Erklärung zum Zertifizierungsbetrieb der GRS CA in der DFN-PKI

Transkript

1 Erklärung zum Zertifizierungsbetrieb der GRS CA in der DFN-PKI - Sicherheitsniveau: Global - Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbh CPS der GRS CA V CPS der GRS CA Seite 1/7 V2.1

2 1 Einleitung Die GRS CA ist eine Zertifizierungsstelle des DFN-Anwenders Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbh innerhalb der DFN-PKI. In der DFN-PKI wird eine Zertifizierungshierarchie verwendet, bei der das Zertifikat der GRS CA von der DFN-PCA ausgestellt wird. Für den Betrieb der GRS CA gelten die folgenden Dokumente: CP der DFN-PKI: "Zertifizierungsrichtlinie der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.2, April 2009, OID CPS der DFN-PCA: "Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID Die vom CPS der DFN-PCA abweichenden Regelungen für die GRS CA sind in Kapitel 3 dieses Dokuments beschrieben. Die GRS CA stellt ausschließlich Zertifikate im Sicherheitsniveau "Global" aus. 2 Identifikation des Dokuments Titel: "Erklärung zum Zertifizierungsbetrieb der GRS CA in der DFN-PKI" Version: Abweichungen vom CPS der DFN-PCA Nachfolgend sind die Abschnitte des CPS der DFN-PCA aufgeführt, in denen für die GRS CA abweichende Regelungen getroffen werden. Zu CPS der DFN-PCA: "1.3.1 Zertifizierungsstellen" Die Anschrift der GRS CA lautet: Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbh Forschungsinstitute GRS CA Garching GERMANY Telefon: Telefax: pki@grs.de Zu CPS der DFN-PCA: "1.3.2 Registrierungsstellen" Die ausgezeichneten Registrierungsstellen für die zuvor genannten Zertifizierungsstellen befinden sich in den Räumen der GRS CA. Darüber hinaus ist eine weitere Registrierungsstelle in Köln verfügbar: Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbh Schwertnergasse Köln CPS der GRS CA Seite 2/7 V2.1

3 Zu CPS der DFN-PCA: "1.5.1 Organisation" Die Verwaltung dieses CPS erfolgt durch die in Abschnitt genannte Einrichtung. Der Betrieb der GRS CA erfolgt durch: DFN-Verein Telefon: Alexanderplatz 1 Telefax: Berlin pki@dfn.de GERMANY WWW: Zu CPS der DFN-PCA: "1.5.2 Kontaktperson" Die verantwortliche Person für das CPS der GRS CA ist: Gesellschaft für Anlagen- und Hans Rainer Seel Reaktorsicherheit (GRS) mbh Telefon: Forschungsinstitute Telefax: GRS CA hans.seel@grs.de Garching GERMANY Zu CPS der DFN-PCA: "2.2 Veröffentlichung von Informationen" Alle gemäß CP, Abschnitt 2.2, erforderlichen Informationen werden bereitgestellt unter: Zu CPS der DFN-PCA: "3.1.1 Namensform" Die DNs aller Zertifikatnehmer unterhalb der GRS CA enthalten die Attribute "C=DE" und "O=Gesellschaft fuer Anlagen- und Reaktorsicherheit (GRS) mbh". Das optionale Attribut "OU=<Organisationseinheit>" kann mehrfach angegeben werden. Wenn eine -Adresse angegeben wird, so kann diese über das Attribut " address" in den Namen aufgenommen werden. Die -Adresse sollte allerdings bevorzugt in der Zertifikaterweiterung "subjectalternativename" aufgenommen werden. Damit entspricht der Name jedes Zertifikatnehmers dem folgenden Schema: C=DE O=Gesellschaft fuer Anlagen- und Reaktorsicherheit (GRS) mbh [OU=<Organisationseinheit>] CN=<Eindeutiger Name> [ address=< -adresse>] Zu CPS der DFN-PCA: "4.1.1 Wer kann ein Zertifikat beantragen" Die GRS CA bietet ihre Dienstleistungen allen Angehörigen und Mitarbeitern des DFN-Anwenders Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbh an. CPS der GRS CA Seite 3/7 V2.1

4 Zu CPS der DFN-PCA: "4.1.2 Registrierungsprozess" Der Registrierungsprozess erfolgt aufgrund eines schriftlichen Antrags mittels eines Formblatts, das ausgefüllt bei der Registrierungsstelle abzugeben ist. Hinsichtlich des Antragstellers sind folgende Voraussetzungen erforderlich: Er muss über eine Personalnummer der GRS verfügen, und er muss über einen aktiven AD (Active Directory) Account im Intranet der GRS verfügen, und er muss eine GRS- -Adresse besitzen. Bei Neuausstellung von Benutzerzertifikaten wird grundsätzlich ein Satz von drei Zertifikaten mit jeweils dedizierten Verwendungszwecken für Signatur, Verschlüsselung und Authentifizierung ausgestellt. Zertifikate werden nur auf Kryptogeräten ausgeliefert. Im Falle eines Verlustes bzw. Gerätedefektes werden alle Zertifikate des Altgerätes gesperrt, auf das neue Kryptogerät werden neben einem neuen Satz der drei Zertifikate mit den o. a. Verwendungszwecken gegebenenfalls auch hinterlegte Verschlüsselungsschlüssel gespeichert (siehe auch Abschnitt ). Zu CPS der DFN-PCA: "4.4.2 Veröffentlichung des Zertifikats" Die GRS CA veröffentlicht die gemäß der Zertifizierungsrichtlinien der DFN-PKI geforderten Zertifikate über die oben angegebenen Informationssysteme. Zertifikate für natürliche und juristische Personen werden nur dann durch die GRS CA veröffentlicht, wenn Sie für den Einsatzzweck Signatur oder -Verschlüsselung verwendet werden sollen. Zertifikate für den Einsatzzweck Authentifizierung werden auf Grund der darin enthaltenen schutzwürdigen Daten nicht veröffentlicht. Zertifikate, die für mehrere Einsatzzwecke verwendet werden und dazu auch schutzwürdige Informationen beinhalten, werden nicht veröffentlicht. Zu CPS der DFN-PCA: " Richtlinien und Praktiken zur Schlüsselhinterlegung und Schlüsselwiederherstellung" Die GRS CA bietet die Möglichkeit der Hinterlegung privater Schlüssel für Verschlüsselungszertifikate, nicht jedoch für Signatur- und Authentifizierungszertifikate an. Im Rahmen der Zertifikatbeantragung in den Registrierungsstellen der GRS CA wird ein verschlüsseltes Backup der privaten Schlüssel erzeugt und in einer Datenbank gespeichert, die sich auf einem Rechner in den Räumen der GRS befindet. Die Verschlüsselung erfolgt mittels Key- Backup-Rollenzertifikats. Der private Schlüssel des Rollenzertifikats wird auf einem Kryptogerät gespeichert, welches mit einer PIN belegt wird, die jeweils hälftig und unabhängig voneinander von zwei Personen generiert wird. Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt auf Kryptogeräten, die mit einer PIN gesichert sind. Die Übermittlung der PIN erfolgt durch Aushändigung eines PIN-Briefes. Der Empfang des Kryptogerätes sowie des PIN-Briefes ist vom Zertifikatnehmer zu bestätigen. Es wird gewährleistet, dass Mitarbeiter der Registrierungsstellen keine Kenntnis der jeweiligen PIN erlangen. Ein Zugriff auf das verschlüsselte Backup durch eine einzelne Person ist ausgeschlossen. Die Herausgabe von hinterlegten privaten Verschlüsselungsschlüsseln erfolgt grundsätzlich nur an den jeweiligen Zertifikatnehmer und in jedem Fall auf einem Kryptogerät. Folgende Regelungen gelten dabei: a) Im Falle des Defektes eines Kryptogerätes werden hinterlegte private Verschlüsselungsschlüssel des betroffenen Zertifikatnehmers von der Registrierungsstelle der GRS CA auf ein neues Gerät gespeichert, welches dem Zertifikatnehmer ausgehändigt wird. Das defekte Kryptogerät wird danach durch die Registrierungsstelle unverzüglich vernichtet oder, falls ein Softwareproblem vorlag, neu initialisiert. b) Bei Verlust oder Diebstahl des privaten Verschlüsselungsschlüssels (durch Verlust oder Diebstahl des Kryptogerätes) wird der hinterlegte Schlüssel auf einem neuen Kryptogerät an den betreffenden Zertifikatnehmer ausgehändigt. Das Verschlüsselungszertifikat CPS der GRS CA Seite 4/7 V2.1

5 sowie alle anderen Zertifikate, die sich auf dem Kryptogerät befanden, werden davon unabhängig unverzüglich gesperrt. c) Verschlüsselungsschlüssel werden ansonsten über die Gültigkeit von Verschlüsselungszertifikaten hinaus unbefristet aufbewahrt. d) Im Falle des Ausscheidens eines Zertifikatnehmers aus dem Unternehmen, länger andauernder Krankheit, Tod oder zum Zweck der Beweissicherung bei Verdacht auf strafrechtliche Handlungen können Mitarbeiter der Registrierungsstellen nach Genehmigung durch ein Mitglied der Geschäftsführung oder den Datenschutzbeauftragten der GRS den oder die privaten Verschlüsselungsschlüssel des betreffenden Mitarbeiters zur Sicherstellung verschlüsselter Daten verwenden. Noch gültige Verschlüsselungszertifikate sowie alle anderen Zertifikate, die sich im Besitz des Mitarbeiters befanden, werden davon unabhängig unverzüglich gesperrt. Die Wiederherstellung des hinterlegten privaten Schlüssels kann in jedem Fall nur unter Hinzuziehung eines weiteren Mitarbeiters (PIN-Geber RA) durchgeführt werden. Außerdem wird der Datenschutzbeauftragte der GRS unverzüglich informiert. Zu CPS der DFN-PCA: "5 Infrastrukturelle, organisatorische und personelle Sicherheitsmaßnahmen" und "6 Technische Sicherheitsmaßnahmen" Die GRS CA wird durch den DFN-Verein im Auftrag des DFN-Anwenders Gesellschaft für Anlagen- und Reaktorsicherheit (GRS) mbh bei der DFN-PCA betrieben. Daher sind für die GRS CA dieselben infrastrukturellen, organisatorischen, personellen und technischen Sicherheitsmaßnahmen umgesetzt, wie für die DFN-PCA (siehe CPS der DFN-PCA). Ausnahmen betreffen die Abschnitt 5.2.1, und 5.2.4, die im Folgenden aufgeführt sind. Zu CPS/CP der DFN-PCA: "5.2.1 Sicherheitsrelevante Rollen" Für die GRS CA gilt die folgende Ergänzung der Rollendefinition zum Thema Registrierungsdienst: Rolle Kürzel Funktion Registrator (Ergänzung der Funktion für bereits existierende Rolle) PIN-Geber RA (neue Rolle) RAO1 (statt RG) RAO2 Backup inkl. Verschlüsselung privater Verschlüsselungsschlüssel mit Key- Backup-Zertifikat Ausgabe und Wiederherstellung von Kryptogeräten PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Verschlüsselungsschlüsseln PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Verschlüsselungsschlüsseln Geschäftsführer Datenschutzbeauftragter GF DSB Erteilung der Genehmigung zur Wiederherstellung von privaten Schlüsseln von ausgeschiedenen, kranken oder verstorbenen Zertifikatnehmern sowie zum Zweck der Beweissicherung bei Verdacht auf strafrechtlichen Handlungen CPS der GRS CA Seite 5/7 V2.1

6 Zu CPS/CP der DFN-PCA: "5.2.2 Involvierte Mitarbeiter pro Arbeitsschritt" In der folgenden Tabelle sind die Tätigkeiten beschrieben, bei denen das Vier-Augen-Prinzip bzw. im Fall der Wiederherstellung von privaten Verschlüsselungsschlüsseln ein Sechs-Augen- Prinzip - realisiert durch jeweils einen Vertreter der angegebenen Rollen - eingehalten werden muss. Alle anderen Tätigkeiten können von einer Person durchgeführt werden. Tätigkeit Freigabe und Übermittlung von Zertifikat- und Sperranträgen für CA-Zertifikate Erzeugung von Schlüsselpaaren für CA-Zertifikate Starten von Prozessen zur Ausstellung von Zertifikaten und Sperrlisten Austausch von Hard- und Softwarekomponenten für die Zertifizierung PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Verschlüsselungsschlüsseln zur Übergabe an den Zertifikatnehmer Wiederherstellung von privaten Verschlüsselungsschlüsseln ohne Übergabe an den Zertifikatnehmer Rollen RG & TS CAO1 & CAO2 CAO1 & CAO2 SA & CAO1 RAO1 & RAO2 RAO1, RAO2 & DSB RAO1, RAO2 & GF (DSB wird informiert) oder RAO1, RAO2 & DSB Zu CPS/CP der DFN-PCA: "5.2.4 Trennung von Rollen" Für die GRS CA gelten folgende Ergänzungen bzw. Änderungen hinsichtlich der Unverträglichkeit von Rollen. Rolle unverträglich mit TS RAO1 RAO2 CAO1 CAO2 SA SO R DSB GF TS - Teilnehmerservice X X X RAO1 - Registrator X X X X X X RAO2 - PIN-Geber RA X X X X X X CAO1 - CA Mitarbeiter X X X X CAO2 - PIN-Geber CA X X SA - Systemadministrator X X X X X SO - Systemoperator X X X X X R - Revision X X X X X X X X X DSB - Datenschutzbeauftragter X X X X GF - Geschäftsführer X X X X CPS der GRS CA Seite 6/7 V2.1

7 Es wird folgende Aufteilung der Rollen auf Personengruppen gewählt: Personengruppe Rollen 1 R 2 TS, RG, RAO1 3 RAO2 4 CAO1 5 CAO2, SA, SO 6 GF 7 DSB Zu CPS der DFN-PCA: "6.1.1 Schlüsselerzeugung" Schlüssel für Benutzerzertifikate werden bei der Registrierungsstelle erzeugt. Schlüssel für Signatur- und Authentifizierungszertifikate werden auf einem Kryptogerät erzeugt. Schlüssel für Verschlüsselungszwecke werden in Software generiert und anschließend auf das Kryptogerät und verschlüsselt in das Schlüssel-Backup geschrieben. Schlüssel für Serverzertifikate können sowohl beim Zertifikatnehmer als auch bei der Registrierungsstelle erzeugt werden. Zu CPS der DFN-PCA: "6.1.2 Übermittlung des privaten Schlüssels an den Zertifikatnehmer" Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt auf Kryptogeräten, die mit einer PIN gesichert sind. Kryptogerät und PIN-Brief werden persönlich ausgehändigt. Der Empfang des Kryptogerätes sowie des PIN-Briefes ist vom Zertifikatnehmer zu bestätigen. Zu CPS der DFN-PCA: "6.2.4 Backup der privaten Schlüssel" Die GRS CA bietet die Möglichkeit zum Backup privater Schlüssel von Zertifikatnehmern bei der RA entsprechend Abschnitt an. Zu CPS der DFN-PCA: "6.3.2 Gültigkeit von Zertifikaten und Schlüsselpaaren" Die durch die GRS CA ausgestellten Serverzertifikate haben standardmäßig eine Laufzeit von fünf Jahren, die Nutzerzertifikate von drei Jahren. CPS der GRS CA Seite 7/7 V2.1