VR-Ident Certification Practice Statement (CPS)

Transkript

1 VR-Ident Certification Practice Statement (CPS) für VR-Ident Privat Zertifikate Version: 1.2 Status: Final Veröffentlicht am: 21. Oktober 2010 Autor: GAD eg, Frank Fischer, Gerald Scheer Zertifizierungsdienst VR-Ident Status: Final Version: 1.2 Ausgabe:

2 Inhaltsverzeichnis Inhaltsverzeichnis... 2 Dokumentenhistorie Einleitung Überblick Zweck des Dokuments Das VR-Ident Privat Zertifikat Dokumentenname und Identifikation Teilnehmer der Zertifizierungsinfrastruktur (PKI) Zertifizierungsstellen (CA) und Zertifizierungshierarchie Registrierungsinstanzen Antragsteller Vertrauende Dritte Andere Teilnehmer Anwendung von Zertifikaten Zulässige Anwendung von Zertifikaten Unzulässige Anwendung von Zertifikaten Policy-Verwaltung Organisation für die Verwaltung dieses Dokuments Kontaktperson Zuständigkeit für die Abnahme des CPS Abnahmeverfahren des CPS Definitionen und Abkürzungen Bekanntmachung und Verzeichnisdienst Verzeichnisse Veröffentlichung von Zertifikatsinformationen Häufigkeit und Zyklen für Veröffentlichungen Zugriffskontrolle auf Verzeichnisse Identifizierung und Authentisierung Namensgebung Namenstypen Anforderungen an die Bedeutung von Namen Anonymität und Pseudonyme für Zertifikatseigentümer Regeln zur Interpretation verschiedener Namensformen Eindeutigkeit von Namen...20 Status: Final Version: 1.2 Seite 2/87

3 3.1.6 Erkennung, Authentisierung und Rolle von geschützten Namen Erstmalige Identitätsprüfung Methode zum Besitznachweis der privaten Schlüssel Authentisierung von Organisationen Authentisierung von Personen Nicht verifizierte Teilnehmerinformationen Prüfung der Handlungsvollmacht Kriterien für Zusammenwirkung Identifizierung und Authentifizierung bei Schlüsselerneuerung Identifizierung und Authentifizierung bei turnusmäßiger Schlüsselerneuerung Identifizierung und Authentifizierung bei Schlüsselerneuerung nach Sperrung Identifizierung und Authentifizierung bei Sperranträgen Anforderungen an den Lebenszyklus des Zertifikats Antragstellung Wer kann ein Zertifikat beantragen Registrierungsprozess und Verantwortlichkeiten Antragsbearbeitung Durchführung der Identifikation und Authentifizierung Annahme bzw. Ablehnung von Zertifikatsanträgen Bearbeitungsdauer von Zertifikatsanträgen Zertifikatserstellung CA- Prozesse während der Zertifikatserstellung Benachrichtigung des Antragstellers über die Zertifikatserstellung Zertifikatsakzeptanz Annahme durch den Zertifikatsinhaber Veröffentlichung der Zertifikate durch den Zertifizierungsdienst Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Nutzung des Schlüsselpaares und des Zertifikats Nutzung durch den Eigentümer Nutzung durch vertrauende Dritte Zertifikatserneuerung unter Beibehaltung des alten Schlüssels Gründe für eine Zertifikatserneuerung Wer kann eine Zertifikatserneuerung beantragen Ablauf der Zertifikatserneuerung Benachrichtigung des Zertifikatsinhabers nach Zertifikatserneuerung Annahme einer Zertifikatserneuerung Veröffentlichung einer Zertifikatserneuerung durch den Zertifizierungsdienst Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Schlüssel- und Zertifikatserneuerung...27 Status: Final Version: 1.2 Seite 3/87

4 4.7.1 Gründe für eine Schlüssel- und Zertifikatserneuerung Wer kann eine Schlüssel- und Zertifikatserneuerung beantragen Ablauf der Schlüssel- und Zertifikatserneuerung Benachrichtigung des Zertifikatsinhabers nach Schlüssel- und Zertifikatserneuerung Annahme der Schlüssel- und Zertifikatserneuerung Veröffentlichung einer Zertifikatserneuerung durch den Zertifizierungsdienst Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Zertifikatsmodifizierung Gründe für eine Zertifikatsmodifizierung Wer kann eine Zertifikatsmodifizierung beantragen Ablauf der Zertifikatsmodifizierung Benachrichtigung des Zertifikatsinhabers nach der Zertifikatsmodifizierung Annahme der Zertifikatsmodifizierung Veröffentlichung einer Zertifikatsmodifizierung durch den Zertifizierungsdienst Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Sperrung und Suspendierung von Zertifikaten Gründe für die Sperrung Sperrberechtigte Verfahren zur Sperrung Fristen für die Beantragung einer Sperrung Bearbeitungszeit für Anträge auf Sperrung Prüfung des Zertifikatsstatus durch Dritte Periode für Erstellung von Sperrlisten Maximale Latenzzeit für Sperrlisten Verfügbarkeit von Online-Sperrinformationen Anforderungen an Online-Sperrinformationen Andere verfügbare Formen der Bekanntmachung von Sperrinformationen Spezielle Anforderungen bei Kompromittierung privater Schlüssel Gründe für die Suspendierung Wer kann eine Suspendierung beantragen Verfahren zur Suspendierung Maximale Sperrdauer bei Suspendierung Auskunftsdienst über den Zertifikatsstatus Betriebseigenschaften der Auskunftsdienste Verfügbarkeit des Auskunftsdienstes Optionale Funktionen Austritt aus dem Zertifizierungsdienst Schlüsselhinterlegung und- wiederherstellung Richtlinien und Praktiken zur Schlüsselhinterlegung undwiederherstellung Richtlinien und Praktiken zum Schutz und Wiederherstellung von Sitzungsschlüsseln...35 Status: Final Version: 1.2 Seite 4/87

5 5 Physikalische, organisatorische und personelle Sicherheitsmaßnahmen Physikalische Sicherheitsmaßnahmen Lage und Aufbau des Standortes Zugangskontrolle Stromversorgung und Klimakontrolle Schutz vor Wasserschäden Brandschutz Aufbewahrung von Datenträgern Entsorgung von Datenträgern Datensicherung Organisatorische Sicherheitsmaßnahmen Sicherheitskritische Rollen Anzahl benötigter Personen bei sicherheitskritischen Tätigkeiten Identifizierung und Authentisierung von Rollen Trennung von Rollen und Aufgaben Personelle Sicherheitsmaßnahmen Anforderungen an Qualifikation und Erfahrung Überprüfung der Vertrauenswürdigkeit Anforderungen an Schulung und Fortbildung Nachschulungsintervalle und -anforderungen Arbeitsplatzrotation / Rollenumverteilung Sanktionen bei unbefugten Handlungen Vertragsbedingungen mit dem Personal An das Personal ausgehändigte Dokumentation Protokollierung sicherheitskritischer Ereignisse Zu protokollierende Ereignisse Häufigkeit der Auswertung von Protokolldaten Aufbewahrungsfristen für Protokolldaten Schutz der Protokolldaten Sicherungsverfahren für Protokolldaten Internes/externes Protokollierungssystem Benachrichtigung des Auslösers eines Ereignisses Schwachstellenbewertung Archivierung Archivierte Daten und Aufbewahrungsfrist Aufbewahrungsfrist Schutz der archivierten Daten Sicherung der archivierten Daten Anforderungen an den Zeitstempel der archivierten Daten Internes/externes Archivierungssystem Verfahren zum Einholen und Verifizierung von Archivdaten Schlüsselwechsel Business Continuity Management und Incident Handling Prozeduren zu Incident Handling und zu Notfällen Prozeduren bei Kompromittierung von Ressourcen...44 Status: Final Version: 1.2 Seite 5/87

6 5.7.3 Prozeduren bei Kompromittierung von CA-Schlüsseln Notbetrieb im Katastrophenfall Einstellung der Zertifizierungsdienste Technische Sicherheitsmaßnahmen Erzeugung und Installation von Schlüsselpaaren Erzeugung von Schlüsselpaaren Übermittlung privater Schlüssel an den Zertifikatseigentümer Übermittlung öffentlicher Schlüssel an den Zertifikatsaussteller Übermittlung öffentlicher CA-Schlüssel an vertrauende Dritte Schlüssellängen Erzeugung und Prüfung der Schlüsselparameter Verwendungszweck der Schlüssel Schutz der privaten Schlüssels und der kryptographischen Module Standards und Schutzmechanismen der kryptographischen Module Aufteilung der Kontrolle über private Schlüsseln auf mehrere Personen Hinterlegung privater Schlüssel Backup privater Schlüssel Archivierung privater Schlüssel Transfer privater Schlüssel Speicherung privater Schlüssel Methoden zur Aktivierung privater Schlüssel Methoden zur Deaktivierung privater Schlüssel Methoden zur Vernichtung privater Schlüssel Bewertung kryptographischer Module Weitere Aspekte des Schlüsselmanagements Archivierung öffentlicher Schlüssel Verwendungsdauern von Zertifikaten und Schlüsselpaaren Aktivierungsdaten Erzeugung und Installation von Aktivierungsdaten Schutz der Aktivierungsdaten Weitere Aspekte von Aktivierungsdaten Sicherheitsmaßnahmen für Computer Spezielle Anforderungen zur Computersicherheit Bewertung der Computersicherheit Technische Kontrollen des Software-Lebenszyklus Systementwicklungsmaßnahmen Sicherheitsmanagement Maßnahmen zur Kontrolle des Software-Lebenszyklus Maßnahmen zur Netzwerksicherheit Zeitstempel Profile...55 Status: Final Version: 1.2 Seite 6/87

7 7.1 Zertifikatsprofile Versionsnummer(n) Zertifikatserweiterungen Algorithmus Bezeichner (OID) Namensformen Nutzung von Erweiterungen zur Namensbeschränkung (Name Constraints) Bezeichner für Zertifizierungsrichtlinien (OID) Nutzung von Erweiterungen zur Richtlinienbeschränkungen (PolicyConstraints) Syntax und Semantik von Policy Qualifiern Verarbeitung von kritischen Erweiterungen für Zertifizierungsrichtlinien (certificatepolicies) Profil der Sperrlisten Versionsnummer(n) Erweiterungen der Sperrliste Weitere Eigenschaften der Sperrlisten OCSP-Profile Versionsnummer(n) OCSP-Erweiterungen Weitere Eigenschaften der OCSP-Anfragen und Antworten Revisionen und andere Bewertungen Häufigkeiten von Revisionen Identität und Qualifikation des Auditors Beziehungen zwischen Auditor und zu untersuchender Partei Umfang der Prüfungen Maßnahmen bei Mängeln Veröffentlichung der Ergebnisse Weitere geschäftliche und rechtliche Regelungen Gebühren Gebühren für die Ausstellung und Erneuerung von Zertifikaten Gebühren für den Abruf von Zertifikaten Gebühren für die Abfrage von Zertifikatsstatusinformationen Gebühren für andere Dienstleistungen Rückerstattungen Finanzielle Verantwortung Deckungsvorsorge Weitere Vermögenswerte Erweiterte Versicherung oder Garantie Vertraulichkeit betrieblicher Informationen Art der geheim zu haltenden Information...70 Status: Final Version: 1.2 Seite 7/87

8 9.3.2 Öffentliche Informationen Verantwortlichkeit für den Schutz von geheim zu haltenden Information Vertraulichkeit personenbezogener Informationen Geheimhaltungsplan Vertraulich zu behandelnde Daten Nicht vertraulich zu behandelnde Daten Verantwortlichkeit für den Schutz privater Informationen Einverständniserklärung zur Nutzung privater Informationen Weitergabe von Informationen an Ermittlungsinstanzen oder Behörden Sonstige Offenlegungsgründe Geistiges Eigentum und dessen Rechte Gewährleistung, Sorgfalts- und Mitwirkungspflichten Verpflichtung der Zertifizierungsstelle Verpflichtung der Registrierungsstelle Verpflichtung des Zertifikatsinhabers Verpflichtung vertrauender Dritte Verpflichtung anderer Teilnehmer Haftungsausschluss Haftungsbeschränkungen Haftung der VR-Bank Haftung des Zertifikatseigentümern / Zertifikatsinhabers Schadensersatz Gültigkeit des CPS Gültigkeitszeitraum Vorzeitiger Ablauf der Gültigkeit Konsequenzen der Aufhebung Individuelle Mitteilungen und Absprachen mit den Teilnehmern Änderungen / Ergänzungen der CPS Verfahren für die Änderungen und Ergänzungen Benachrichtigungsverfahren und Veröffentlichungsperioden Bedingungen für Änderungen der Objekt-Kennung (OID) Schiedsverfahren Anwendbares Recht Konformität mit anwendbarem Recht Weitere Regelungen Vollständigkeit Abtretung der Rechte Salvatorische Klausel Rechtliche Auseinandersetzungen / Erfüllungsort Force Majeure Andere Regelungen...76 Status: Final Version: 1.2 Seite 8/87

9 10 Sonstige Bestimmungen Schriftformgebot Sprache...77 Abbildungsverzeichnis...78 Tabellenverzeichnis...79 Anhang A: Definitionen und Abkürzungen...80 Anhang B: Referenzen...87 Status: Final Version: 1.2 Seite 9/87

10 Dokumentenhistorie Version Änderung Datum Autor 1.0 Gliederungsstruktur und Inhalte gemäß RFC 3647 angepasst Gerald Scheer 1.1 Mit CPS für SSL-Zertifikate synchronisiert Gerald Scheer 1.2 Weitere Ergänzungen und Anpassungen gemäß RFC Gerald Scheer Status: Final Version: 1.2 Seite 10/87

11 1 Einleitung 1.1 Überblick Die GAD eg ist ein IT-Dienstleister und Softwarehaus für mehr als 450 Banken (GAD Mitgliedsbanken). Zweck des Unternehmens ist die wirtschaftliche Förderung und Betreuung ihrer Mitglieder im Bereich der Informationstechnologie. Im Rahmen ihrer IT-Dienstleistungen bietet die GAD eg auch Zertifizierungsdienste für die Erzeugung, Ausgabe und Verwaltung von Zertifikaten für Schlüssel der VR-BankCards und VR-NetworldCards (im Folgenden kurz mit VR-Bankkarten bezeichnet) an. Diese Dienstleistung wird im Folgenden mit Zertifizierungsdienst VR-Ident bezeichnet. Die Zertifikate werden für die CSA-, DS- und KE-Schlüssel auf den VR-Bankkarten ausgestellt. Diese Zertifikate werden im Folgenden unter dem Begriff VR-Ident Privat Zertifikate zusammengefasst. Das vorliegende Dokument ist ein Certification Pratice Statement für den Zertifizierungsdienst VR-Ident für VR-Ident Privat Zertifikate Zweck des Dokuments Nach dem Standard RFC 3647 legt das Certification Practice Statement (CPS) die Praktiken dar, die eine Zertifizierungsstelle bei der Ausgabe der Zertifikate anwendet. Dementsprechend beschreibt das vorliegende Dokument das Vorgehen des Zertifizierungsdienstes VR-Ident bei der Beantragung, Generierung, Auslieferung und Verwaltung der VR-Ident Privat Zertifikate. Das Dokument beschreibt im Einzelnen: Die Bedeutung und Verwendung von VR-Ident Privat Zertifikaten, Die Beantragung und Erstellung von VR-Ident Privat Zertifikaten, Die Erneuerung von VR-Ident Privat Zertifikaten, Die Sperrung von VR-Ident Privat Zertifikaten, Verzeichnis- und Sperrinformationsdienste, Die technische und organisatorische Sicherheit sowie Details zu den Inhalten der VR-Ident Privat Zertifikate und Sperrlisten Weitere geschäftliche und rechtliche Regelungen. Die Dokumentenstruktur orientiert sich an dem RFC Status: Final Version: 1.2 Seite 11/87

12 Das vorliegende CPS beschreibt den aktuellen Status der Zertifizierungsabläufe und der Sicherheitsmaßnahmen und ermöglicht somit eine qualitative Einschätzung der Zertifizierungsdienstleistung VR-Ident. Das CPS gilt ausschließlich für das Produkt VR-Ident Privat. Vorgaben für die Bedeutung und Verwendung von VR-Ident Privat Zertifikaten werden in dem Dokument VR-Ident Certificate Policy für VR-Ident Privat Zertifikate (s. [11])definiert Das VR-Ident Privat Zertifikat Mittels eines VR-Ident Privat Zertifikats auf der VR-Bankkarte bescheinigt der Zertifizierungsdienst VR-Ident, dass der Inhaber der VR-Bankkarte der Besitzer des zugehörigen Schlüsselpaares ist. Im Einzelnen enthalten die VR-Bankkarten die folgenden Schlüsselpaare und zugehörige Zertifikate: CSA: Schlüsselpaar für Client-Server Authentisierung. Dieses Schlüsselpaar wird für FinTS/HBCI-Funktionen genutzt. Mit einem zugehörigen Zertifikat des Zertifizierungsdiensteanbieters GAD kann das CSA-Schlüsselpaar zusätzlich für die Authentisierung in weiteren Anwendungen, wie z. B. ein Windows-Logon oder eine SSL-Client-Authentisierung, genutzt werden. DS: Schlüsselpaar für elektronische Signaturen. 1 In Verbindung mit einem zugehörigen Zertifikat des Zertifizierungsdiensteanbieters GAD kann dieses Schlüsselpaar für die Generierung fortgeschrittener elektronischer Signaturen, z. B. zur Signierung von s, genutzt werden. KE: Schlüsselpaar für die Verschlüsselung. In Verbindung mit einem zugehörigen Zertifikat des Zertifizierungsdiensteanbieters GAD kann dieses Schlüsselpaar z. B. für die Verschlüsselung von s genutzt werden. Alle oben genannten Zertifikate werden in diesem Dokument unter dem Begriff VR-Ident Privat Zertifikate zusammengefasst. Das VR-Ident Privat Zertifikat kann von Komponenten benutzt werden, welche Zertifikate nach X.509 in der Version 3 korrekt interpretieren und verwenden können. Die Zertifikatsprofile sind in Kapitel 7.1 beschrieben. 1.2 Dokumentenname und Identifikation Die Dokumentenbezeichnung für das vorliegende CPS lautet: VR-Ident Certification Practice Statement (CPS) für VR-Ident Privat Zertifikate, Version 1.2, Datum Der ASN.1 Object Identifier (OID) für dieses Dokument ist: DS steht für digitale Signatur, durch die die elektronische Signatur technisch realisiert ist. Status: Final Version: 1.2 Seite 12/87

13 1.3 Teilnehmer der Zertifizierungsinfrastruktur (PKI) Zertifizierungsstellen (CA) und Zertifizierungshierarchie Der Zertifizierungsdienst VR-Ident verwendet für die Ausstellung der VR-Ident Privat Zertifikate folgende Zertifizierungshierarchie: Abbildung 1: Zertifizierungshierarchie Die Zertifizierungshierarchie besteht aus drei Hierarchieebenen, die im Folgenden kurz erläutert werden: Auf der obersten Ebene dieser Zertifizierungshierarchie befindet sich die GAD Root CA, die u.a. das Zertifikat der GAD Class 2 CA signiert. Auf der zweiten Hierarchieebene befindet sich die Class 2 CA, die o die VR-Ident Privat Zertifikate in den Ausprägungen CSA-Zertifikate, DS- Zertifikate und KE-Zertifikate, o die Zertifikate des OCSP-Responders für Statusabfragen für VR-Ident Privat Zertifikate und o die CRL mit den Sperrstatusinformationen für die VR-Ident Privat Zertifikate Status: Final Version: 1.2 Seite 13/87

14 signiert. Die Class 2 CA handelt als Certification Authority (CA) und generiert und signiert VR- Ident Privat Zertifikate für die Zertifikatseigentümer. Auf der dritten Hierarchieebene befinden sich die VR-Ident Privat Zertifikate der Zertifikatseigentümer, OCSP-Responder und die CRL Registrierungsinstanzen Eine Registrierungsinstanz (RA) ist die Organisationseinheit einer PKI-Infrastruktur, welche die Identifizierung und Authentisierung des Antragstellers durchführt, Zertifikatserneuerungen veranlasst und Sperranträge entgegennimmt. Sie ist die Stelle, mit der eine Person oder ein System kommunizieren muss, um ein digitales Zertifikat zu erhalten. Die VR-Banken sind Registrierungsinstanzen. Sie nehmen die Anträge für VR-Ident Privat Zertifikate in den Filialen der VR-Banken entgegen und sind Vertragspartner der Zertifikatseigentümer Antragsteller Auftraggeber Auftraggeber sind ausschließlich natürliche Personen (Kunden der VR-Banken), die im Besitz einer VR-Bankkarte sind und die Ausstellung eines VR-Ident Privat Zertifikats durch den Zertifizierungsdienst VR-Ident beantragen Zertifikatseigentümer Zertifikatseigentümer sind die Inhaber von VR-Bankkarten, für die VR-Ident Privat Zertifikate ausgestellt worden sind. Der Zertifikatseigentümer ist im Zertifikat als Subject eingetragen Vertrauende Dritte Vertrauende Dritte sind Personen oder Organisationen, die sich auf die Ordnungsmäßigkeit der VR-Ident Privat Zertifikate des Zertifizierungsdienstes VR-Ident der GAD verlassen Andere Teilnehmer Keine. Status: Final Version: 1.2 Seite 14/87

15 1.4 Anwendung von Zertifikaten Zulässige Anwendung von Zertifikaten Die ausschließlich zulässigen Anwendungen der VR-Ident Privat Zertifikate sowie der zugeordneten Schlüsselpaare sind in der Certificate Policy der GAD Root CA definiert. Bei der Nutzung der Zertifikate und Schlüsselpaare muss der Zertifikatseigentümer seine in der Certificate Policy definierten Pflichten erfüllen Unzulässige Anwendung von Zertifikaten In folgenden Fällen ist eine Anwendung der VR-Ident Privat Zertifikate nicht zulässig: Die Zertifikate bzw. Schlüssel dürfen nicht in Anwendungen eingesetzt werden, die eine qualifizierte elektronische Signatur erfordern. Die Anwendung der Zertifikate muss der Im Zertifikat angegebenen Schlüsselnutzung (siehe Abschnitt 4.5) entsprechen. Weitere Informationen zur unzulässigen Nutzung von Zertifikaten sind unter veröffentlicht. 1.5 Policy-Verwaltung Organisation für die Verwaltung dieses Dokuments Zuständig für die Verwaltung und Genehmigung dieses Certification Practice Statement (CPS) ist: GAD eg Abteilung: PFM/VTB/PKS GAD-Straße 2-6, Münster Internet: Status: Final Version: 1.2 Seite 15/87

16 1.5.2 Kontaktperson Ansprechpartner für Fragen bezüglich dieses Certification Practice Statement (CPS) ist: GAD eg Abteilung: PFM/VTB/PKS GAD-Straße 2-6, Münster Zuständigkeit für die Abnahme des CPS Für die Verabschiedung dieses CPS ist die Leitung der in Kap genannten Abteilung zuständig. Das CPS behält seine Gültigkeit, solange es nicht von dieser Instanz widerrufen wird Abnahmeverfahren des CPS Das CPS wird bei Bedarf fortgeschrieben und erhält dann jeweils eine neue aufsteigende Versionsnummer. Nach einer Eignungsprüfung durch die Rechtsabteilung, den Datenschutzbeauftragten, die Revision und die IT-Redaktion wird es von der Leitung in Kap. Kap genannten Abteilung abgenommen. 1.6 Definitionen und Abkürzungen Definitionen und Abkürzungen siehe in Anhang A. Status: Final Version: 1.2 Seite 16/87

17 2 Bekanntmachung und Verzeichnisdienst 2.1 Verzeichnisse Der Zertifizierungsdienst VR-Ident betreibt folgende Verzeichnisse zur Veröffentlichung von Zertifikatsinformationen: Zertifikate können über einen öffentlichen Verzeichnisdienst abgerufen werden. Zertifikate können nur im VR-Ident Verzeichnisdienst abgerufen werden, wenn der Zertifikatseigentümer dem zugestimmt hat. Der VR-Ident Verzeichnisdienst ist unter der folgenden Adresse zu erreichen: ldap:// Zur Online-Abfrage steht ein OCSP-Responder zur Verfügung. Über diesen Verifikationsdienst kann der Status aller Zertifikate online abgerufen werden. Er ist unter der folgenden Adresse zu erreichen: Der Zertifizierungsdienst VR-Ident erstellt zusätzlich Sperrlisten (CRL) mit Sperrinformationen von Zertifikaten. Die Sperrlisten können über die folgende Adressen eingesehen werden: und ldap:// (die CRL hängt am jeweiligen CA-Knoten) Root-CA-Zertifikate des Zertifizierungsdienstes VR-Ident werden über die Webseite veröffentlicht. Zusätzlich werden auf dieser Web-Seite die Fingerprints (Hashwerte) der Root-CA-Zertifikate veröffentlicht, die zur Prüfung der Korrektheit und Authentizität der Zertifikate vor ihrer Installation im System genutzt werden sollten. Die Web- Seite gibt Instruktionen, wie die Prüfung des Fingerprints vorgenommen werden muss. 2.2 Veröffentlichung von Zertifikatsinformationen Der Zertifizierungsdienst VR-Ident veröffentlicht Ausgestellte VR-Ident Privat Zertifikate, bei denen der Inhaber der Veröffentlichung zugestimmt hat, in den in Kap. 2.1 genannten Verzeichnissen, Sperrlisten (CRL), unter der in Kap. 2.1 genannte Adresse, Status: Final Version: 1.2 Seite 17/87

18 Das vorliegende CPS für VR-Ident Privat Zertifikate, das unter herunter geladen werden kann, Allgemeine Geschäftsbedingungen für die Teilnehmer und vertrauende Dritte, die unter herunter geladen werden können. Es gelten die Allgemeinen Geschäftsbedingungen der teilnehmenden VR-Banken, ergänzt durch die Sonderbedingungen für den Zertifizierungsdienst VR-Ident. Weitere geschäftliche und rechtliche Bestimmungen sind in Kapitel 9 der vorliegenden Certificate Policy aufgeführt und werden somit veröffentlicht. 2.3 Häufigkeit und Zyklen für Veröffentlichungen Die Veröffentlichung der VR-Ident Privat Zertifikate erfolgt direkt nach ihrer Erstellung. Die Zertifikate verbleiben mindestens sieben Jahre nach ihrem Gültigkeitsablauf im VR-Ident Verzeichnisdienst. Die Sperrlisten werden unmittelbar nach der Erstellung in die Datenbank gestellt und sind aus dem VR-Ident Verzeichnisdienst abrufbar. Sperrlisten für VR-Ident Privat Zertifikate werden einmal täglich oder vor Gültigkeitsablauf der bestehenden Sperrliste erstellt. Sperrlisten der CA-Zertifikate werden jährlich erstellt und nach jeder Sperrung eines CA-Zertifikats. Aktualisierungen des vorhandenen CPS werden gemäß Kap veröffentlicht. Aktualisierungen der allgemeinen Geschäftsbedingungen und der Sonderbedingungen für den Zertifizierungsdienst VR-Ident erfolgen nach Bedarf. 2.4 Zugriffskontrolle auf Verzeichnisse Die in dem VR-Ident Verzeichnisdienst veröffentlichte Information ist öffentlich zugänglich. Der Lesezugriff auf den VR-Ident Verzeichnisdienst ist nicht beschränkt. Dagegen haben nur berechtigte Rollenträger von VR-Ident Änderungsrechte für den VR- Ident Verzeichnisdienst. Der Zertifizierungsdienst VR-Ident hat entsprechende Sicherheitsmaßnahmen implementiert, um ein unbefugtes Ändern von Einträgen im VR-Ident Verzeichnisdienst zu verhindern. Status: Final Version: 1.2 Seite 18/87

19 3 Identifizierung und Authentisierung 3.1 Namensgebung Namenstypen Die von dem Zertifizierungsdienst VR-Ident erstellten Zertifikate erhalten eindeutige Namen (DistinguishedName) in den Feldern issuer und subject nach X.501. Im Feld issuer erhalten die Zertifikate die Attribute: CommonName (CN)= VR IDENT CLASS 2 CA 2010 Organization (O) = GADE EG Organization Unit (OU) = VR IDENT Country (C) = DE Im Feld subject erhalten die Zertifikate die Attribute: CommonName (CN) serialnumber (SN) distinguishednamequalifier (DNQ) Country (C) Außerdem enthalten die Zertifikate in der Erweiterung SubjectAltName optional einen alternativen Eigentümer-Namen als rfc822name Anforderungen an die Bedeutung von Namen Das Attribut CommonName der VR-Ident Privat Zertifikate beinhaltet den natürlichen Namen (Vor- und Familienname) des Zertifikatsinhabers, SubjectAltName optional die Adresse eines Zertifikatseigentümers. CA-Zertifikate enthalten im Attribut CommonName im Feld subject Namen, welche die Identität der entsprechenden CA als Inhaber des Zertifikats erkennen lassen Anonymität und Pseudonyme für Zertifikatseigentümer Pseudonyme und anonyme VR-Ident Privat Zertifikate werden vom Zertifizierungsdienst VR- Ident nicht unterstützt. Status: Final Version: 1.2 Seite 19/87

20 3.1.4 Regeln zur Interpretation verschiedener Namensformen Im Namen dürfen ausschließlich die folgenden Zeichen verwendet werden: A-Z, a-z, 0-9, Leerzeichen,, (, ), +, -,,,., /, :,? Optional können die folgenden deutschen Sonderzeichen verwendet werden: Ä, Ö, Ü, ä, ö ü, ß Für die Ersetzung deutscher Sonderzeichen gelten folgende Substitutionsregeln: Ä -> Ae, Ö ->Oe, Ü -> Ue, ä -> ae, ö -> oe, ü -> ue, ß -> ss Sonderzeichen mit Akzenten verlieren diese. Ansonsten wird eine für das betreffende Zeichen gemeinhin verwendete Schreibweise aus den Zeichen a-z und A-Z so zusammengesetzt, dass der entsprechende Laut entsteht Eindeutigkeit von Namen Die Namen der vom Zertifizierungsdienst VR-Ident ausgestellten VR-Ident Privat Zertifikaten sind durch die Nummer im Attribut serialnumber stets eindeutig Erkennung, Authentisierung und Rolle von geschützten Namen Die Namen in den VR-Ident Privat Zertifikaten sind identisch mit dem Namen des Zertifikatsinhabers in seinem Personalausweis. Somit ist der Namenschutz gegeben. 3.2 Erstmalige Identitätsprüfung Methode zum Besitznachweis der privaten Schlüssel Der Besitznachweis der privaten Schlüssel erfolgt durch den Zertifikats-Download-Server in der folgenden Weise: Der Server authentisiert die VR-Bankkarte in einem kryptographischen Authentisierungsprotokoll mit Schlüsseln, die bei der Kartenproduktion auf die Karte aufgebracht wurden. Damit wird verifiziert, dass es sich um eine authentische VR-Bankkarte handelt, die nicht gesperrt wurde. Im Zuge der Authentisierung wird ein sicherer kryptographischer Kanal zwischen dem Server und der VR-Bankkarte aufgebaut, die es dem Server ermöglicht, die öffentlichen Schlüssel, für die Zertifikate ausgestellt werden sollen, sicher auszulesen. Nach dem Auslesen der öffentlichen Schlüssel, muss der Antragsteller einen Certification Requests für die beantragten Zertifikate signieren. Falls ein Zertifikat für den DS- Status: Final Version: 1.2 Seite 20/87

21 Schlüssel beantragt wurde, wird der Request mit diesem signiert, anderenfalls mit dem CSA-Schlüssel. Durch die Signatur wird sichergestellt, dass der Antragsteller auch im Besitz der PIN der Karte ist Authentisierung von Organisationen Die Authentisierung von Organisationen entfällt, da VR-Ident Privat Zertifikate ausschließlich an natürliche Personen ausgestellt werden Authentisierung von Personen Bezüglich der Authentisierung des Zertifikatseigentümers werden die folgenden Fälle unterschieden: 1. Initiale Identifizierung: Bei der Erstkontoeröffnung erfolgt eine Identifizierung des Kunden nach den gesetzlichen Regelungen durch die VR-Banken. Diese Identifizierung genügt den Vorgaben des Geldwäschegesetzes. Hierzu muss sich ein Kunde, sofern er dem Kundenberater der Filiale der VR-Bank nicht bereits bekannt ist, persönlich durch einen gültigen amtlichen Ausweis sowie durch eine Gegenprobe der im Ausweis abgebildeten Unterschrift identifizieren. 2. Authentisierung bei Beantragung der Zertifikate: Der Antragsteller authentisiert sich in einer Filiale der VR-Bank nach den gesetzlichen Regelungen gegenüber den VR- Banken. In der Regel erfolgt die Authentisierung dabei anhand seiner Kundenstammdaten. 3. Authentisierung bei der Kontaktierung des Downloadservers: Der Antragsteller authentisiert sich gegenüber dem Zertifikats-Downloadserver mittels seiner VR- Bankkarte. Die Authentisierung erfolgt dabei mit starken kryptographischen Authentisierungsverfahren und der HBCI-PIN. Die verwendeten kryptographischen Schlüssel werden im Rahmen der Kartenproduktion auf die Karte aufgebracht. 4. Die Authentisierung von -Adressen, die optional in ein Zertiifkat aufgenommen werden können erfolgt über einen zufälligen Aktivierungscode, der dem Antragsteller vor Aufnahme der adresse in das Zertifikat zugesendet wird Nicht verifizierte Teilnehmerinformationen Bei der Erstkontoeröffnung werden u.a. alle Informationen des Zertifikatseigentümers, die in das Zertifikat übernommen werden sollen, verifiziert. Der Kunde ist verpflichtet. Änderungen dieser Daten unverzüglich seiner VR-Bank mitzuteilen Prüfung der Handlungsvollmacht Die Prüfung der Handlungsvollmacht entfällt, da VR-Ident Privat Zertifikate ausschließlich für natürliche Personen ausgestellt werden. Status: Final Version: 1.2 Seite 21/87

22 3.2.6 Kriterien für Zusammenwirkung Kriterien zur Zusammenwirkung entfallen. 3.3 Identifizierung und Authentifizierung bei Schlüsselerneuerung Die Prozesse zur Identifizierung und Authentifizierung bei Schlüsselerneuerung sind identisch zur initialen Identifizierung (vgl. Kapitel 3.2.2) Identifizierung und Authentifizierung bei turnusmäßiger Schlüsselerneuerung Die Prozesse zur Identifizierung und Authentifizierung bei Schlüsselerneuerung sind identisch zur initialen Identifizierung (vgl. Kapitel 3.2.2) Identifizierung und Authentifizierung bei Schlüsselerneuerung nach Sperrung Die Prozesse zur Identifizierung und Authentifizierung bei Schlüsselerneuerung sind identisch zur initialen Identifizierung (vgl. Kapitel 3.2.2). 3.4 Identifizierung und Authentifizierung bei Sperranträgen Bezüglich der Authentisierung beim Sperrantrag werden die folgenden Fälle unterschieden: 1. Sperrung in einer Filiale der VR-Bank: Der Antragsteller authentisiert sich in einer Filiale der VR-Bank entsprechend den gesetzlichen Regelungen gegenüber der VR- Banken. Das verwendete Authentisierungsverfahren entspricht dem bei der Beantragung der Zertifikate (siehe Abschnitt 3.2.2). 2. Sperrung über das Online-Banking: Der Karteninhaber authentisiert sich im Rahmen der Anmeldung beim Online-Banking mittels seines privaten CSA-Schlüssels. Status: Final Version: 1.2 Seite 22/87

23 4 Anforderungen an den Lebenszyklus des Zertifikats 4.1 Antragstellung Wer kann ein Zertifikat beantragen VR-Ident Privat Zertifikate können alle Personen beantragen, die im Besitz einer VR- BankCard oder VR-Networld-Card sind (in diesem Dokument kurz mit VR-Bankkarte bezeichnet) Registrierungsprozess und Verantwortlichkeiten Die Antragstellung erfolgt in einer Filiale der VR-Bank des Antragstellers durch Freischaltung seiner Signaturkarte für das Nachladen von Zertifikaten auf seine Signaturkarte. Dabei kann der Zertifikatseigentümer folgende Parameter festlegen: Der Antragsteller entscheidet, für welche Schlüsselpaare seiner Signaturkarte er Zertifikate erhalten will. Der Antragsteller kann eine -Adresse angeben. Der Antragsteller bestimmt, ob die Zertifikate veröffentlicht werden sollen. Es wird zwischen zwei verschiedenen Anträgen unterschieden: Erstanträge: In diesem Fall besitzt der Antragsteller noch keine Zertifikate für seine Signaturkarte. Wiederholungsanträge: Hierbei handelt es sich um die Beantragung von neuen Zertifikaten für eine existierende Signaturkarte, welche die bereits auf der Karte befindlichen Zertifikate ersetzen sollen. Weitere Informationen hierzu sind Kapitel 4.7 und 4.8 zu entnehmen. Bei Folgekarten entfällt die Beantragung von Zertifikaten, sofern der Antragsteller bereits gültige VR-Ident Privat Zertifikate für die zu ersetzende Karte besitzt. In diesem Fall erfolgt die Freischaltung automatisch innerhalb der Systeme der Zertifizierungsstelle VR-Ident. 4.2 Antragsbearbeitung Durchführung der Identifikation und Authentifizierung Die Kundenberater der Filialen der VR-Banken führen die Identifizierung und Authentisierung wie in Abs beschrieben durch. Status: Final Version: 1.2 Seite 23/87

24 4.2.2 Annahme bzw. Ablehnung von Zertifikatsanträgen Voraussetzung für die Annahme des Zertifikatsantrags durch die Filiale der VR-Bank des Antragstellers ist, dass die Identifizierung und Authentifizierung aller erforderlichen Informationen zum Antragsteller gemäß Abs. 3.2 erfolgreich war. Ein Anspruch auf Annahme eines Antrags besteht nicht. In folgenden Fällen wird der Zertifikatsantrag abgelehnt: Der Antragsteller kann nicht zweifelsfrei identifiziert werden. Das Konto des Antragstellers weist nicht die erforderliche Deckung auf. Der Antragsteller besitzt eine VR-Bankkarte, die technisch nicht geeignet ist. Der Zertifizierungsdienst VR-Ident hat weitere Ablehnungsgründe Bearbeitungsdauer von Zertifikatsanträgen Die Bearbeitung des Zertifikatsauftrags beginnt nach Erhalt der Beauftragung zu den normalen Geschäftszeiten der GAD. Der Identifikations- und Registrierungsprozess eines Erstantrags dauert maximal fünf Tage. VR-Ident SSL Privat Zertifikate werden unmittelbar nach Beendigung des Registrierungsprozesses erstellt. 4.3 Zertifikatserstellung CA- Prozesse während der Zertifikatserstellung Ein Antragsteller startet die Erstellung der Zertifikate über ein entsprechendes Web-Interface des Zertifikats-Download-Servers des Zertifizierungsdienstes VR-Ident. Er muss dabei seine VR-Bankkarte in einen an den Rechner angeschlossen Chipkartenleser stecken. Der Download-Server authentisiert die VR-Bankkarte des Antragstellers über kryptographische Mechanismen und baut einen sicheren Kanal zur Karte auf. Für die Zertifizierung werden die öffentlichen Schlüssel aus der Signaturkarte des Zertifikatseigentümers ausgelesen und über den sicheren Kanal an den Zertifizierungsdienst VR-Ident übermittelt. Danach erhält der Antragsteller die Möglichkeit, eine -Adresse anzugeben, die in das Zertifikat aufgenommen werden soll. Folgende Möglichkeiten bestehen: Er kann seine ggf. bereits bei der Antragstellung angegebene -Adresse übernehmen Er kann seine ggf. bereits bei der Antragstellung angegebene -Adresse ändern Er kann eine neue Adresse eingeben Es soll keine -Adresse verwendet werden Status: Final Version: 1.2 Seite 24/87

25 Falls eine -Adresse in das Zertifikat aufgenommen werden soll, wird an diese Adresse ein zufälliger Aktivierungscode gesendet, den der Antragsteller im Web-Formular eingeben muss, um die Korrektheit der Adresse nachzuweisen. Im nächsten Schritt muss der Antragsteller festlegen, ob seine Zertifikate veröffentlicht werden sollen. Dann wird für die beantragten Zertifikate ein Certification Request generiert, vom Antragsteller signiert, und an den Zertifizierungsdienst VR-Ident übermittelt. Gegebenenfalls muss sich der Antragsteller dafür seine Transport Signatur-PIN in eine gültige Wirk-PIN ändern (vgl. Abschnitte und 6.4.1). Der Zertifizierungsdienst VR-Ident prüft die Signatur des Certification Requests und erstellt entsprechende Zertifikate. Sofern der Antragsteller dies so festgelegt hat, werden die Zertifikate unmittelbar nach ihrer Erstellung veröffentlicht Benachrichtigung des Antragstellers über die Zertifikatserstellung Der Antragsteller erhält die VR-Ident Privat Zertifikate automatisch direkt nach der Generierung. 4.4 Zertifikatsakzeptanz Annahme durch den Zertifikatsinhaber Nach ihrer Generierung werden die VR-Ident Privat Zertifikate automatisch durch den Download-Server auf das System des Antragstellers übertragen und dort auf die Karte geschrieben. Sollte es bei der Übermittlung der Zertifikate zum Antragsteller zu einem Abbruch der Kommunikation kommen, so kann der Antragsteller sich erneut am Download-Server anmelden und den Prozess abschließen Veröffentlichung der Zertifikate durch den Zertifizierungsdienst Der Zertifizierungsdienst VR-Ident veröffentlicht die ausgestellten VR-Ident Privat Zertifikate im in Kap. 2.1 genannten VR-Ident Verzeichnisdienst, wenn der Zertifikatseigentümer dem zugestimmt hat Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Weitere Instanzen werden nicht benachrichtigt. Die Zertifikate sind im in Kap. 2.1 genannten VR-Ident Verzeichnisdienst verfügbar. Status: Final Version: 1.2 Seite 25/87

26 4.5 Nutzung des Schlüsselpaares und des Zertifikats Nutzung durch den Eigentümer Der Zertifikatseigentümer ist verpflichtet, seine Schlüsselpaare mit einer angemessenen Sorgfalt zu nutzen. Insbesondere muss er sicherstellen, dass seine Schlüssel nicht ohne sein Wissen und nur in der von ihm gewünschten Weise eingesetzt werden. Um dies zu erreichen, sollte er seine VR-Bankkarte und Schlüssel nur mit Software und auf Systemen nutzten, denen er vertraut und seine PIN nicht im System (z. B. durch einen Passwort- Manager) dauerhaft speichern. Außerdem dürfen Zertifikatseigentümer ihre Schlüssel nur in dafür zugelassenen Anwendungen einsetzen. Für die Nutzung der Zertifikate durch den Eigentümer gelten insbesondere die Sonderbedingungen für den Zertifizierungsdienst VR-Ident Nutzung durch vertrauende Dritte Vertrauende Dritte sollten einem VR-Ident Privat Zertifikat des Zertifizierungsdienstes VR- Ident nur dann vertrauen, wenn dieses nicht abgelaufen oder gesperrt ist, und seine Signatur auf Basis eines zum Prüfzeitpunkt gültigen CA-Zertifikats des Zertifizierungsdiensteanbieter GAD geprüft werden kann. Das GAD CA-Zertifikat ist in analoger Weise auf Basis des gültigen GAD Root-CA-Zertifkats zu prüfen. Das GAD Root-CA-Zertifikat stellt den Vertrauensanker der PKI dar und sollte daher mit besonderer Sorgfalt behandelt werden. Insbesondere sollte es ausschließlich aus einer vertrauenswürdigen Quelle bezogen werden, vor dem Import ins System anhand des durch den Zertifizierungsdienst VR-Ident veröffentlichten Fingerabdruckes (siehe Abschnitt 2.1) geprüft werden, und im System gegen Manipulationen geschützt sein. Die Prüfung der Sperrinformation kann wahlweise auf Basis einer gültigen Sperrliste oder einer aktuellen Abfrage beim Auskunftsdienst des Zertifizierungsdienstes VR-Ident erfolgen. Außerdem sollten vertrauende Parteien Zertifikate nur in dafür zugelassenen Anwendungen akzeptieren. Die zulässige Anwendung von Schlüsselpaaren ist in Kapitel 1.4 beschrieben. 4.6 Zertifikatserneuerung unter Beibehaltung des alten Schlüssels Bei der Zertifikatserneuerung unter Beibehaltung des alten Schlüsels handelt es sich um die Ersetzung eines Zertifikates durch ein Zertifikat mit neuer Gültigkeitsdauer, aber für den gleichen öffentlichen Schlüssel und sonst unveränderten Inhaltsdaten. In RFC 3647 wird dieser Vorgang Certificate Renewal genannt. Status: Final Version: 1.2 Seite 26/87

27 4.6.1 Gründe für eine Zertifikatserneuerung Ein Zertifikatseigentümer hat die Möglichkeit, sich nach der Sperrung eines Zertifikates für diesen Schlüssel ein neues Zertifikat ausstellen zu lassen. Voraussetzung dafür ist, dass die Sicherheit des Schlüsselpaares gewährleistet ist, und dass die VR-Bankkarte noch gültig und im Besitz des Zertifikatseigentümers ist Wer kann eine Zertifikatserneuerung beantragen Siehe Kap Ablauf der Zertifikatserneuerung Für die Zertifikatserneuerung unter Beibehaltung des alten Schlüssels muss der Zertifikatseigentümer einen Wiederholungsantrag (vgl. Kapitel 4.1) stellen und anschließend die neuen Zertifikate über das Web-Portal runterladen (vgl. Kapitel 4.3) Benachrichtigung des Zertifikatsinhabers nach Zertifikatserneuerung Siehe Kap Annahme einer Zertifikatserneuerung Siehe Kap Veröffentlichung einer Zertifikatserneuerung durch den Zertifizierungsdienst Siehe Kap Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Siehe Kap Schlüssel- und Zertifikatserneuerung Bei der Schlüssel- und Zertifikatserneuerung handelt es sich um die Ersetzung eines Zertifikates durch ein Zertifikat mit neuer Gültigkeitsdauer und für einen neuen öffentlichen Schlüssel aber sonst unveränderten Inhaltsdaten. In RFC 3647 wird dieser Vorgang Certificate Re- Key genannt Gründe für eine Schlüssel- und Zertifikatserneuerung Nach Ablauf der Kartengültigkeit oder einer Kartensperre stellt die VR-Bank in der Regel automatisch Folgekarten für die Zertifikatseigentümer aus. Status: Final Version: 1.2 Seite 27/87

28 4.7.2 Wer kann eine Schlüssel- und Zertifikatserneuerung beantragen Siehe Kap Ablauf der Schlüssel- und Zertifikatserneuerung Die Prozesse der Antragsbearbeitung und Zertifikatserstellung sind analog zu den in den Kapiteln 4.2 und 4.3 beschriebenen Prozesse bei Erstantrag Benachrichtigung des Zertifikatsinhabers nach Schlüssel- und Zertifikatserneuerung Siehe Kap Annahme der Schlüssel- und Zertifikatserneuerung Siehe Kap Veröffentlichung einer Zertifikatserneuerung durch den Zertifizierungsdienst Siehe Kap Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Siehe Kap Zertifikatsmodifizierung Bei der Modifizierung eines Zertifikats handelt es sich um die Ersetzung eines Zertifikates durch ein Zertifikat mit veränderten Inhaltsdaten und für den gleichen oder einen neuen öffentlichen Schlüssel. In RFC 3647 wird dieser Vorgang Certificate Modification genannt Gründe für eine Zertifikatsmodifizierung Eine Modifizierung von Zertifikaten wird unterstützt, es kann dabei z.b. die Adresse geändert werden. Die Änderung des im Zertifikat eingetragenen Namens des Zertifikatseigentümers (z. B. nach einer Namensänderung) erfordert dagegen die Ausstellung einer neuen VR-Bankkarte und ist daher zwangsläufig mit einem Wechsel des Schlüsselpaares verbunden. In diesem Fall muss der Zertifikatseigentümer für seine neue VR-Bankkarte wie in den Abschnitten beschrieben neue Zertifikate beantragen und erstellen lassen. Status: Final Version: 1.2 Seite 28/87

29 4.8.2 Wer kann eine Zertifikatsmodifizierung beantragen Siehe Kap Ablauf der Zertifikatsmodifizierung Zur Zertifikatsmodifizierung muss der Zertifikatseigentümer einen Wiederholungsantrag (vgl. Kapitel 4.1) stellen und anschließend die neuen Zertifikate über das Web-Portal herunterladen (vgl. Kapitel 4.3). Eine vorherige Sperrung der alten Zertifikate durch den Zertifikatseigentümern ist nicht erforderlich, diese werden im Zuge (aber vor) der Ausstellung der neuen Zertifikate automatisch gesperrt. Der Zertifikatseigentümer kann aber alternativ auch nach einer Sperrung seiner Zertifikate eine Modifizierung vornehmen Benachrichtigung des Zertifikatsinhabers nach der Zertifikatsmodifizierung Siehe Kap Annahme der Zertifikatsmodifizierung Siehe Kap Veröffentlichung einer Zertifikatsmodifizierung durch den Zertifizierungsdienst Siehe Kap Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Siehe Kap Sperrung und Suspendierung von Zertifikaten Gründe für die Sperrung Der Zertifizierungsdienst VR-Ident behält sich das Recht vor, ein Zertifikat (CA-Zertifikat oder VR-Ident Privat Zertifikat) unverzüglich in folgenden Fällen zu sperren: Der Zertifikatseigentümer beantragt die Ausstellung eines Zertifikates z.b. mit geänderter -Adresse (Modifizierung des Zertifikates, vgl. Abschnitt 4.8) und hat die Erstellung des neuen Zertifikats am Zertifikats-Download-Server angestoßen. Die VR-Bankkarte, die die zum Zertifikat korrespondierenden Schlüssel enthält, wurde gesperrt. Status: Final Version: 1.2 Seite 29/87

30 Es besteht der Verdacht oder die Gewissheit, dass der zum Zertifikat korrespondierende private Schlüssel kompromittiert oder nicht mehr ausreichend geschützt ist. Das Zertifikat des CA-Schlüssels, mit dem das betreffende Zertifikat ausgestellt wurde, wurde gesperrt. Die verwendeten kryptographische Algorithmen oder zugehörige Parameter, mit denen die Zertifikate ausgestellt oder mit der die Schlüssel verwendet werden, können aufgrund technologischer Fortschritte oder neuen Entwicklungen in der Kryptologie nicht mehr die notwendige Sicherheit gewährleisten. Die VR-Bank, die die VR-Bankkarte des Zertifikatseigentümers ausgegeben hat, nimmt nicht mehr am Zertifizierungsdienst VR-Ident teil. Der Zertifizierungsdienst VR-Ident stellt den Zertifizierungsdienst ein (vgl. Abschnitt 5.8). Weiterhin behält sich der Zertifizierungsdienst VR-Ident das Recht vor, ein VR-Ident Privat Zertifikat auch in einer der folgenden Fälle zu sperren: Die in einem Zertifikat enthaltenen Angaben entsprechen nicht oder nicht mehr den Tatsachen (z. B bei einer Namensänderung des Zertifikatseigentümern). Der Zertifikatseigentümer versäumt es, seinen vertraglichen Verpflichtungen bezüglich des Zertifizierungsdienstes VR-Ident nachzukommen, z. B. bei Zahlungsverzug des Zertifikatseigentümers in nicht unerheblicher Höhe. Ein sonstiger Grund zur Sperrung besteht. Zertifikatseigentümer müssen die Änderung von in einem Zertifikat enthaltenen Angaben unverzüglich ihrer VR-Bank anzeigen. Der Zertifikatseigentümer muss eine Sperrung in den folgenden Fällen veranlassen: Im Fall einer bekannten, vermuteten oder drohenden Kompromittierung der privaten Schlüssel. In diesem Fall muss er seine VR-Bankkarte unverzüglich sperren lassen. Falls der Zertifikatseigentümer den privaten Schlüssel nicht mehr nutzen kann, z. B. weil er die PIN vergessen hat, oder wegen eines Defektes der Karte. In diesen Fällen muss der Zertifizierungsdienst VR-Ident unverzüglich davon in Kenntnis gesetzt werden Sperrberechtigte Die folgenden Parteien sind berechtigt, Sperrung von Zertifikaten zu beantragen bzw. durchführen: Status: Final Version: 1.2 Seite 30/87

31 Der Zertifikatseigentümer oder ein durch ihn bevollmächtigter Dritter kann die Sperrung eigener VR-Ident Privat Zertifikate beantragen. Der Zertifizierungsdienst VR-Ident kann die Sperrung von ausgestellten VR-Ident Privat Zertifikaten veranlassen und durchführen. VR-Banken können die Sperrung von VR-Ident Privat Zertifikaten zu den von ihnen ausgegebenen VR-Bankkarten veranlassen Verfahren zur Sperrung Der Zertifizierungsdienst VR-Ident sperrt ein VR-Ident Privat Zertifikat auf Wunsch des Zertifikatseigentümers nach erfolgter Identifizierung. Es sind folgende Verfahren für die Sperrung definiert: Über die Filiale der VR-Bank: Der Zertifikatseigentümer oder ein durch ihn bevollmächtigter Dritter kann einzelne oder alle Zertifikate telefonisch, schriftlich oder persönlich bei einer Filiale seiner VR-Bank sperren lassen. Die Identifizierung erfolgt in der für Bankgeschäfte vorgeschriebenen Weise. Ein Kundenberater der VR-Bank führt dann die Sperrung der VR-Ident Privat Zertifikate durch. Online: sofern der Zertifikatseigentümer noch im Besitz seiner VR-Bankkarte ist, kann er einzelne oder alle Zertifikate zu dieser Karte über das Web-Interface sperren. Die Authentisierung erfolgt dabei wie beim Online-Banking. Durch Kartensperre: Ein Zertifikatseigentümer oder ein durch ihn bevollmächtigter Dritter kann seine Zertifikate durch Sperrung der VR-Bankkarte (z. B. über die Sperr- Hotline für VR-Bankkarten) sperren. Die Sperrung der Zertifikate ist dabei endgültig, auch wenn die Karte selbst wieder entsperrt werden kann. Sollte der Zertifizierungsdienst VR-Ident Gründe haben, VR-Ident Privat Zertifikate zu sperren, erteilt der Leiter des Zertifizierungsdienstes VR-Ident einen entsprechenden Sperrauftrag an den zuständigen Mitarbeiter. Die Sperrung eines VR-Ident Privat Zertifikats bewirkt nicht die Sperrung oder Invalidierung der HBCI-Funktionalitäten einer VR-Bankkarte, d. h. der Zertifikatseigentümer kann auch nach der Sperrung seiner Zertifikate das Online-Banking nutzen. Sperrungen von GAD Root CA und GAD Class 2 CA Zertifikaten werden ebenfalls vom Leiter des Zertifizierungsdienstes VR-Ident initiiert Fristen für die Beantragung einer Sperrung Bei einer bekannten, vermuteten oder drohenden Kompromittierung der privaten Schlüssel ist die Sperrung der entsprechenden Zertifikate unverzüglich zu beantragen. Status: Final Version: 1.2 Seite 31/87