Erklärung zum Zertifizierungsbetrieb der DLR-CA in der DFN-PKI

Transkript

1 Erklärung zum Zertifizierungsbetrieb der DLR-CA in der DFN-PKI - Sicherheitsniveau: Global - Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CPS der DLR-CA V CPS der DLR-CA Seite 1/6 V2.3

2 1 Einleitung Die DLR-CA ist eine Zertifizierungsstelle des DFN-Anwenders Deutsches Zentrum für Luftund Raumfahrt e.v. (DLR) innerhalb der DFN-PKI. In der DFN-PKI wird eine Zertifizierungshierarchie verwendet, bei der das Zertifikat der DLR-CA von der DFN-PCA ausgestellt wird. Für den Betrieb der DLR-CA gelten die folgenden Dokumente: CP der DFN-PKI: "Zertifizierungsrichtlinie der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID CPS der DFN-PCA: "Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID Die vom CPS der DFN-PCA abweichenden Regelungen für die DLR-CA sind in Kapitel 3 dieses Dokuments beschrieben. Die DLR-CA stellt ausschließlich Zertifikate im Sicherheitsniveau "Global" aus. 2 Identifikation des Dokuments Titel: "Erklärung zum Zertifizierungsbetrieb der DLR-CA in der DFN-PKI" Version: Abweichungen vom CPS der DFN-PCA Nachfolgend sind die Abschnitte des CPS der DFN-PCA aufgeführt, in denen für die DLR-CA abweichende Regelungen getroffen werden. Zu CPS der DFN-PCA: "1.3.1 Zertifizierungsstellen" Die Anschrift der DLR-CA lautet: Deutsches Zentrum für Luftund Raumfahrt e.v. (DLR) Telefon: IK-M Telefax: Linder Höhe D Köln ca@dlr.de WWW: Zu CPS der DFN-PCA: "1.3.2 Registrierungsstellen" Die ausgezeichneten Registrierungsstellen für die zuvor genannten Zertifizierungsstellen befinden sich in den Räumen der DLR CA sowie weiteren Standorten des Unternehmens Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) bzw. des Unternehmens T-Systems SfR GmbH. Köln, Linder Höhe, Köln, Tel.: (DLR) Köln, Linder Höhe, Köln, Tel.: (T-Systems SfR) Berlin, Rutherfordstr. 2, Berlin, Tel (T-Systems SfR) CPS der DLR-CA Seite 2/6 V2.3

3 Zu CPS der DFN-PCA: "1.5.1 Organisation" Die Verwaltung dieses CPS erfolgt durch die in Abschnitt genannte Einrichtung. Der Betrieb der DLR-CA erfolgt durch: DFN-Verein Telefon: Alexanderplatz 1 D Berlin Telefax: pki@dfn.de Zu CPS der DFN-PCA: "1.5.2 Kontaktperson" WWW: Die verantwortliche Person für das CPS der DLR-CA ist: Deutsches Zentrum für Luftund Raumfahrt e.v. Uwe Gorschütz IK-M Telefon: Linder Höhe Telefax: D Köln uwe.gorschuetz@dlr.de Zu CPS der DFN-PCA: "2.2 Veröffentlichung von Informationen" Alle gemäß CP, Abschnitt 2.2, erforderlichen Informationen werden bereitgestellt unter: Zu CPS der DFN-PCA: "3.1.1 Namensform" Die DNs aller Zertifikatnehmer unterhalb der DLR-CA enthalten die Attribute "C=DE" und "O=Deutsches Zentrum fuer Luft- und Raumfahrt e.v. (DLR)". Das optionale Attribut "OU=<Organisationseinheit>" kann mehrfach angegeben werden. Wenn eine Adresse angegeben wird, so kann diese über das Attribut " =" in den Namen aufgenommen. Die Adresse sollte allerdings bevorzugt in der Zertifikaterweiterung "subjectalternativename" aufgenommen werden. Funktionale oder Rollenzertifikate werden im CN mit dem vorangestellten Kürzel GRP: gekennzeichnet. Damit entspricht der Name jedes Zertifikatnehmers dem folgenden Schema: C=DE, O=Deutsches Zentrum fuer Luft- und Raumfahrt e.v. (DLR), [OU=<Organisationseinheit>,] CN=<Eindeutiger Name>, [ address=< Adresse>] Zu CPS der DFN-PCA: "4.1.1 Wer kann ein Zertifikat beantragen" Die DLR-CA bietet ihre Dienstleistungen allen Angehörigen und Mitarbeitern des DFN-Anwenders Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) sowie im Auftrag der Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) handelnden Personen an. Zu CPS der DFN-PCA: "4.1.2 Registrierungsprozess" Der Registrierungsprozess kann mit zwei verschiedenen Abläufen durchgeführt werden, nämlich entweder mit einem Papierantrag, der bei der Registrierungsstelle ausgefüllt abgegeben wird, oder aber über ein Auftragsmanagementsystem. In jedem Fall sind folgende Voraussetzungen notwendig: CPS der DLR-CA Seite 3/6 V2.3

4 Er/Sie muss über eine SAP Personalnummer des DLR verfügen Er/Sie muss über einen aktiven AD (Active Directory) Account in der Domäne intra.dlr.de verfügen Er/Sie muss eine DLR adresse besitzen Die Beantragung von Benutzerzertifikaten erfolgt über ein Auftragsmanagementsystem, an dem sich der Anforderer mit dem Benutzer Account des DLR Directory Services anmelden muss. Die Registrierungsstelle wird per über den Auftrag informiert, der aus Sicht der RA als Antrag behandelt wird. Bei Neuausstellung von Benutzerzertifikaten wird grundsätzlich ein Set von drei Zertifikaten mit jeweils dedizierten Verwendungszwecken für Signatur, Verschlüsselung und Authentifizierung ausgestellt. Zertifikate werden nur auf Krypto-Geräten ausgeliefert. Im Falle eines Verlustes bzw. Gerätedefektes werden alle Zertifikate des Altgerätes gesperrt, auf das neue Krypto-Gerät werden dann jedoch neben einem neuen Set von drei Zertifikaten mit den o.a. Verwendungszwecken gegebenenfalls auch hinterlegte Verschlüsselungsschlüssel gespeichert (siehe auch ). Zu CPS der DFN-PCA: "4.4.2 Veröffentlichung des Zertifikats" Die DLR-CA veröffentlicht die gemäß der Zertifizierungsrichtlinien der DFN-PKI geforderten Zertifikate über die oben angegebenen Informationssysteme. Zertifikate für natürliche und juristische Personen werden nur dann durch die DLR-CA veröffentlicht, wenn Sie für den Einsatzzweck Signatur und -Verschlüsselung verwendet werden sollen. Zertifikate für den Einsatzzweck Authentifizierung werden auf Grund der darin enthaltenen schutzwürdigen Daten nicht veröffentlicht. Zertifikate, die für mehrere Einsatzzwecke verwendet werden und dazu auch schutzwürdige Informationen beinhalten, werden nicht veröffentlicht. Zu CPS der DFN-PCA: " Richtlinien und Praktiken zur Schlüsselhinterlegung und wiederherstellung" Die Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CA bietet die Möglichkeit der Hinterlegung privater Schlüssel für Verschlüsselungszertifikate, nicht jedoch für Signaturund Authentifizierungszertifikate an. Im Rahmen der Zertifikatbeantragung in den Registrierungsstellen der Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CA wird ein verschlüsseltes Backup der privaten Schlüssel erzeugt und in einer Datenbank gespeichert, die sich in den Räumlichkeiten des DLR befindet. Die Verschlüsselung erfolgt mittels Keybackup- Rollenzertifikat. Der private Schlüssel des Rollenzertifikats wird auf einem Krypto-Gerät gespeichert, welches mit einer PIN belegt wird, die jeweils hälftig und unabhängig voneinander von zwei Personen generiert wird. Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt auf Krypto-Geräten, die mit einer PIN gesichert sind. Die Übermittlung der PIN erfolgt durch Versand bzw. Aushändigung eines PIN-Briefes. Der Empfang des Krypto- Gerätes sowie des PIN-Briefes ist vom Zertifikatnehmer zu bestätigen. Es wird gewährleistet, dass Mitarbeiter der Registrierungsstellen keine Kenntnis der jeweiligen PIN erlangen. Ein Zugriff auf das verschlüsselte Backup durch eine einzelne Person ist ausgeschlossen. Die Herausgabe von hinterlegten privaten Verschlüsslungsschlüsseln erfolgt grundsätzlich nur an den jeweiligen Zertifikatnehmer und in jedem Fall auf einem Krypto-Gerät. Folgende Regelungen gelten dabei: a) Im Falle des Defektes eines Krypto-Gerätes werden hinterlegte private Verschlüsselungsschlüssel des betroffenen Zertifikatnehmers von der Registrierungsstelle der Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CA auf ein neues Gerät gespeichert, welches dem Zertifikatnehmer ausgehändigt wird. Das defekte Krypto-Gerät wird danach durch die Registrierungsstelle unverzüglich vernichtet oder, falls ein Softwareproblem vorlag, neu initialisiert. b) Bei Verlust oder Diebstahl des privaten Verschlüsselungsschlüssels (durch Verlust oder Diebstahl des Krypto-Gerätes) wird der hinterlegte Schlüssel auf einem neuen CPS der DLR-CA Seite 4/6 V2.3

5 Kryptogerät an den betreffenden Zertifikatnehmer ausgehändigt. Das Verschlüsselungszertifikat sowie alle anderen Zertifikate, die sich auf dem Krypto-Gerät befanden, werden davon unabhängig unverzüglich gesperrt. c) Verschlüsselungsschlüssel werden ansonsten über die Gültigkeit von Verschlüsselungszertifikaten hinaus unbefristet aufbewahrt d) Im Falle des Ausscheidens eines Zertifikatnehmers aus dem Unternehmen, länger andauernder Krankheit, Tod oder zum Zweck der Beweissicherung bei Verdacht auf strafrechtliche Handlungen können Mitarbeiter der Registrierungsstellen nach Genehmigung durch ein Mitglied des Vorstandes oder den Datenschutzbeauftragten des Deutschen Zentrums für Luft- und Raumfahrt e.v. (DLR) den oder die privaten Verschlüsselungsschlüssel des betreffenden Mitarbeiters zur Sicherstellung verschlüsselter Daten verwenden. Noch gültige Verschlüsselungszertifikate sowie alle anderen Zertifikate, die sich im Besitz des Mitarbeiters befanden, werden davon unabhängig unverzüglich gesperrt. Die Wiederherstellung des hinterlegten privaten Schlüssels kann in jedem Fall nur unter Hinzuziehung eines weiteren Mitarbeiters (PIN-Geber RA) durchgeführt werden. Außerdem wird der Datenschutzbeauftragte des DLR unverzüglich informiert. Zu CPS der DFN-PCA: "5 Infrastrukturelle, organisatorische und personelle Sicherheitsmaßnahmen" und "6 Technische Sicherheitsmaßnahmen" Die DLR-CA wird durch den DFN-Verein im Auftrag des DFN-Anwenders Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) bei der DFN-PCA betrieben. Daher sind für die DLR-CA dieselben infrastrukturellen, organisatorischen, personellen und technischen Sicherheitsmaßnahmen umgesetzt wie für die DFN-PCA (siehe CPS der DFN-PCA). Ausnahmen betreffen die Kapitel 5.2.1, und 5.2.4, die im Folgenden aufgeführt sind. Zu CPS/CP der DFN-PCA: "5.2.1 Sicherheitsrelevante Rollen" Für die Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CA gilt die folgende Ergänzung der Rollendefinition zum Thema Registrierungsdienst Rolle Funktion Kürzel Registrator (Ergänzung der Funktion für bereits existierende Rolle) PIN-Geber RA (neue Rolle) Mitglied des Vorstandes Datenschutzbeauftragter Backup inkl. Verschlüsselung privater Verschlüselungsschlüssel mit Keybackup-Zertifikat Ausgabe und Wiederherstellung von Krypto- Geräten PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Verschlüsselungsschlüsseln PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Verschlüsselungsschlüsseln Erteilung der Genehmigung zur Wiederherstellung von privaten Schlüsseln von ausgeschiedenen, kranken oder verstorbenen Zertifikatnehmern sowie zum Zweck der Beweissicherung bei Verdacht auf strafrechtlichen Handlungen RAO1 (statt RG) RAO2 GF DSB CPS der DLR-CA Seite 5/6 V2.3

6 Zu CPS/CP der DFN-PCA: "5.2.2 Involvierte Mitarbeiter pro Arbeitsschritt" In der folgenden Tabelle sind die Tätigkeiten beschrieben, bei denen das Vier-Augen-Prinzip - realisiert durch jeweils einen Vertreter der angegebenen Rollen - eingehalten werden muss. Alle anderen Tätigkeiten können von einer Person durchgeführt werden. Tätigkeit Freigabe und Übermittlung von Zertifikat- und Sperranträgen für CA- Zertifikate Erzeugung von Schlüsselpaaren für CA-Zertifikate Starten von Prozessen zur Ausstellung von Zertifikaten und Sperrlisten Austausch von Hard- und Softwarekomponenten für die Zertifizierung PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Verschlüsselungsschlüsseln zur Übergabe an den Zertifikatnehmer Wiederherstellung von privaten Verschlüsselungsschlüsseln ohne Übergabe an den Zertifikatnehmer Rollen RG & TS CAO1 & CAO2 CAO1 & CAO2 SA & CAO1 RAO1, RAO2 RAO1, RAO2, DSB RAO1, RAO2, VO oder RAO1, RAO2, DSB Zu CPS/CP der DFN-PCA: "5.2.4 Trennung von Rollen" Für die Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CA gelten folgende Ergänzungen bzw. Änderungen hinsichtlich der Unverträglichkeit von Rollen. Rolle Unverträglich mit TS RAO1 RAO2 CAO1 CAO2 SA SO R DSB VO TS Teilnehmerservice X X X RAO1 Registrator X X X X RAO2 PIN-Geber X X X X X x CAO1 - CA Mitarbeiter X X X X CAO2 - PIN Geber X X SA Systemadministrator X X X SO Systemoperator X X X X X R - Revision X X X X X X X DSB - Datenschutzbeauftragter VO-Vorstand X X CPS der DLR-CA Seite 6/6 V2.3

7 CPS der DLR-CA Seite 7/6 V2.3

8 Es wird folgende Aufteilung der Rollen auf Personengruppen gewählt: Personengruppe Rollen 1 R 2 TS, RG, RAO1 3 RAO2 4 CAO1 5 CAO2, SA, SO 6 VO, DSB Zu CPS der DFN-PCA: "6.1.1 Schlüsselerzeugung" Schlüssel für Benutzerzertifikate werden bei der Registrierungsstelle erzeugt. Schlüssel für Signatur- und Authentifizierungsschlüssel werden auf einem Krypto-Gerät erzeugt. Schlüssel für Verschlüsselungszwecke werden in Software generiert und anschließend auf das Krypto- Gerät und verschlüsselt in das Schlüsselbackup geschrieben. Schlüssel für Serverzertifikate können sowohl beim Zertifikatnehmer als auch bei der Registrierungsstelle erzeugt werden. Zu CPS der DFN-PCA: "6.1.2 Übermittlung des privaten Schlüssels an den Zertifikatnehmer" Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt auf Krypto-Geräten, die mit einer PIN gesichert sind. Die Übermittlung der PIN erfolgt durch Versand bzw. Aushändigung eines PIN-Briefes. Der Empfang des Gerätes sowie des PIN-Briefes ist vom Zertifikatnehmer zu bestätigen. Bei postalischer Auslieferung von PIN-Brief und Krypto-Gerät wird durch zeitlich versetzten Versand gewährleistet, dass ein Angreifer nicht gleichzeitig Zugriff auf Krypto-Gerät und PIN-Brief hat. Bei postalischer Auslieferung muss innerhalb von 10 Arbeitstagen eine vom Zertifikatnehmer unterschriebene Bestätigung über den unversehrten Empfang von PIN-Brief und Krypto-Token bei der ausgebenden Registrierungsstelle eintreffen. Zur Kontrolle werden Aushändigung bzw. Versand in einem Logbuch mit Angabe des Datums dokumentiert. Sollte die Empfangsbestätigung nach dieser Frist nicht vorliegen, werden alle Zertifikate, die sich auf dem ausgegebenen Token befinden, gesperrt. Zu CPS der DFN-PCA: "6.2.4 Backup der privaten Schlüssel" Die Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CA bietet die Möglichkeit zum Backup privater Schlüssel von Zertifikatnehmern bei der RA entsprechend Kapitel an. Zu CPS der DFN-PCA: "6.3.2 Gültigkeit von Zertifikaten und Schlüsselpaaren" Die durch die DLR-CA ausgestellten Serverzertifikate haben standardmäßig eine Laufzeit von fünf Jahren, die Nutzerzertifikate von drei Jahren. CPS der DLR-CA Seite 8/6 V2.3