D-TRUST Telematik-Infrastruktur Certification Practice Statement. Version 1.0

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "D-TRUST Telematik-Infrastruktur Certification Practice Statement. Version 1.0"

Transkript

1 D-TRUST Telematik-Infrastruktur Certification Practice Statement Version 1.0 Erscheinungsdatum Datum des Inkrafttretens

2 Vermerk zum Copyright D-TRUST Telematik-Infrastructure Certification Practice Statement 2015 D-TRUST GMBH, alle Rechte vorbehalten. Ohne Einschränkung der vorstehenden vorbehaltenen Rechte und über den im Folgenden gestatteten Rahmen hinaus darf kein Teil dieser Veröffentlichung auf irgend eine Weise oder mittels irgend eines Verfahrens (elektronisch, mechanisch, durch Fotokopie, Aufzeichnung oder auf sonstige Weise) ohne vorherige schriftliche Zustimmung der D-TRUST GMBH reproduziert, gespeichert oder in ein Speichersystem geladen oder übertragen werden. Unbeschadet des Voranstehenden ist es gestattet, dieses CPS auf nicht-exklusiver, gebührenfreier Basis zu reproduzieren und zu verteilen, sofern (i) der vorstehende Copyright-Vermerk und die einleitenden Absätze an deutlicher Stelle zu Beginn jeder Kopie erscheinen und (ii) dieses Dokument wortgetreu und vollständig wiedergegeben wird, beginnend mit der Nennung der D-TRUST GMBH als Verfasser des Dokuments. Anträge auf jede sonstige Genehmigung zur Reproduktion oder anderweitige Verwendung dieses CPS der D-TRUST GMBH sind zu richten an: D-TRUST GMBH Kommandantenstr Berlin, Germany Tel: +49 (0)

3 Dokumentenhistorie Version Datum Beschreibung Initialversion

4 Inhaltsverzeichnis 1. Einleitung Überblick Name und Kennzeichnung des Dokuments Teilnehmer der Zertifizierungsinfrastruktur Verwendung von Zertifikaten Pflege der CP/des CPS Begriffe und Abkürzungen Verantwortlichkeit für Verzeichnisse und Veröffentlichungen Verzeichnisse Veröffentlichung von Informationen zu Zertifikaten Häufigkeit von Veröffentlichungen Zugriffskontrollen auf Verzeichnisse Identifizierung und Authentifizierung Namensregeln Initiale Überprüfung der Identität Identifizierung und Authentifizierung von Anträgen auf Schlüsselerneuerung Identifizierung und Authentifizierung von Sperranträgen Betriebsanforderungen Zertifikatsantrag und Registrierung Verarbeitung des Zertifikatsantrags Ausstellung von Zertifikaten Zertifikatsübergabe Verwendung des Schlüsselpaars und des Zertifikats Zertifikatserneuerung (certificate renewal) Zertifikatserneuerung mit Schlüsselerneuerung Zertifikatsänderung Sperrung und Suspendierung von Zertifikaten Statusabfragedienst für Zertifikate Austritt aus dem Zertifizierungsdienst Schlüsselhinterlegung und wiederherstellung Nicht-technische Sicherheitsmaßnahmen Bauliche Sicherheitsmaßnahmen Verfahrensvorschriften Eingesetztes Personal Überwachungsmaßnahmen Archivierung von Aufzeichnungen Schlüsselwechsel beim TSP Kompromittierung und Geschäftsweiterführung beim TSP Schließung des TSP Technische Sicherheitsmaßnahmen Erzeugung und Installation von Schlüsselpaaren Sicherung des privaten Schlüssels und krytographische Module Andere Aspekte des Managements von Schlüsselpaaren Aktivierungsdaten Sicherheitsmaßnahmen in den Rechneranlagen Technische Maßnahmen während des Life Cycles Sicherheitsmaßnahmen für Netze Zeitstempel Seite 3 von 42

5 7. Profile von Zertifikaten, Sperrlisten und OCSP Zertifikatsprofile X.509-nonQES-Zertifikate für HBA und SMB-C Sperrlistenprofile Profile des Statusabfragedienstes (OCSP) Überprüfungen und andere Bewertungen Sonstige finanzielle und rechtliche Regelungen Seite 4 von 42

6 1. Einleitung 1.1 Überblick Dieses Dokument ist das Certification Practice Statement (CPS) des von der D-TRUST GMBH betriebenen TSP der Telematikinfrastrukur für Zertifikate des HBA und der SMC-B Vertrauensdiensteanbieter Über dieses Dokument Dieses CPS definiert Abläufe und Vorgehensweisen des von der D-TRUST GMBH betriebenen TSP im Umfeld der telematik Infrastruktur während der gesamten Lebensdauer der Zertifikate von HBA und SMB-C. Es werden Mindestmaßnahmen konstatiert, die von allen Teilnehmern der Zertifizierungsinfrastruktur zu erfüllen sind. In den ausgestellten Zertifikaten des TSP können CPs referenziert werden, die detailliert Anforderungen und Beschränkungen definieren. Zu diesen CPs gehören Certificate Policy Gemeinsame Zertifizierungsrichtlinie für Teilnehmer der gematik-tsl (s. [gemrl_tsl_tsp_cp]), Certificate Policy Gemeinsame Zertifizierungsrichtlinie für Teilnehmer der gematik-tsl - Sektorspezifische Präzisierung für SMC-B-Zertifikate in Erprobungsphase ORS1 (s. [gemrl_smc-b_ors1]), Gemeinsame Policy für die Ausgabe der HPC Zertifikatsrichtlinie HPC (s. [CP-HPC]), ZOD Certificate Policy (s. [ZODPol]) und CPME European eid-policy for Physicians" Version (s. [CPME]) Diese Policy beschreibt auch die Mindest-Anforderungen an das qualifizierte Zertifikat eines HBA. Aufgrund von SigG und SigV sind durch den Zertifizierungsdiensteanbieter umfangreiche weitere Anforderungen hinsichtlich des Betriebs, der Identifizierung, der Validierung und Archivierung umzusetzen. Die gesetzeskonforme Umsetzung dieser Vorgaben wird in einem Sicherheitskonzept der D- TRUST GmbH beschrieben und im Rahmen des Akkreditierungsverfahrens durch anerkannte Prüf- und Bestätigungstellen geprüft. Das Sicherheitskonzept ist nicht öffentlich zugänglich. Berechtigte Anfragen dazu können über die Kontaktadresse (s. [CP#1.1.1]) gestellt werden. Seite 5 von 42

7 Die für die Zertifikatsnutzer relevanten Informationen werden in der Unterrichtung nach 6 SigG und auf den Webseiten der Herausgeber des HBA (Bundesärztekammer) bereitgestellt. Die Struktur dieses Dokumentes ist eng an den Internet-Standard RFC 3647 Internet X.509 Public Key Infrastructure: Certificate Policy and Certification Practices Framework angelehnt, um eine einfache Lesbarkeit und Vergleichbarkeit mit anderen CPSs zu erreichen. Das CPS erläutert bzw. erweitert die in der zugehörigen CP beschriebenen Verfahren, bei identischen Formulierungen werden Referenzen auf die CP eingesetzt. Werden Anforderungen an den TSP-X.509QES und TSP-X.509nonQES bzw. an TSP-X.509QES-Zertifikate und TSP-X.509nonQES-Zertifikate gleichermaßen gestellt, wird in diesem Dokument nur vom TSP bzw. von Zertifikaten gesprochen Eigenschaften der Zertifizierungsinfrastruktur 1.2 Name und Kennzeichnung des Dokuments Dokumentname: D-TRUST Telematik-Infrastruktur Certification Practice Statement Version Teilnehmer der Zertifizierungsinfrastruktur Zertifizierungsstellen (CA) Registrierungsstellen (RA) Antragsteller Zertifikatnehmer (Anwender, Subscribers) Seite 6 von 42

8 1.3.5 Zertifikatsnutzer (Zertifikatsprüfer, Überprüfer, Relying Parties) Sperrberechtigter Ein Sperrberechtigter ist eine natürliche oder juristische Person, die zur Sperrung eines Zertifikates berechtigt ist. 1.4 Verwendung von Zertifikaten Erlaubte Verwendungen von Zertifikaten Verbotene Verwendungen von Zertifikaten 1.5 Pflege der CP/des CPS Zuständigkeit für das Dokument Dieses CPS wird durch die D-TRUST GMBH gepflegt. Der Leiter des TSP übernimmt die Abnahme des Dokuments Ansprechpartner/Kontaktperson/Sekretariat 1.6 Begriffe und Abkürzungen Deutsche Begriffe und Namen Englische Begriffe Abkürzungen Referenzen Seite 7 von 42

9 2. Verantwortlichkeit für Verzeichnisse und Veröffentlichungen 2.1 Verzeichnisse 2.2 Veröffentlichung von Informationen zu Zertifikaten Der TSP veröffentlicht folgende Informationen: Vom TSP ausgestellte Endanwender-Zertifikate, sofern dieses vom Zertifikatnehmer aus-drücklich gefordert wurde, CA-Zertifikate (von HBA-CA und SMCB-CA) als Trust-Anchor, Sperrlisten (CRLs) und Statusinformationen für vom TSP ausgestellte Zertifikate, die CP, dieses CPS. 2.3 Häufigkeit von Veröffentlichungen Zertifikate können veröffentlicht, d.h. in das öffentliche Verzeichnis des TSP aufgenommen werden. Veröffentlichte Zertifikate bleiben bis zum Ende ihrer Gültigkeit sowie mindestens für fünf weitere Jahre und bis zum jeweiligen Jahresende abrufbar. Die CA-Zertifikate (von HBA-CA und SMCB-CA) werden nach ihrer Erstellung veröffentlicht und mindestens fünf Jahre und bis zum Jahresende nach Ablauf der Gültigkeit der CA vorgehalten. Sperrlisten werden regelmäßig und bis zum Ende der Gültigkeit des ausstellenden CA-Zertifikats ausgestellt. Sperrlisten werden unmittelbar nach Sperrungen erstellt und veröffentlicht. Auch wenn keine Sperrungen erfolgen, stellt der TSP sicher, das mindestens alle 24 Std. eine neue Sperrliste ausgestellt wird. Die Sperrlisten werden mindestens ein Jahr nach Ablauf der Gültigkeit der CA vorgehalten. Die CP und das CPS werden wie unter Abschnitt 2.1 genannt veröffentlicht und bleiben dort mindestens so lange abrufbar, wie Zertifikate, die auf Basis dieser CP ausgestellt wurden, gültig sind. Die Webseiten sind hochverfügbar. 2.4 Zugriffskontrollen auf Verzeichnisse Seite 8 von 42

10 3. Identifizierung und Authentifizierung 3.1 Namensregeln Arten von Namen Notwendigkeit für aussagefähige Namen Anonymität oder Pseudonyme von Zertifikatnehmern Regeln für die Interpretation verschiedener Namensformen Die Abbildung einer realen Identität (Person, Dienst, Institution) (eines Zertifikatsnehmers) in ein Zertifikat erfolgt durch den Inhalt der Felder SubjectDN (subject distinguishedname). Dabei werden die übergreifenden Kodierungsvorschriften aus [gemspec_pki#4] umgesetzt. Insbesondere wird für die einzelnen Felder ein Zeichensatz gemäß [Common-PKI#Part1] und speziell eine UTF8- Kodierung eingesetzt. Somit können Sonderzeichen und Umlaute verwendet werden (s. [gemspec_pki#4.1.1]). Die Vorgaben für den Inhalt der Felder SubjectDN der Zertifikate für den HBA sind in den folgenden Dokumenten beschrieben: Zertifikatsprofile für X.509 Basiszertifikate der Ärzte [baekcerts] Zertifikatsprofil des elektronischen Zahnarztausweises [bzaekcert] Zertifikatsprofile für X.509 Attributzertifikate [baekattr] Gemeinsame Policy für die Herausgabe der HPC [CP-HPC] Die Vorgaben für den Inhalt der Felder SubjectDN der X.509-nonQES Zertifikate für die SMC-B werden in [gemspec_pki#5.3] definiert. SubjectDN Felder für Zertifikate für den HBA Folgende Felder SubjectDN Felder werden für Zertifikate für den HBA verwendet: countryname serialnumber Seite 9 von 42

11 surname givenname (derzeit nicht zulässig, RFU): title commonname Der commonname enthält den vollständigen Namen des Zertifikatnehmers, ohne akademische Titel (auch wenn sie im Personalausweis des Antragstellers eingetragen sind). Die Länge des Attributes ist auf 64 Zeichen beschränkt. Falls der vollständige Name nicht aufgenommen werden kann (z. B. weil er zu lang ist), dann muss, nur dann wenn dies aus gesetzlichen Bestimmungen hervorgeht, der commonname als Pseudonym gekennzeichnet werden. In diesem Fall wird der Zusatz :PN (ohne Anführungsstrichen) aufgenommen; die effektive Länge reduziert sich damit auf 61 Zeichen. Falls eine Kürzung vorgenommen werden soll, entsprechen die Kürzungsregeln den Regelungen in der egk-spezifikation: erster "Givenname" und Surname bleiben vollständig, sonstige Vornamen werden auf den ersten Buchstaben plus Punktzeichen gekürzt, falls immer noch >61 bzw. 64 Zeichen: sonstige Vornamen werden gestrichen, falls immer noch >61 bzw. 64 Zeichen: der Nachname wird gekürzt und mit Punktzeichen gekennzeichnet, so dass die Gesamtlänge (ggf. inkl. :PN) 64 Zeichen beträgt Der surname enthält (zusätzlich zum commonname) den Nachnamen des Inhabers. Evtl. vorhandene Namensbestandteile wie Graf von, jr., so genannte generation qualifier (üblich im amerikanischen Sprachraum, z.b. III ) usw. werden im surname aufgenommen, wenn sie im Reisepass oder Personalausweis als Teile des Nachnamens betrachtet werden. Ggf. im Personalausweis aufgenommene akademische Titel (DR) werden nicht im surname aufgenommen. Das Attribut givenname enthält (zusätzlich zum commonname) alle Vornamen des Zertifikatnehmers. Um eine Unterscheidung bei Namensgleichheit zu gewährleisten, wird das Feld serialnumber verwendet. Um unterschiedliche Namen im globalen LDAP-Tree über alle TSP zu erreichen, sind zweistellige Prefixe definiert und den TSP zugewiesen. Das serialnumber-feld aller Zertifikate für HBAs, die durch den von der D-TRUST GMBH betriebenen TSP ausgestellt werden, beginnt mit dem zugewiesenen Prefix 10 (ohne Anführungszeichen). Alle Zertifikate eines HBA erhalten die gleiche Nummer im serialnumber-feld wie das Zertifikat für qualifizierte Signaturen dieses HBA. Seite 10 von 42

12 Das Attribut countryname enthält den ISO-3166 Code des Landes, also DE, kodiert als printablestring. Die Felder serialnumber, givenname, surname, ggf. title und commonname werden in einem SET als ein einziges multivaluedrdn kodiert. Die entsprechenden Kodierungsregeln von X.690 (Reihenfolge im SET) werden dabei berücksichtigt. Die Reihenfolge der RelativeDistinguishedNames in der RDNSequence ist: country,(givenname+surname+title+serialnumber+commonname) SubjectDN Felder werden für X.509-nonQES Zertifikate für die SMC-B Folgende Felder SubjectDN werden für alle X.509-nonQES Zertifikate (Sektorübergreifend) für die SMC-B verwendet: countryname serialnumber Der eindeutige Identitätsschlüssel der Organisation oder Einrichtung des Gesundheitswesens wird durch die Telematik-ID in der Zertifikatserweiterung Admission abgebildet. Die serialnumber wird als technisches Unterscheidungsmerkmal mit den 10 letzten Ziffern der ICC Serial Number (Chipkarten-Seriennummer) der SMC-B belegt. Das Attribut countryname enthält den ISO-3166 Code des Landes, also DE, kodiert als printablestring. Sektorspezifisch (KZBV, KV, DKTIG) werden folgende Felder SubjectDN für X.509-nonQES Zertifikate für die SMC-B belegt: commonname o KZBV o KV Gemäß Freigabedaten der zuständigen KZV Der commonname beinhaltet den Kurzname der Institution, so wie er sich selbst nach [DIN5008] auf dem Anschriftenfeld findet. (Zeilen 1-2, ggf +3-4). Überlange Attribute des SubjectDN werden zusätzlich in der Extension SubjectAltNames in voller Länge abgebildet. Seite 11 von 42

13 o DKTIG organizationname o KZBV o KV o DKTIG streetadress o KZBV o KV o DKTIG postalcode o KZBV o KV Der commonname beinhaltet den Kurzname der Institution, so wie er sich selbst nach [DIN5008] auf dem Anschriftenfeld findet. (Zeilen 1-2, ggf +3-4). Überlange Attribute des SubjectDN werden zusätzlich in der Extension SubjectAltNames in voller Länge abgebildet. Gemäss Freigabedaten der DKTIG Gemäß Freigabedaten der zuständigen KZV (Telematik-ID) 9-stellige Betriebsstättennummer (z.b ) der Praxis als eindeutige Nummer. Für privat abrechnende Ärzte wird hier eine 10-stellige Ersatznummer eingefügt. Kein Wert Kein Wert Strasse, Hausnummer der Anschrift Strassen-Anschrift der Institution (mehrere Wörter sind durch Blank getrennt) Kein Wert Seite 12 von 42

14 o DKTIG localityname o KZBV o KV o DKTIG Postleitzahl der Anschrift Postleitzahl des Ortes der Institution (Deutsche PLZ werden 5-stellig abgebildet) Kein Wert stateorprovincename title o KZBV o KV o DKTIG o KZBV o KV o DKTIG surname Stadt des Standortes Stadt des Institut-Standortes Kein Wert Bundesland des Standortes Bundesland des Institutstandorts Kein Wert Titel des Verantwortlichen/Inhabers Titel des Verantwortlichen/Inhabers Seite 13 von 42

15 o KZBV o KV o DKTIG givenname o KZBV o KV o DKTIG Kein Wert Nachname des Verantwortlichen/Inhabers Nachname des Verantwortlichen/Inhabers Kein Wert Eindeutigkeit von Namen Vorname des Verantwortlichen/Inhabers Vorname des Verantwortlichen/Inhabers Anerkennung, Authentifizierung und die Rolle von Markennamen 3.2 Initiale Überprüfung der Identität Nachweis für den Besitz des privaten Schlüssels Es werden zwei Fälle unterschieden: 1. Schlüsselpaare von Zertifikatnehmern werden im Verantwortungsbereich des TSP produziert. Mit der Übergabe der Token oder Soft-PSE (LCP) und ggf. PIN- Briefe gemäß Abschnitt an die Zertifikatnehmer durch den TSP wird sichergestellt, dass die privaten Schlüssel in den Besitz der Zertifikatnehmer gelangen. 2. Schlüsselpaare werden im Verantwortungsbereich des Zertifikatnehmers produziert. Der Besitz des privaten Schlüssels muss entweder technisch nachgewiesen werden oder vom Zertifikatnehmer nachvollziehbar bestätigt werden. Mit der Übersendung eines PKCS#10-Requests an den TSP bestätigt der Zertifikatnehmer verbindlich im Besitz des privaten Schlüssels zu sein. Seite 14 von 42

16 3.2.2 Identifizierung und Authentifizierung von Organisationen Organisationen, die entweder in einem Zertifikat genannt werden oder in deren Namen Zertifikate ausgestellt werden, müssen sich eindeutig authentisieren. Die vorgestellten Prüfverfahren werden wie folgt auf die DN-Bestandteile nach Abschnitt und ggf. weitere Attribute angewendet. Die angegebenen Verfahren sind in Abschnitt beschrieben. Nachweise in nicht lateinischer Schrift werden nicht akzeptiert Identifizierung und Authentifizierung natürlicher Personen Natürliche Personen, die Zertifikate beantragen, müssen sich eindeutig authentisieren und ggf. ihre Berechtigung zur Antragstellung durch die Organisation nachweisen. Die Prüfung der Identität des Antragstellers erfolgt mit den Verfahren ZDA-Ident/Postident Basic bzw. KammerIdent mit Hilfe der jeweiligen Kammer oder direkt beim ZDA. Nachweise in nicht lateinischer Schrift werden nicht akzeptiert Ungeprüfte Angaben zum Zertifikatnehmer Prüfung der Berechtigung zur Antragstellung Im Rahmen der Antragstellung wird die Prüfung der Berechtigung des Antragstellers auf einen HBA bzw. eine SMC-B durchgeführt. Dabei werden Identitätsnachweis und Kammerzugehörigkeit geprüft bzw. bestätigt Kriterien für die Interoperabilität 3.3 Identifizierung und Authentifizierung von Anträgen auf Schlüsselerneuerung Routinemäßige Anträge zur Schlüsselerneuerung Schlüsselerneuerung nach Sperrungen Seite 15 von 42

17 3.4 Identifizierung und Authentifizierung von Sperranträgen Die Sperrberechtigung wird wie folgt geprüft: Bei einem Sperrantrag mit handschriftlich unterschriebener Briefpost muss aus dem Unterschriftenvergleich erkennbar sein, dass der die Sperrung Beantragende entweder der Zertifikatnehmer selbst oder ein Sperrberechtigter Dritter ist. Bei telefonischem Sperrantrag muss der Sperrberechtigte das entsprechende Sperrpasswort korrekt nennen. Bei einer Sperrung über , das Freigabeportal, die SOAP-Schnittstelle oder das Praxisregister muss der Antrag qualifiziert signiert sein. Die Gültigkeit der Signatur wird zur Authentifzierung geprüft. Sperrverfahren werden in Abschnitt 4.9 definiert. Seite 16 von 42

18 4. Betriebsanforderungen 4.1 Zertifikatsantrag und Registrierung Berechtigung zur Antragstellung Registrierungsprozess und Zuständigkeiten Dem Zertifikatnehmer (Antragsteller für einen HBA oder eine SMB-C) liegen vor Beginn des Registrierungsprozesses CP, CPS sowie Unterrichtungsunterlagen vor, zu deren Einhaltung sich der Zertifikatnehmer verpflichtet. Die Dokumente werden veröffentlicht. Der Antrag beinhaltet weiterhin die Einverständniserklärung des Zertifikatnehmers zur Veröffentlichung entsprechender Zertifikate. Nachweise werden elektronisch oder papierbasiert hinterlegt. 4.2 Verarbeitung des Zertifikatsantrags Durchführung der Identifizierung und Authentifizierung Der beschriebene Identifizierungs- und Registrierungsprozess muss vollständig durchlaufen und alle nötigen Nachweise dabei erbracht werden. Der TSP folgt dabei hier den Prüfverfahren für die Beantragung qualifizierter Zertifikate für den HBA: ZDA-Ident / Postident Basic Die natürliche Person muss sich gegenüber einer RA oder einem zugelassenem Partner (im Fall von Postident Mitarbeiter der Filiale der DPAG) oder einem externen Anbieter, der die Maßgaben der CP erfüllt, anhand eines gültigen amtlichen Ausweises persönlich authentifizieren. Zulässige Dokumente sind Personalausweis oder Reisepass bei Staatsangehörigkeit eines Mitgliedstaates der Europäischen Union oder eines Staates des Europäischen Wirtschaftsraumes, oder Dokumenten mit gleichwertiger Sicherheit. Nachweise werden hinterlegt. Die Bestätigung der Berufsgruppe erfolgt über das Freigabeportal KammerIdent Mit einem ausgedruckten Antrag begibt sich der Antragssteller zu der ihm zugeordneten Kammer (Kartenherausgeber). Dort führt der dortige Identifikationsmitarbeiter eine Identifizierung anhand des Personalausweises durch. Bei einer erfolgreichen Identifikation bestätigt der Identifikationsmitarbeiter die korrekten Antragsdaten. Identifizierung und Authentifizierung finden gemäß den Abschnitten und CP statt. Seite 17 von 42

19 4.2.2 Annahme oder Ablehnung von Zertifikatsanträgen Eine vom TSP beauftragte "unabhängige zweite" Person der laut Sicherheitskonzept entsprechenden Rolle prüft die Antragsunterlagen nach folgenden Kriterien: wurde die Authentifizierung des Zertifikatnehmers korrekt durchlaufen und dokumentiert, wurden alle notwendigen Nachweise erbracht, liegen Gründe vor, die eine Ablehnung des Antrags nahe legen. Mögliche Ablehnungsgründe sind in der CP festgehalten. Treten bei der Prüfung der Identität oder der Prüfung auf Korrektheit der Daten im Zertifikatsantrag oder den Ausweis- und Nachweisdokumenten Unstimmigkeiten auf, die der Zertifikatnehmer nicht zeitnah und restlos ausräumt, wird der Antrag abgelehnt Fristen für die Bearbeitung von Zertifikatsanträgen Richt relevant. 4.3 Ausstellung von Zertifikaten Vorgehen des TSP bei der Ausstellung von Zertifikaten Im Hochsicherheitsbereich des Trustcenters der D-Trust GmbH werden die entsprechenden Zertifikate ausgefertigt. Dabei wird sichergestellt, dass bei der Zertifikatserstellung die korrekte Zeit verwendet wird. Die vollständige Antragsdokumentation wird entweder vom TSP gemäß Abschnitt 5.5 revisionssicher abgelegt oder der TSP schließt vertragliche Vereinbarungen mit Partnern, dass die Antragsunterlagen und/oder Requests sicher und vollständig bis zum Ablauf der Frist nach Abschnitt zu verwahren sind Benachrichtigung des Zertifikatnehmers über die Ausstellung des Zertifikats 4.4 Zertifikatsübergabe Verhalten bei der Zertifikatsübergabe Seite 18 von 42

20 4.4.2 Veröffentlichung des Zertifikats durch den TSP Benachrichtigung anderer PKI-Teilnehmer über die Ausgabe des Zertifikats 4.5 Verwendung des Schlüsselpaars und des Zertifikats Verwendung des privaten Schlüssels und des Zertifikats durch den Zertifikatnehmer Verwendung des öffentlichen Schlüssels und des Zertifikats durch Zertifikatsnutzer 4.6 Zertifikatserneuerung (certificate renewal) Bedingungen für eine Zertifikatserneuerung Haben sich grundsätzliche Änderungen an den Nutzungsbedingungen ergeben, wird der Zertifikatnehmer darüber informiert. Der Zertifikatnehmer bestätigt die neuen Bedingungen. Detaillierte Regelungen sind in der CP festgehalten Berechtigung zur Zertifikatserneuerung Bearbeitung eines Antrags auf Zertifikatserneuerung Benachrichtigung des Zertifikatnehmers über die Ausgabe eines neuen Zertifikats Es gelten die in Abschnitt festgelegten Regelungen Verhalten bei der Ausgabe einer Zertifikatserneuerung Seite 19 von 42

21 4.6.6 Veröffentlichung der Zertifikatserneuerung durch den TSP Benachrichtigung anderer PKI-Teilnehmer über die Erneuerung des Zertifikats 4.7 Zertifikatserneuerung mit Schlüsselerneuerung Bedingungen für Zertifikate mit Schlüsselerneuerung Haben sich grundsätzliche Änderungen an den Nutzungsbedingungen ergeben, wird der Zertifikatnehmer darüber informiert. Der Zertifikatnehmer bestätigt die neuen Bedingungen. Die weiteren Regelungen sind in der CP festgehalten Berechtigung zur Schlüsselerneuerung Bearbeitung von Zertifikatsanträgen für Schlüsselerneuerungen Ein Antrag auf eine Zertifikatserneuerung entspricht einer Sperrung der entsprechenden Karte (HBA oder SMB-C) und eines Antrags auf eine neue Karte Benachrichtigung des Zertifikatnehmers über die Ausgabe eines Nachfolgezertifikats Verhalten für die Ausgabe von Zertifikaten nach Schlüsselerneuerungen Veröffentlichung von Zertifikaten nach Schlüsselerneuerungen durch den TSP-X.509 nonqes Benachrichtigung anderer PKI-Teilnehmer über die Ausgabe eines Nachfolgezertifikats Seite 20 von 42

22 4.8 Zertifikatsänderung Zertifikatsänderungen werden nicht angeboten. 4.9 Sperrung und Suspendierung von Zertifikaten Bedingungen für eine Sperrung Die Sperrung eines Zertifikats wird bei folgenden Ereignissen durchgeführt: auf Verlangen des Zertifikatnehmers bzw. eines berechtigten Sperrantragstellers, Ungültigkeit von Angaben im Zertifikat, wenn der TSP seine Tätigkeit beendet und diese nicht von einem anderen TSP fortgeführt wird, Unabhängig davon kann der TSP Sperrungen veranlassen, wenn: der private Schlüssel der ausstellenden oder einer übergeordneten CA kompromittiert wurde, das Schlüsselpaar sich auf einer Karte (HBA oder SMB-C) befindet, auf der gleichzeitig ein Schlüsselpaar liegt, das zu einem (qualifizierten) Zertifikat gehört, welches gesperrt wird, Schwächen im verwendeten Kryptoalgorithmus bekannt werden, die ernste Risiken für die erlaubten Anwendungen während der Zertifikatslaufzeit darstellen, die eingesetzte Hard- und Software Sicherheitsmängel aufweist, die ernste Risiken für die erlaubten Anwendungen während der Zertifikatslaufzeit darstellen, die eindeutige Zuordnung des Schlüsselpaars zum Zertifikatnehmer nicht mehr gegeben ist, ein Zertifikat aufgrund falscher Angaben erwirkt wurde, der Kunde nach zweimaliger Mahnung mit dem Entgelt in Verzug ist, das Vertragsverhältnis gekündigt oder in sonstiger Weise beendet wurde. Sperrungen enthalten eine Angabe des Zeitpunkts der Sperrung und werden nicht rückwirkend erstellt. Sperrberechtigte müssen sich gemäß Abschnitt 3.4 authentifizieren. Seite 21 von 42

23 4.9.2 Berechtigung zur Sperrung Verfahren für einen Sperrantrag Fristen für einen Sperrantrag Zeitspanne für die Bearbeitung des Sperrantrags durch den TSP Verfügbare Methoden zum Prüfen von Sperrinformationen Häufigkeit der Veröffentlichung von Sperrlisten Maximale Latenzzeit für Sperrlisten Online-Verfügbarkeit von Sperrinformationen Notwendigkeit zur Online-Prüfung von Sperrinformationen Andere Formen zur Anzeige von Sperrinformationen Spezielle Anforderungen bei Kompromittierung des privaten Schlüssels Bedingungen für eine Suspendierung Seite 22 von 42

24 4.10 Statusabfragedienst für Zertifikate Funktionsweise des Statusabfragedienstes Der Statusabfragedienst ist über das Protokoll OCSP verfügbar. Die Erreichbarkeit des Dienstes wird als URL in den Zertifikaten angegeben. Die Formate und Protokolle der Dienste sind in den Abschnitten 7.2 und 7.3 beschrieben Verfügbarkeit des Statusabfragedienstes Optionale Leistungen Keine Austritt aus dem Zertifizierungsdienst Die Gültigkeit eines Zertifikats endet mit dem im Zertifikat vermerkten Termin Schlüsselhinterlegung und wiederherstellung Bedingungen / Verfahren für die Hinterlegung und Wiederherstellung privater Schlüssel Bedingungen / Verfahren für die Hinterlegung und Wiederherstellung von Sitzungsschlüsseln Seite 23 von 42

25 5. Nicht-technische Sicherheitsmaßnahmen Die Beschreibungen dieses Kapitels beziehen sich auf die HBA- und SMC-B-CA, die bei der D-TRUST GMBH betrieben werden. 5.1 Bauliche Sicherheitsmaßnahmen Die D-TRUST GMBH ist akkreditierter Zertifizierungsdiensteanbieter nach deutschem Signaturgesetz. Für die baulichen Sicherheitsmaßnahmen liegt eine detaillierte Dokumentation vor (Sicherheitskonzept des signaturgesetzkonformen Zertifizierungsdiensteanbieters [SiKo-DTR]), die bei begründetem Interesse in den relevanten Teilen eingesehen werden kann. Das Sicherheitskonzept wurde durch eine von der Bundesnetzagentur anerkannte Prüf- und Bestätigungsstelle geprüft. Die Prüfung und Bestätigung wird nach sicherheitserheblichen Veränderungen sowie in regelmäßigen Zeitabständen wiederholt. Teil des Sicherheitskonzepts ist eine detaillierte Dokumentation der baulichen Sicherheits- und Überwachungsmaßnahmen, die im Einzelfall und bei begründetem Interesse in den relevanten Teilen eingesehen werden kann. Ferner wurde dem Sicherheitsbereich des Trustcenters der D-TRUST GMBH durch den TÜV-IT die Anwendung und Umsetzung der Infrastrukturmaßnahmen für hohen Schutzbedarf Level 3 beurkundet (gemäß Prüfkriterienkatalog für Trusted Site Infrastructure ). Mit diesem TÜV-IT-Zertifikat Trusted Site Infrastructure werden alle Infrastruktur-relevanten Aspekte untersucht und bewertet. Diese Prüfung wird alle zwei Jahre wiederholt. Die genannten Zertifikate bestätigen der D-TRUST GMBH diesen hohen Sicherheitsstandard der nicht-technischen Sicherheitsmaßnahmen. Die CAs der hier behandelten Zertifizierungsinfrastruktur werden vom TSP unter den gleichen Bedingungen betrieben wie die CAs der D-TRUST GMBH zur Ausstellung qualifizierter Zertifikate mit Anbieterakkreditierung nach deutschem Signaturgesetz. 5.2 Verfahrensvorschriften Rollenkonzept Teil des Sicherheitskonzeptes ist ein Rollenkonzept [Siko-DTR], in dem Mitarbeiter einer oder mehreren Rollen zugeordnet werden und entsprechende Berechtigungen erhalten. Die Berechtigungen der einzelnen Rollen beschränken sich auf diejenigen, die sie zur Erfüllung ihrer Aufgaben benötigen. Die Zuordnung der Berechtigungen wird regelmäßig revisioniert und umgehend nach Entfall des Bedarfs entzogen. Mitarbeiter, die im Bereich der Zertifizierungs- und Sperrdienste tätig sind, agieren unabhängig und sind frei von kommerziellen/finanziellen Zwängen, die ihre Seite 24 von 42

26 Entscheidungen und Handlungen beeinflussen könnten. Die organisatorische Struktur des TSP berücksichtigt und unterstützt die Mitarbeiter in der Unabhängigkeit ihrer Entscheidungen. Die Identität, Zuverlässigkeit und Fachkunde des Personals wird vor Aufnahme der Tätigkeit überprüft. Regelmäßige und anlassbezogene Schulungen gewährleisten die Kompetenz in den Tätigkeitsbereichen sowie die allgemeine Informationssicherheit. Schulungen und Leistungsnachweise werden dokumentiert. Der TSP erfüllt somit die Forderungen aus Abschnitt 12.1 [GL- BRO] Mehraugenprinzip Besonders sicherheitskritische Vorgänge müssen mindestens im Vier-Augen- Prinzip durchgeführt werden. Dies wird durch technische und organisatorische Maßnahmen wie beispielsweise Zutrittsberechtigungen und Abfrage von Wissen durchgesetzt Identifikation und Authentifizierung für einzelne Rollen Das Rollenkonzept wird durch technische und organisatorische Maßnahmen, wie beispielsweise Zutrittsberechtigungen und Abfrage von Wissen, durchgesetzt. Die durchführende Person muss sich, bevor sie Zugriff auf sicherheitskritische Anwendungen erhält, erfolgreich authentifizieren. Über Event-Logs kann die durchführende Person nachträglich einer Aktion zugeordnet werden; sie ist rechenschaftspflichtig Rollenausschlüsse Das Rollenkonzept sieht diverse Rollenausschlüsse vor, die verhindern, dass eine Person allein ein Zertifikat ausstellen und in den Verzeichnisdienst einstellen kann. 5.3 Eingesetztes Personal Der TSP erfüllt die Anforderungen an das Personal aus dem [SigG] und [SigV] und beschreibt sie im Sicherheitskonzept [SiKo-DTR] Anforderungen an Qualifikation, Erfahrung und Zuverlässigkeit Der TSP gewährleistet, dass die im Bereich des Zertifizierungsdienstes tätigen Personen über die für diese Tätigkeit notwendigen Kenntnisse, Erfahrungen und Fertigkeiten verfügen. Seite 25 von 42

27 5.3.2 Sicherheitsprüfungen Der TSP erfüllt die Anforderungen gemäß 5 (5) SigG und beschreibt sie in seinem Sicherheitskonzept [SiKo-DTR]. So müssen unter anderem regelmäßig Führungszeugnisse vorgelegt werden Schulungen Der TSP schult Personen, die im Zertifizierungsdienst tätig sind Häufigkeit von Schulungen und Belehrungen Der TSP schult Personen, die im Zertifizierungsdienst tätig sind zu Beginn ihres Einsatzes und bei Bedarf Häufigkeit und Folge von Job-Rotation Rollenwechsel werden dokumentiert. Die entsprechenden Mitarbeiter werden geschult. Rollenwechsel finden unter Berücksichtigung des Sicherheitskonzeptes [SiKo-DTR] statt (Zugriffsrecht, Zugriffskontrolle) Maßnahmen bei unerlaubten Handlungen Der TSP schließt unzuverlässige Mitarbeiter von den Tätigkeiten im Zertifizierungsdienst aus Anforderungen an freie Mitarbeiter Freie Mitarbeiter werden nicht eingesetzt Ausgehändigte Dokumentation Umfangreiche Verfahrensanweisungen definieren für alle Produktionsschritte die zuständigen Mitarbeiterrollen und -rechte sowie entsprechende manuelle und maschinelle Prüfungen. Durch die sicherheitstechnische Infrastruktur der D- TRUST ist gewährleistet, dass von diesen definierten Verfahren im Produktionsbetrieb nicht abgewichen werden kann. 5.4 Überwachungsmaßnahmen Der TSP betreibt umfangreiche Überwachungsmaßnahmen (beispielsweise durch Videoüberwachung) zur Absicherung der Zertifizierungsdienstleistungen und deren zugrunde liegenden IT-Systemen und Dokumenten. Diese Maßnahmen sind im Sicherheitskonzept [SiKo-DTR] beschrieben. Die Überwachungsmaßnahmen werden durch organisatorische Regelungen ergänzt. Beispielsweise sieht die Besucherregelung unter anderem vor, dass Besucher mindestens 24 Stunden vor dem Besuch namentlich angemeldet sein müssen und während ihres Besuchs die Personaldokumente abgeben. Im Bereich des Seite 26 von 42

28 Trustcenters müssen Besucher stets in Begleitung eines Mitarbeiters des TSP sein. Ein weiterer Bestandteil des Sicherheitskonzepts ist eine Risikoanalyse, die Bedrohung für den Betrieb des TSP umfassend analysiert sowie Anforderungen und Gegenmaßnahmen definiert. Ferner ist eine Restrisikoanalyse enthalten, in der die Vertretbarkeit des Restrisikos aufgezeigt wird. 5.5 Archivierung von Aufzeichnungen Arten von archivierten Aufzeichnungen Es wird zwischen Aufzeichnungen in elektronischer Form und papierbasierten unterschieden. Archiviert werden die vollständigen Antragsunterlagen (auch Folgeanträge), Dokumente zu Verfahrensrichtlinien (CP, CPS), Zertifikate, Sperrdokumentation, elektronische Dateien und Protokolle zum Zertifikatslebenszyklus. Dabei werden die Vorgänge zeitlich erfasst Aufbewahrungsfristen für archivierte Daten Dokumente zur Antragstellung und Prüfung sowie die Daten zum Zertifikatslebenszyklus von X.509-QES-Zertifikaten sowie die X.509-QES- Zertifikate selbst werden mindestens 30 Jahre nach Ende der Gültigkeit des Zertifikats und bis zum Jahresende aufbewahrt. Dokumente zur Antragstellung und Prüfung sowie die Daten zum Zertifikatslebenszyklus von X.509-nonQES- Zertifikaten sowie die X.509-nonQES-Zertifikate selbst werden mindestens fünf Jahre nach Ende der Gültigkeit des Zertifikats und bis zum Jahresende aufbewahrt 1. Die Frist beginnt nach Ablauf der Gültigkeit des Zertifikates, das zuletzt auf der Basis dieser Dokumente ausgestellt wurde Sicherung des Archivs Das Archiv befindet sich in gesicherten Räumen und unterliegt dem Rollen- und Zutrittskontrollkonzept des TSP Datensicherung des Archivs Vertraulichkeit und Integrität der Daten werden gewahrt. Die Dokumentation erfolg unverzüglich, so dass sie nachträglich nicht unbemerkt verändert werden kann. Die Datenschutzanforderungen aus Bundes- und Landesrecht werden nachweislich eingehalten. 1 Sind auf dem Token zusätzlich zu den nicht-qualifizierten Zertifikaten der Root-PKI weitere Endnutzerzertifikate (qualifizierte oder qualifizierte mit Anbieterakkreditierung), ist gelten die in Aufbewahrungsfristen dieser Zertifikate. Seite 27 von 42

29 5.5.5 Anforderungen zum Zeitstempeln von Aufzeichnungen Der TSP betreibt keinen Zeitstempeldienst in der TI Archivierung (intern / extern) Die Archivierung erfolgt intern beim TSP sowie extern in gleichwertig gesicherten Räumen Verfahren zur Beschaffung und Verifikation von Archivinformationen Das Verfahren zur Beschaffung und Verifikation von Archivinformationen unterliegt dem Rollenkonzept des TSP. 5.6 Schlüsselwechsel beim TSP Eine angemessene Zeit vor Ablauf einer CA werden neue CA-Schlüssel generiert, neue CA-Instanzen aufgesetzt und veröffentlicht. 5.7 Kompromittierung und Geschäftsweiterführung beim TSP Behandlung von Vorfällen und Kompromittierungen Der TSP verfügt über ein Notfallkonzept sowie einen Wiederanlaufplan, die den beteiligten Rollen bekannt sind und von ihnen im Bedarfsfall umgesetzt werden. Die Verantwortlichkeiten sind klar verteilt und bekannt Wiederherstellung nach Kompromittierung von Ressourcen Das Sicherheitskonzept beschreibt die Durchführung von Recovery-Prozeduren Kompromittierung des privaten CA-Schlüssels Im Fall einer Kompromittierung oder der Bekanntgabe von Insuffizienz von Algorithmen oder assoziierten Parametern durch die Herausgeber der maßgeblichen Kataloge nach Abschnitt 6.1.6, veranlasst der TSP folgendes: betroffenen CA-Zertifikate sowie deren ausgestellte und bisher nicht ausgelaufene Zertifikate werden gesperrt, involvierte Zertifikatnehmer werden über den Vorfall und dessen Auswirkungen informiert, der Vorfall wird auf den Webseiten des TSP veröffentlicht mit dem Hinweis, dass Zertifikate, die von dieser CA ausgestellt wurden, ihre Gültigkeit verlieren. Aus der Analyse der Gründe für die Kompromittierung werden, wenn möglich, Maßnahmen ergriffen, um zukünftige Kompromittierungen zu vermeiden. Unter Berücksichtigung der Gründe für die Kompromittierung werden neue CA- Signaturschlüssel generiert und neue CA-Zertifikate ausgestellt. Seite 28 von 42

30 5.7.4 Möglichkeiten zur Geschäftsweiterführung nach Kompromittierung und Desaster In einem Notfall entscheidet der TSP je nach Art des Vorfalls, ob ein Recovery des in Abschnitt beschriebene Backups der CA durchgeführt oder bei Kompromittierung gemäß Abschnitt verfahren wird. 5.8 Schließung des TSP Bei Beendigung der Dienste von CAs informiert der TSP alle Zertifikatnehmer und beendet alle Zugriffsmöglichkeiten von Unterauftragnehmern des TSP in Bezug auf die betroffenen CAs. Nach Ankündigung der Einstellung des Betriebs werden keine Zertifikate mehr ausgestellt, deren Gültigkeit über den Termin der Einstellung des Betriebs hinausgeht. Alle noch gültigen und von den betroffenen CAs ausgestellten Zertifikate werden zum Zeitpunkt der Betriebseinstellung gesperrt. Betroffene private CA-Schlüssel werden zerstört. Der Verzeichnisdienst und Dokumente zur Antragstellung von X.509-QES- Zertifikaten werden an die Bundesdruckerei GmbH übergeben und unter equivalenten Bedingungen weitergeführt. Die Aufrechterhaltung des Verzeichnisdienstes wird bis Ablauf der Gültigkeit des X.509-QES-Zertifikats zugesichert und entweder einem anderen TSP oder der Bundesdruckerei GmbH übergeben. Der Verzeichnisdienst und Dokumente zur Antragstellung von X.509-nonQES- Zertifikaten werden an die gematik mbh übergeben und unter equivalenten Bedingungen weitergeführt. Mit Beendigung des Betriebes wird alle Funktionalität der CAs eingestellt, so dass eine Zertifizierung nicht mehr möglich ist. Seite 29 von 42

31 6. Technische Sicherheitsmaßnahmen Die Beschreibungen dieses Kapitels beziehen sich auf die HBA-CA und SMBC-CA, die bei der D-TRUST GMBH betrieben werden. 6.1 Erzeugung und Installation von Schlüsselpaaren An dieser Stelle wwerden Schlüsselpaare für die Zertifikate von HBA und SMB-C betrachtet Erzeugung von Schlüsselpaaren Schlüssel werden vom TSP kryptographisch sicher erzeugt und entsprechen den Vorgaben von CP und CPS. Werden Schlüssel und Zertifikate auf Karten aufgebracht, verfährt der TSP bei der Beschaffung, Lagerung, Personalisierung und beim PIN-Handling wie im qualifizierten Betrieb SigG-konform und gemäß Sicherheitskonzept der D-TRUST GMBH. Der TSP kann Dritte mit der Schlüsselgenerierung und Personalisierung der Chipkarte beauftragen, die ein SigG-konformes Sicherheitskonzept vorweisen. Der TSP betreibt seinerseits eine SigG-konforme Schnittstelle zu diesen externen Personalisierern Lieferung privater Schlüssel an Zertifikatnehmer Werden die privaten Schlüssel beim TSP erzeugt, werden sie gemäß Abschnitt zugestellt Lieferung öffentlicher Schlüssel an Zertifikatsherausgeber Nicht relevant Lieferung öffentlicher CA-Schlüssel an Zertifikatsnutzer Der öffentliche Schlüssel der CA ist im CA-Zertifikat enthalten. Dieses Zertifikat befindet sich i. d. R. auf der Karte (HBA oder SMC-B), die dem Zertifikatnehmer übergeben wird. Darüber hinaus können die CA-Zertifikate aus dem öffentlichen Verzeichnis (siehe Abschnitt 2.1) bezogen werden, in dem sie nach ihrer Erstellung veröffentlicht werden Schlüssellängen Für CA-Zertifikate werden derzeit RSA-Schlüssel mit einer Schlüssellänge von mindestens 2048 Bit verwendet. Seite 30 von 42

32 Für die Endanwender Zertifikate auf HBA und SMC-B werden derzeit RSA- Schlüssel mit einer Schlüssellänge von mindestens 2048 Bit verwendet Festlegung der Schlüsselparameter und Qualitätskontrolle CA- und Endanwender-Zertifikate werden auf Grundlage von Schlüsseln ausgestellt, die den Vorgaben der Gematik in der aktuell gültigen Fassung entsprechen, soweit Kompatibilität im Verwendungsumfeld gewährleistet ist. Signatur- und Verschlüsselungsalgorithmus sind im Abschnitt 7 CPS genannt Schlüsselverwendungen Private CA-Schlüssel werden ausschließlich zum Signieren von Zertifikaten und Sperrlisten benutzt (siehe Abschnitt 7). Die Schlüssel dürfen nur für die im Zertifikat benannten Nutzungsarten verwendet werden. Die Nutzungsarten werden in den Feldern KeyUsage und ExtKey- Usage im Zertifikat definiert und ggf. durch weitere Extentions eingeschränkt (siehe Abschnitt 7). 6.2 Sicherung des privaten Schlüssels und krytographische Module Standards und Sicherheitsmaßnahmen für kryptographische Module Die vom TSP eingesetzten kryptographischen Module funktionieren einwandfrei. Während des gesamten Lebenszyklus (einschließlich Lieferung und Lagerung) werden die Module durch technische und organisatorische Maßnahmen vor unbefugter Manipulation geschützt. Zur Sicherung der CA-Schlüssel wird ein HSM eingesetzt, das entsprechend FIPS Level 3 evaluiert wurde. Der TSP betreibt geeignete hard- und softwarebasierte Schlüsselgeneratoren um die Qualität der Schlüssel zu sichern Mehrpersonen-Zugriffssicherung zu privaten Schlüsseln (n von m) Das HSM, auf dem die CA-Schlüssel aufbewahrt werden, befindet sich in der sicheren Umgebung des Trustcenters. Die Aktivierung des privaten Schlüssels erfordert zwei autorisierte Personen. Nach der Aktivierung kann das HSM beliebig viele Zertifikate signieren. Ein Zugriff auf private Schlüssel besteht nur im Ausnahmefall einer Schlüsselhinterlegung gemäß Abschnitt Seite 31 von 42

33 6.2.3 Hinterlegung privater Schlüssel (key escrow) Private CA-Schlüssel werden nicht bei Dritten hinterlegt. In Ausnahmefällen kann das Hinterlegen privater Schlüssel durch den Kunden, für den die CA betrieben wird, schriftlich beantragt werden Backup privater Schlüssel Es ist ein Backup der privaten CA-Schlüssel vorhanden. Ein CA-Schlüssel-Backup erfordert zwei für diese Tätigkeit am HSM autorisierte Personen und findet in der sicheren Umgebung des Trustcenters statt. Für das Backupsystem gelten die gleichen Voraussetzungen und Sicherungsmaßnahmen wie für das Produktivsystem. Eine Wiederherstellung privater Schlüssel erfordert ebenfalls zwei autorisierte Personen. Weitere Kopien der privaten CA-Schlüssel existieren nicht Archivierung privater Schlüssel Private CA- und Schlüssel werden nicht archiviert Transfer privater Schlüssel in oder aus kryptographischen Modulen Ein Transfer privater CA-Schlüssel in oder aus dem HSM erfolgt nur zu Backupund Wiederherstellungszwecken. Ein 4-Augen-Prinzip wird erzwungen. Bei Export/Import in ein anderes HSM schützt eine Verschlüsselung den privaten CA- Schlüssel. Ein Transfer privater Schlüssel aus dem kryptographischen Modul kann erfolgen, wenn der Zertifikatnehmer nachweist, dass er nach Abschnitt berechtig ist, den Schlüssel wiederzuverwenden und der Transfer technisch möglich ist. Der Schlüssel verlässt das Modul nie im Klartext Speicherung privater Schlüssel in kryptographischen Modulen Die privaten CA-Schlüssel liegen verschlüsselt im HSM vor Aktivierung privater Schlüssel Die privaten CA-Schlüssel können nur im 4-Augen-Prinzip und von den zuständigen Rollen und für die zulässigen Nutzungsarten (keycertsign, crlsign) aktiviert werden. Private Schlüssel werden durch Eingabe der PIN aktiviert Deaktivieren privater Schlüssel Die privaten CA-Schlüssel werden durch Beendigung der Verbindung zwischen HSM und Anwendung deaktiviert. Seite 32 von 42

34 Die jeweilige Anwendung deaktiviert den privaten Schlüssel, spätestens aber das Ziehen der Karte aus dem Kartenleser. Eine dauerhafte Deaktivierung der privaten Schlüssel auf Chipkarten erfolgt, wenn die PIN-Eingabe aufeinander folgend mehrfach fehlerhaft ist. Die Anzahl der Reaktivierungsvorgänge der Karte durch Eingabe der PUK ist begrenzt. Mehrfachsignaturkarten verfügen nicht über eine PUK Zerstörung privater Schlüssel Nach Ablauf der Gültigkeit der privaten CA-Schlüssel werden diese gelöscht. Dies erfolgt durch Löschen auf dem HSM und gleichzeitigem Löschen der auf Datenträgern angelegten Backups. Bei Stilllegung des HSMs werden die privaten Schlüssel auf dem Gerät gelöscht. Wird der Chip der Karte zerstört oder werden die Dateien, die den privaten Schlüssel enthalten, gelöscht, so ist der private Schlüssel zerstört. Die Zerstörung beim TSP hinterlegter Schlüssel (nach Abschnitt ) kann beantragt werden Beurteilung kryptographischer Module Der TSP betreibt geeignete hard- und softwarebasierte Schlüsselgeneratoren um die Qualität der Schlüssel zu sichern. Die eingesetzten HSM sind FIPS Level 3 konform. 6.3 Andere Aspekte des Managements von Schlüsselpaaren Archivierung öffentlicher Schlüssel Öffentliche CA- und Schlüssel werden gemäß Sicherheitskonzept in Form der erstellten Zertifikate archiviert Gültigkeitsperioden von Zertifikaten und Schlüsselpaaren Die Gültigkeitsdauer der CA-Schlüssel und Zertifikate beträgt 8 Jahre. Die Gültigkeitsdauer der Schlüssel und Zertifikate beträgt 5 Jahre. 6.4 Aktivierungsdaten Erzeugung und Installation von Aktivierungsdaten Die Aktivierungsdaten der CA-Schlüssel werden durch das HSM abgefragt. PIN- Vergabe erfolgt während der Bootstrap-Prozedur. Ein 4-Augen-Prinzip wird erzwungen. Erzeugt der TSP die Schlüssel für den Zertifikatsnehmer, wird entweder ein Transport-PIN-Verfahren genutzt oder die PINs werden in einen PIN-Brief ge- Seite 33 von 42

35 druckt und an den Zertifikatnehmer versandt oder übergeben. Eine Installation ist nicht erforderlich Schutz von Aktivierungsdaten Die Aktivierungsdaten der CA-Schlüssel setzen sich aus zwei Geheimnissen zusammen, von denen jeweils ein berechtigter Mitarbeiter eines kennt. Der Zugriff auf die Aktivierungsdaten ist nur bestimmten vorgesehenen Mitarbeitern möglich. Beim Transport-PIN-Verfahren ist die Unversehrtheit der Karte für den Zertifikatsnehmer über die Transport-PIN erkennbar. In anderen Verfahren werden die PINs einmalig in einen besonders gesicherten PIN-Brief gedruckt und an den Zertifikatnehmer versandt oder übergeben Andere Aspekte von Aktivierungsdaten Produktspezifisch wird Zertifikatnehmern mit Signaturkarte zusätzlich zu der PIN eine Personal Unblocking Key-Nummer (PUK) zum Entsperren der Signaturkarte (nach dreimaliger Fehleingabe der PIN) angeboten. Mehrfachsignaturkarten verfügen nicht über eine PUK. 6.5 Sicherheitsmaßnahmen in den Rechneranlagen Spezifische technische Sicherheitsanforderungen in den Rechneranlagen Die vom TSP eingesetzten Computer, Netze und andere Komponenten stellen in der eingesetzten Konfiguration sicher, dass nur Aktionen durchgeführt werden können, die nicht im Widerspruch zu CP und den Vorgaben der Telematikinfrastruktur der Gematik stehen. Die Computersicherheit des TSP wird für exponierte Systeme u.a. durch mehrstufige Sicherheitssysteme zum Zwecke des perimetrischen Virenschutzes, Endpoint-Protection und integritätssichernde Werkzeuge sichergestellt. Zertifikatnehmer und Zertifikatsnutzer müssen vertrauenswürdige Computer und Software verwenden Beurteilung von Computersicherheit Die für die CA-Schlüssel eingesetzten Computer, Netze und andere Komponenten wurden durch eine von der Bundesnetzagentur anerkannte Prüf- und Bestätigungsstelle geprüft. Seite 34 von 42

36 6.6 Technische Maßnahmen während des Life Cycles Sicherheitsmaßnahmen bei der Entwicklung Bei der Entwicklung aller vom TSP oder im Auftrag des TSP durchgeführter Systementwicklungsprojekte werden Sicherheitsanforderungen im Entwurfsstadium analysiert. Die gewonnenen Erkenntnisse werden als Anforderungen bei der Entwicklung festgelegt Sicherheitsmaßnahmen beim Computermanagement Ausschließlich entsprechend dem Rollenkonzept (des Sicherheitskonzepts des signaturgesetzkonformen ZDAs D-TRUST GMBH) autorisiertes Personal darf Computer, Netze und andere Komponenten administrieren. Es findet eine regelmäßige Auswertung von Logfiles auf Regelverletzungen, Angriffsversuche und andere Vorfälle statt. Überwachungsmaßnahmen beginnen mit Inbetriebnahme eines Gerätes und enden mit dessen Entsorgung Sicherheitsmaßnahmen während des Life Cycles Eingesetzte Geräte werden gemäß Herstellerangaben betrieben. Vor Inbetriebnahme werden sie eingehend geprüft und kommen nur zum Einsatz, wenn zweifelsfrei feststeht, dass sie nicht manipuliert wurden. Durch Versiegelung der Hardware und Softwarechecks beispielsweise werden Manipulationen und Manipulationsversuche bei jeder Aktion oder Revision erkennbar. Bei Verdacht auf Manipulation einer Komponente, wird eine ggf. geplante Aktion an der Komponente nicht durchgeführt und der Vorfall dem TSP-Leiter gemeldet. Um kurzfristig und koordiniert auf eventuelle sicherheitsrelevante Vorfälle reagieren zu können, definiert der TSP klare Eskalationsrichtlinien für die einzelnen Rollen. Kapazitätsanforderungen und -auslastungen sowie Eignung der beteiligten Systeme werden überwacht und bei Bedarf angeglichen. Ausgetauschte Geräte oder obsolete Datenträger werden derart außer Betrieb genommen und entsorgt, dass Funktionalitäts- oder Datenmissbrauch ausgeschlossen wird. Änderungen an Systemen, Software oder Prozessen durchlaufen einen Change-Management- Prozess. Sicherheitskritische Änderungen werden durch den Sicherheitsbeauftragten geprüft. Nach Ablauf der Gültigkeit von CAs werden die privaten Schlüssel vernichtet. Elektronische Daten oder papiergebundene Protokolle dokumentieren alle relvanten Ereignisse, die den Life-Cycle der CA sowie der ausgestellten Zertifikate und generierten Schlüssel beeinflussen und werden auf langlebigen Medien revisionssicher gespeichert. Die Medien des Unternehmens werden entsprechend ihrer Kassifizierung im Rahmen der Dokumentationsrichtlinie des TSP zuverlässig vor Schaden, Entwendung, Verlust oder Kompromittierung geschützt. Seite 35 von 42

Zertifikatsrichtlinie der D-TRUST-V-PKI der D-TRUST GmbH. Version 1.1

Zertifikatsrichtlinie der D-TRUST-V-PKI der D-TRUST GmbH. Version 1.1 Zertifikatsrichtlinie der D-TRUST-V-PKI der D-TRUST GmbH Version 1.1 Erscheinungsdatum 19.05.2008 Datum des Inkrafttretens 19.05.2008 Vermerk zum Copyright Zertifikatsrichtlinie der D-TRUST-V-PKI der D-TRUST

Mehr

D-TRUST Telematik-Infrastruktur Certification Policy. Version 1.0

D-TRUST Telematik-Infrastruktur Certification Policy. Version 1.0 D-TRUST Telematik-Infrastruktur Certification Policy Version 1.0 Erscheinungsdatum 01.05.2015 Datum des Inkrafttretens 01.05.2015 Vermerk zum Copyright D-TRUST Telematik-Infrastructure Certification Policy

Mehr

Zertifizierungsrichtlinie der BTU Root CA

Zertifizierungsrichtlinie der BTU Root CA Brandenburgische Technische Universität Universitätsrechenzentrum BTU Root CA Konrad-Wachsmann-Allee 1 03046 Cottbus Tel.: 0355 69 3573 0355 69 2874 der BTU Root CA Vorbemerkung Dies ist die Version 1.3

Mehr

Certification Practice Statement der D-TRUST-Root PKI. Version 1.10

Certification Practice Statement der D-TRUST-Root PKI. Version 1.10 Certification Practice Statement der D-TRUST-Root PKI Version 1.10 Erscheinungsdatum 01.05.2014 Datum des Inkrafttretens 01.05.2014 Vermerk zum Copyright Certification Practice Statement der D-TRUST-Root

Mehr

Zertifikatsrichtlinie der D-TRUST-Root PKI. Version 1.8

Zertifikatsrichtlinie der D-TRUST-Root PKI. Version 1.8 Zertifikatsrichtlinie der D-TRUST-Root PKI Version 1.8 Erscheinungsdatum 30.10.2013 Datum des Inkrafttretens 30.10.2013 Vermerk zum Copyright Zertifikatsrichtlinie der D-TRUST-Root PKI 2013 D-TRUST GMBH,

Mehr

der DLR CA Deutsches Zentrum für Luft- und Raumfahrt e.v. CPS V1.2 12.06.2006

der DLR CA Deutsches Zentrum für Luft- und Raumfahrt e.v. CPS V1.2 12.06.2006 Erklärung zum Zertifizierungsbetrieb der DLR CA in der DFN-PKI Deutsches Zentrum für Luft- und Raumfahrt e.v. CPS V1.2 12.06.2006 Deutsches Zentrum für Luft- und Raumfahrt e.v.seite 1 CPS V1.2, 12.06.2006

Mehr

Erklärung zum Zertifizierungsbetrieb der TU Dortmund Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der TU Dortmund Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global - Erklärung zum Zertifizierungsbetrieb der TU Dortmund Chipcard CA in der DFN-PKI - Sicherheitsniveau: Global - Technische Universität Dortmund CPS der TU Dortmund Chipcard CA V1.3 01.10.2011 1 Einleitung

Mehr

Elektronischer Zahnarztausweis

Elektronischer Zahnarztausweis Elektronischer Policy Version 1.0 Bundeszahnärztekammer, 17.12.2012 Object-Identifier (OID) 1.2.276.0.76.4.147 2 / 11 AUTOREN: Jochen Gottsmann, BZÄK Dokumentvariablen ÄNDERUNGSHISTORIE Datum Version Autor

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen DATEV eg Paumgartnerstraße 6-14 90329 Nürnberg für die Zertifizierungsdienste DATEV STD, INT und BT CAs die

Mehr

Certification Practice Statement der D-TRUST-Root PKI. Version 1.1

Certification Practice Statement der D-TRUST-Root PKI. Version 1.1 Certification Practice Statement der D-TRUST-Root PKI Version 1.1 Erscheinungsdatum 18.12.2008 Datum des Inkrafttretens 18.12.2008 Vermerk zum Copyright Certification Practice Statement der D-TRUST-Root

Mehr

Erklärung zum Zertifizierungsbetrieb der DLR-CA in der DFN-PKI

Erklärung zum Zertifizierungsbetrieb der DLR-CA in der DFN-PKI Erklärung zum Zertifizierungsbetrieb der DLR-CA in der DFN-PKI - Sicherheitsniveau: Global - Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) CPS der DLR-CA V2.3 18.07.2007 CPS der DLR-CA Seite 1/6

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen D-TRUST GmbH Kommandantenstraße 15 10969 Berlin für den Zertifizierungsdienst D-TRUST SSL Class 3 CA die Erfüllung

Mehr

Zertifikatsrichtlinie der D-TRUST-Root PKI. Version 1.1

Zertifikatsrichtlinie der D-TRUST-Root PKI. Version 1.1 Zertifikatsrichtlinie der D-TRUST-Root PKI Version 1.1 Erscheinungsdatum 18.12.2008 Datum des Inkrafttretens 18.12.2008 Vermerk zum Copyright Zertifikatsrichtlinie der D-TRUST-Root PKI 2008 D-TRUST GMBH,

Mehr

Verordnung zur digitalen Signatur (Signaturverordnung - SigV)

Verordnung zur digitalen Signatur (Signaturverordnung - SigV) Verordnung zur digitalen Signatur (Signaturverordnung - SigV) Aufgrund des 16 des Signaturgesetzes vom 22. Juli 1997 (BGBl. I S. 1870, 1872) verordnet die Bundesregierung: Inhaltsübersicht 1 Verfahren

Mehr

Bitte beachten Sie: Nur Inhaber oder Geschäftsführer eines Unternehmens können eine IN- SIKA-Smartcard beantragen.

Bitte beachten Sie: Nur Inhaber oder Geschäftsführer eines Unternehmens können eine IN- SIKA-Smartcard beantragen. INSIKA-SMARTCARD FÜR TAXIUNTERNEHMEN WAS IST DIE INSIKA-SMARTCARD? Die INSIKA-Smartcard sichert die Taxameter-Daten ab: Die Daten können im Nachhinein nicht mehr unbemerkt manipuliert und gefälscht werden.

Mehr

Thüringer Landesrechenzentrum RA Thüringen Postfach 80 03 05 99029 Erfurt. Benutzeranleitung zum Erstellen einer TCOS-Karte mit Zertifikat der DOI-CA

Thüringer Landesrechenzentrum RA Thüringen Postfach 80 03 05 99029 Erfurt. Benutzeranleitung zum Erstellen einer TCOS-Karte mit Zertifikat der DOI-CA Thüringer Landesrechenzentrum RA Thüringen Postfach 80 03 05 99029 Erfurt Benutzeranleitung zum Erstellen einer TCOS-Karte mit Zertifikat der DOI-CA Inhalt 1 Einleitung... 3 2 Prozess der Zertifikatsbeantragung...

Mehr

Erklärung zum Zertifizierungsbetrieb der GRS CA in der DFN-PKI

Erklärung zum Zertifizierungsbetrieb der GRS CA in der DFN-PKI Erklärung zum Zertifizierungsbetrieb der GRS CA in der DFN-PKI - Sicherheitsniveau: Global - Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbh CPS der GRS CA V2.1 12.07.2011 CPS der GRS CA Seite

Mehr

Zertifikatsrichtlinie der D-TRUST-Root PKI. Version 1.9

Zertifikatsrichtlinie der D-TRUST-Root PKI. Version 1.9 Zertifikatsrichtlinie der D-TRUST-Root PKI Version 1.9 Erscheinungsdatum 01.05.2014 Datum des Inkrafttretens 01.05.2014 Vermerk zum Copyright Zertifikatsrichtlinie der D-TRUST-Root PKI 2013 D-TRUST GMBH,

Mehr

Zertifikatsrichtlinie der D-TRUST-Root PKI. Version 1.7

Zertifikatsrichtlinie der D-TRUST-Root PKI. Version 1.7 Zertifikatsrichtlinie der D-TRUST-Root PKI Version 1.7 Erscheinungsdatum 07.02.2013 Datum des Inkrafttretens 07.02.2013 Vermerk zum Copyright Zertifikatsrichtlinie der D-TRUST-Root PKI 2013 D-TRUST GMBH,

Mehr

Funktionale Spezifikation der OCSP Responder für die PKI der e-arztausweise Version 2.3.2

Funktionale Spezifikation der OCSP Responder für die PKI der e-arztausweise Version 2.3.2 Seite 1 von 9 Funktionale Spezifikation der der e-arztausweise Version Bundesärztekammer, Berlin Identifikation des Dokuments: Funktionale Spezifikation der, Bundesärztekammer Revisions-Datum.: 12.05.2011

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) (Auszug)

Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) (Auszug) Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) (Auszug) 1. Abschnitt Gegenstand und Begriffsbestimmungen Gegenstand und Anwendungsbereich 1. (1) Dieses Bundesgesetz regelt den rechtlichen

Mehr

Deutsche Post Com GmbH Geschäftsfeld Signtrust

Deutsche Post Com GmbH Geschäftsfeld Signtrust Certification Practice Statement (CPS) für qualifizierte und nicht qualifizierte Zertifikate auf der Signtrust CARD Zertifizierungsdiensteanbieter Deutsche Post Com Version: 1.6 Stand: 01.07.2009 Status:

Mehr

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der RWTÜV-Gruppe - Zertifizierungsstelle Am Technologiepark 1.

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der RWTÜV-Gruppe - Zertifizierungsstelle Am Technologiepark 1. Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. 7 und 17 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen und 11 Abs. 3 Verordnung zur elektronischen

Mehr

Certificate-Policy für SMC Typ B Version 1.0 des Krankenhaus-Sektors

Certificate-Policy für SMC Typ B Version 1.0 des Krankenhaus-Sektors Certificate-Policy für SMC Typ B Version 1.0 des Krankenhaus-Sektors Stand: 20090313h 1 1 EINLEITUNG... 4 1.1 Überblick... 4 1.2 Identifikation des Dokuments... 4 1.3 Teilnehmer der Zertifizierungsinfrastruktur...

Mehr

Zertifikatsrichtlinie der D-TRUST GmbH. Version 2.0

Zertifikatsrichtlinie der D-TRUST GmbH. Version 2.0 Zertifikatsrichtlinie der D-TRUST GmbH Version 2.0 Erscheinungsdatum 23.02.2015 Datum des Inkrafttretens 23.02.2015 Vermerk zum Copyright Zertifikatsrichtlinie der D-TRUST GmbH 2015 D-TRUST GMBH, alle

Mehr

Bitte beachten Sie: Nur Inhaber oder Geschäftsführer eines Unternehmens können eine IN- SIKA-Smartcard beantragen.

Bitte beachten Sie: Nur Inhaber oder Geschäftsführer eines Unternehmens können eine IN- SIKA-Smartcard beantragen. Wichtige Informationen zur INSIKA-Smartcard INSIKA-SMARTCARD FÜR TAXIUNTERNEHMEN WAS IST DIE INSIKA-SMARTCARD? Die INSIKA-Smartcard sichert die Taxameter-Daten ab: Die Daten können im Nachhinein nicht

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen TC TrustCenter GmbH Sonninstraße 24-28 20097 Hamburg für den Zertifizierungsdienst TC TrustCenter Class 2

Mehr

Fragenkatalog 2 vom 3. Juli 2015:

Fragenkatalog 2 vom 3. Juli 2015: Deutsches Patent- und Markenamt für das Offene Verfahren Signaturkarten und Signaturkartenlesegeräte für qualifizierte Signaturen (BUL 33/15) Fragenkatalog 2 vom 3. Juli 2015: Nr. Bezug (z.b. Teil I; Kap.

Mehr

Trustcenter der Deutschen Rentenversicherung

Trustcenter der Deutschen Rentenversicherung Trustcenter der Deutschen Rentenversicherung Certificate Policy und Certification Practice Statement für nicht-qualifizierte Serverzertifikate der Wurzelzertifizierungsstelle der Deutschen Rentenversicherung

Mehr

Certification Practice Statement for the S-TRUST Network (S-TRUST Network-CPS) - Zertifikatsrichtlinien für das S-TRUST Netzwerk -

Certification Practice Statement for the S-TRUST Network (S-TRUST Network-CPS) - Zertifikatsrichtlinien für das S-TRUST Netzwerk - Certification Practice Statement for the S-TRUST Network (S-TRUST Network-CPS) - Zertifikatsrichtlinien für das S-TRUST Netzwerk - Dokumentenhistorie Version Datum Beschreibung/ Änderungsgrund 1.11 23.01.2014

Mehr

Zertifikatsrichtlinie des nicht-hoheitlichen Document Verifiers der D-Trust GmbH (BerCA) Version 1.3

Zertifikatsrichtlinie des nicht-hoheitlichen Document Verifiers der D-Trust GmbH (BerCA) Version 1.3 Zertifikatsrichtlinie des nicht-hoheitlichen Document Verifiers der D-Trust GmbH (BerCA) Version 1.3 Erscheinungsdatum 22.06.2011 Datum des Inkrafttretens 01.07.2011 Vermerk zum Copyright Zertifikatsrichtlinie

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen TC TrustCenter GmbH Sonninstraße 24-28 20097 Hamburg für den Zeitstempeldienst Time Stamping Authority (TSA)

Mehr

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Seite 1 von 6 Autor: G. Raptis Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Gültigkeitsmodelle beschreiben den Algorithmus nach dem ein Client oder Dienst entscheidet,

Mehr

Erklärung zum Zertifizierungsbetrieb der HvS PKI

Erklärung zum Zertifizierungsbetrieb der HvS PKI Erklärung zum Zertifizierungsbetrieb der HvS PKI HvS-Consulting AG Seite 1 von 10 Freigabe Datum Erstellt: Marc Ströbel Technical Security Consultant HvS-Consulting AG Genehmigt: Michael Hochenrieder Vorstand

Mehr

Information der Ärztekammer Hamburg zum earztausweis. Beantragung und Herausgabe des elektronischen Arztausweises

Information der Ärztekammer Hamburg zum earztausweis. Beantragung und Herausgabe des elektronischen Arztausweises Information der Ärztekammer Hamburg zum earztausweis Beantragung und Herausgabe des elektronischen Arztausweises 1 Wozu dient der elektronische Arztausweis? Sichtausweis ersetzt den bisherigen Papierausweis

Mehr

Ermächtigung. Rechenzentrum Universität Stuttgart

Ermächtigung. Rechenzentrum Universität Stuttgart Ermächtigung Hiermit beauftrage ich den/die unten aufgeführte/n Mitarbeiter/in, im Namen meines Instituts/meiner Einrichtung Leistungen für folgende Dienste zu beantragen: Active Directory/Windows Support

Mehr

Anleitung. zur Beantragung von Zertifikaten aus der DOI-CA/Niedersachsen für das EGVP-Backend und weitere Fachverfahren

Anleitung. zur Beantragung von Zertifikaten aus der DOI-CA/Niedersachsen für das EGVP-Backend und weitere Fachverfahren Anleitung zur Beantragung von Zertifikaten aus der DOI-CA/Niedersachsen für das EGVP-Backend und weitere Fachverfahren INHALT SEITE 1. ZUGANG ZUM PORTAL DER DOI-CA/NIEDERSACHSEN...2 2. BEANTRAGUNG VON

Mehr

Gemeinsame Zertifizierungs- Richtlinie für Teilnehmer der gematik- TSL zur Herausgabe von X.509-

Gemeinsame Zertifizierungs- Richtlinie für Teilnehmer der gematik- TSL zur Herausgabe von X.509- Einführung der Gesundheitskarte - Certificate Policy - Gemeinsame Zertifizierungs- Richtlinie für Teilnehmer der gematik- TSL zur Herausgabe von X.509- ENC/AUT/OSIG-Zertifikaten Version: 1.0.0 Stand: 16.10.2006

Mehr

Unterrichtung gemäß Signaturgesetz. Fit für die qualifizierte elektronische Signatur. Stand 03 15

Unterrichtung gemäß Signaturgesetz. Fit für die qualifizierte elektronische Signatur. Stand 03 15 Unterrichtung gemäß Signaturgesetz Fit für die qualifizierte elektronische Signatur Stand 03 15 2 Diese Unterrichtungsunterlagen Wir möchten, dass Sie über Ihre elektronische Signatur Bescheid wissen.

Mehr

Certification Practice Statement der D-TRUST CSM PKI

Certification Practice Statement der D-TRUST CSM PKI Certification Practice Statement der D-TRUST CSM PKI Version 1.0 Erscheinungsdatum Datum des Inkrafttretens 09.02.2015 09.02.2015 Vermerk zum Copyright Certification Practice Statement der D-TRUST CSM

Mehr

Whitepaper D-TRUST onlinera 2010

Whitepaper D-TRUST onlinera 2010 Whitepaper D-TRUST onlinera 2010 Bundesdruckerei GmbH c/o D-TRUST GmbH Kommandantenstraße 15 D - 10969 Berlin www.d-trust.net E-Mail: vertrieb@bdr.de Tel.: +49 (0) 30 / 25 98-0 Fax: + 49 (0) 30 / 25 98-22

Mehr

Für die Ausgabe der Zertifikate betreibt die Hochschule Ulm eine Registrierungsstelle (RA).

Für die Ausgabe der Zertifikate betreibt die Hochschule Ulm eine Registrierungsstelle (RA). Inhaltsverzeichnis 1 Einleitung...2 1.1 Identifikation des Dokuments...2 2. Zertifikate...2 2.2 Server-Zertifikate...2 2.2.1 Antrag...2 2.2.1.1 Erzeugung des Antrags...3 2.2.1.1.1 Erzeugung des Antrags

Mehr

Information der Landesärztekammer Brandenburg zum earztausweis Beantragung und Herausgabe des elektronischen Arztausweises

Information der Landesärztekammer Brandenburg zum earztausweis Beantragung und Herausgabe des elektronischen Arztausweises Information der zum earztausweis Beantragung und Herausgabe des elektronischen Arztausweises Aktuelle Rahmenbedingungen zum earztausweis 1. Zurzeit können elektronische Arztausweise der Generation 0 produziert

Mehr

PKI für CV-Zertifikate

PKI für CV-Zertifikate Einführung der Gesundheitskarte PKI für CV-Zertifikate Version: 1.4.0 Stand: 19.03.2008 Status: freigegeben gematik_pki_cv-zertifikate V1.4.0.doc Seite 1 von 33 Dokumentinformationen Änderungen zur Version

Mehr

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der TÜV NORD Gruppe - Zertifizierungsstelle Langemarckstraße 20 45141 Essen

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der TÜV NORD Gruppe - Zertifizierungsstelle Langemarckstraße 20 45141 Essen Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. 7 und 17 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen und 11 Abs. 3 Verordnung zur elektronischen

Mehr

Zertifikatsrichtlinie (CP) der E.ON SE PKI. Version 1.3

Zertifikatsrichtlinie (CP) der E.ON SE PKI. Version 1.3 Zertifikatsrichtlinie (CP) der E.ON SE PKI Version 1.3 Erscheinungsdatum 22.06.2015 Datum des Inkrafttretens 22.06.2015 Vermerk zum Copyright Zertifikatsrichtlinie der E.ON SE PKI 2015 D-TRUST GMBH, alle

Mehr

Aktivierung der Signaturkarte mit der Software ZEDAL CardTool. Stand: 15.12.2014

Aktivierung der Signaturkarte mit der Software ZEDAL CardTool. Stand: 15.12.2014 Aktivierung der Signaturkarte mit der Software ZEDAL CardTool Stand: 15.12.2014 - Lieferumfang (bitte prüfen) Lieferschein/Rechnung der ZEDAL AG Signaturkarte (aufgeklebt auf dem Lieferschein) Formblatt

Mehr

Bestätigung von Produkten für qualifizierte elektronische Signaturen

Bestätigung von Produkten für qualifizierte elektronische Signaturen Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. 7 S. 1, 17 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen 1 und 11 Abs. 2 und 15 Signaturverordnung

Mehr

Die digitale Signatur. Einführung in die rechtlichen Grundlagen der elektronischen Signatur

Die digitale Signatur. Einführung in die rechtlichen Grundlagen der elektronischen Signatur Die digitale Signatur Einführung in die rechtlichen Grundlagen der elektronischen Signatur Papierwelt: Die eigenhändige Unterschrift Grundsatz : Formfreiheit bei Willenserklärung Schriftform: Ist durch

Mehr

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com

Merkblatt: HSM. Version 1.01. Systemvoraussetzungen, Setup und Trouble Shooting. pdfsupport@pdf-tools.com Merkblatt: HSM Version 1.01 Systemvoraussetzungen, Setup und Trouble Shooting Kontakt: pdfsupport@pdf-tools.com Besitzer: PDF Tools AG Kasernenstrasse 1 8184 Bachenbülach Schweiz www.pdf-tools.com Copyright

Mehr

Erklärung zum Zertifizierungsbetrieb der UHH CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der UHH CA in der DFN-PKI. - Sicherheitsniveau: Global - Erklärung zum Zertifizierungsbetrieb der UHH CA in der DFN-PKI - Sicherheitsniveau: Global - Universität Hamburg CPS der UHH CA V2.4 21.07.2011 1 Einleitung Die UHH CA ist eine Zertifizierungsstelle des

Mehr

Bestätigung für technische Komponenten gemäß 14 (4) Gesetz zur digitalen Signatur und 16 und 17 Signaturverordnung

Bestätigung für technische Komponenten gemäß 14 (4) Gesetz zur digitalen Signatur und 16 und 17 Signaturverordnung Bestätigung für technische Komponenten gemäß 14 (4) Gesetz zur digitalen Signatur und 16 und 17 Signaturverordnung debis Systemhaus Information Security Services GmbH - Zertifizierungsstelle debiszert

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Rechtssicherheit bei der Archivierung durch qualifizierte elektronische Signaturen

Rechtssicherheit bei der Archivierung durch qualifizierte elektronische Signaturen 10. Fachtagung Praxis der Informationsverarbeitung in Krankenhaus und Versorgungsnetzen (KIS) Workshop 2: Beweiskräftige und sichere Archivierung von Patientenunterlagen im Gesundheitswesen Rechtssicherheit

Mehr

Leitfaden. zur Beschaffung. Signaturen. in bayerischen Kommunen

Leitfaden. zur Beschaffung. Signaturen. in bayerischen Kommunen Leitfaden zur Beschaffung qualifizierter elektronischer Signaturen in bayerischen Kommunen Prof. Dr. Rainer Thome Dipl.-Vw. Jürgen Scherer M.A. Stand: Juli 2012 Inhalt Inhalt 1 Vorbemerkung... 3 2 Grundlagen...

Mehr

Über den Umgang mit PINs

Über den Umgang mit PINs Allgemein und innerhalb von D2D und Fraunhofer-Gesellschaft zur Förderung der Angewandten Forschung Version 1.0 Stand: 23. Januar 2012 Wozu PINs? PINs dienen (hier) zur Aktivierung von elektronischen Schlüsseln,

Mehr

Zulassung Produkte der Telematikinfrastruktur hier: gematik Root-CA

Zulassung Produkte der Telematikinfrastruktur hier: gematik Root-CA Einführung der Gesundheitskarte Verfahrensbeschreibung Zulassung Produkte der Version: 1.0.0 Revision: \main\17 Stand: 15.05.2014 Status: freigegeben Klassifizierung: öffentlich Referenzierung: [gemzul_prod_x509root]

Mehr

Teilnehmerunterrichtung gemäß SigG 6

Teilnehmerunterrichtung gemäß SigG 6 Teilnehmerunterrichtung gemäß SigG 6 Das "qualifizierte Zertifikat" ist praktisch der Ersatz Ihrer Unterschrift und erfüllt die Schriftformerfordernis gemäß 126 BGB. Qualifizierte Personenzertifikate dürfen

Mehr

Gemeinsame Zertifizierungs- Richtlinie für Teilnehmer der gematik- TSL zur Herausgabe von X.509-

Gemeinsame Zertifizierungs- Richtlinie für Teilnehmer der gematik- TSL zur Herausgabe von X.509- Einführung der Gesundheitskarte - Certificate Policy - Gemeinsame Zertifizierungs- Richtlinie für Teilnehmer der gematik- TSL zur Herausgabe von X.509- ENC/AUT/OSIG-Zertifikaten Version: 1.3.0 Revision:

Mehr

Collax E-Mail Archive Howto

Collax E-Mail Archive Howto Collax E-Mail Archive Howto Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als E-Mail Archive eingerichtet werden kann, um Mitarbeitern Zugriff auf das eigene E-Mail Archiv

Mehr

Public Key Service. Profil der qualifizierten Attributzertifikate. Version: 1.2 Stand: 16.12.2015 Status: Freigegeben. Öffentliches Dokument

Public Key Service. Profil der qualifizierten Attributzertifikate. Version: 1.2 Stand: 16.12.2015 Status: Freigegeben. Öffentliches Dokument Public Key Service Profil der qualifizierten Attributzertifikate Version: 1.2 Stand: 16.12.2015 Status: Freigegeben Öffentliches Dokument Impressum Herausgeber T-Systems International GmbH Dateiname Dokumentennummer

Mehr

Technische und organisatorische Maßnahmen der

Technische und organisatorische Maßnahmen der Seite 1 von 8 der Inhaltsverzeichnis: 1. Einleitung 2. Gesetzliche Grundlage 3. zur Umsetzung 3.1 Zutrittskontrolle 3.2 Zugangskontrolle 3.3 Zugriffskontrolle 3.4 Weitergabekontrolle 3.5 Eingabekontrolle

Mehr

a.trust Sicherheits- und Zertifizierungskonzept a.sign Uni

a.trust Sicherheits- und Zertifizierungskonzept a.sign Uni A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Zahlungsverkehr GmbH. Landstraßer Hauptstraße 5 Tel.: +43 (1) 713 21 51 0 Fax: +43 (1) 713 21 51 350 office@a-trust.at www.a-trust.at a.trust

Mehr

ENERGYCA FÜR DIE SMART METERING PKI

ENERGYCA FÜR DIE SMART METERING PKI ENERGYCA FÜR DIE SMART METERING PKI Herausforderungen Zertifizierung nach ISO27001, BSI TR-03145 und Smart Metering Certificate Policy Regelmäßige Anpassungen der Richtlinien Gesonderte spezielle Skills

Mehr

Trustcenter der Deutschen Rentenversicherung

Trustcenter der Deutschen Rentenversicherung Trustcenter der Deutschen Rentenversicherung Certificate Policy und Certification Practice Statement für nicht-qualifizierte Serverzertifikate der Zertifizierungsstelle der Deutschen Rentenversicherung

Mehr

Verordnung zur elektronischen Signatur (Signaturverordnung SigV)*)

Verordnung zur elektronischen Signatur (Signaturverordnung SigV)*) 3074 Bundesgesetzblatt Jahrgang 2001 Teil I Nr. 59, ausgegeben zu Bonn am 21. November 2001 Verordnung zur elektronischen Signatur (Signaturverordnung SigV)*) Vom 16. November 2001 Auf Grund des 24 des

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie BSI Technische Richtlinie Bezeichnung: Accountmanagement IT-Sicherheit Anwendungsbereich: De-Mail Kürzel: BSI TR 01201 Teil 2.3 Version: 1.2 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

Verordnung zur elektronischen Signatur

Verordnung zur elektronischen Signatur Ein Service der juris GmbH - www.juris.de - Seite 1 Verordnung zur elektronischen Signatur Datum: 16. November 2001 Fundstelle: BGBl I 2001, 3074 Textnachweis ab: 22.11.2001 Amtlicher Hinweis des Normgebers

Mehr

Anleitung zur Nutzung der DFN-Test-PKI

Anleitung zur Nutzung der DFN-Test-PKI Anleitung zur Nutzung der DFN-Test-PKI Kontakt: Zugang zur DFN-Test-PKI: www.dfn.de/pki/testpki-zugang/ Anfragen Zugangsberechtigung sowie Kommentare/Hinweise zu dieser Anleitung: pki@dfn.de Allgemeine

Mehr

Sicherheitsbestätigung und Bericht. T-Systems. 03188.SE.06.2007. Zertifizierungsdiensteanbieter Bundesnotarkammer

Sicherheitsbestätigung und Bericht. T-Systems. 03188.SE.06.2007. Zertifizierungsdiensteanbieter Bundesnotarkammer Sicherheitsbestätigung und Bericht T-Systems. 03188.SE.06.2007 Zertifizierungsdiensteanbieter Bundesnotarkammer Bestätigung für die Umsetzung von Sicherheitskonzepten gemäß 15 Abs. 2 Gesetz über Rahmenbedingungen

Mehr

Erklärung zum Zertifizierungsbetrieb der DFN-PKI. Sicherheitsniveau Global

Erklärung zum Zertifizierungsbetrieb der DFN-PKI. Sicherheitsniveau Global Erklärung zum Zertifizierungsbetrieb der DFN-PKI Sicherheitsniveau Global DFN-Verein CPS der DFN-PKI V2.3 26. Juni 2012 Dieses Dokument einschließlich aller Teile ist urheberrechtlich geschützt. Die unveränderte

Mehr

Wichtige Informationen zum Signaturzertifikat

Wichtige Informationen zum Signaturzertifikat 1 von 6 Wichtige Informationen zum Signaturzertifikat Inhalt 1. Allgemeines...1 2. Wirkung der elektronischen Signatur...1 3. Zur Rechtskraft der elektronischen Unterschrift..1 4. Wichtige Regeln für den

Mehr

Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI. - Sicherheitsniveaus: Global, Classic und Basic -

Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI. - Sicherheitsniveaus: Global, Classic und Basic - Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI - Sicherheitsniveaus: Global, Classic und Basic - DFN-Verein CPS der PCA der DFN-PKI V2.1 Dezember 2006 Dieses Dokument

Mehr

Einsatz von Public Key Infrastrukturen in großen heterogenen Organisationen. Christoph Thiel

Einsatz von Public Key Infrastrukturen in großen heterogenen Organisationen. Christoph Thiel Einsatz von Public Key Infrastrukturen in großen heterogenen Organisationen Christoph Thiel Stuttgart, 4. November 2014 Das extented enterprise SSL E-Mail Grundlegende Sicherheitsanforderungen Authentisierung

Mehr

Prüf- und Zertifizierungsordnung - Photovoltaikmodule

Prüf- und Zertifizierungsordnung - Photovoltaikmodule 1. Geltungsbereich Diese Prüf- und Zertifizierungsordnung gilt für die Durchführung von Prüfungen und für die Erteilung von TÜV-Zertifikaten für Produkte der Zertifizierungsstelle und des Prüflaboratoriums

Mehr

Internet Security: Verfahren & Protokolle

Internet Security: Verfahren & Protokolle Internet Security: Verfahren & Protokolle 39 20 13 Vorlesung im Grundstudium NWI (auch MGS) im Sommersemester 2003 2 SWS, Freitag 10-12, H10 Peter Koch pk@techfak.uni-bielefeld.de 30.05.2003 Internet Security:

Mehr

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag 1 Zweck PRÜFMODUL D UND CD Diese Anweisung dient als Basis für unsere Kunden zur Information des Ablaufes der folgenden EG-Prüfung nach folgenden Prüfmodulen: D CD Es beschreibt die Aufgabe der benannten

Mehr

Zertifizierungsrichtlinien

Zertifizierungsrichtlinien Zertifizierungsrichtlinien Certification Practice Statement (CPS) Migros Corporate PKI NG-PKI 2014 Interne CA Hierarchie keyon AG Schlüsselstrasse 6 8645 Jona Tel +41 55 220 64 00 www.keyon.ch Switzerland

Mehr

Collax E-Mail-Archivierung

Collax E-Mail-Archivierung Collax E-Mail-Archivierung Howto Diese Howto beschreibt wie die E-Mail-Archivierung auf einem Collax Server installiert und auf die Daten im Archiv zugegriffen wird. Voraussetzungen Collax Business Server

Mehr

Schritt für Schritt zum ELSTER- Zertifikat

Schritt für Schritt zum ELSTER- Zertifikat Schritt für Schritt zum ELSTER- Zertifikat Was ist ein ELSTER- ELSTER- Zertifikat? Ein ELSTER-Zertifikat ist eine elektronische Unterschrift. Mit einem ELSTER-Zertifikat können Sie Daten unterschreiben,

Mehr

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.8 Berlin, Januar 2016. Copyright 2016, Bundesdruckerei GmbH

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.8 Berlin, Januar 2016. Copyright 2016, Bundesdruckerei GmbH PREISLISTE TRUSTCENTER-PRODUKTE Preisliste Version 3.8 Berlin, Januar 2016 Copyright 2016, Bundesdruckerei GmbH QUALIFIZIERTE PERSONENZERTIFIKATE* D-TRUST Card 3.0 Signaturkarte mit qualifiziertem Zertifikat

Mehr

Zertifizierungserklärung für die T-Systems Trust Center Public Key Infrastruktur der Root-CA "Deutsche Telekom Root CA 2"

Zertifizierungserklärung für die T-Systems Trust Center Public Key Infrastruktur der Root-CA Deutsche Telekom Root CA 2 Zertifizierungserklärung für die T-Systems Trust Center Public Key Infrastruktur der Root-CA "Deutsche Telekom Root CA 2" Certification Practice Statement, CPS Version: 1.5 Stand: 17.04.2009 Status: Freigegeben

Mehr

Sicherheitsrichtlinien des Zertifizierungsdiensteanbieters DATEV

Sicherheitsrichtlinien des Zertifizierungsdiensteanbieters DATEV Sicherheitsrichtlinien des Zertifizierungsdiensteanbieters DATEV Certification Practice Statement Signatur- und Verschlüsselungszertifikate auf SmartCard / midentity Version 2.5.1 Datum des Inkrafttretens

Mehr

Informationssicherheit im Application Service Providing (ASP)

Informationssicherheit im Application Service Providing (ASP) Informationssicherheit im Application Service Providing (ASP) - Whitepaper - Mentopolis Consulting & Software Concepts GmbH Inhalt 1 Sicherer ASP-Betrieb als Out-Sourcer 1 2 Informationssicherheits-Management

Mehr

Sicherheitsbestätigung und Bericht. T-Systems. 03158.SW.03.2006. Zertifizierungsdienst Deutsche Post Com GmbH Geschäftsfeld Signtrust

Sicherheitsbestätigung und Bericht. T-Systems. 03158.SW.03.2006. Zertifizierungsdienst Deutsche Post Com GmbH Geschäftsfeld Signtrust Sicherheitsbestätigung und Bericht T-Systems. 03158.SW.03.2006 Zertifizierungsdienst Deutsche Post Com GmbH Geschäftsfeld Signtrust Bestätigung für die Umsetzung von Sicherheitskonzepten gemäß 15 Abs.

Mehr

Kurzanleitung digiseal reader

Kurzanleitung digiseal reader Seite 1 von 13 Kurzanleitung digiseal reader Kostenfreie Software für die Prüfung elektronisch signierter Dokumente. Erstellt von: secrypt GmbH Support-Hotline: (0,99 EURO pro Minute aus dem deutschen

Mehr

Die elektronische Signatur. als wesentlicher Bestandteil der elektronischen Kommunikation

Die elektronische Signatur. als wesentlicher Bestandteil der elektronischen Kommunikation Die elektronische Signatur als wesentlicher Bestandteil der elektronischen Kommunikation 1 : Vorgehensweise 1. Definition und Funktion: Integrität und Authentizität 2. Arten von Signaturen und Attributzertifikate

Mehr

SRQ - Specification Related Question

SRQ - Specification Related Question SRQ-ID: 1204 Betrifft: Themenkreis Schlagwort zu Dokument / Datei (evtl. ersetzt SRQ) PKI und Zertifikate Welche Auswirkungen haben notwendige Aktualisierungen auf die Spezifikation? gemx.509_egk, ersetzt

Mehr

Handbuch. ChecksumCalculator

Handbuch. ChecksumCalculator Handbuch ChecksumCalculator Ersteller: EWERK MUS GmbH Erstellungsdatum: 02.05.2012 Inhalt 1 Motivation... 3 2 Revisionssichere Archivierung... 3 3 Sicherheit... 4 4 WORM... 5 5 Besonderheiten des ChecksumCalculator...

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Certification Practice Statement CA for Email-Security

Certification Practice Statement CA for Email-Security Certification Practice Statement CA for Email-Security Seite 2 von 31 1 Einleitung... 4 1.1 Überblick... 4 1.2 Name und Kennzeichnung des Dokuments... 4 1.3 PKI-Teilnehmer... 4 1.4 Verwendung von Zertifikaten...

Mehr

Bei falscher Zuordnung: Verlust der Vertraulichkeit. Bei falscher Zuordnung: Verlust der Datenauthentizität

Bei falscher Zuordnung: Verlust der Vertraulichkeit. Bei falscher Zuordnung: Verlust der Datenauthentizität Vorlesung am 12.05.2014 7 Vertrauensmodelle Problem: Zuordnung eines Schlüssels zum Schlüsselinhaber Beispiel 1: Verschlüsselung mit pk, Entschlüsselung mit sk: Bei falscher Zuordnung: Verlust der Vertraulichkeit

Mehr

X.509v3 Zertifizierungsinstanz der Universität Würzburg

X.509v3 Zertifizierungsinstanz der Universität Würzburg X.509v3 Zertifizierungsinstanz der Universität Würzburg Markus Krieger Rechenzentrum Uni Würzburg ca@uni-wuerzburg.de 22.01.06 1 Notwendigkeit von Zertifikaten Steigende Anzahl von Kommunikationsbeziehungen

Mehr

der Uni Konstanz Server CA in der

der Uni Konstanz Server CA in der Erklärung zum Zertifizierungsbetrieb der Uni Konstanz Server CA in der DFN-PKI - Sicherheitsniveau: Global - Universität Konstanz CPS der Uni Konstanz Server CA V1.0 02.02.2007 CPS der Uni Konstanz Server

Mehr

Bestätigung. TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Zertifizierungsstelle Langemarckstraße 20 45141 Essen

Bestätigung. TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Zertifizierungsstelle Langemarckstraße 20 45141 Essen Bestätigung von Produkten für qualifizierte elektronische Signaturen gemäß 15 Abs. 7 und 17 Abs. 4 Gesetz über Rahmenbedingungen für elektronische Signaturen und 11 Abs. 3 Verordnung zur elektronischen

Mehr

Anleitung SignLive Toolbox T-Telesec

Anleitung SignLive Toolbox T-Telesec Anleitung SignLive Toolbox T-Telesec X-Sign GmbH Copyright 2013 Dieses Dokument und zugehörige Arbeitsunterlagen sind von X-Sign GmbH zur Verfügung gestellt worden. Sie sind Eigentum von X-Sign und unterliegen

Mehr

Elektronisches Abfallnachweisverfahren (eanv): die qualifizierte elektronische Signatur (qes)

Elektronisches Abfallnachweisverfahren (eanv): die qualifizierte elektronische Signatur (qes) Sonderabfall-Management-Gesellschaft Rheinland-Pfalz mbh Elektronisches Abfallnachweisverfahren (eanv): die qualifizierte elektronische Signatur (qes) Alfons Tewes, Leiter Stabsstelle IT/Organisation der

Mehr

Archivordnung für das Stadtarchiv der Stadt Naunhof

Archivordnung für das Stadtarchiv der Stadt Naunhof Archivordnung für das Stadtarchiv der Stadt Naunhof Abschnitt I 1 Geltungsbereich (1) Die Stadt Naunhof unterhält ein Stadtarchiv. (2) Durch diese Satzung wird die Archivierung von Unterlagen sowie die

Mehr

Qualifizierte Signaturkarten

Qualifizierte Signaturkarten Seite 1/5 Qualifizierte Signaturkarten» Standardsignaturkarten Qualifizierte D-TRUST Card 2048 Bit*, SHA-256 Signaturkarte mit qualifiziertem Zertifikat zum Signieren von elektronischen Daten und fortgeschrittenem

Mehr