Dokumentation Trustcenter Certificate Policy Type E - Zertifikate

Transkript

1 Dokumentation Trustcenter Änderungshistorie: Version Stand Änderungen Autor Status Initialversion Robert Kurz Entwurf Fertigstellung Robert Kurz Freigegeben Status: Freigegeben Seite 1 von 26

2 Inhaltsverzeichnis 1 Einleitung Überblick Identifikation des Dokumentes Teilnehmer der Zertifizierungsinfrastruktur Anwendungsbereich Verwaltung der Richtlinie Definitionen und Abkürzungen Veröffentlichungen und Verzeichnisdienst Verzeichnisdienst Veröffentlichung von Informationen Aktualisierung Zugang zu den Diensten Identifizierung und Authentifizierung Namensgebung Erstregistrierung Routinemäßige Erneuerung / Rezertifizierung Revokationsantrag Betriebliche Abläufe Antrag auf Ausstellung von Zertifikaten Bearbeitung von Zertifikatsanträgen Zertifikatsausstellung Entgegennahme von Zertifikaten Verwendung des Schlüsselpaares und des Zertifikats Zertifikatserneuerung / Wiederzertifizierung Zertifikatserneuerung / Re-Key Zertifikatsmodifizierung Widerruf und Suspendierung von Zertifikaten Online-Überprüfung eines Zertifikates (Statusabfrage) Beendigung des Vertragsverhältnisses durch den Zertifikatsnehmer Schlüsselhinterlegung und wiederherstellung Infrastruktur und betriebliche Abläufe Status: Freigegeben Seite 2 von 26

3 5.1 Physische Sicherheitsmaßnahmen Organisatorische Sicherheitsmaßnahmen Personelle Sicherheitsmaßnahmen Audit und Logging Prozeduren Datensicherung CA-Schlüsselwechsel Notfall und Recovery Einstellung des Betriebes Technische Sicherheitsmaßnahmen Schlüsselpaarerzeugung und Installation Schutz des privaten Schlüssels Weitere Aspekte des Schlüsselmanagements Aktivierungsdaten Sicherheitsmaßnahmen für Computersysteme Life-Cycle der Sicherheitsmaßnahmen Sicherheitsmaßnahmen für Netzwerke Zeitstempel Profile für Zertifikate, Widerrufslisten und Online-Statusabfragen Profile für Zertifikate Profil der Revokationslisten OCSP Profil Konformitätsprüfung Frequenz und Umstände der Überprüfung Identität des Überprüfers Verhältnis von Prüfer zu Überprüftem Überprüfte Bereiche Fehlerkorrektur Veröffentlichung der Ergebnisse Sonstige Regelungen Gebühren Finanzielle Verantwortung Vertraulichkeit von Geschäftsinformationen Schutz personenbezogener Daten (Datenschutz) Status: Freigegeben Seite 3 von 26

4 9.5 Urheberrechte Verpflichtungen Gewährleistung Haftungsbeschränkung Haftungsfreistellung Inkrafttreten und Aufhebung Individuelle Benachrichtigungen und Kommunikation mit Teilnehmern Änderungen und Ergänzungen der Richtlinien Konfliktbeilegung Geltendes Recht Konformität mit dem geltenden Recht Weitere Regelungen Andere Regelungen Status: Freigegeben Seite 4 von 26

5 1 Einleitung Die Zukunft des Gesundheitswesens ist digital. Webgestützte Kommunikation und Transaktion spielen im Arbeitsalltag von Heilberufsangehörigen eine immer größere Rolle. Als modernes Dienstleistungsunternehmen verfolgt die DGN Deutsches Gesundheitsnetz Service GmbH (DGN) ein klares Ziel: Mit innovativen Online-Services und besonders sicheren, maßgeschneiderten IT- Lösungen für Health Professionals wollen wir die Zukunft des Gesundheitswesens mitgestalten. Die DGN setzt beim Thema Sicherheit auf Public Key Infrastrukturen (PKI) und bietet dazu unterschiedliche Klassen von Zertifizierungsdienstleistungen an, wobei die unterschiedlichen Klassen nicht nur unterschiedliche Zielgruppen und Mandanten adressieren, sondern auch abgestufte Sicherheitsanforderungen beinhalten. 1.1 Überblick Die vorliegende Certificate Policy (CP) enthält die Richtlinien für die Vergabe von Zertifikaten in Form von Softtoken, sogenannten Softzertifikaten, durch das von DGN betriebene Trustcenter. In dieser Policy werden die Informationen zur Verwendung der angebotenen Zertifikate, die mit der hier beschriebenen Type E - Zertifikaten angeboten werden, bereitgestellt. Die CP liefert den Maßstab für das Niveau der Sicherheit der Zertifikate und bildet die Vertrauensgrundlage der Endteilnehmer und der Öffentlichkeit gegenüber diesen Zertifikaten. Die Certificate Policy ist Bestandteil der Allgemeinen Geschäftsbedingungen für Trustcenterdienstleistungen und produkte der DGN, die der Teilnehmer mit der Beantragung der jeweiligen Zertifikate anerkennt. Dieses Dokument bezieht sich auf technische und organisatorische Sachverhalte, die sich auf die spezielle, hier aufgeführte Zertifikate vom Type E beschränken. Für vorhandene andere Zertifikatsklassen gelten eigene Certificate Policies. Die Gliederung sowie die Empfehlungen des RFC 3647 (Version von November 2003) der IETF kommen zur Anwendung. 1.2 Identifikation des Dokumentes Name: Certificate Policy Type E - Mailzertifikate Version: 1.0 Datum: Status: Freigegeben OID: Teilnehmer der Zertifizierungsinfrastruktur Das Trustcenter wird von der Firma DGN Deutsches Gesundheitsnetz Service GmbH, Düsseldorf betrieben. Es werden Zertifikate für Mitglieder des Gesundheitswesens aber auch für die Öffentlichkeit ausgestellt. Status: Freigegeben Seite 5 von 26

6 1.3.1 CAs Die Root-CA des DGN Service Trustcenters für nicht qualifizierte Zertifikate ist eine Wurzelinstanz, d.h., dieser Root-CA Schlüssel ist selbstsigniert. Untergeordnete CA-Zertifikate (Sub-CAs) werden von der jeweiligen Root-CA zertifiziert. Das CA-Zertifikat für Zertifikate des hier beschrieben Typs wird mit Type E im CN gekennzeichnet. Die untergeordneten Sub-CAs der DGN zertifizieren die öffentlichen Schlüssel der Endteilnehmer RA Eine dedizierte Identifizierung der Antragsteller durch das Trustcenter erfolgt bei Zertifikaten dieses Typs nicht. Die RA führt keine Antragsprüfung durch. Die Daten des Antragstellers werden gemäß seinen Angaben im Antragsformular in das Zertifikat übernommen. Näheres regelt Abschnitt Endteilnehmer Die Vergabe von Zertifikaten richtet sich primär, aber nicht exklusiv, an Vertreter und Mitarbeiter des Gesundheitswesens Relying Party Keine Angaben Sonstige Keine. 1.4 Anwendungsbereich Die Zertifikate der hier beschriebenen Zertifikatsklasse können für Verschlüsselung, Authentisierung und Signatur verwendet werden. Die mit dem Signaturzertifikat erzeugten Signaturen sind elektronische Signaturen im Sinne des deutschen Signaturgesetzes. Die Zertifizierung weiterer untergeordneter Zertifikate ist nicht gestattet. 1.5 Verwaltung der Richtlinie Die vorliegende Richtlinie wurde erstellt, registriert und wird fortgeschrieben von DGN. Status: Freigegeben Seite 6 von 26

7 Postadresse: DGN Deutsches Gesundheitsnetz Service GmbH Postfach Düsseldorf Telefonisch ist die DGN zu erreichen unter Weitere Informationen über das Trustcenter und das angebotene Service-Portfolio sind unter verfügbar. Unter dieser Adresse kann auch der Fingerabdruck der CA- und Root-Zertifikate abgerufen werden. 1.6 Definitionen und Abkürzungen CA Certification Authority, Zertifizierungsstelle CN Common Name, Name CP Certificate Policy, Richtlinie für die Vergabe von Zertifikaten CPS Certification Practice Statement, Regeln für den Betrieb (Umsetzung der CPs) einer Zertifizierungsstelle CRL Certificate Revocation List, Sperrliste für Zertifikate, enthält die revozierten Zertifikate DN Distinguished Name, systemweit eindeutiger Name wird durch Verkettung aller Namensbestandteile von der Wurzel bis zum entsprechenden Eintrag erzeugt. LDAP Lightweight Directory Access Protocol OCSP Online Certificate Status Protocol PN Pseudonym, Kennzeichnung im DN bei pseudonymen Namen RA Registration Authority, hier: Stelle zur Identifizierung und Überprüfung von Zertifikatsantragstellern Revokation Sperrung / Widerruf eines Zertifikats Zertifikat Zuordnung eines kryptographischen Schlüssels zu einer Identität Status: Freigegeben Seite 7 von 26

8 2 Veröffentlichungen und Verzeichnisdienst 2.1 Verzeichnisdienst Es kann ein Verzeichnisdienst betrieben werden, über den die öffentlichen Zertifikate abgerufen werden können. 2.2 Veröffentlichung von Informationen Das Trustcenter stellt mindestens folgende Informationen öffentlich zur Verfügung: Diese Certificate Policy (CP), das Root- und die CA-Zertifikate jeweils mit Fingerabdruck. 2.3 Aktualisierung Aktualisierte Informationen werden bei Bedarf auf den Webseiten der DGN ( bereitgestellt. 2.4 Zugang zu den Diensten Der lesende Zugriff auf die unter 2.1 und 2.2 veröffentlichten Informationen unterliegt keiner Zugangskontrolle, schreibenden Zugriff erlangen nur autorisierte Mitarbeiter. Die Systeme sind gegen unautorisierte Schreibzugriffe geschützt. Status: Freigegeben Seite 8 von 26

9 3 Identifizierung und Authentifizierung 3.1 Namensgebung Namenstypen Es werden die Namenshierarchien der Normenserie X.500 genutzt Aussagekraft von Namen Die Eindeutigkeit der Identifikation des Endteilnehmers durch seinen Namen (DN) im Zertifikat muss gegeben sein. Der verwendete Name (DN) setzt sich aus dem Namen des Antragstellers und ggfs. seiner -Adresse sowie einer Seriennummer zur Herstellung der Eindeutigkeit zusammen. Für juristische Personen und für Maschinen werden dem Einsatzzweck entsprechende eindeutige Namen vergeben (z.b. Firmenname, Domainname, IP-Adresse) Anonyme / Pseudonyme Anonyme Zertifikate werden nicht erstellt. Wenn für Personen nicht der reale Name in das Zertifikat aufgenommen werden soll, wird stattdessen ein Pseudonym verwendet, das als solches gekennzeichnet sein muss (Zusatz :PN am Common Name) Interpretationsregeln für Namensformen Der Zusatz :PN wird zur Kennzeichnung von Pseudonymen anstelle des Namens des Antragstellers verwendet (s.o.) Eindeutigkeit von Namen Der Distinguished Name des Endteilnehmer muss eindeutig sein. Zu diesem Zweck kann der DN durch zusätzliche Angaben wie z.b. eine Seriennummer ergänzt werden Maßnahmen zur Auflösung von Streitigkeiten über einen Namen Ein auf einen unzulässigen Namen ausgestelltes Zertifikat muss sofort nach bekannt werden der Rechtsverletzung gesperrt werden Anerkennung von Warenzeichen Nur natürliche Personen dürfen ein Zertifikat dieser Zertifikatsklasse beantragen und erhalten. Da der Name auf dem Zertifikat sich explizit auf eine natürliche Person bezieht, ist eine Anerkennung von Warenzeichen somit nicht relevant. Sollten bei Verwendung von Pseudonymen Markenrechte, Warenzeichen oder andere Rechte verletzt werden, muss das Trustcenter umgehend nach bekannt werden der Verletzung das betroffene Zertifikat sperren. Status: Freigegeben Seite 9 von 26

10 3.2 Erstregistrierung Maßnahmen zur Überprüfung des Besitzes des privaten Schlüssels, der zum zertifizierten öffentlichen Schlüssel gehört. In der Regel werden die Schlüsselpaare (privater und zugehöriger öffentlicher Schlüssel) vom Trustcenter selbst erzeugt. In diesen Fällen ist keine Besitzüberprüfung notwendig. Bei fremderzeugten Schlüsselpaaren dient der selbstsignierte Zertifikatsrequest (self-signed CSR) als Besitznachweis des privaten Schlüssels Authentisierung von Organisationen Das Trustcenter behält sich die Aufnahme der Angaben zu Organisationen bzw. der Organisationszugehörigkeit in das Zertifikat vor, insbesondere muss die Organisationszugehörigkeit durch entsprechende Nachweise (z.b. Handelregisterauszug oder vergleichbare Angaben von öffentlich zugänglichen Informationsquellen sowie Bestätigung durch zeichnungsberechtigte Person) belegt werden Authentisierung von Personen Eine Identifizierung oder sonstige Überprüfung von Personen, die ein Zertifikat dieser Zertifikatsklasse beantragen, wird nicht durchgeführt. Soweit Angaben zur Organisation oder der Organisationszugehörigkeit in ein Zertifikat aufgenommen werden sollen, muss der Name des Antragstellers und eine ggfs. in das Zertifikat aufgenommene -Adresse durch die Organisation bestätigt werden (s.o.). Im Zertifikat enthaltene -Adressen werden dahingehend geprüft, dass der Antragsteller zum Zeitpunkt der Antragstellung Zugriff auf das zugehörige Postfach haben muss Nicht überprüfte Attribute Andere ggfs. in ein Zertifikat aufgenommene Attribute werden nicht explizit überprüft Überprüfung fremder CAs, RAs Eine Crosszertifizierung anderer CAs oder Einbeziehung fremder RAs ist für diese Zertifikatsklasse derzeit nicht geplant Interoperabilität Interoperabilität mit anderen PKI wird nicht garantiert. 3.3 Routinemäßige Erneuerung / Rezertifizierung Eine routinemäßige Rezertifizierung ist nicht vorgesehen. 3.4 Revokationsantrag Revokationsanträge werden nur nach erfolgreicher Prüfung der Autorisierung des Sperrantragstellers bearbeitet. Status: Freigegeben Seite 10 von 26

11 4 Betriebliche Abläufe 4.1 Antrag auf Ausstellung von Zertifikaten Ein Antrag auf Ausstellung von Zertifikaten dieser Zertifikatsklasse kann online über vom Trustcenter bereitgestellte Antragsformulare gestellt werden. 4.2 Bearbeitung von Zertifikatsanträgen Zertifikatsanträge ohne zu prüfende Organisationsangaben (vgl. Kap und 3.2.3) werden automatisiert bearbeitet. Eine explizite Antragsprüfung erfolgt in diesen Fällen nicht. In allen anderen Fällen erfolgt die Zertifikatserstellung nach erfolgreicher Prüfung des Antrags. 4.3 Zertifikatsausstellung Nach Eingang eines vollständigen Zertifikatsantrags werden die Zertifikate auf Basis der Angaben des Antragstellers produziert. 4.4 Entgegennahme von Zertifikaten Die vom Trustcenter erzeugten Zertifikate und Schlüsselpaare werden in der Regel als p12- Container zum Download bereitgestellt. Mit der Entgegennahme und Installation in des Zertifikats wird dieses vom Antragsteller akzeptiert. Für die geschützte Speicherung insbesondere des privaten Schlüssels und des zugehörigen Kennworts/PIN ist der Antragsteller verantwortlich. Diese werden vom Trustcenter nicht gespeichert und können daher nicht erneut zur Verfügung gestellt werden. Bei Verlust des privaten Schlüssels oder des zugehörigen Kennworts kann auf entsprechend verschlüsselte Daten nicht mehr zugegriffen werden. 4.5 Verwendung des Schlüsselpaares und des Zertifikats Die Verwendung der Schlüssel und Zertifikate muss auf den jeweiligen Anwendungskontext Verschlüsselung, Authentisierung und Signatur beschränkt sein. Eine bestimmungswidrige Nutzung ist nicht erlaubt. 4.6 Zertifikatserneuerung / Wiederzertifizierung Ein Verfahren zur Zertifikatserneuerung / Wiederzertifizierung ist nicht vorgesehen. 4.7 Zertifikatserneuerung / Re-Key Ein Verfahren zur Zertifikatserneuerung / Re-Keying ist nicht vorgesehen. Status: Freigegeben Seite 11 von 26

12 4.8 Zertifikatsmodifizierung Eine Änderung von Inhalten der Zertifikate (z.b. nach Namensänderung) ist nicht möglich. In diesen Fällen muss ein neues Zertifikat beantragt werden. 4.9 Widerruf und Suspendierung von Zertifikaten Revokationsgründe Ein Zertifikat kann revoziert (widerrufen) werden bei: Kompromittierung des privaten Schlüssels des Endteilnehmers oder der CA Verlust oder Diebstahl des privaten Schlüssels des Endteilnehmers Vertragsbruch seitens des Endteilnehmers oder des Trustcenters Ausstellung des Zertifikats auf Grundlage falscher Daten Änderung der Daten des Endteilnehmers, die Grundlage der Zertifikatserstellung waren (z.b. Namensänderung) Auf Wunsch des Endteilnehmers Berechtigte Personen, die eine Revokation veranlassen können Zum Widerruf eines Zertifikats sind der Zertifikatseigentümer/Antragsteller sowie die Mitarbeiter des Trustcenters berechtigt. Soweit Angaben zur Organisation oder Organisationszugehörigkeit in ein Zertifikat aufgenommen wurden, ist die entsprechende Organisation ebenfalls zur Sperrung des Zertifikats berechtigt. Für die Authentisierung werden in diesen Fällen die gleichen Verfahren wie für die Bestätigung der Organisation akzeptiert (vgl. Kap und 3.2.3) Prozedur für einen Antrag auf Revokation Der Antrag auf Revokation kann in Textform erfolgen, soweit eine Authentisierung des Sperrantragstellers (s.o.) möglich ist. Zur Bearbeitung sind mindestens folgende Informationen nötig: Vorname und Name bzw. Pseudonym des Zertifikatsinhabers und Informationen zur Identifikation des zu sperrenden Zertifikats. Zur Authentisierung des Sperrantragstellers kann z.b. der Zugriff auf das Postfach der im Zertifikat enthaltenen -Adresse geprüft werden. Nach erfolgreicher Prüfung des Sperrantrages wird ein interner Antrag auf Revokation in das Sperr-System eingegeben und die Sperr-CA bzw. die ausstellende CA (Issuer) weitergegeben. Der Zeitpunkt der Eingabe des Antrages in das Sperr-System gilt als Sperrzeitpunkt. Anschließend stellt die Sperr-CA eine neue CRL (Revokationsliste) aus Revokationsfrist für den Zertifikatsinhaber Bei begründetem Verdacht einer Kompromittierung des privaten Schlüssels eines Endteilnehmers wird dem Endteilnehmer empfohlen, seine Zertifikate zeitnah sperren zu lassen. Status: Freigegeben Seite 12 von 26

13 4.9.5 Revokationsbearbeitungsfrist für das Trustcenter Revokationen werden kurzfristig durchgeführt Mechanismen für Relying Parties Derartige Mechanismen werden nicht unterstützt Aktualisierungsfrequenz einer CRL (Liste revozierter Zertifikate) Die CRL wird aktualisiert, sobald ein Zertifikat widerrufen wird oder spätestens vor Ablauf der Gültigkeit der CRL Maximale Wartedauer auf neue CRL (Liste revozierter Zertifikate). Neue CRLs müssen spätestens alle 180 Tage veröffentlicht werden Online Zugriffsmöglichkeiten auf CRL Die CRL kann online auf den Webseiten des Trustcenters ( per http oder in einem Verzeichnisdienst per ldap bereitgestellt werden CRL: Anforderungen an Endteilnehmer Es obliegt dem Nutzer, die Gültigkeit von Zertifikaten anhand von CRLs zu prüfen Andere Formen der Bekanntgabe von Revokationen Zusätzlich zur Bereitstellung von CRLs können Angaben zum Zertifikatsstatus auch per OCSP zur Verfügung gestellt werden Spezielle Anforderungen bei Re-Keying Kompromittierung Re-Keying ist nicht vorgesehen Gründe für Suspendierung Die Suspendierung von Zertifikaten wird nicht unterstützt Berechtigte für die Suspendierung Die Suspendierung von Zertifikaten wird nicht unterstützt Verfahren bei der Suspendierung Die Suspendierung von Zertifikaten wird nicht unterstützt Zeitrestriktionen für die Suspendierung Die Suspendierung von Zertifikaten wird nicht unterstützt. Status: Freigegeben Seite 13 von 26

14 4.10 Online-Überprüfung eines Zertifikates (Statusabfrage) Für die Überprüfung eines Zertifikates werden Revokationslisten (CRL) bereitgestellt. Ein OCSP- Dienst kann zusätzlich angeboten werden Beendigung des Vertragsverhältnisses durch den Zertifikatsnehmer Die Beendigung des Vertragsverhältnisses durch den Zertifikatsnehmer wird in den allgemeinen Geschäftsbedingungen des Anbieters geregelt, zusätzliche Vereinbarungen können in den Vertrags- oder Antragsunterlagen enthalten sein Schlüsselhinterlegung und wiederherstellung Eine Hinterlegung oder Sicherungsarchivierung privater Schlüssel der Zertifikate erfolgt nicht. Status: Freigegeben Seite 14 von 26

15 5 Infrastruktur und betriebliche Abläufe Die Systeme des Trustcenters werden in den Rechenzentren der DGN betrieben. Die Räume bieten bedingt durch ihre Konstruktion einen Schutz, der dem erforderlichen Sicherheitsniveau angemessen ist. 5.1 Physische Sicherheitsmaßnahmen Die Betriebsräume sind durch elektronische und/oder mechanische Schlösser und durch eine Alarmanlage geschützt Lage und Konstruktion der Betriebsstätten des Trustcenters Die Systeme des Trustcenters werden in den Rechenzentren der DGN in Deutschland betrieben. Die genutzten Räumlichkeiten bieten bedingt durch ihre Konstruktion einen Schutz, der dem erforderlichen Sicherheitsniveau angemessen ist Zutrittskontrollen Die Betriebsräume sind durch eine Zutrittskontrollanlage unter der Kontrolle der DGN geschützt. Die Berechtigungen werden restriktiv anhand eines geeigneten rollenbasierten Berechtigungskonzepts vergeben Stromversorgung und Klimatisierung Die Stromversorgung wird grundsätzlich mittels USV-Systemen abgesichert. Systeme mit Hochverfügbarkeitsanforderung werden über 2 unabhängige redundante Stromkreise versorgt und über USV sowie einer Netzersatzanlage zusätzlich gesichert. Die Rechenzentren verfügen über eine redundant ausgelegte Klimatisierung Abwehr von Wasserschäden Ein angemessener Schutz vor Wasserschäden ist gewährleistet Abwehr von Feuerschäden Eine Feuermeldeanlage ist vorhanden. Feuerlöscher sind nach den gültigen Brandschutzbestimmungen vorhanden. 5.2 Organisatorische Sicherheitsmaßnahmen Nur vom Sicherheitsbeauftragten autorisierten Personen wird der Zutritt zu den Räumen des Trustcenters gemäß eines rollenbasierten Berechtigungskonzepts gewährt. Der Zutritt durch nicht mit entsprechenden Rollen des Trustcenters betrauten Personen regelt eine gesonderte Besucherregelung. 5.3 Personelle Sicherheitsmaßnahmen Die Zuverlässigkeit des Trustcenterpersonals wird durch die Vorlage von Führungszeugnissen nachgewiesen. Die Fachkunde wird durch regelmäßige Schulungen sichergestellt. Status: Freigegeben Seite 15 von 26

16 5.4 Audit und Logging Prozeduren Kritische Systeme werden automatisiert überwacht. 5.5 Datensicherung Eine regelmäßige Datensicherung erfolgt gemäß Datensicherungskonzept. Eine Sicherung der privaten Schlüssel der Endteilnehmer erfolgt dabei nicht. 5.6 CA-Schlüsselwechsel Ca-Zertifikate werden vor Ablauf der Gültigkeit neu erstellt. Soweit die eingesetzten Algorithmen noch nicht gefährdet sind, können für bestehende Schlüssel neue Zertifikate ausgestellt werden. 5.7 Notfall und Recovery Für diesen Zertifikatstyp gelten keine besonderen Regelungen für den Notfall. 5.8 Einstellung des Betriebes Bei Einstellung des Betriebs kann die DGN sämtliche ausgestellten und zu diesem Zeitpunkt gültigen Zertifikate sperren (s.o.). Eine explizite Benachrichtigung der Endteilnehmer erfolgt nicht. Status: Freigegeben Seite 16 von 26

17 6 Technische Sicherheitsmaßnahmen Nachfolgend werden Einzelheiten zu technischen Sicherheitsmaßnahmen aufgeführt. Nicht alle Informationen dieses Themenbereichs sind jedoch öffentlich. 6.1 Schlüsselpaarerzeugung und Installation Schlüsselpaarerzeugung Soweit keine fremderzeugten Schlüsselpaare zum Einsatz kommen, werden die Schlüsselpaare der Teilnehmerzertifikate auf gesondert gesicherten Systemen erzeugt. Eine Sicherheitszertifizierung für die Schlüsselerzeugung ist für Zertifikate diesen Typs nicht gefordert Auslieferung des privaten Schlüssels Bei vom Trustcenter erstellten Schlüsselpaaren erfolgt die Auslieferung des privaten Schlüssels durch Bereitstellung eines kennwortgeschützten Containers (p12-datei). Das zugehörige Kennwort wird gesondert zugestellt Auslieferung des öffentlichen Schlüssels an den Zertifikatsinhaber Der öffentliche Schlüssel des Endteilnehmers kann entweder zusammen mit dem privaten Schlüssel ausgeliefert oder als Bestandteil des Teilnehmerzertifikats im Zertifikatsverzeichnis veröffentlicht werden Auslieferung der öffentlichen Root- und CA-Schlüssel Die öffentlichen Schlüssel der Root und der CAs des Trustcenters werden zusammen mit ihren Fingerprints im Internet ( zum Abruf bereitgestellt Verwendete Schlüssellängen Die Regelungen für die eingesetzten Schlüssellängen orientieren sich an den Vorgaben der Bundesnetzagentur (Algorithmenkatalog). Diese sind für RSA aktuell 2048 Bit für die CA- und Endteilnehmer-Schlüssel. Auf Wunsch können für Endteilnehmer auch andere RSA-Schlüssellängen eingesetzt werden, mindestens jedoch 1024 Bit Parameter der öffentlichen Schlüssel Die Parameter der öffentlichen Schlüssel werden von der CA des Trustcenters erzeugt Verwendungszweck der Schlüssel Beschränkungen aller Nicht-CA-Zertifikate: CA: false (critical) Der Verwendungszweck der Schlüssel der Endteilnehmer ist im entsprechenden Feld des X.509v3 Zertifikates aufgeführt. Für Type E Zertifikate sind dies standardmäßig: Data Encipherment, Key Encipherment Status: Freigegeben Seite 17 von 26

18 Digital Signature sowie als erweiterter Verwendungszweck: Client Authentication und Protection Andere Verwendungszwecke können bei Bedarf eingetragen werden. 6.2 Schutz des privaten Schlüssels Standards des Schlüssel erzeugenden kryptographischen Moduls Eingesetzte kryptographische Module unterliegen keinen formalen Zertifizierungen oder Standards Schlüsselteilung (key-sharing Algorithmus) Die Schlüssel der Endteilnehmer werden nicht geteilt Schlüsselhinterlegung Eine Hinterlegung der Teilnehmerschlüssel erfolgt nicht Backup von privaten Schlüsseln Ein Backup von privaten Schlüsseln der Endteilnehmer erfolgt nicht Archivierung privater Schlüssel Ein Archivierung von privaten Schlüsseln der Endteilnehmer erfolgt nicht Transfer privater Schlüssel in ein Kryptomodul Der Transfer (fremderzeugter) privater Schlüssel ist nicht vorgesehen Speicherung privater Schlüssel in ein Kryptomodul Die Speicherung (fremderzeugter) privater Schlüssel in ein Kryptomodul ist nicht vorgesehen Aktivierung privater Schlüssel Die Aktivierung privater Schlüssel der Endteilnehmer obliegt dem Endteilnehmer Deaktivierung privater Schlüssel Die Deaktivierung privater Schlüssel der Endteilnehmer obliegt dem Endteilnehmer Vernichtung privater Schlüssel Keine Angaben. Status: Freigegeben Seite 18 von 26

19 Kryptomodul Rating Kein Angaben. 6.3 Weitere Aspekte des Schlüsselmanagements Archivierung öffentlicher Schlüssel Es besteht keine Verpflichtung zur Archivierung von öffentlichen Schlüsseln durch das Trustcenter Gültigkeit der Schlüsselpaare Die Schlüssel der Root- und Sub-CAs sind maximal 16 Jahre gültig. Die Teilnehmerschlüssel sind maximal 10 Jahre gültig. 6.4 Aktivierungsdaten Erzeugung und Installation der Aktivierungsdaten (PINs) Die PINs der CA-Schlüssel werden bei der Erzeugung festgelegt. Die PINs der Endteilnehmer-Schlüssel werden bei der Erzeugung festgelegt und dem Antragsteller getrennt vom privaten Schlüssel zugestellt Schutz der Aktivierungsdaten Für den Schutz der Aktivierungsdaten (Kennwort/PIN) vor unberechtigtem Zugriff und Verlust ist der Endteilnehmer zuständig Weitere Aspekte Keine Angaben. 6.5 Sicherheitsmaßnahmen für Computersysteme Spezifische Sicherheitsmaßnahmen für die Computersysteme Es gelten die allgemeinen Sicherheitsmaßnahmen für durch DGN betriebene Systeme Sicherheitseinstufung Eine Sicherheitseinstufung der Computersysteme muss nicht durchgeführt werden. 6.6 Life-Cycle der Sicherheitsmaßnahmen Sicherheitsmaßnahmen für die Entwicklung Es muss sichergestellt werden, dass erforderliche Updates den Betrieb nicht gefährden. Status: Freigegeben Seite 19 von 26

20 6.6.2 Sicherheitsmanagement Es wird ein Sicherheitsmanagement betrieben, das die Wirksamkeit der Sicherheitsmaßnahmen des Trustcenters überwacht Sicherheitseinstufung Eine Sicherheitseinstufung muss nicht durchgeführt werden. 6.7 Sicherheitsmaßnahmen für Netzwerke Die Kommunikation zwischen den Systemen in den gesicherten Bereich des Trustcenters erfolgt über ausreichend gesicherte Verbindungen. 6.8 Zeitstempel Ein Zeitstempeldienst wird nicht bereitgestellt. Status: Freigegeben Seite 20 von 26

21 7 Profile für Zertifikate, Widerrufslisten und Online-Statusabfragen 7.1 Profile für Zertifikate Version Die vom Trustcenter der DGN ausgestellten Zertifikate sind X.509v3 Zertifikate Zertifikatserweiterungen Die Teilnehmerzertifikate haben folgende Erweiterungen: Basic Constraint Key Usage Certificate Policy CRL Distribution Point Subject Alternative Name Authority Key Identifier Subject Key Identifier Bei Bedarf können zusätzliche Erweiterungen aufgenommen werden kryptographische Algorithmen Folgende Algorithmen kommen standardmäßig zum Einsatz RSA 2048 bit SHA256 Abweichende Algorithmen können bei Bedarf oder für spezielle Einsatzzwecke eingesetzt werden. Angaben zu den jeweils verwendeten Algorithmen sind in den Zertifikaten enthalten Namensformen Die Distinguished Names der Zertifikate haben folgende Form: E= -Adresse CN=Vorname(n) Nachname SERIALNUMBER=Serienummer (wird vom Trustcenter vergeben) OU=Organisationseinheit O=Organisation Status: Freigegeben Seite 21 von 26

22 C=Landeskennung Bei nicht gesetzten Parametern für E, O und/oder OU werden diese im Subject nicht gesetzt Beschränkungen für Namen Keine Bestimmungen Object Identifiers für die Certificate Policies Für jede Certificate Policy (CP) gibt es einen Object Identifier, der in der jeweiligen CP aufgeführt wird. Der OID für diese Certificate Policy ist Verwendung von Erweiterungen für Policy Constraints Keine Bestimmungen Syntax und Semantik des Policy Qualifiers Keine Bestimmungen Verarbeitungssemantik für kritische Certificate Policy Extension Keine Bestimmungen. 7.2 Profil der Revokationslisten Version Die vom Trustcenter der DGN ausgestellten Revokationslisten sind X.509v2 CRLs CRL und CRL entry extensions Für die CRLs werden keine Erweiterungen verwendet 7.3 OCSP Profil OCSP Version Keine Bestimmungen OCSP Extensions Keine Bestimmungen. Status: Freigegeben Seite 22 von 26

23 8 Konformitätsprüfung Die Zertifizierungsstelle der DGN verpflichtet sich, nach den hier beschriebenen Abläufen zu verfahren. Eine Überprüfung der Einhaltung dieser Verpflichtung erfolgt durch die interne Revision. 8.1 Frequenz und Umstände der Überprüfung keine Angaben. 8.2 Identität des Überprüfers Die Audits müssen mindestens im Rahmen einer internen Revision durch den Revisor des Trustcenters durchgeführt werden. 8.3 Verhältnis von Prüfer zu Überprüftem Der Auditor wird als Revisor des Trustcenters beauftragt. Er darf keine weiteren Aufgaben im operativen Betrieb des Trustcenters wahrnehmen. 8.4 Überprüfte Bereiche Die Auswahl der zu überprüfenden Bereiche obliegt dem Revisor. 8.5 Fehlerkorrektur Bei festgestellten Mängeln werden geeignete Maßnahmen zu deren Beseitigung eingeleitet. Falls die Sicherheit des Trustcenters gefährdet ist, kann der Betrieb bis zur Beseitigung der Mängel eingestellt werden. 8.6 Veröffentlichung der Ergebnisse Die Ergebnisse des Audits bzw. der Mängelbeseitigung müssen nicht veröffentlicht werden. Status: Freigegeben Seite 23 von 26

24 9 Sonstige Regelungen 9.1 Gebühren Die Gebühren für Leistungen des Trustcenters werden unter bzw. im jeweiligen Antrag oder Bestellformular angegeben. 9.2 Finanzielle Verantwortung Versicherungsschutz Keine Angaben Vermögenswerte Keine Angaben Versicherungsschutz für Kunden (Zertifikatsinhaber) Keine Angaben. 9.3 Vertraulichkeit von Geschäftsinformationen Die Klassifikation von Informationen und Dokumenten mit Geschäftsinformationen sowie deren Weitergabe erfolgt gemäß Sicherheitseinstufung. 9.4 Schutz personenbezogener Daten (Datenschutz) Im Rahmen des Betriebs des Trustcenters werden persönliche Daten erhoben. Diese müssen nach den Richtlinien des Bundesdatenschutzgesetzes und der Datenschutzgesetze der Länder behandelt werden Vertraulich zu behandelnde Informationen Alle persönlichen Daten, die nicht im Zertifikat enthalten sind (Ausnahme: Zertifikatssperrung, Zeitpunkt der Sperrung), gelten als vertrauliche Informationen, sofern der Eigentümer der Veröffentlichung der Information nicht explizit zugestimmt hat Nicht vertraulich zu behandelnde Informationen Alle Daten, die im Zertifikat oder in veröffentlichten Listen für die Überprüfung eines Zertifikats (CRLs) enthalten oder aus diesen Daten ableitbar sind, sind öffentlich und damit nicht vertraulich. Ferner gelten jene Informationen als nicht vertraulich, deren Veröffentlichung der Eigentümer der Information explizit zugestimmt hat Verantwortung für vertraulich zu behandelnde Informationen Status: Freigegeben Seite 24 von 26

25 Das Trustcenter schützt vertrauliche Kundendaten mit derselben Sorgfalt, mit der auch eigene vertrauliche Daten gesichert werden. Eine Weitergabe vertraulicher Daten an Dritte erfolgt nur, wenn entsprechend geeignete Vertraulichkeitsvereinbarungen mit dem Empfänger abgeschlossen wurden. 9.5 Urheberrechte Das Root-Zertifikat und alle Sub-CA-Zertifikate der DGN sowie die zugehörigen privaten und öffentlichen Schlüssel sind Eigentum der DGN. Ihre Nutzung für Zwecke, die in dieser CP vorgesehen sind, ist jedem Teilnehmer der PKI erlaubt. Die Zertifikate sowie die privaten und öffentlichen Schlüssel der Endteilnehmer sind Eigentum der jeweiligen Endteilnehmer. Der Nutzung der Zertifikate für Zwecke, die in dieser CP vorgesehen sind, hat der Endteilnehmer durch den Zertifizierungsantrag zugestimmt. 9.6 Verpflichtungen In diesem Abschnitt werden die Verpflichtungen sowohl des Trustcenters als auch der Endteilnehmer aufgeführt. Ziel ist die durchgehende Einhaltung eines hohen Sicherheitsniveaus Verpflichtungen des Trustcenters, CA Die CA als Instanz des Trustcenters verpflichtet sich, nach den Richtlinien dieser CP zu arbeiten. Insbesondere wird dem Schutz des privaten Schlüssels der CA absolute Priorität gegeben. Die CA stellt Zertifikate für Endteilnehmer gemäß dieser CP aus. Die CA verpflichtet sich, qualifiziertes Personal zu beschäftigen, dessen Zuverlässigkeit geprüft wurde. Die Sicherheitsvorkehrungen werden eingehalten Verpflichtungen des Trustcenters, RA Die RA des Trustcenters verpflichtet sich, nach den Richtlinien dieser CP zuarbeiten. Die Sicherheitsvorkehrungen werden eingehalten Verpflichtungen des Endteilnehmers (Zertifikatsinhabers) Der Endteilnehmer, der ein Zertifikat der hier beschriebenen Zertifikatsklasse beantragt und erhält, verpflichtet sich, diese CP zu akzeptieren. Er verpflichtet sich, sein Zertifikat gemäß der im Zertifikat und in dieser CP angegebenen Zwecke und mit angemessener Vorsicht einzusetzen. Er ist für den Schutz seines privaten Schlüssel des zugehörigen Kennworts selbst verantwortlich Verpflichtungen des Endteilnehmers (Überprüfer eines Zertifikates, Relying Party) Der Endteilnehmer, der ein Zertifikat überprüfen möchte oder zur Verschlüsselung nutzt, verpflichtet sich, diese Certification Policy zu akzeptieren. 9.7 Gewährleistung Das Trustcenter bietet alle Dienstleistungen mit der gesetzlichen Pflicht zur Mängelbeseitigung (Gewährleistung) an. Status: Freigegeben Seite 25 von 26

26 9.8 Haftungsbeschränkung Das Trustcenter haftet gemäß der Allgemeinen Geschäftsbedingungen. 9.9 Haftungsfreistellung Die Verwendung der privaten Schlüssel obliegt ausschließlich dem jeweiligen Zertifikatsinhaber. Dieser haftet somit allein für alle aus der Verwendung resultierenden Schäden und stellt das Trustcenter von eventuellen Ansprüchen frei, die Dritte gegen sie erheben könnten Inkrafttreten und Aufhebung Diese Certificate Policy wird durch die DGN Deutsches Gesundheitsnetz Service GmbH verwaltet und tritt mit ihrer Veröffentlichung auf den Webseiten der Firma in Kraft. Sie kann unter Wahrung bestehender Vertragsverhältnisse jederzeit aufgehoben werden. Eine Aufhebung wird unter bekannt gegeben Individuelle Benachrichtigungen und Kommunikation mit Teilnehmern Eine individuelle Benachrichtigung oder aktive Kommunikation mit den Teilnehmern ist für diese Zertifikatsklasse nicht vorgesehen Änderungen und Ergänzungen der Richtlinien Diese Richtlinie kann unter Wahrung bestehender Vertragsverhältnisse jederzeit ergänzt oder geändert werden. Eine neue Version wird unter bekannt gegeben Konfliktbeilegung Im Falle von Streitigkeiten steht der Rechtsweg offen Geltendes Recht Es gilt das Recht der Bundesrepublik Deutschland Konformität mit dem geltenden Recht Die Zertifikate dieses Typs sind einfache elektronische Zertifikate im Sinne des deutschen Signaturgesetzes. Mit dem dazugehörenden privaten Schlüssel können elektronische Signaturen erzeugt werden können Weitere Regelungen Keine Andere Regelungen Keine. Status: Freigegeben Seite 26 von 26