So erhalten Sie Zertifizierungsstellen in Deutschland

Transkript

1 Erklärung zum Zertifizierungsbetrieb der T-Systems SfR CA 2 in der DFN- PKI - Sicherheitsniveau: Global - T-Systems SfR GmbH CPS der T-Systems SfR CA 2 V CPS der T-Systems SfR CA 2 Seite 1/7 V1.0

2 1 Einleitung Die T-Systems SfR CA 2 ist eine Zertifizierungsstelle des DFN-Anwenders T-Systems SfR GmbH innerhalb der DFN-PKI. In der DFN-PKI wird eine Zertifizierungshierarchie verwendet, bei der das Zertifikat der T-Systems SfR CA 2 von der DFN-PCA ausgestellt wird. Für den Betrieb der T-Systems SfR CA 2 gelten die folgenden Dokumente: CP der DFN-PKI: "Zertifizierungsrichtlinie der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID CPS der DFN-PCA: "Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID Die vom CPS der DFN-PCA abweichenden Regelungen für die T-Systems SfR CA 2 sind in Kapitel 3 dieses Dokuments beschrieben. Die T-Systems SfR CA 2 stellt ausschließlich Zertifikate im Sicherheitsniveau "Global" aus. 2 Identifikation des Dokuments Titel: "Erklärung zum Zertifizierungsbetrieb der T-Systems SfR CA 2 in der DFN-PKI" Version: Abweichungen vom CPS der DFN-PCA Nachfolgend sind die Abschnitte des CPS der DFN-PCA aufgeführt, in denen für die T-Systems SfR CA 2 abweichende Regelungen getroffen werden. Zu CPS der DFN-PCA: "1.3.1 Zertifizierungsstellen" Die Anschrift der T-Systems SfR CA 2 lautet: T-Systems SfR GmbH Telefon: Rutherfordstr. 2 Telefax: Berlin ca@t-systems-sfr.com GERMANY Zu CPS der DFN-PCA: "1.3.2 Registrierungsstellen" WWW: Die ausgezeichneten Registrierungsstellen für die zuvor genannten Zertifizierungsstellen befinden sich in den Räumen der T-Systems SfR GmbH an den Standorten Berlin-Adlershof, Kekulestr. 7, Berlin, Tel.: , Stuttgart, Pfaffenwaldring 38-40, Stuttgart, Tel.: Köln, Linder Höhe, Köln, Tel.: , Oberpfaffenhofen, Münchner Str. 20, Weßling, Tel.: Braunschweig, Lilienthalplatz 7, Braunschweig, Tel.: Göttingen, Bunsenstr. 10, Göttingen, Tel.: Garching, Forschungsgelände, Garching, Tel.: Darüber hinaus sind keine weiteren Registrierungsstellen verfügbar. CPS der T-Systems SfR CA 2 Seite 2/7 V1.0

3 Zu CPS der DFN-PCA: "1.5.1 Organisation" Die Verwaltung dieses CPS erfolgt durch die in Abschnitt genannte Einrichtung. Der Betrieb der T-Systems SfR CA 2 erfolgt durch: DFN-Verein Telefon: Alexanderplatz 1 Telefax: Berlin pki@dfn.de GERMANY Zu CPS der DFN-PCA: "1.5.2 Kontaktperson" WWW: Die verantwortliche Person für das CPS der T-Systems SfR CA 2 ist: T-Systems SfR GmbH Frank Fiedler Kekulestr. 7 Telefon: Berlin Telefax: GERMANY frank.fiedler@t-systems-sfr.com Zu CPS der DFN-PCA: "2.2 Veröffentlichung von Informationen" Alle gemäß CP, Abschnitt 2.2, erforderlichen Informationen werden bereitgestellt unter: Zu CPS der DFN-PCA: "3.1.1 Namensform" Die DNs aller Zertifikatnehmer unterhalb der T-Systems SfR CA 2 enthalten die Attribute "C=DE" und "O=T-Systems SfR GmbH". Das optionale Attribut "OU=<Organisationseinheit>" kann mehrfach angegeben werden. Wenn eine Adresse angegeben wird, so kann diese über das Attribut " address=" in den Namen aufgenommen werden. Die Adresse sollte allerdings bevorzugt in der Zertifikaterweiterung "subjectalternativename" aufgenommen werden. Funktionale oder Rollenzertifikate werden im CN mit dem vorangestellten Kürzel GRP: gekennzeichnet. Damit entspricht der Name jedes Zertifikatnehmers dem folgenden Schema: C=DE O=T-Systems SfR GmbH [ OU=<Organisationseinheit> ] CN=<Eindeutiger Name> [ address=< Adresse> ] Zu CPS der DFN-PCA: "4.1.1 Wer kann ein Zertifikat beantragen" Die T-Systems SfR CA 2 bietet ihre Dienstleistungen allen Angehörigen und Mitarbeitern des DFN-Anwenders T-Systems SfR GmbH sowie im Auftrag der T-Systems SfR GmbH handelnden Personen an. Zu CPS der DFN-PCA: "4.1.2 Registrierungsprozess" Der Registrierungsprozess wird durch Beantragung seitens des Zertifikatnehmers auf einem Antragsformular gestartet. Alternativ kann die Anforderung zur Ausstellung von Zertifikaten CPS der T-Systems SfR CA 2 Seite 3/7 V1.0

4 für eine größere Gruppe von Mitarbeitern durch den CIO der T-Systems SfR GmbH in Form einer Namensliste initiiert werden. In jedem Fall sind folgende Voraussetzungen notwendig: Er/Sie muss über einen aktiven AD (Active Directory) Account in der Domäne acds.tsystems-sfr.com verfügen Er/Sie muss eine SfR adresse besitzen Er/Sie muss von einem RA-Mitarbeiter persönlich identifiziert worden sein Bei Neuausstellung von Benutzerzertifikaten wird grundsätzlich ein Set von drei Zertifikaten mit jeweils dedizierten Verwendungszwecken für Signatur, Verschlüsselung und Authentifizierung ausgestellt. Zertifikate werden nur auf Krypto-Geräten ausgeliefert. Im Falle eines Verlustes bzw. Gerätedefektes werden alle Zertifikate des Altgerätes gesperrt, auf das neue Krypto-Gerät werden dann jedoch neben einem neuen Set von drei Zertifikaten mit den o.a. Verwendungszwecken gegebenenfalls auch hinterlegte Verschlüsselungsschlüssel gespeichert (siehe auch ). Zu CPS der DFN-PCA: "4.4.2 Veröffentlichung des Zertifikats" Die T-Systems SfR CA 2 veröffentlicht die gemäß der Zertifizierungsrichtlinien der DFN-PKI geforderten Zertifikate über die oben angegebenen Informationssysteme. Zertifikate für natürliche und juristische Personen werden nur dann durch die T-Systems SfR CA 2 veröffentlicht, wenn sie für den Einsatzzweck -Verschlüsselung verwendet werden sollen. Zertifikate, die für mehrere Einsatzzwecke verwendet werden und dazu auch schutzwürdige Informationen beinhalten, werden nicht veröffentlicht. Zu CPS der DFN-PCA: " Richtlinien und Praktiken zur Schlüsselhinterlegung und wiederherstellung" Die T-Systems SfR CA 2 bietet die Möglichkeit der Hinterlegung privater Schlüssel für Verschlüsselungszertifikate, nicht jedoch für Signatur- und Authentifizierungszertifikate an. Im Rahmen der Zertifikatbeantragung in den Registrierungsstellen der T-Systems SfR CA 2 wird ein verschlüsseltes Backup der privaten Schlüssel erzeugt und in einer Datenbank gespeichert, die sich in den Räumlichkeiten der T-Systems SfR GmbH befindet. Die Verschlüsselung erfolgt mittels Key-Backup-Rollenzertifikat. Der private Schlüssel des Rollenzertifikats wird auf einem Krypto-Gerät gespeichert, welches mit einer PIN belegt wird, die jeweils hälftig und unabhängig voneinander von zwei Personen generiert wird. Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt auf Krypto-Geräten, die mit einer PIN gesichert sind. Die Übermittlung der PIN erfolgt durch Versand bzw. Aushändigung eines PIN-Briefes. Der Empfang des Krypto-Gerätes sowie des PIN-Briefes ist vom Zertifikatnehmer zu bestätigen. Es wird gewährleistet, dass Mitarbeiter der Registrierungsstellen keine Kenntnis der jeweiligen PIN erlangen. Ein Zugriff auf das verschlüsselte Backup durch eine einzelne Person ist ausgeschlossen. Die Herausgabe von hinterlegten privaten Verschlüsslungsschlüsseln erfolgt grundsätzlich nur an den jeweiligen Zertifikatnehmer und in jedem Fall auf einem Krypto-Gerät. Folgende Regelungen gelten dabei: a) Im Falle des Defektes eines Krypto-Gerätes werden hinterlegte private Verschlüsselungsschlüssel des betroffenen Zertifikatnehmers von der Registrierungsstelle der T- Systems SfR CA 2 auf ein neues Gerät gespeichert, welches dem Zertifikatnehmer ausgehändigt wird. Das defekte Krypto-Gerät wird danach durch die Registrierungsstelle unverzüglich vernichtet oder, falls ein Softwareproblem vorlag, neu initialisiert. b) Bei Verlust oder Diebstahl des privaten Verschlüsselungsschlüssels (durch Verlust oder Diebstahl des Krypto-Gerätes) wird der hinterlegte Schlüssel auf einem neuen Kryptogerät an den betreffenden Zertifikatnehmer ausgehändigt. Das Verschlüsselungszertifikat sowie alle anderen Zertifikate, die sich auf dem Krypto-Gerät befanden, werden davon unabhängig unverzüglich gesperrt. CPS der T-Systems SfR CA 2 Seite 4/7 V1.0

5 c) Verschlüsselungsschlüssel werden ansonsten über die Gültigkeit von Verschlüsselungszertifikaten hinaus unbefristet aufbewahrt d) Im Falle des Ausscheidens eines Zertifikatnehmers aus dem Unternehmen, länger andauernder Krankheit, Tod oder zum Zweck der Beweissicherung bei Verdacht auf strafrechtliche Handlungen können Mitarbeiter der Registrierungsstellen nach Genehmigung durch ein Mitglied der Geschäftsführung oder den Datenschutzbeauftragten den oder die privaten Verschlüsselungsschlüssel des betreffenden Mitarbeiters zur Sicherstellung verschlüsselter Daten verwenden. Noch gültige Verschlüsselungszertifikate sowie alle anderen Zertifikate, die sich im Besitz des Mitarbeiters befanden, werden davon unabhängig unverzüglich gesperrt. Die Wiederherstellung des hinterlegten privaten Schlüssels kann in jedem Fall nur unter Hinzuziehung eines weiteren Mitarbeiters (PIN-Geber RA) durchgeführt werden. Zu CPS der DFN-PCA: "5 Infrastrukturelle, organisatorische und personelle Sicherheitsmaßnahmen" und "6 Technische Sicherheitsmaßnahmen" Die T-Systems SfR CA 2 wird durch den DFN-Verein im Auftrag des DFN-Anwenders T-Systems SfR GmbH bei der DFN-PCA betrieben. Daher sind für die CA dieselben infrastrukturellen, organisatorischen, personellen und technischen Sicherheitsmaßnahmen umgesetzt, wie für die DFN-PCA (siehe CPS der DFN-PCA). Ausnahmen betreffen die Kapitel 5.2.1, und 5.2.4, die im Folgenden aufgeführt sind. Zu CPS/CP der DFN-PCA: "5.2.1 Sicherheitsrelevante Rollen" Für die T-Systems SfR CA gilt die folgende Ergänzung der Rollendefinition zum Thema Registrierungsdienst Rolle Funktion Kürzel Registrator (Ergänzung der Funktion für bereits existierende Rolle) PIN-Geber RA (neue Rolle) Geschäftsführer Datenschutzbeauftragter Backup inkl. Verschlüsselung privater Verschlüsselungsschlüssel mit Key-Backup-Zertifikat Ausgabe und Wiederherstellung von USB- Krypto-Geräten PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Verschlüsselungsschlüsseln PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Verschlüsselungsschlüsseln Erteilung der Genehmigung zur Wiederherstellung von privaten Schlüsseln von ausgeschiedenen, kranken oder verstorbenen Zertifikatnehmern sowie zum Zweck der Beweissicherung bei Verdacht auf strafrechtlichen Handlungen RA01 (statt RG) RA02 GF DSB CPS der T-Systems SfR CA 2 Seite 5/7 V1.0

6 Zu CPS/CP der DFN-PCA: "5.2.2 Involvierte Mitarbeiter pro Arbeitsschritt" In der folgenden Tabelle sind die Tätigkeiten beschrieben, bei denen das Vier-Augen-Prinzip - realisiert durch jeweils einen Vertreter der angegebenen Rollen - eingehalten werden muss. Alle anderen Tätigkeiten können von einer Person durchgeführt werden. Tätigkeit Freigabe und Übermittlung von Zertifikat- und Sperranträgen für CA- Zertifikate Erzeugung von Schlüsselpaaren für CA-Zertifikate Starten von Prozessen zur Ausstellung von Zertifikaten und Sperrlisten Austausch von Hard- und Softwarekomponenten für die Zertifizierung PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Verschlüsselungsschlüsseln zur Übergabe an den Zertifikatnehmer Wiederherstellung von privaten Verschlüsselungsschlüsseln ohne Übergabe an den Zertifikatnehmer Rollen RG & TS CAO1 & CAO2 CAO1 & CAO2 SA & CAO1 RA01, RA02 RA01, RA02 RAO1, RAO2, GF oder RAO1, RAO2, DSB Zu CPS/CP der DFN-PCA: "5.2.4 Trennung von Rollen" Für die T-Systems SfR CA gelten folgende Ergänzungen bzw. Änderungen hinsichtlich der Unverträglichkeit von Rollen. Rolle Unverträglich mit TS RAO1 RAO2 CAO1 CAO2 SA SO R DSB GF TS Teilnehmerservice X X X RAO1 Registrator X X X X RAO2 PIN-Geber X X X X X x CAO1 - CA Mitarbeiter X X X X CAO2 - PIN Geber X X SA Systemadministrator X X X SO Systemoperator X X X X X R - Revision X X X X X X X DSB - Datenschutzbeauftragter Geschäftsführung X X CPS der T-Systems SfR CA 2 Seite 6/7 V1.0

7 Es wird folgende Aufteilung der Rollen auf Personengruppen gewählt: Personengruppe Rollen 1 R 2 TS, RG, RAO1 3 RAO2 4 CAO1 5 CAO2, SA, SO 6 GF, DSB Zu CPS der DFN-PCA: "6.1.1 Schlüsselerzeugung" Schlüssel für Benutzerzertifikate werden bei der Registrierungsstelle erzeugt. Schlüssel für Signatur- und Authentifizierungsschlüssel werden auf einem Krypto-Gerät erzeugt. Schlüssel für Verschlüsselungszertifikate werden in Software generiert und anschließend auf das Krypto-Gerät und verschlüsselt in das Schlüssel-Backup geschrieben. Schlüssel für Serverzertifikate können sowohl beim Zertifikatnehmer als auch bei der Registrierungsstelle erzeugt werden. Zu CPS der DFN-PCA: "6.1.2 Übermittlung des privaten Schlüssels an den Zertifikatnehmer" Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt auf Krypto-Geräten, die mit einer PIN gesichert sind. Die Übermittlung der PIN erfolgt durch Versand bzw. Aushändigung eines PIN-Briefes. Der Empfang des Gerätes sowie des PIN-Briefes ist vom Zertifikatnehmer zu bestätigen. Bei postalischer Auslieferung von PIN-Brief und Krypto-Gerät wird durch zeitlich versetzten Versand gewährleistet, dass ein Angreifer nicht gleichzeitig Zugriff auf Krypto-Gerät und PIN-Brief hat. Bei postalischer Auslieferung muss innerhalb von 10 Arbeitstagen eine vom Zertifikatnehmer unterschriebene Bestätigung über den unversehrten Empfang von PIN-Brief und Krypto-Token bei der ausgebenden Registrierungsstelle eintreffen. Zur Kontrolle werden Aushändigung bzw. Versand in einem Logbuch mit Angabe des Datums dokumentiert. Sollte die Empfangsbestätigung nach dieser Frist nicht vorliegen, werden alle Zertifikate, die sich auf dem ausgegebenen Token befinden, gesperrt. Zu CPS der DFN-PCA: "6.2.4 Backup der privaten Schlüssel" Die T-Systems SfR CA bietet die Möglichkeit zum Backup privater Schlüssel von Zertifikatnehmern bei der RA entsprechend Kapitel an. Zu CPS der DFN-PCA: "6.3.2 Gültigkeit von Zertifikaten und Schlüsselpaaren" Das Zertifikat der T-Systems SfR CA 2 hat eine Laufzeit bis zum 30. Juni Die durch die T-Systems SfR CA 2 ausgestellten Serverzertifikate haben standardmäßig eine Laufzeit von fünf Jahren, Benutzerzertifikate gelten drei Jahre. CPS der T-Systems SfR CA 2 Seite 7/7 V1.0