätigen (vgl. 5 Abs. 2 SigG, 3 Abs. 2 SigV). Der Rechteinhaber und/oder die zuständige bestätigende Stelle sind zur Sperrung des Zertifikats berechtigt ( 8 Abs. 2 SigG). S-TRUST Network CPS Seite: 12 von 101

13 1.2.3 S-TRUST Signaturkarte Die S-TRUST Signaturkarte dient der Erzeugung von fortgeschrittenen elektronischen Signaturen nach deutschem Signaturgesetz. Darüber hinaus ist diese Karte mit einer Authentisierungs- und Verschlüsselungsfunktion ausgestattet. Neben den Wurzelzertifikaten werden folgende Personenzertifikate auf der S-TRUST Signaturkarte mit ausgeliefert: Signaturzertifikat für die Erstellung fortgeschrittener elektronischer Signaturen, Verschlüsselungs-/ Authentisierungszertifikat. 1.3 Dokumentenidentifikation Die Dokumentenbezeichnung für das vorliegende CPS lautet: Certification Practice Statement for the S-TRUST Network (S-TRUST Network-CPS). Für die Referenzierung des CPS wird folgender CPS-URL Qualifier im Zertifikat verwendet: Policy-Verwaltung Genehmigung Die Genehmigung unterliegt der Verantwortung des ZDA-Leiters des ZDA Deutscher Sparkassen Verlag GmbH. Die Einhaltung gewährleistet und überwacht der Sicherheitsmanager. Das CPS wird unter veröffentlicht Ansprechpartner Der Ansprechpartner für dieses CPS ist: Deutscher Sparkassen Verlag GmbH Produktmanagement Zertifizierungsdienstleistungen Am Wallgraben Stuttgart Deutschland Änderungsprozedur Dieses Certification Practice Statement dient allein einer ersten Information über die Zertifizierungsdienstleistungen der Deutschen Sparkassen Verlag GmbH unter dem Unternehmenskennzeichen S-TRUST. Der ZDA DSV behält sich vor, den Inhalt dieses CPS jederzeit zu ändern oder zu ergänzen. Dies insbesondere, um die Leistung zu verbessern oder an technische Entwicklungen anzupassen und wenn dies aufgrund von Gesetzesänderungen und/oder Ergänzungen notwendig erscheint. Die Revision und Freigabe unterliegt der ausschließlichen Verantwortung der Deutschen Sparkassen Verlag GmbH. S-TRUST Network CPS Seite: 13 von 101

14 2 Signaturvorbereitete Chipkarten für qualifizierte Signatur 2.1 Zertifizierungshierarchie, Teilnehmer und Instanzen der PKI Zertifizierungshierarchie Der ZDA DSV verwendet für die Ausstellung der verschiedenen Zertifikatstypen jeweils eine Zertifizierungsinstanz (CA). Durch die Zertifizierungsinstanzen und die von ihnen ausgestellten Zertifikate wird die in der folgenden Abbildung dargestellte Zertifizierungshierarchie definiert. S-TRUST Qualified Root CA S-TRUST Qualified Signature CA Qualified ARL # 1 S-TRUST Qualified OCSP- Responder Qualified End Entity Certificate # 1 Zertifikate die ab dem ausgestellt sind, enthalten keinen CDP mehr und stellen die Sperrangaben ausschließlich über OCSP-Abfrage zur Verfügung S-TRUST Authentication and Encryption Root CA End Entity Authentication and Encryption Certificate S-TRUST OCSP-Responder for Authentication and Encryption Certificates CRL for qualified and advanced End Entity Certificates S-TRUST Universal Root CA S-TRUST Authentication and Encryption Class 3 CA ARL S-TRUST Authentication and Encryption OCSP Responder End Entity Certificate Abbildung 1: Zertifizierungshierarchie # 1 Zertifikate die ab dem ausgestellt sind, enthalten keinen CDP mehr und stellen die Sperrangaben ausschließlich über OCSP-Abfrage zur Verfügung S-TRUST Network CPS Seite: 14 von 101

15 Es existieren drei Zertifizierungshierarchien: eine Zertifizierungshierarchie für die Ausstellung qualifizierter Zertifikate und zwei Zertifizierungshierarchien für die Erstellung von Authentisierungs- und Verschlüsselungszertifikaten. Das Authentisierungs- und Verschlüsselungszertifikat ist immer Bestandteil bei der Ausstellung qualifizierter Zertifikate. Diese werden automatisch generiert, ohne dass diese gesondert beantragt werden müssen. Die Prozesse in Folge sind dabei identisch für die Ausstellung der Zertifikate, ansonsten wird dies explizit in den jeweiligen Unterpunkten erwähnt. Im Folgenden werden diese kurz erläutert. Zertifizierungshierarchie für qualifizierte Zertifikate: Auf der obersten Stufe dieser Zertifizierungshierarchie befindet sich die qualifizierte Wurzel-CA (S-TRUST Qualified Root CA), die o die Zertifikate der qualifizierten Signatur-CAs (S-TRUST Qualified Signature CA), o die Zertifikate der OCSP-Responder für qualifizierte Zertifikate (S-TRUST Qualified OCSP-Responder) und o die ARL für die CA-Zertifikate (Qualified ARL) # 1 qualifiziert signiert. Auf der zweiten Hierarchiestufe befinden sich: die qualifizierten Signatur-CAs (S-TRUST Qualified Signature CA), welche die qualifizierten Personenzertifikate signieren, die OCSP-Responder für Zertifikatsabfragen für qualifizierte Zertifikate (S-TRUST Qualified Signature OCSP-Responder), die ARL mit der Sperrinformation für die CA-Zertifikate (Qualified ARL). Auf der dritten Hierarchiestufe befinden die qualifizierten Personenzertifikate. Diesen wurde die folgende OID zugewiesen: Aus gesetzlichen Gründen ist es erforderlich, jedes Jahr eine neues Wurzelzertifikat und davon signierte Ausstellerzertifikate für die Ausgabe qualifizierte Zertifikate zu erstellen. Damit die Generationen voneinander unterschieden werden können, ist der Common Name der Wurzelund der Ausstellerzertifikate daher um eine Jahreszahl (Ausstellungsjahr) und eine laufende Nummer ergänzt: Beispiel für das Jahr 2008: Wurzelzertifikat: CN = S-TRUST Qualified Root CA :PN Ausstellerzertifikat: CN = S-TRUST Qualified Signature CA :PN Die laufende Nummer ( -001 ) ist erforderlich um die Ausstellerzertifikate einer Generation unterscheiden zu können. Es werden aus technischen Gründen jeweils mehre Ausstellerzertifikate verwendet. # 1 Zertifikate die ab dem ausgestellt sind, enthalten keinen CDP mehr und stellen die Sperrangaben ausschließlich über OCSP-Abfrage zur Verfügung S-TRUST Network CPS Seite: 15 von 101

16 Zertifizierungshierarchie für Authentisierungs- und Verschlüsselungszertifikate (1): Auf der obersten Stufe dieser Zertifizierungshierarchie befindet sich die Wurzel-CA für Authentisierung und Verschlüsselung (S-TRUST Authentification und Encryption Root-CA), die o die Zertifikate des OCSP-Responders für Authentisierungs- und Verschlüsselungszertifikate (S-TRUST OCSP Responder for Authentication und Encryption Certificates), o o signiert. die Sperrlisten der Personenzertifikate (CRL for End Entity Certificates) und die Personenzertifikate für Authentisierung und Verschlüsselung Auf der zweiten Hierarchiestufe befinden sich: der OCSP-Responder für Authentisierungs- und Verschlüsselungszertifikate (S-TRUST Authentication and Encryption OCSP-Responder), die CRL mit der Sperrstatusinformation für alle von einer qualifizierten Signatur CA ( S- TRUST Qualified Signature CA... ) oder von der S-TRUST Authentication and Encryption Root CA 2005:PN ausgestellten Personenzertifikate (CRL for Qualified and Advanced End Entity Certificates) und die Personenzertifikate für Authentisierung und Verschlüsselung. Diesen wurde die folgende OID zugewiesen: Zertifizierungshierarchie für öffentliche Authentisierungs- und Verschlüsselungszertifikate (2): Auf der obersten Stufe dieser Zertifizierungshierarchie befindet sich die Wurzel-CA (S-TRUST Universal Root CA), die o die Zertifikate der Aussteller-CA (S-TRUST User Authentication und Encryption CA), o die ARL für die CA-Zertifikate signiert. Auf der zweiten Hierarchiestufe befinden sich: die Aussteller-CA (S-TRUST User Authentication und Encryption CA), welche die Personenzertifikate für Authentisierung und Verschlüsselung signiert die ARL mit der Sperrinformation für die CA-Zertifikate Auf der dritten Hierarchiestufe befinden sich: der OCSP-Responder für Authentisierungs- und Verschlüsselungszertifikate (S-TRUST Authentication and Encryption OCSP-Responder), die Personenzertifikate für Authentisierung und Verschlüsselung. Diesen wurde die folgende OID zugewiesen: S-TRUST Network CPS Seite: 16 von 101

17 2.1.2 Registrierungsstellen Teilnehmende Sparkassen, Landesbanken und weitere Organisationen übernehmen als Registrierungsstellen 1 die Aufgaben der Identifizierung der Zertifikatsbeantragenden ggf. die Antragsdatenerfassung und die Antragsübermittlung an den ZDA DSV. Mit diesen Registrierungsstellen hat der ZDA DSV vertragliche Vereinbarungen über die sorgfältige Ausführung der übertragenen Aufgaben getroffen. Darüber hinaus tritt der ZDA DSV auch selbst als Registrierungsstelle auf Endteilnehmer (Endkunde) Die Personenzertifikate werden nur auf natürliche Personen ausgestellt. Für die Zertifizierungsdienstleistungen des ZDA DSV gelten die AGB für die Nutzung von Zertifizierungsdiensten der Deutscher Sparkassen Verlag GmbH, die unter veröffentlicht sind Vertrauende Dritte Die vom ZDA DSV ausgegebenen Zertifikate können in der Kommunikation mit beliebigen Personen und Parteien verwendet werden. Daher ist der Kreis der auf diese Zertifikate vertrauenden Parteien nicht eingeschränkt. Der Empfänger einer elektronischen Signatur oder eines Zertifikats entscheidet selbst, ob er der Signatur oder dem Zertifikat vertraut oder nicht. Der ZDA DSV empfiehlt dem Empfänger, zumindest im Zertifikatsverzeichnis (siehe Abschnitt 2.3.1) zu überprüfen, ob das Zertifikat gültig ist und ferner unter Verwendung des Zertifikats zu überprüfen, ob die elektronische Signatur während der Gültigkeitsdauer des Zertifikats mit dem dazugehörigen Signaturschlüssel erstellt und ob die elektronisch signierte Nachricht nachträglich verändert wurde Weitere Dienste und Teilnehmer Neben den oben genannten Beteiligten werden die Zertifizierungsdienste vom ZDA DSV wie folgt realisiert: Schlüsselgenerierung: Die Erzeugung des Signaturschlüsselpaares erfolgt direkt auf der Chipkarte beim Kartenhersteller. Das für die Verschlüsselung und Authentisierung notwendige Schlüsselpaar wird beim ZDA DSV erzeugt und anschließend dem Kartenhersteller übermittelt, der das Schlüsselpaar in der Chipkarte speichert. Dieses Schlüsselpaar ist dabei kryptographisch gesichert, so dass es nicht durch den Hersteller ausgelesen werden kann. Der ZDA DSV hat mit allen Kartenherstellern vertragliche Vereinbarungen über die sorgfältige Ausführung der übertragenen Aufgaben getroffen. Personalisierung: Bei der Personalisierung werden die Zertifikate ausgestellt und in der Chipkarte gespeichert. Die Personalisierung wird vom Karteninhaber vorgenommen (siehe Abschnitt ). Verzeichnisdienste: Der ZDA DSV betreibt - einen OCSP-Dienst zur Statusabfrage von qualifizierten Zertifikaten. Der OCSP- Dienst erfüllt die Anforderungen des deutschen Signaturgesetzes. Seine 1 Autorisierte Registrierungsstellen sind auf aufgeführt. S-TRUST Network CPS Seite: 17 von 101

18 Konformität wurde von einer von der Bundesnetzagentur anerkannten Prüf- und Bestätigungsstelle geprüft und bestätigt. - einen OCSP-Dienst zur Statusabfrage von Authentisierungs- /Verschlüsselungszertifikaten. - einen LDAP-Verzeichnisdienst zum Abruf von Authentisierungs- /Verschlüsselungszertifikaten und entsprechenden Sperrlisten. Sperrdienst: Über den telefonischen Sperrdienst des ZDA DSV können autorisierte Personen die Sperrung von Zertifikaten veranlassen. Der Sperrdienst wird von einem externen Partner betrieben. Der ZDA DSV hat mit dem Sperrdienst vertragliche Vereinbarungen über die sorgfältige Ausführung der übertragenen Aufgaben getroffen. 2.2 Anwendbarkeit von Zertifikaten Zulässige Anwendung von Zertifikaten Die vom ZDA DSV ausgegebenen qualifizierten Zertifikate und die entsprechenden Signaturschlüssel auf den signaturvorbereiteten Chipkarten erfüllen die Anforderungen des deutschen Signaturgesetzes für qualifizierte elektronische Signaturen. Die vom ZDA DSV ausgegebenen Authentisierungs-/ Verschlüsselungszertifikate und die zugeordneten Schlüssel dürfen nur zu Authentifizierungszwecken und zur Transportverschlüsselung eingesetzt werden Unzulässige Anwendung von Zertifikaten Es gelten folgende Nutzungsbeschränkungen und -verbote: Der Kunde/Zertifikatsinhaber hat sich über mögliche Nutzungsbeschränkungen und Verbote über die Ein- und Ausfuhr von Verschlüsselungstechniken und/oder Verschlüsselungsprodukten in Drittländern zu informieren und diese zu beachten. Ein Verstoß gegen geltenden Vorschriften kann strafbar sein. S-TRUST Personenzertifikate sind nicht zur Verwendung oder zum Weitervertrieb als Kontroll- oder Steuerungseinrichtung in gefährlichen Umgebungen oder für Verwendungszwecke, bei denen ein ausfallsicherer Betrieb erforderlich ist bzw. der Betrieb von nuklearen Einrichtungen, Flugzeugnavigations- oder - kommunikationssystemen, Luftverkehrs-Kontrollsystemen oder Waffenkontrollsystemen, wobei ein Ausfall direkt zum Tode, zu Personenschäden oder zu schweren Umweltschäden führen kann, vorgesehen oder darauf ausgelegt. Eine Verwendung zu solchen Zwecken wird ausdrücklich ausgeschlossen. Nach Ablauf der Gültigkeitsdauer oder Sperrung des Zertifikats dürfen die persönlichen Schlüssel nicht mehr zur Signierung verwendet werden. 2.3 Bekanntmachung und Verzeichnisdienst Verzeichnisse Über einen OCSP-Dienst kann der Status von Zertifikaten abgerufen werden. Der OCSP-Dienst ist unter den folgenden Adressen zu erreichen: Qualifizierte Zertifikate: ocsp-q.s-trust.de Authentisierungs-/ Verschlüsselungszertifikate: S-TRUST Network CPS Seite: 18 von 101

19 ocsp.s-trust.de Die zur Veröffentlichung freigegebenen Zertifikate können über einen LDAP-Verzeichnisdienst abgerufen werden. Der LDAP-Verzeichnisdienst ist unter der folgenden Adresse zu erreichen: directory.s-trust.de Veröffentlichung von Zertifikatsinformationen Zur gesetzeskonformen Online-Abfrage der Gültigkeit qualifizierter Zertifikate steht der Verzeichnisdienst zur Verfügung. Ferner erstellt der ZDA DSV Sperrlisten, in denen Sperrinformationen enthalten sind. Die Sperrlistenpfade sind in jedem S-TRUST Personenzertifikat kodiert und können zusätzlich über eingesehen werden. Die Sperrlisten vom ZDA DSV sind auch über eine LDAP-fähige Anwendung unter der Adresse directory.s-trust.de über Port 389 abrufbar Veröffentlichung von Geschäftsbedingungen Der ZDA DSV stellt seinen Teilnehmern sowie vertrauenden Dritten die allgemeinen Geschäftsbedingungen zur Verfügung, die unter heruntergeladen werden können (siehe AGB für die Nutzung von Zertifizierungsdiensten der Deutscher Sparkassen Verlag GmbH ). Diese Bedingungen gelten für alle kartenbasierten Angebote und Leistungen von Zertifizierungsdiensten des ZDA DSV. Hierzu gehören insbesondere die Bereitstellung von Signaturschlüsseln, die dazugehörigen Signaturschlüssel- Zertifikate, die Teilnahme an den Verzeichnisdiensten für den Abruf, Prüfung und Nutzung von Zertifikaten sowie die Bereitstellung von Verschlüsselungs-Schlüsseln. Weiterhin stellt der ZDA DSV seinen Teilnehmern sowie vertrauenden Dritten Nutzungsbedingungen für den Verzeichnisdienst zur Verfügung (siehe Nutzungsbedingungen für die Nutzung von S-TRUST Verzeichnisdienst unter Diese Bedingungen gelten für jede Nutzung des Zertifikatsverzeichnisses bei Nachprüfung und Abruf von Zertifikaten des ZDA DSV. Im Rahmen der Beantragung eines qualifizierten Zertifikats erhalten Teilnehmer eine Unterrichtung nach 6 SigG. Die Unterrichtungsunterlagen sind zudem Teil des Zertifikatsantragsformulars. Durch die Unterrichtung soll der Antragsteller als künftiger Signaturschlüssel-Inhaber in die Lage versetzt werden, die seinerseits erforderlichen Maßnahmen zu treffen, um sichere elektronische Signaturen zu erzeugen, elektronische Signaturen zuverlässig zu prüfen und einen Missbrauch seines Signaturschlüssels durch Unbefugte sowie ein Signieren falscher Daten zu verhindern. Weitere geschäftliche und rechtliche Bestimmungen sind im vorhandenem CPS aufgeführt (siehe Kapitel 5) Häufigkeit und Zyklen für Veröffentlichungen Die Veröffentlichung der Personenzertifikate erfolgt nach deren Download auf die Karte durch den Zertifikatsinhaber, wobei die Veröffentlichung der qualifizierten Zertifikate einer S-TRUST Network CPS Seite: 19 von 101

20 Zustimmung des Zertifikatsinhabers bedarf. Der Zertifikatsinhaber entscheidet selbst, ob sein Zertifikat abrufbar 2 oder nur nachprüfbar 3 im Verzeichnisdienst gehalten werden soll. Die Veröffentlichung der sonstigen, vom ZDA DSV ausgestellten CA-Zertifikate erfolgt nach ihrer Erstellung. Die Zyklen für die Veröffentlichung von Sperrlisten sind in Abschnitt angegeben. Die Veröffentlichung des Certification Practice Statement erfolgt nach dessen Erstellung bzw. Aktualisierung Zugriffskontrolle auf Verzeichnisse Der Zugriff auf die Zertifikatsverzeichnisse vom ZDA DSV ist nicht beschränkt. 2.4 Identifizierung und Authentisierung Namensgebung Namensart Die vom ZDA DSV ausgestellten Zertifikate enthalten eindeutige Namen (DistinguishedName) in den Feldern issuer und subject nach X.501. Alle qualifizierten Zertifikate enthalten im Feld issuer die Attribute: CommonName Organization Locality Country der ausgebenden CA. Alle Zertifikate enthalten im Feld subject einen DistinguishedName nach X.501. Dabei werden die folgenden Attribute verwendet: CommonName Country Organization (optional) Bank Code (optional) Zertifikatsspezifische Attribute: SerialNumber Personenzertifikate ohne Pseudonym enthalten die Attribute GivenName und Surname. Personenzertifikate enthalten zusätzlich die -Adresse als alternativen Namen in der Erweiterung Subject Alternative Name. 2 Abrufbar bedeutet, dass der Gesamtinhalt des Zertifikats an Verzeichnisdienstabfragende übermittelt wird. 3 Nachprüfbar bedeutet, dass nur der Gültigkeitsstatus des Zertifikats an Verzeichnisdienstabfragende übermittelt wird. S-TRUST Network CPS Seite: 20 von 101

21 Anonymität und Pseudonyme für Zertifikatseigentümer Anstelle des Namens ist die Verwendung eines Pseudonyms in Form von Benutzerpseudonym_Ftl.Nummer:PN im qualifizierten Personenzertifikat und im Authentisierungs- und Verschlüsselungszertifikat möglich. Das Pseudonym wird vom DSV vergeben. Das Pseudonym besteht aus dem Begriff Benutzerpseudonym, einer eindeutigen fortlaufenden Nummer und dem Kürzel PN. Es wird im Attribut Common Name anstelle des Namens, bzw. anstelle der Attribute GivenName und Surname eingetragen Eindeutigkeit von Namen und Pseudonymen Die Namen in den vom ZDA DSV ausgestellten Zertifikaten sind durch die eindeutige Nummer im Attribut serialnumber stets eindeutig. Die Pseudonyme in den vom ZDA ausgestellten Zertifikaten sind zusätzlich durch die eindeutige laufende Nummer im Benutzerpseudonym im Attribut CN stets eindeutig Erstmalige Identifizierung Methode zum Besitznachweis des privaten Schlüssels Der Zertifikatsantragsteller muss nachweisen, dass er den privaten Schlüssel zu dem im Zertifikat zertifizierten öffentlichen Schlüssel rechtmäßig besitzt. Der Besitznachweis erfolgt durch die Erstellung von PKCS#10 Requests im Rahmen des Downloads der Zertifikate Methode zum Besitznachweis der im Zertifikatsantrag angegebenen -Adresse Bevor der ZDA DSV ein Zertifikat für eine signaturvorbereitete Chipkarte ausstellt, muss der Antragssteller nachweisen, dass das Konto ( Adresse) welches bei der Beantragung angegeben wurde unter seiner Kontrolle steht. Dieser Nachweis erfolgt mittels eines persönlichen Codes, der dem Antragssteller auf das betroffene Konto durch den ZDA DSV gesendet wird. Der Download-Prozess also die Ausstellung der persönlichen Zertifikate kann nur unter Angabe dieses -Verifikationscodes durchgeführt werden Identitätsprüfung Bei der Antragstellung für ein qualifiziertes Zertifikat muss sich der Antragsteller persönlich mit einem amtlichen gültigen Ausweisdokument 4 sowie durch eine Gegenprobe der im Ausweis abgebildeten Unterschrift identifizieren. 2.5 Anforderungen an den Lebenszyklus der Zertifikate Antragstellung auf Zertifizierung Qualifizierte Personenzertifikate für den Download auf signaturvorbereitete Chipkarten können nur von natürlichen Personen beantragt werden Antragsbearbeitung Durchführung der Identifikation und Authentifizierung Wenn die Identität des Antragstellers bereits überprüft und dokumentiert wurde (z.b. bei einer Kontoeröffnung), kann unter bestimmten Voraussetzungen auf vorhandene Unterlagen/Datensätze zurückgegriffen werden. Sofern dies nicht der Fall ist, muss der 4 Personalausweis oder Reisepass (inkl. Meldebestätigung, die nicht älter als drei Monate ist) S-TRUST Network CPS Seite: 21 von 101

22 Antragsteller einen Personalausweis oder einen Reisepass inkl. einer Meldebestätigung vorlegen, die nicht älter als drei Monate ist. Der Registrierungsmitarbeiter prüft anhand der vorhandenen Unterlagen bzw. der vorgelegten Dokumente die Identität des Antragstellers und die Übereinstimmung mit den Antragsdaten Aufnahme eines Firmen- oder Organisationsnamen ins Zertifikat Soll ein Firmen- oder Organisationsname ins Zertifikat aufgenommen werden, so muss diese Firmen- bzw. Organisationszugehörigkeit nachgewiesen werden. Hierfür ist die Einwilligungserklärung zur Aufnahme von Firmen- oder Organisationsangaben in das qualifizierte Personenzertifikat und fortgeschrittene Authentifizierungs- /Verschlüsselungszertifikat im Antragsformular auszufüllen und durch einen Vertretungsberechtigten (Geschäftsführer/Bevollmächtigter) zu bestätigen. Die Vertretungsberechtigung wird durch Unterschrift und Firmenstempel, bei juristischen Personen des öffentlichen Rechts (Kammern, Behörden) Unterschrift und Dienstsiegel bestätigt. Als Nachweis der Vertretungsberechtigung der Firma ist zusätzlich ein aktueller Handelsregisterauszug beizufügen. Sofern das Unternehmen nicht im Handelsregister eingetragen ist, muss das Unternehmen anhand von aktuellen Dokumenten (z.b. Auszug aus der Handwerksrolle, Nachweis der Kammermitgliedschaft / Gewerbeanmeldung, etc.) zuverlässig nachgewiesen werden Aufnahme einer Beschränkung mit Bezug zu einem Dritten Der ZDA DSV bietet die Möglichkeit an, das Attribut Restriction für Angaben über eine Beschränkung in das qualifizierte Personenzertifikat mit aufzunehmen. Soll eine Beschränkung mit Bezug zu einem Dritten ins Zertifikat aufgenommen werden, so muss diese Beschränkung durch einen Vertretungsberechtigten der Firma / Organisation bestätigt werden. Hierfür ist die Einwilligungserklärung zur Aufnahme einer Beschränkung in das qualifizierte Personenzertifikat im Antragsformular auszufüllen und durch einen Vertretungsberechtigten (z.b. Geschäftsführer/Bevollmächtigter) zu bestätigen. Die Vertretungsberechtigung wird durch Unterschrift und Firmenstempel, bei juristischen Personen des öffentlichen Rechts (Kammern, Behörden) Unterschrift und Dienstsiegel bestätigt. Als Nachweis der Vertretungsberechtigung der Firma ist zusätzlich ein aktueller Handelsregisterauszug beizufügen. Sofern das Unternehmen nicht im Handelsregister eingetragen ist, muss das Unternehmen anhand von aktuellen Dokumenten (z.b. Auszug aus der Handwerksrolle, Nachweis der Kammermitgliedschaft / Gewerbeanmeldung, etc.) zuverlässig nachgewiesen werden. Angaben zu einer Beschränkung im qualifizierten Personenzertifikat ohne Bezug zu einem Dritten bedürfen keiner gesonderten Genehmigung Aufnahme einer berufsbezogenen Angabe bei zulassungspflichtigen Berufsgruppen Der ZDA DSV bietet die Möglichkeit an, das Attribut Admission für Angaben zulassungspflichtiger Berufsgruppen in das qualifizierte Personenzertifikat mit aufzunehmen Soll eine berufsbezogene Angabe ins Zertifikat aufgenommen werden, so muss diese Angabe durch eine zuständige Stelle bestätigt werden. Hierfür ist die Einwilligungserklärung zur S-TRUST Network CPS Seite: 22 von 101

23 Aufnahme einer berufsbezogenen Angabe bei zulassungspflichtigen Berufsgruppen in das qualifizierte Personenzertifikat im Antrag auszufüllen und durch einen Vertretungsberechtigten der zuständigen Stelle zu bestätigen. Die Vertretungsberechtigung der zuständigen Stelle muss durch Unterschrift und Dienstsiegel bestätigt werden Annahme bzw. Ablehnung des Antrags Zur Beantragung eines qualifizierten Zertifikats füllt der Antragsteller das Antragsformular qualifiziertes S-TRUST Personenzertifikat aus und legt es persönlich einem Registrierungsmitarbeiter vor. Mindestvoraussetzung für die Annahme des Zertifikatsantrags durch den ZDA DSV ist, dass die Identifizierung und Authentifizierung aller erforderlichen Endteilnehmer-Informationen erfolgreich war. Der ZDA DSV lehnt unbeachtet etwaiger weiterer Ablehnungsgründe in folgenden Fällen den Zertifikatsantrag ab: Der Antragsteller kann nicht zweifelsfrei identifiziert werden, Der Ausweis ist nicht mehr gültig, Es bestehen Zweifel an der Echtheit der Unterschrift des Antragsteller im Antragsformular, Bei Angaben, die durch die zuständige Stelle bestätigt werden müssen: o Es bestehen Zweifel an der Echtheit der Unterschrift des Vertretungsberechtigten der bestätigten Stelle oder des Handelsregisterauszugs bzw. Dokument zur Bestätigung der Unternehmensexistenz Zertifikatsausstellung Benachrichtigung des Zertifikatsinhabers Nach erfolgreicher Prüfung des Zertifikatsantrages und elektronischer Antragserfassung erhält der Zertifikatsinhaber eine personalisierte und signierte darüber, dass der Download des Zertifikats durchgeführt werden kann CA-Tätigkeiten Nachdem der Antragsteller eine signaturvorbereitete Chipkarte bekommen hat, kann er damit nach erfolgreicher Registrierung die Zertifikatserzeugung anstoßen. Über eine verschlüsselte Verbindung zwischen dem Rechner des Antragstellers und dem Zertifikatsverwaltungssystem (ZVS) des ZDA DSV wird der öffentliche Schlüssel aus der Chipkarte ausgelesen und über das ZVS wird eine Zertifizierungsanfrage (Certificate Request) zum Processing Center des ZDA DSV geleitet. Dieses erzeugt die Zertifikate und sendet sie an das ZVS, so dass die Zertifikate über die gleiche Verbindung in die Chipkarte geladen werden Zertifikatsübergabe und -annahme Verfahren der Zertifikatsanerkennung Der Antragsteller lädt die Zertifikate selbst herunter und speichert diese auf der Chipkarte, die er bei der Registrierung oder im Vorfeld erhalten hat. Damit der Antragsteller sein Zertifikat abholen kann, authentifiziert er sich gegenüber dem ZVS über die Eingabe seines persönlichen -Verifikationscodes und der Referenznummer des Einmalpasswortbriefes, welche er im S-TRUST Network CPS Seite: 23 von 101

24 Rahmen der Registrierung erhalten hat. Zusätzlich werden im Verlauf des Download-Prozesses der Besitz der im Antrag angegebenen Chipkarte und das Einmalpasswort überprüft Veröffentlichung der Zertifikate Falls der Zertifikatsinhaber im Rahmen der Registrierung die Abrufbarkeit des qualifizierten Zertifikats zugestimmt hat, wird das qualifizierte Zertifikat und das Verschlüsselungs- und Authentisierungszertifikate im Verzeichnisdienst veröffentlicht (siehe Abschnitt 2.3) Benachrichtigung der zuständigen Stelle Nach der Ausstellung von Zertifikaten mit Angaben, die zuvor durch eine zuständige Stelle bestätigt wurden (z.b. Firmenzugehörigkeit, Berechtigung zum Führen einer Berufsbezeichnung, Beschränkung mit Bezug zur Organisation, etc.) wird die zuständige Stelle von der Ausstellung der Zertifikate schriftlich benachrichtigt. Die Unterrichtung enthält: alle Angaben über den Inhalt des qualifizierten Zertifikats einen Hinweis für Sperrmöglichkeiten ein Sperrpasswort für die zuständige Stelle Nutzung der Schlüsselpaare und der Zertifikate Nutzung der privaten Schlüssel durch den Eigentümer Die Nutzung eines privaten Schlüssels ist erst möglich, nachdem der Antragsteller das zugehörige Zertifikat erfolgreich in seine Karte geladen hat. Das Zertifikat darf nur rechtmäßig gemäß den gesetzlichen Bestimmungen sowie den AGB für die Nutzung von Zertifizierungsdiensten der Deutscher Sparkassen Verlag GmbH (siehe und dem vorliegenden CPS verwendet werden (siehe dazu Abschnitt 2.2) Vertrauen auf Zertifikate durch Dritte Dritte haben selbst zu entscheiden, ob einem Zertifikat vertraut werden darf oder nicht. Dazu kann diese CPS hilfreiche Informationen liefern. Vor einem Vertrauen auf ein Zertifikat hat der Dritte zumindest folgendes jeweils einzeln, unabhängig zu prüfen: die Eignung der Nutzung eines Zertifikats für einen bestimmten Zweck, der durch das vorliegende CPS nicht verboten oder anderweitig beschränkt ist, dass die Nutzung des Zertifikats den im Zertifikat enthaltenen KeyUsage-Erweiterungen entspricht, den Status des Personenzertifikats und aller darüber liegenden CA-Zertifikate der Zertifizierungskette. Falls eines der Zertifikate in der Zertifikatskette gesperrt oder dessen Gültigkeit abgelaufen ist, darf der Dritte auf das Personenzertifikat oder ein anderes gesperrtes Zertifikat in der Zertifikatskette nicht vertrauen. ob die übermittelten Daten verändert wurden ob das Zertifikat (Nutzungs-)Beschränkungen oder sonstige Attribute enthält, die im Zusammenhang mit den signierten Daten von Bedeutung sein könnten. Der ZDA DSV empfiehlt, die Gültigkeit der Signatur und des Zertifikats online im Verzeichnisdienst zu überprüfen. Eine Verifikation der Gültigkeit des verwendeten Zertifikats sollte sowohl auf den Zeitpunkt der Erstellung der Signatur als auch auf den Empfangszeitpunkt der signierten Daten vorgenommen werden. S-TRUST Network CPS Seite: 24 von 101