Zertifizierungsrichtlinie der BTU Root CA

Transkript

1 Brandenburgische Technische Universität Universitätsrechenzentrum BTU Root CA Konrad-Wachsmann-Allee Cottbus Tel.: der BTU Root CA Vorbemerkung Dies ist die Version 1.3 der n der BTU Root CA. Sie ist gültig ab dem 29. März 2010 bis zum 27. Januar 2020 oder bis eine neue Version in Kraft tritt. 1. Einleitung Dieses Dokument enthält n (die so genannte Policy) der Wurzel-Zertifizierungsstelle (= Certification Authority = CA), der BTU Root CA, der Brandenburgischen Technischen Universität Cottbus. Es handelt sich um eine Zertifizierung mit moderaten Sicherheitsanforderungen an die Zertifizierungsstelle und die Zertifikatnehmer. Die in diesem Dokument getroffenen Aussagen sind für die Arbeit der BTU Root CA bindend. Die BTU Root CA stellt Zertifikate ausschließlich nach dieser Richtlinie aus. 2. Identität der BTU Root CA Adresse : BTU Root CA Brandenburgische Technische Universität Cottbus Universitätsrechenzentrum Konrad-Wachsmann-Allee Cottbus Germany Tel.: oder Fax : _Adresse : root-ca@tu-cottbus.de Stand : BTU Root CA Policy Seite 1

2 Informationsdienste der BTU Root CA : LDAP-Server : ldap://ldap.tu-cottbus.de/c=de, o=brandenburgische Technische Universitaet Cottbus, ou=it-services, ou=btu-ca Webserver : Zuständigkeitsbereich der BTU Root CA Der Zuständigkeitsbereich der BTU Root CA umfasst alle Mitgliedseinrichtungen der Brandenburgischen Technischen Universität Cottbus und deren Angehörige. Die BTU Root CA bietet ihre Dienstleistungen allen Angehörigen und Mitarbeitern der Brandenburgischen Technischen Universität Cottbus an. Die BTU Root CA stellt ausschließlich Client-Zertifikate aus. Diese Policy unterstützt das Format X.509v3. Gruppenzertifikate werden nur auf spezielle Anforderung ausgestellt. 4. Rechtliche Bedeutung der ausgestellten Zertifikate Eine Zertifizierung durch die BTU Root CA ist keine Zertifizierung im Sinne des Signaturgesetzes (SigG). Eine Zertifizierung durch die BTU Root CA zieht keinerlei rechtliche Bedeutung nach sich. Es besteht kein Anspruch auf Ausstellung eines Zertifikates. Der Sinn dieser CA an der BTU Cottbus liegt in der Schaffung der technischen Voraussetzungen für eine zuverlässige und authentische elektronische Kommunikation. Die BTU Cottbus sowie die Mitarbeiter der BTU Root CA übernehmen keine Form der Gewährleistung. Alle Aufgaben werden von den Mitarbeitern der BTU Root CA nach bestem Wissen und Gewissen durchgeführt. 5. Sicherheit der BTU Root CA Ausstattung Durch die Teilnahme an eine Public-Key-Infrastruktur entstehen für alle Teilnehmer bestimmte Anforderungen hinsichtlich der Sicherheit der eingesetzten Hard- und Software einerseits sowie dem verantwortungsvollen Umgang mit kryptografischen Schlüsseln andererseits. Die Anforderungen an die BTU Root CA sind dabei höher als die an die einzelnen Teilnehmer, da der Missbrauch eines BTU Root CA Schlüssels allen untergeordneten Zertifikaten die Vertrauenswürdigkeit entzieht. Stand : BTU Root CA Policy Seite 2

3 5.1 Sicherheitsanforderungen an die BTU Root CA Folgende Anforderungen werden an die BTU Root CA gestellt: Für die Dienste der BTU Root CA wird ein dedizierter Rechner zur Verfügung gestellt, der, sobald kryptografische Schlüssel eingesetzt werden, über keinerlei Verbindung zu einem Rechnernetz verfügt. Zertifikate werden ausschließlich offline auf diesem Rechner erzeugt. Jeglicher Datenaustausch mit vernetzen Rechnern findet ausschließlich verschlüsselt statt. Es findet keine automatisierte Bearbeitung der Daten statt. Schlüsseltragende Datenträger werden an einem sicheren Ort verwahrt. Private Schlüssel der BTU Root CA zur Erzeugung digitaler Signaturen werden von den Mitarbeitern ausschließlich auf dem dedizierten Rechner erzeugt und verwendet sowie auf externer Peripherie gespeichert. Der Zugriff auf diese privaten Schlüssel wird durch nicht-triviale Passworte geschützt, welche nur den Mitarbeitern der BTU Root CA bekannt sind. Mit den privaten Schlüsseln der BTU Root CA werden ausschließlich Benutzer-Zertifikate ausgestellt sowie Sperrlisten (Widerrufslisten = CRL = Certificate Revocation Lists) signiert. Die privaten Schlüssel der BTU Root CA werden nicht für Kommunikationszwecke verwendet. Von allen relevanten elektronischen Daten der BTU Root CA wird in regelmäßigen kurzen Abständen eine Datensicherung durchgeführt, deren Datenträger an einem anderen Ort als alle anderen Daten der BTU Root CA aufbewahrt werden. Diese Maßnahme soll lange Aufbewahrungszeiten von Zertifikaten und Sperrlisten ermöglichen. Die BTU Root CA erzeugt selbst keine Schlüssel für Endteilnehmer, hierfür steht eine geeignete Webapplikation zur Verfügung. 5.2 Sicherheitsanforderungen an die Endteilnehmer Benutzer (Zertifikatnehmer) in Sinne dieser Policy sind natürliche Personen gemäß 5 Grundordnung der BTU und 3 Abs.2 der URZ-Ordnung, die die Zertifizierungsdienste der BTU Root CA in Anspruch nehmen. Folgende Voraussetzungen sind vom Benutzer zu gewährleisten : Das asymmetrische Schlüsselpaar muss eine Mindestlänge von 2048 Bit RSA (oder vergleichbares Niveau) aufweisen. Der Benutzer hat den Zugriff auf seinen geheimen Schlüssel durch das Setzen eines nicht-trivialen Passwortes zu schützen. Dieses Passwort darf Stand : BTU Root CA Policy Seite 3

4 nicht an andere weitergegeben werden. Der private Schlüssel des Benutzers muss ausreichend vor Missbrauch geschützt und darf nicht weitergegeben werden. Hierfür ist jeder Benutzer selbst verantwortlich. 6. Zertifizierungsregeln Dieser Abschnitt bezeichnet technische und organisatorische Richtlinien und Prozeduren, die vor einer Zertifizierung von Benutzern zu beachten sind. 6.1 Regeln für die BTU Root CA Zertifikatnehmern werden eindeutige Namen (DN = Distinguished Name) der folgenden Form zugeordnet : C=DE ST=Brandenburg L=Cottbus O=Brandenburgische Technische Universitaet Cottbus OU=<Organisationseinheit> (Studenten: OU=Student) (Mitarbeiter: OU=offizieller Lehrstuhlname) CN=<Eindeutiger Name> address=< Adresse> (in der Form *tu-cottbus.de) Auf Sonderzeichen und Umlaute im DN ist zu verzichten. Die BTU Root CA überzeugt sich in geeigneter Weise vor jeder Zertifizierung von der Identität desjenigen Benutzers, der eine Zertifizierung wünscht. Diese Identifizierung kann nur durch persönlichen Kontakt zwischen Benutzer und CA-Mitarbeiter realisiert werden. Jedes Zertifikat muss eine Seriennummer beinhalten, die von der BTU Root CA vergeben wird. Die BTU Root CA muss gewährleisten, dass keine Seriennummer mehrfach vergeben wird. Zertifikate für Benutzer haben eine maximale Gültigkeit von 3 Jahren. Sie werden nicht automatisch erneuert. Die BTU Root CA bietet keine Rezertifizierungen an. Wenn die Gültigkeit eines Zertifikates abgelaufen ist, kann der Benutzer per Neuantrag ein neues Zertfikat beantragen. Stand : BTU Root CA Policy Seite 4

5 6.2 Regeln für Benutzer Benutzer, welche zertifiziert werden möchten, generieren zunächst über eine spezielle Webschnittstelle ein asymmetrisches Schlüsselpaar. Der Zertifizierungwunsch (CSR = Certficate Signed Request) wird der BTU Root CA automatisiert und verschlüsselt zugestellt. Er ist vom Benutzer signiert. Die BTU Root CA wird die Signatur vor dem Zertifizierungsprozess verifizieren. Der Benutzer hat sich persönlich bei der BTU Root CA vorzustellen, um der BTU Root CA die Verifikation der Identität und die korrekte Zuordnung der im Zertifikat angegebenen Informationen zu diesem Benutzer zu ermöglichen. Für den Prozess der Verifikation ist die Vorlage eines gültigen Personalausweises oder Reisepasses bzw. eines vergleichbaren Dokumentes erforderlich. Studenten müssen außerdem mit einem gültigen Studentenausweis ihre Zugehörigkeit zur BTU Cottbus nachweisen, Mitarbeiter mit einem gültigen Dienstausweis oder Arbeitsvertrag. Zertifikate für Benutzer haben eine maximale Gültigkeit von 3 Jahren. Sie werden nicht automatisch erneuert. Die BTU Root CA bietet keine Rezertifizierungen an. Wenn die Gültigkeit eines Zertifikates abgelaufen ist, kann der Benutzer per Neuantrag ein neues Zertfikat beantragen. 7. Management von Zertifikaten Alle Benutzer erklären sich grundsätzlich mit der Veröffentlichung ihres Zertifikates einverstanden. Es besteht jedoch die Möglichkeit, bei der Beantragung eines Zertifikates individuell der Veröffentlichung zu widersprechen. Die BTU Root CA ist für die Veröffentlichung der von ihr ausgestellten Zertifikate verantwortlich. Von ihr neu ausgestellte Zertifikate und Widerrufslisten müssen in einer angemessenen Zeitspanne (in der Regel innerhalb eines Werktages) veröffentlicht werden. Für die Bereitstellung der Zertifikate wird von der BTU Root CA der LDAP- Verzeichnisdienst der BTU Cottbus genutzt. Die Widerrufslisten werden auf dem Webserver des Universitätsrechenzentrums veröffentlicht. 8. Widerruf von Zertifikaten Die BTU Root CA kann von ihr ausgestellte Zertifikate jederzeit vor Ablauf der Gültigkeit widerrufen. Ursachen für den Widerruf eines Zertifikates können beispielsweise die Exmatrikulation eines Studenten, das Ausscheiden eines Mitarbeiters, die Kompromittierung des private Keys eines Benutzers oder das Nichtbefolgen einzelner Richtlinien dieser Policy sein. Stand : BTU Root CA Policy Seite 5

6 Jeder Zertifikatnehmer kann von der BTU Root CA ohne Angabe von Gründen verlangen, dass diese ein für ihn ausgestelltes Zertifikat widerruft. Die BTU Root CA hat dem Verlangen innerhalb einer angemessenen Frist nachzukommen, sobald sie sich durch geeignete Schritte davon überzeugt hat, dass der Antrag vom Zertifikatnehmer selbst stammt bzw. von ihm autorisiert ist. Werden der Missbrauch oder die Kompromittierung des eigenen geheimen Schlüssels bekannt, muss jeder Benutzer unverzüglich die BTU Root CA benachrichtigen und den Widerruf des eigenen Zertifikates veranlassen. Zertifikate können nur von der ausstellenden Instanz widerrufen werden. Alle widerrufenen Zertifikate werden von der BTU Root CA auf einer Widerrufsliste (CRL = Certificate Revocation List) veröffentlicht, welche allen Benutzern zur Verfügung gestellt werden muss. Diese CRL enthält u. a. das Datum der CRL-Herausgabe, und sie wird von der BU Root CA signiert. Widerrufene Zerifikate bleiben in der CRL, bis das Gültigkeitsdatum des Zertifikates der BTU Root CA abläuft. Dabei werden auch die Seriennummern solcher Zertifikate auf einer CRL veröffentlicht, deren Veröffentlichung bei der Beantragung des Zertifikates widersprochen wurde. Einmal widerrufene Zertifikate können nicht erneuert oder verlängert werden. Jedoch hat jeder Benutzer grundsätzlich die Möglichkeit, ein neues Zertifikat zu beantragen. Unmittelbar nach Aufnahme des Betriebes wird die BTU Root CA eine CRL herausgeben. Daran anschließend wird in regelmäßigen Abständen von 90 Tagen eine neue CRL herausgegeben, auch wenn zwischenzeitlich keine weiteren Zertifikate durch die BTU Root CA widerrufen wurden. Nach dem Widerruf von Zertifikaten ist sofort eine neue CRL herauszugeben. Die CRLs werden auf dem Webserver des Universitätsrechenzentrums der BTU Cottbus bereitgestellt. 9. Verschiedenes Haftung und Garantie Die BTU Cottbus und insbesondere die Mitarbeiter der BTU Root CA übernehmen keine Haftung für die Korrektheit, Vollständigkeit oder Anwendbarkeit der enthaltenen Informationen und vorgeschlagenen Maßnahmen. Ferner kann keine Haftung für eventuelle Schäden, entstanden durch die Inanspruchnahme der Dienste der BTU Root CA, übernommen werden. Die Verantwortung für die Verwendung der beschriebenen Verfahren und Programme liegt allein bei den Benutzern. Die BTU Root CA behält sich vor, Zertifizierungswünschen nicht nachzukommen. Die BTU Root CA übernimmt keine Garantie für die Verfügbarkeit der Dienste der BTU Root CA. Stand : BTU Root CA Policy Seite 6

7 Dokumentation und Datenschutz Alle Arbeiten im Rahmen dieser Policy werden, soweit technisch durchführbar, dokumentiert. Die BTU Root CA muss die bei der Zertifizierung anfallenden Daten vertraulich behandeln. Erklärung der Benutzer Alle Benutzer der BTU Root CA haben vor ihrer Zertifizierung handschriftlich einen Antrag zu unterzeichnen, in dem sie über ihre Rechte und Pflichten sowie über Risiken und Gefahren beim Einsatz von Public Key Systemen aufgeklärt wurden. Dieser Antrag wird von der BTU Root CA verwahrt und beinhaltet in erster Linie die Zustimmung zu den Richtlinien dieser Policy. Außerdem enthält der Antrag auch die Entscheidung des Benutzers für oder gegen die Veröffentlichung seines Zertifikates. Gebühren Die Ausstellung von Zertifikaten der BTU Root CA ist gebührenfrei. Stand : BTU Root CA Policy Seite 7