Erklärung zum Zertifizierungsbetrieb der Uni Halle Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

Transkript

1 Erklärung zum Zertifizierungsbetrieb der Uni Halle Chipcard CA in der DFN-PKI - Sicherheitsniveau: Global - Martin-Luther-Universität Halle-Wittenberg CPS der Uni Halle Chipcard CA V

2 CPS der Uni Halle Chipcard CA Seite 2/6 V1.0

3 1 Einleitung Die Uni Halle Chipcard CA ist eine Zertifizierungsstelle des DFN-Anwenders Martin-Luther-Universität Halle-Wittenberg innerhalb der DFN-PKI. In der DFN-PKI wird eine Zertifizierungshierarchie verwendet, bei der das Zertifikat der Uni Halle Chipcard CA von der DFN-PCA ausgestellt wird. Für den Betrieb der Uni Halle Chipcard CA gelten die folgenden Dokumente: CP der DFN-PKI: "Zertifizierungsrichtlinie der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.2, April 2009, OID CPS der DFN-PCA: "Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID Die vom CPS der DFN-PCA abweichenden Regelungen für die Uni Halle Chipcard CA sind in Kapitel 3 dieses Dokuments beschrieben. Die Uni Halle Chipcard CA stellt ausschließlich Zertifikate im Sicherheitsniveau "Global" aus. 2 Identifikation des Dokuments Titel: "Erklärung zum Zertifizierungsbetrieb der Uni Halle Chipcard CA in der DFN-PKI" Version: Abweichungen vom CPS der DFN-PCA Nachfolgend sind die Abschnitte des CPS der DFN-PCA aufgeführt, in denen für die Uni Halle Chipcard CA abweichende Regelungen getroffen werden. Zu CPS der DFN-PCA: "1.3.1 Zertifizierungsstellen" Die Anschrift der Uni Halle Chipcard CA lautet: Martin-Luther-Universität Halle-Wittenberg Telefon: Universitätsrechenzentrum Telefax: Uni Halle Chipcard CA Kurt-Mothes-Str. 1 pki@uni-halle.de Halle (Saale) WWW: Zu CPS der DFN-PCA: "1.3.2 Registrierungsstellen" Die ausgezeichneten Registrierungsstellen für die zuvor genannten Zertifizierungsstellen befinden sich in den Räumen der Uni Halle Chipcard CA und im Immatrikulationsamt der Martin- Luther-Universität Halle-Wittenberg. Darüber hinaus sind keine weiteren Registrierungsstellen verfügbar. Zu CPS der DFN-PCA: "1.5.1 Organisation" Die Verwaltung dieses CPS erfolgt durch die in Abschnitt genannte Einrichtung. Der Betrieb der Uni Halle Chipcard CA erfolgt durch: DFN-Verein Telefon: Alexanderplatz 1 Telefax: Berlin pki@dfn.de WWW: CPS der Uni Halle Chipcard CA Seite 3/6 V1.0

4 Zu CPS der DFN-PCA: "1.5.2 Kontaktperson" Die verantwortlichen Personen für das CPS der Uni Halle Chipcard CA sind: Martin-Luther-Universität Halle-Wittenberg Frank Wossal Universitätsrechenzentrum Uni Halle Chipcard CA Telefon: Kurt-Mothes-Str. 1 Telefax: Halle (Saale) frank.wossal@urz.uni-halle.de und Martin-Luther-Universität Halle-Wittenberg Sandro Wefel Institut für Informatik Uni Halle Chipcard CA Telefon: Von-Seckendorff-Platz 1 Telefax: Halle (Saale) sandro.wefel@informatik.uni-halle.de Zu CPS der DFN-PCA: "2.2 Veröffentlichung von Informationen" Alle gemäß CP, Abschnitt 2.2, erforderlichen Informationen werden bereitgestellt unter: Zu CPS der DFN-PCA: "3.1.1 Namensform" Die DNs aller Zertifikatnehmer unterhalb der Uni Halle Chipcard CA enthalten die Attribute "C=DE" und "O=Martin-Luther-Universitaet Halle-Wittenberg". Wenn das optionale Attribut "ST=Sachsen-Anhalt" aufgenommen wird, dann muss auch das Attribut "L=Halle (Saale)" aufgenommen werden. Das optionale Attribut "OU=<Organisationseinheit>" kann mehrfach angegeben werden. Zur eindeutigen Identifizierung des Zertifikatnehmers wird bei Personenzertifikaten das Attribut "x500uniqueidentifier=<uid>"" verwendet. Wenn eine Adresse angegeben wird, so kann diese über das Attribut " address" in den Namen aufgenommen werden. Die Adresse sollte allerdings bevorzugt in der Zertifikaterweiterung "subjectalternativename" aufgenommen werden. Damit entspricht der Name jedes Zertifikatnehmers dem folgenden Schema: C=DE [ST=Sachsen-Anhalt L=Halle (Saale)] O=Martin-Luther-Universitaet Halle-Wittenberg [OU=<Organisationseinheit>] CN=<Eindeutiger Name> [ address=< Adresse>] [x500uniqueidentifier=<uid>] CPS der Uni Halle Chipcard CA Seite 4/6 V1.0

5 Zu CPS der DFN-PCA: "4.1.1 Wer kann ein Zertifikat beantragen" Die Uni Halle Chipcard CA bietet ihre Dienstleistungen allen Angehörigen und Mitarbeitern des DFN-Anwenders Martin-Luther-Universität Halle-Wittenberg an. Die Uni Halle Chipcard CA behält sich vor, Zertifizierungswünschen nicht nachzukommen. Zu CPS der DFN-PCA: " Richtlinien und Praktiken zur Schlüsselhinterlegung und -wiederherstellung"' Die Uni Halle Chipcard CA übergibt private persönliche Schlüssel auf Smartcards oder USB- Token, im Folgenden als Crypto-Token bezeichnet. Die Uni Halle Chipcard CA fordert für Zertifikate von persönlichen Schlüsseln, die zur Verschlüsselung genutzt werden, die Hinterlegung des privaten Verschlüsselungsschlüssels. Private Schlüssel von Signatur- und Authentifizierungszertifikaten werden auf einem Crypto-Token erzeugt und nicht hinterlegt. Im Rahmen der Zertifikatbeantragung wird ein Backup des Nutzer-Verschlüsselungsschlüssels erzeugt. Dazu wird jeder Nutzer-Verschlüsselungsschlüssel mit einem zufällig generierten symmetrischen Schlüssel verschlüsselt. Dieser symmetrische Schlüssel wird wiederum mit einem von der Uni Halle Chipcard CA ausgestellten Keybackup-Zertifikat verschlüsselt. Das Resultat wird zusammen mit dem verschlüsselten Nutzer-Verschlüsselungsschlüssel in einer Datenbank gespeichert, die sich auf Servern in einbruchsgesicherten Räumen der RA befindet. Das Keybackup-Zertifikat befindet sich auf einem Crypto-Token und ist mit einer PIN gesichert. Zwei unabhängige, seitens der Hochschulleitung bestimmte, organisatorisch getrennte Personen, die nicht der RA angehören, besitzen jeweils einen Teil dieser PIN. Das Crypto-Token mit dem Keybackup-Zertifikat verbleibt in den Räumen der RA und bietet keine Möglichkeit, die PIN zurückzusetzen. Die Nutzung des Keybackupschlüssels durch eine einzelne Person ist damit ausgeschlossen. Die Herausgabe von hinterlegten privaten Verschlüsselungsschlüsseln erfolgt grundsätzlich nur an den jeweiligen Zertifikatnehmer und in jedem Fall auf einem Crypto-Token. Folgende Regelungen gelten dabei: a) Im Falle des Defektes eines Crypto-Tokens werden hinterlegte private Schlüssel des betroffenen Zertifikatnehmers von der RA auf ein neues Token gespeichert, welches dem Zertifikatnehmer ausgehändigt wird. Das defekte Crypto-Token muss vorher der RA ausgehändigt werden und wird danach durch die RA unverzüglich vernichtet oder, falls ein Softwareproblem vorlag, neu initialisiert. b) Bei Verlust oder Diebstahl des privaten Schlüssels (durch Verlust oder Diebstahl des Crypto-Tokens) wird der hinterlegte Schlüssel auf einem neuen Crypto-Token an den betreffenden Zertifikatnehmer ausgehändigt. Das Verschlüsselungszertifikat sowie alle anderen Zertifikate, die sich auf dem Crypto-Token befanden, werden davon unabhängig unverzüglich gesperrt. Falls Zertifikate von Personengruppen betroffen sind, werden alle betroffenen Zertifikatnehmer informiert. c) Verschlüsselungsschlüssel werden über die Gültigkeit von Verschlüsselungszertifikaten hinaus unbefristet aufbewahrt. d) Im Falle des Ausscheidens eines Zertifikatnehmers aus der Martin-Luther-Universität Halle- Wittenberg, länger andauernder Krankheit, Tod oder zum Zweck der Beweissicherung bei Verdacht auf strafrechtliche Handlungen können Mitarbeiter der RA nach Genehmigung durch den Datenschutzbeauftragten der Martin-Luther-Universität Halle-Wittenberg den oder die privaten Schlüssel des betreffenden Mitarbeiters zur Sicherstellung verschlüsselter Daten verwenden. Noch gültige Verschlüsselungszertifikate sowie alle anderen Zertifikate, die sich im Besitz des Mitarbeiters befanden, werden davon unabhängig unverzüglich gesperrt. e) Über jeden Vorgang einer Schlüsselwiederherstellung wird ein Protokoll angelegt. CPS der Uni Halle Chipcard CA Seite 5/6 V1.0

6 Zu CPS der DFN-PCA: "5 Infrastrukturelle, organisatorische und personelle Sicherheitsmaßnahmen" und "6 Technische Sicherheitsmaßnahmen" Die Uni Halle Chipcard CA wird durch den DFN-Verein im Auftrag des DFN-Anwenders Martin- Luther-Universität Halle-Wittenberg bei der DFN-PCA betrieben. Daher sind für die Uni Halle Chipcard CA dieselben infrastrukturellen, organisatorischen, personellen und technischen Sicherheitsmaßnahmen umgesetzt, wie für die DFN-PCA (siehe CPS der DFN-PCA). Zu CPS der DFN-PCA: "6.1.1 Schlüsselerzeugung" Schlüssel für Benutzerzertifikate werden bei der Registrierungsstelle erzeugt. Schlüssel für Signatur- und Authentifizierungszertifikate werden auf einem Crypto-Token erzeugt. Schlüssel für Verschlüsselungszwecke werden in Software generiert und anschließend auf das Crypto- Token und verschlüsselt in das Schlüsselbackup geschrieben. Zu CPS der DFN-PCA: "6.1.2 Übermittlung des privaten Schlüssels an den Zertifikatnehmer" Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt ausschließlich auf Crypto-Token, die mit einer PIN gesichert sind. Die Initialisierung des Crypto-Tokens umfasst die Vergabe der PIN, die Schlüsselerzeugung, die Hinterlegung des Verschlüsselungsschlüssels und die Erstellung der Zertifikatanträge und erfolgt in den Räumen der RA. Dazu muss der Zertifikatnehmer persönlich das Crypto-Token, das dieser bei der Immatrikulation in nicht beschriebenem Zustand erhalten hat, an den Mitarbeiter der RA übergeben. Die PIN wird entweder durch den Zertifikatnehmer eingegeben oder automatisch generiert. Die Eingabe durch den Zertifikatnehmer erfolgt persönlich und gegen Einblick geschützt in den Räumen der RA. Bei der automatischen Generierung wird die PIN auf einen PIN-Brief gedruckt, der dem Zertifikatnehmer direkt übergeben wird. Die PIN wird in ein sichtgeschütztes Feld gedruckt, das erst nach einer nachweisbaren Manipulation sichtbar wird. Es wird gewährleistet, dass Mitarbeiter der RA keine Kenntnis der jeweiligen PIN erlangen. Zu CPS der DFN-PCA: "6.2.4 Backup der privaten Schlüssel" Die Uni Halle CA fordert von den Zertifikatnehmern ein Backup der Nutzer-Verschlüsselungsschlüssel. Die Vorgehensweise dazu ist in beschrieben. Zu CPS der DFN-PCA: "6.3.2 Gültigkeit von Zertifikaten und Schlüsselpaaren" Die durch die Uni Halle Chipcard CA ausgestellten Serverzertifikate haben standardmäßig eine Laufzeit von fünf Jahren, die Nutzerzertifikate von drei Jahren. CPS der Uni Halle Chipcard CA Seite 6/6 V1.0