Leistungsbeschreibung

Transkript

1 Leistungsbeschreibung Energy CA Prduktrelease: Gültigkeit: Klassifizierung: Überarbeitung nach Verfügbarkeit der Rt CA Plicy extern

2 Impressum Herausgeber ICTO, CSS, MPHS, Prfessinal Services and Slutins Dateiname Leistungsbeschreibung_EnergyCA_V100 Dkumentennummer Versin 1.00 Dkumentenbezeichnung Leistungsbeschreibung Prduktrelease Stand Status Final Erstellt Geprüft Freigegeben vn Bernd Weber Seite 2 vn 31

3 Inhaltsverzeichnis Inhaltsverzeichnis... 3 Abbildungsverzeichnis Disclaimer Das T-Systems Trust Center Einführung Vrhandene Sicherheitszertifizierungen PKI Lösungskmpetenz Der T-Systems PKI Mdulbaukasten Referenzen Sicherheitsmanagement für das e-ticketing Gesundheitskarte Allgemeine Infrmatinen zur Betriebsumgebung Überblick über die Smart Metering PKI Mtivatin Technische Richtlinie BSI TR Architektur der Smart Metering PKI T-Systems Sub-CA Services für die SM-PKI Überblick Shared Energy Sub-CA Service Charakteristik Geschäftsfälle Dedicated Energy Sub-CA Service Charakteristik Geschäftsfälle Umsetzung der Sicherheitsanfrderungen der TR Sicherheitsanfrderungen an die Zertifizierungsstellen Anfrderungen an Krypt-Mdule und Sicherung privater Schlüssel Umsetzung der funktinalen Anfrderungen der TR CA Zertifikate Endnutzer Zertifikate Sperrdienst und Sperrlisten Datenstrukturen und Prtklle für das Zertifikatsmanagement Verzeichnisdienste Der Registratin Authrity (RA) Service Zwei Verwaltungsebenen: Masterdmäne und Subdmäne Seite 3 vn 31

4 3.6.2 Aufgaben des Master-RA-Operatrs Aufgaben des Sub-RA Operatrs Zertifizierungsprzesse für Endnutzer-Zertifikate Erst-Beantragung vn EMT und SMGW Administratr-Zertifikaten Wiederhlungs-Beantragung vn EMT und SMGW Admin Zertifikaten Sperrung vn EMT und SMGW-Administratr-Zertifikaten Erst-Beantragung vn SMGW-Gütesiegel-Zertifikaten Erst-Beantragung vn SMGW-Wirk-Zertifikaten Wiederhlungs-Beantragung vn SMGW-Wirk-Zertifikaten Sperrung vn SMGW-Zertifikaten Administratinsfunktinen Service Level Zusätzliche Leistungen Shared Energy Test Sub-CA Service Charakteristik Geschäftsfälle Shared HAN Sub-CA Service Charakteristik Geschäftsfälle Seite 4 vn 31

5 Abbildungsverzeichnis Abbildung 1: Sicherheitsrelevante Zertifizierungen des T-Systems Trust Centers... 7 Abbildung 2: T-Systems Trust Center, PKI Mdulbaukasten (Auszug)... 8 Abbildung 3: Das T-Systems Trust Center Abbildung 4: Raumaufteilung im Rechenzentrum Abbildung 5: Architekturbild der Smart Metering PKI (Quelle: BSI TR3109-4) Abbildung 6: Smart Metering CA Offering der T-Systems Abbildung 7: Struktur der Shared Energy Sub-CA Abbildung 8: Struktur der Dedicated Energy Sub-CA Abbildung 9: Struktur des Shared Energy Test PKI Service Abbildung 10: Struktur der Shared HAN Sub-CA Seite 5 vn 31

6 0 Disclaimer Das vrliegende Dkument basiert auf der Technischen Richtlinie BSI TR in der Versin 1.0 vm Die Richtlinie enthält Verweise auf die Smart Metering Rt Plicy, die weitere Details z.b. zu den Zertifizierungsprzessen verbindlich festlegen wird. Diese Smart Metering Rt Plicy liegt derzeit nch nicht vr. Daher ist diese Leistungsbeschreibung vrläufig und kann nicht zur Erstellung eines verbindlichen Angebtes herangezgen werden. Seite 6 vn 31

7 1 Das T-Systems Trust Center 1.1 Einführung Das T-Systems Trust Center ist seit 20 Jahren im deutschen Markt tätig und hat sich seit langem in der Rlle des Marktführers der Service Dienstleister im Bereich vn Public Key Infrastructure (PKI) etabliert. Es werden PKI-Services und Verzeichnisdienste swhl für sgenannte qualifizierte Zertifikate (knfrm zu deutschem Signaturgesetz und deutscher Signaturverrdnung) als auch für frtgeschrittene Zertifikate betrieben. Das T-Systems Trust Center wurde als Erstes in Deutschland für die Ausgabe vn qualifizierten Zertifikaten akkreditiert. Auf Basis einer leistungsstarken und skalierbaren PKI Plattfrm werden zahlreiche Dienste mit höchsten Anfrderungen an Verfügbarkeit und Perfrmanz betrieben. Dies geschieht swhl im Kundenauftrag als auch in Frm eigener Prdukte. Seit Bestehen wurden bereits Zertifikate im dreistelligen Millinenbereich ausgestellt. Erfahrenes und hch spezialisiertes Betriebspersnal ist im 24 x 7 Betrieb tätig. Die technische Infrastruktur befindet sich in einer hchsicheren und vielfach zertifizierten Rechenzentrumsumgebung und beinhaltet auch Spezialhardware zur effizienten und sicheren Erzeugung und Speicherung kryptgraphischer Schlüssel. Darauf aufbauend können hchperfrmante Dienste erstklassiger Servicegüte angebten werden. 1.2 Vrhandene Sicherheitszertifizierungen Ein Trust Center ist ein Vertrauensanker und verwaltet im Auftrag seiner Kunden hchkritische Daten, deren Verlust der Kmprmittierung zu erheblichen Schäden führen kann. Kunden verlangen daher einen transparenten Nachweis der Kmpetenzen im Umgang mit derart sicherheitskritischen Systemen und Przessen. Das T-Systems Trust Center hat in den vergangenen Jahren hierzu eine Vielzahl vn Zertifizierungen erflgreich durchlaufen. Hierbei wurden unterschiedlichste natinale und internatinale Nrmen erfüllt. Die flgende Abbildung zeigt die wichtigsten sicherheitsrelevanten Zertifizierungen des T-Systems Trust Center. Abbildung 1: Sicherheitsrelevante Zertifizierungen des T-Systems Trust Centers Seite 7 vn 31

8 1.3 PKI Lösungskmpetenz T-Systems PKI Slutins bieten durch ein ausgereiftes Prduktknzept die Möglichkeit, kmplexe Public-Key- Infrastrukturen auf Basis vn Standardmdulen und kundenindividuellen Erweiterungen zu erstellen. Die jahrelange Prjekterfahrung und die grße Anzahl kundenindividueller PKI Lösungen gibt unseren Kunden die Sicherheit einen erfahrenen und zuverlässigen Partner gewählt zu haben Der T-Systems PKI Mdulbaukasten Auch bei der Realisierung vn kmplexen PKI Lösungen sind zunächst grundlegende Kmpnenten erfrderlich. T-Systems hat diese identifiziert und zu einem Mdulbaukasten (siehe Abbildung 2) zusammengestellt. Der Mdulbaukasten bietet dem IT-Architekten einen schnellen Überblick über die verfügbaren Standardleistungen. Es ist smit möglich die bestehenden Lücken zur angestrebten Individuallösung schnell zu identifizieren und diese mit minimalem Aufwand gezielt zu schließen. Dieses Vrgehen ist ksteneffizient und verkürzt die Bereitstellungszeit. Abbildung 2: T-Systems Trust Center, PKI Mdulbaukasten (Auszug) Kmpetente und erfahrene IT-Architekten unseres Security Cnsulting begleiten den Kunden vn der Anfrderungsaufnahme bis zur Übergabe in den Wirkbetrieb. Seite 8 vn 31

9 1.4 Referenzen Das T-Systems Trust Center verfügt über herausragende Kmpetenzen im Aufbau und Betrieb vn kmplexen Public Key Infrastrukturen. Dabei werden die Phasen Plan, Build und Run zu 100% abgedeckt. Die nachflgend dargestellten ausgewählten Referenzen zeigen anhand vn zwei Beispielen die Fähigkeiten zur Umsetzung und zum Betrieb kmplexer und hchperfrmanter PKI-Lösungen Sicherheitsmanagement für das e-ticketing Kunde: VDV Kernapplikatin GmbH&C.KG, Kernleistung: PKI, Schlüsselmanagement Die VDV Kernapplikatins GmbH & C. KG ist Anbieter eines Systems zum elektrnischen Fahrgeldmanagement für die Deutschen Verkehrsbetriebe. An der Gesellschaft beteiligt sind der Verband Deutscher Verkehrsunternehmen (VDV e.v.), swie Verkehrsunternehmen und -verbünde. Das System baut auf einem vn den Verkehrsunternehmen und der Industrie (u.a. auch T-Systems) entwickelten Standard auf, s dass eine bundesweite Kmpatibilität gegeben ist. Unter den schn akquirierten Nutzern sind u.a. der VRR (Verkehrsverbund Rhein-Ruhr), die VGN (Verkehrsgemeinschaft Niederrhein) und der VRS (Verkehrsverbund Rhein Sieg), welche zusammen über 3 Mi. Nutzer adressieren. Durch das Prjekt wurde eine Sicherheitsinfrastruktur auf Basis einer kmplexen PKI erstellt, welche die sichere Ausgabe vn Fahrscheinen und Berechtigungen ermöglicht und das System gegen unbefugte Benutzung absichert. Das realisierte Sicherheitsmanagement ist eine wesentliche Grundlage für die Akzeptanz des Gesamtsystems durch die deutschen Verkehrsbetriebe. Die Systeme wurden für mehrere tausend Unternehmen und Nutzerzahlen im Millinenbereich ausgelegt. Der frtlaufende Betrieb in einer höchst sicheren Umgebung durch speziell geschulte Mitarbeiter, swie die zugesicherte frtlaufende Pflege über Jahrzehnte waren wesentliche Entscheidungskriterien für den Kunden. Bis heute wurden mehr als 6 Millinen Zertifikate ausgestellt. Seite 9 vn 31

10 1.4.2 Gesundheitskarte Kunde: AOK Bundesverband Kernleistung: PKI, Verzeichnisdienst Zur Nutzung der Funktinalitäten Identifizierung, Verschlüsselung und elektrnische Signatur in der Telematikinfrastruktur werden die neuen elektrnischen Gesundheitskarten (egk) mit Zertifikaten ausgestattet. Diese Zertifikate werden ausschließlich vn den durch die gematik zugelassenen Zertifizierungsstellen, den sgenannten Trust Centern ( Certificatin Authrity, CA) bzw. Trusted Service Prvidern (TSP) herausgegeben. T-Systems, als Betreiber des Trust Centers, liefert die Dienstleistung zur Herausgabe und Verwaltung vn Zertifikaten für die egk incl. der Veröffentlichung der zugehörigen Statusinfrmatinen: Erzeugung vn vier persnenbezgenen X.509-Zertifikaten des Versicherten je egk Erzeugung eines Card verifiable (CV-) Zertifikats je egk Veröffentlichung der Sperrlisten in LDAP-Verzeichnisdiensten Statusinfrmatinen zu Zertifikaten über das Online Certificate Status Prtcl (OCSP) (Perfrmance Anfrderung: ca OCSP Request/sek.) Bis heute wurden mehr als 120 Millinen Zertifikate erstellt. 1.5 Allgemeine Infrmatinen zur Betriebsumgebung Das T-Systems Trust Center ist eine spezielle IT Betriebsumgebung für hch kritische und sicherheitsrelevante Daten (z.b. Kryptgraphische Schlüssel) und wird in einem hermetisch abgeriegelten Hchsicherheitsbereich eines T-Systems Rechenzentrums (RZ) betrieben. Schn die Wahl der gegraphischen Lage des RZ unterliegt strengen Kriterien. Dabei wird u.a. darauf geachtet, dass keine Gasleitungen, Autbahnen, Tankstellen, Bahngleise, Industrieanlagen, Kraftwerksbauten, militärische Einrichtungen der Flugschneisen zu einer unmittelbaren Gefährdung führen können. Weitere Auswahlkriterien sind Hchwasserschutz und Erdbebengefährdung. Abbildung 3: Das T-Systems Trust Center Seite 10 vn 31

11 Der strenge Perimeterschutz ist eine weitere Besnderheit. Vrgegebene Mindestabstände zum elektrnisch überwachten Schutzzaun, eine lückenlse Videüberwachung, eine mehrstufige Zutrittsicherung swie Vereinzelungssysteme für Fahrzeuge und Persnen stellen nur einen Teil der umgesetzten Sicherheitsmaßnahmen dar. Behördlich durchgeführte Messungen der Abstrahlsicherheit (gem. BSI Messungen CmSec Zne 2 ) bescheinigen dem T-Systems Trust Center die Erfüllung höchster Standards. Alle wesentlichen Systeme incl. Lüftung, Klima, Energieversrgung sind gedppelt. Die IT-Plattfrm des T- Systems Trust Centers selbst ist ebenfalls dppelt vrhanden (ht stand by, getrennte Räume in unterschiedlichen Gebäudeteilen). Innerhalb des hchsicheren Gebäudes des Rechenzentrums existieren zusätzliche Sicherheitszellen speziell für die Systeme des Trust Centers. Im Rechenzentrumsgebäude gelten dafür spezielle Zugangssicherungen: Es gilt das Prinzip der minimalen Rechte. Diese sensiblen Bereiche sind gekapselt. Der Betrieb des Trust Centers erflgt mit dedizierter Hardware (bis auf wenige Kmpnenten, die speziell im Trust Center Umfeld benötigt werden, handelt es sich um Standardkmpnenten), da die Systeme strikt vn anderen Systemen im Rechenzentrum getrennt sind. Grundsätzlich haben nur die Sicherheitsmitarbeiter Zutritt zu allen Räumlichkeiten. In besnders sensiblen Bereichen, wie den "Trust Center Zellen" gilt das Vier-Augen-Prinzip. Abbildung 4: Raumaufteilung im Rechenzentrum Für den sinnvllen und den Erwartungen der Marktteilnehmer entsprechenden Betrieb vn Zertifizierungsstellen existieren hhe Anfrderungen an Betreiber, die aus den Erfrdernissen nach Hchverfügbarkeit, sehr guter Skalierbarkeit und hher Servicegüte erwachsen. Dies sind beispielsweise: Anfrderungen an die bauliche Infrastruktur Sicherstellung einer redundanten Strmversrgung Sicherstellung einer redundanten Klimatisierung Sicherstellung des Perimeter-Schutzes und erhöhte Anfrderungen an die Zugangssicherung (Vier Augen Prinzip) Sicherstellung des Brandschutzes Sicherstellung der Abstrahlsicherheit Anfrderungen an den IT-Betrieb 7x24 Stunden IT-Betrieb Redundante und breitbandige Kmmunikatinsnetzanbindung Seite 11 vn 31

12 Sehr umfangreiche Erfahrungen in der Implementierung und im Betrieb kmplexer IT- Sicherheitsinfrastrukturen Standardisierte Betriebsprzesse (z.b. nach ITIL v3) Incident Management Prblem Management Change Management Capacity Management Sehr umfangreiche Erfahrungen im Betrieb vn sicherheitskritischen Applikatinen, insbesndere vn PKI Lösungen Sehr umfangreiche Erfahrungen im Betrieb vn Hardware Security Mdulen (HSM) Erfahrung in der Einrichtung und im IT-Betrieb der gefrderten HSM Erfahrung in der Einrichtung und im Betrieb ausfallsicherer HSM Cluster Erfahrung bei der Sicherstellung eines Plicy knfrmen Key Managements Anfrderungen an das PKI Przessmanagement (z.b. Registrierungsprzess) Erfahrung in der Planung, Implementierung und Umsetzung vn PKI Przessen Erfahrungen im Umgang mit grßen Mengen und Lastspitzen Erfahrung mit der sicheren Archivierung vn Dkumenten Erfahrung mit Key Management Przessen für Rt-CA und Sub-CA Zertifikate Anfrderungen an das Service Level Agreement (SLA) Benennung vn Betriebszeiten, Wartungsfenstern und Verfügbarkeiten Benennung vn Meldewegen und Reaktinszeiten bei Störungsmeldungen Benennung vn Eskalatinswegen Alle genannten Anfrderungen werden im T-Systems Trust Center in vllem Umfang erfüllt. Seite 12 vn 31

13 2 Überblick über die Smart Metering PKI 2.1 Mtivatin Smart Metering Systeme sind Bausteine für intelligente Netze ("Smart Grids"), die eine flexiblere und gleichzeitig sichere Energieversrgung ermöglichen sllen. Eine besndere Herausfrderung sind hierbei die Themen Datenschutz und Datensicherheit. Zum einen werden zukünftig persnenbezgene Daten über ffene Netze (Internet) übertragen, zum anderen wird es ermöglicht werden, Systeme (BHKW, Phtvltaik,..) über eine Smart Metering Intrastruktur zu steuern. In 21 EnWG werden daher Anfrderungen zu Datenschutz und Datensicherheit vn Smart-Metering-Systemen frmuliert. Wie wichtig und ernst zu nehmen diese Anfrderungen sind, zeigen die nachflgend aufgeführten Zwischenfälle: IE8-Lücke für Angriffe auf US-Energiesektr ausgenutzt (Mai 2013) Kampagne vermutlich chinesischen Ursprungs "Waterhle-Attacke" : gezielte Cyber-Attacke, bei der die Angreifer Webseiten kmprmittieren, die ihre Zielpersnen höchstwahrscheinlich besuchen 9 manipulierte Webseiten (u.a. US-Arbeitsministerium), die Besucher mit dem Fernsteuerungs- Trjaner Pisn Ivy infizieren Ziele: Angestellte aus dem Energiesektr (Energieknzerne, Atmkraftwerke und Regierungsmitarbeiter) Cmputerwurm Stuxnet (Juni 2010) Gezielter Angriff eines Systems vn Siemens zur Überwachung und Steuerung technischer Przesse Vermutetes Ziel: Störung der Leittechnik vn (in diesem Fall hauptsächlich iranischen) Atmfabriken 2.2 Technische Richtlinie BSI TR Zur Knkretisierung der in 21 EnWG frmulierten Anfrderungen zu Datenschutz und Datensicherheit vn Smart-Metering-Systemen wurde vm BSI (Bundesamt für Sicherheit in der Infrmatinstechnik) die technische Richtlinie BSI TR herausgegeben. Sie frmuliert die Anfrderungen an die Funktinalität, Interperabilität und Infrmatinssicherheit der Kmmunikatinseinheit eines intelligenten Messsystems (kurz: Smart Meter Gateway SMGW). Die Infrmatinssicherheit wird technisch durch die Einführung einer Public Key Infrastruktur (PKI) für das Smart Metering erreicht. PKI-relevant sind im Wesentlichen die flgenden Teile der technischen Richtlinie: BSI TR : Kryptgraphische Vrgaben für SMGW BSI TR : PKI für SMGW Durch Einsatz der Zertifikate aus der Smart Metering PKI (SM-PKI) werden Integrität, Vertraulichkeit und Authentizität vn Kmmunikatin und Daten in der besnders gefährdeten Kmmunikatin des SMGW mit dem SMGW-Administratr und den externen Marktteilnehmern (EMT) über öffentliche Netze sichergestellt. Seite 13 vn 31

14 2.3 Architektur der Smart Metering PKI Die Smart Metering-PKI (SM-PKI) besteht aus flgenden Instanzen: Hheitliche Smart Metering Rt-CA Die Rt-CA ist der Vertrauensanker der gesamten SM-PKI. Durch die Plicy der Rt-CA werden die wesentlichen Vrgaben zur Umsetzung der Wirkbetriebsprzesse festgelegt. Inhaber der Rt-CA ist das BSI. Das BSI wird jedch den technischen Betrieb an einen geeigneten Betreiber (Trust Center) vergeben. Die Vergabe erflgt im Rahmen einer Ausschreibung. Sub-CA-Instanzen Die Sub-CA-Instanzen sind hierarchisch der Rt-CA nachgerdnet. Sie erstellen und sperren Zertifikate für Endnutzer. Eine Sub-CA kann durch einen EMT selbst, der durch einen geeigneten Dienstleister betrieben werden. Durch eine Sub-CA können auch mehrere Marktteilnehmer firmenübergreifend mit Zertifikaten versrgt werden (siehe Abbildung 5: Architekturbild der Smart Metering PKI (Quelle: BSI TR3109-4)). Endnutzer Endnutzer sind SMGW, SMGW-Admin und EMT. Sie beziehen Zertifikate vn einer Smart Metering Sub-CA. Abbildung 5: Architekturbild der Smart Metering PKI (Quelle: BSI TR3109-4) Diese Leistungsbeschreibung bezieht sich auf die in der BSI TR beschriebene SM-PKI. Gegenstand der Leistungsbeschreibung sind Services einer in Abbildung 5 dargestellten und im Text beschriebenen Smart Metering Sub-CA. Seite 14 vn 31

15 3 T-Systems Sub-CA Services für die SM-PKI 3.1 Überblick T-Systems bietet Smart Metering Sub-CA Services in zwei unterschiedlichen Ausprägungen an: 1) Shared Energy Sub-CA Service: Dieser vn T-Systems betriebene Sub-CA Service kann firmenübergreifend vn mehreren Marktteilnehmern genutzt werden, um Endnutzerzertifikate für Gateways, Gateway Administratren und externe Marktteilnehmer zu beziehen. 2) Dedicated Energy Sub-CA Service: Dieser vn T-Systems angebtene Sub-CA Service wird exklusiv im Auftrag eines einzelnen Marktteilnehmers betrieben, um Endnutzerzertifikate für Gateways, Gateway Administratren und externe Marktteilnehmer zu erzeugen. Beide Services stellen weiterhin sgenannte KOM -Zertifikate aus, mit denen die TLS Kmmunikatin der Endteilnehmer mit der Sub-CA abgesichert und authentifiziert wird. Abbildung 6: Smart Metering CA Offering der T-Systems. 3.2 Shared Energy Sub-CA Die Shared Energy Sub-CA ist ein Standardprdukt der T-Systems und existiert genau in einer Instanz. Sie besitzt alle in den flgenden Kapiteln 3.4 bis 3.9 beschriebenen technischen Eigenschaften, und ist knfrm zur TR Sie kann firmenübergreifend vn mehreren Mandanten genutzt werden, um Endnutzer-Zertifikate für Gateways, Gateway-Administratren und externe Marktteilnehmer zu beziehen. Jeder Mandant kann über den Service grundsätzlich alle Typen vn Endnutzer-Zertifikaten der SM-PKI beziehen. Im Regelfall werden aber Mandanten nur einen Typ vn Zertifikat beziehen, z.b. ein SMGW-Integratr die Gütesiegel-Zertifikate. Seite 15 vn 31

16 Neben den SM-PKI Zertifikaten erhalten Mandanten auch KOM-Zertifikate zur Authentifizierung des Mandanten bei Kmmunikatinsprzessen mit der Sub-CA und Zugriff auf das Verzeichnis. Zur Beantragung und zum Erhalt vn SMGW Zertifikaten gibt es spezielle KOM-Zertifikate, die mit der Rlle und den Rechten einer Registratin Authrity (RA) für den jeweiligen Mandanten-Bereich verknüpft sind. Abbildung 7: Struktur der Shared Energy Sub-CA Service Charakteristik Die Shared Energy Sub-CA zeichnet sich durch flgende Eigenschaften aus: T-Systems ist Inhaber der Sub-CA und tritt gegenüber der BSI SM-Rt CA als Inhaber und Betreiber auf Im Sub-CA Zertifikat und in allen Endnutzerzertifikaten erscheint T-Systems als Inhaber bzw. Herausgeber Webberflächen der Sub-CA (für Administratin und Infrmatin) haben Standard-Layut T-Systems definiert die Radmap für Weiterentwicklungen/Anpassungen der Sub-CA T-Systems richtet einen Mandanten auf der gemeinsam genutzten HW- und SW-Infrastruktur ein. T-Systems ist verantwrtlich für die Prüfung und Genehmigung vn Zertifikatsanträgen der Mandanten für KOM-Zertifikate. T-Systems ist verantwrtlich für die Sperrung vn KOM-Zertifikaten. Inhaber vn mandantenspezifischen KOM-RA-Zertifikaten (siehe Kapitel 3.6) sind verantwrtlich für die Prüfung und Genehmigung swie Sperrung vn Endnutzer-Zertifikaten innerhalb ihres Mandantenbereiches. Alle Mandanten haben: eine einheitliche Sub-CA Plicy einheitliche Registrierungs- /Sperr- / Administratinsprzesse und Schnittstellen (Webservices und Webberflächen) eine eigenständige und vn anderen Mandanten separierte Verwaltung der eigenen Zertifikate einen gemeinsamen Verzeichnisdienst Seite 16 vn 31

17 ein einheitliches Service Level einheitliche Wartungsfenster einheitliche Nutzungsnachweise und Statistiken (Abruf über eine Webberfläche) einheitliche Abrechnungsmdalitäten Geschäftsfälle Für einen Mandanten auf der Shared Energy Sub-CA existieren die flgenden Geschäftsfälle: Einrichtung als Mandant durch T-Systems Trust Center Operatren Beantragung und Erhalt eines KOM-Zertifikats mit Registratin Authrity (RA) Rlle zur Ausgabe der Sperrung vn EMT Zertifikaten Beantragung und Erhalt eines KOM-Zertifikats mit Registratin Authrity (RA) Rlle zur Ausgabe der Sperrung vn SMGW Administratr Zertifikaten Beantragung und Erhalt eines KOM-Zertifikats mit Registratin Authrity (RA) Rlle zur Authentifizierung bei Erst-Beantragung der Sperrung vn SMGW Gütesiegelzertifikaten Beantragung und Erhalt eines KOM-Zertifikats mit Registratin Authrity (RA) Rlle zur Authentifizierung bei Erst-Beantragung der Sperrung vn SMGW-Wirk-Zertifikaten Beantragung und Erhalt eines KOM-Zertifikats zum Zugriff auf den Verzeichnisdienst Beantragung und Erhalt vn zwei Zertifikaten (Du) der drei Zertifikaten (Tripel) für einen EMT (Signatur-, Verschlüsselungszertifikat sind verpflichtend, TLS-Zertifikat ptinal) Beantragung und Erhalt eines SMGW-Admin-Zertifikate Tripels (SIG, ENC, TLS) Beantragung und Erhalt eines SMGW-Gütesiegel-Zertifikate Tripels (SIG, ENC, TLS) Beantragung und Erhalt eines SMGW-Wirk-Zertifikate Tripels (SIG, ENC, TLS) Sperrung eines KOM-Zertifikats Sperrung eines EMT-Zertifikats Dus der Tripels Sperrung eines SMGW-Admin-Zertifikats Tripels Sperrung eines SMGW-Zertifikats Tripels Seite 17 vn 31

18 3.3 Dedicated Energy Sub-CA Eine Dedicated Energy Sub-CA wird exklusiv im Auftrag eines einzelnen Marktteilnehmers betrieben und ist in ihrer Basisversin mit gleichen technischen Eigenschaften wie die Shared Energy Sub-CA versehen. Es kann viele vneinander unabhängige Instanzen vn Dedicated Energy Sub-CA geben. Jede Instanz wird im Auftrag genau eines Kunden betrieben, besitzt alle in den flgenden Kapiteln 3.4 bis 3.9 beschriebenen technischen Eigenschaften und ist knfrm zur TR Auf Kundenwunsch sind individuelle Erweiterungen möglich. Abbildung 8: Struktur der Dedicated Energy Sub-CA Service Charakteristik Eine Dedicated Energy Sub-CA zeichnet sich durch flgende Eigenschaften aus: T-Systems setzt bei Vertragsschluss eine Instanz der Dedicated Energy Sub-CA mit eigener SW-Infrastruktur und eigenem Verzeichnis für den Kunden auf Die Dedicated Energy Sub-CA ist in der Basisversin technisch identisch zur Standardlösung Der Kunde ist Inhaber der Sub-CA und tritt gegenüber der BSI Smart Metering Rt als Inhaber auf T-Systems fungiert als Betreiber der Sub-CA im Auftrag des Kunden T-Systems setzt die Beantragung und Erhalt der Sub-CA-Zertifikate vn der BSI Rt-CA im Auftrag des Kunden technisch um Im Sub-CA-Zertifikat und in allen Endnutzerzertifikaten erscheint der Kunde als Inhaber bzw. Herausgeber Webberflächen der Sub-CA (für Administratin und Infrmatin) können auf Kundenwunsch individualisiert werde (Lgs, Fnts, Farben) Der Kunde richtet eigenständig Mandanten innerhalb der Sub-CA ein (z.b. mehrere Stadtwerk(e), einen SMGW Integratr, usw.) Der Kunde ist verantwrtlich für die Prüfung und Genehmigung vn Zertifikatsanträgen der Mandanten für Mandanten-spezifische KOM-Zertifikate Der Kunde ist verantwrtlich für die Sperrung vn KOM-Zertifikaten Seite 18 vn 31

19 Inhaber vn KOM-RA Zertifikaten sind verantwrtlich für die Ausgabe und Sperrung vn Endnutzer Zertifikaten innerhalb ihres Mandantenbereiches Die Mandanten der Dedicated Energy Sub-CA haben die gleichen Geschäftsfälle wie die Mandanten der Shared Lösung Der Kunde erhält Zugriff auf mandantenübergreifende Nutzungsnachweise und Statistiken Es erflgt eine mandantenübergreifende Abrechnung. Der Kunde ist verantwrtlich für die Weiterverrechnung gegenüber seinen Mandanten Der Kunde definiert in Abstimmung mit T-Systems die Radmap für Weiterentwicklungen/Anpassungen der Sub-CA. T-Systems setzt die abgestimmte Radmap technisch um Ein Inhaber einer Dedicated Energy Sub-CA hat gegen Aufpreis flgende individuelle Erweiterungsmöglichkeiten der Standardlösung: Betrieb der Sub-CA auf dedizierter exklusiv genutzter Hardware Mdifikatin der Standard Sub-CA Plicy im Rahmen der Vrgaben der Rt Plicy Spezifische Anpassung vn Registrierungs- /Sperr- / Administratinsprzessen und Schnittstellen ein individuell angepasstes Service Level individuell vereinbarte Wartungsfenster individuell angepasste Nutzungsnachweise und Statistiken individuell angepasste Abrechnungsmdalitäten Geschäftsfälle Für den Inhaber einer Dedicated Energy Sub-CA existieren die flgenden Geschäftsfälle: Aufsetzen der Dedicated Energy Sub-CA durch die Trust Center Operatren Beantragung und Erhalt eines KOM-Zertifikats mit mandantenübergreifender Administratr Rlle (sg. Master-RA Rlle, siehe Kapitel 3.6.2) Sperrung eines KOM-Zertifikats mit mandantenübergreifender Administratr Rlle (sg. Master-RA Rlle, siehe Kapitel 3.6.2) 3.4 Umsetzung der Sicherheitsanfrderungen der TR Sicherheitsanfrderungen an die Zertifizierungsstellen Die Sicherheitsanfrderungen an die Betriebsumgebungen für Rt CA und Sub-CA Instanzen der Smart Metering PKI sind in Kapitel 5.2 der BSI TR frmuliert: Die Betriebsumgebungen MÜSSEN ISO27001 zertifiziert sein. Empfehlung des BSI: Zertifizierung nach ISO auf Basis vn IT-Grundschutz. Schutzbedarf: es MUSS die Stufe hch umgesetzt werden. Die Zertifizierung muss alle Geschäftsprzesse und IT-Systeme der Registrierung und Zertifizierung umfassen. Eine ISO Zertifizierung auf Basis vn IT-Grundschutz beinhaltet eine knkrete Mdellierung der eingesetzten IT-Infrastrukturen durch die Bausteine der IT-Grundschutz-Katalge swie eine Ableitung detaillierter Sicherheitsmaßnahmen für Technik, Organisatin, Persnal und Infrastruktur aus den zugerdneten Maßnahmenkatalgen. Der Schutzbedarf hch umfasst eine ergänzende Sicherheitsanalyse und Umsetzung Seite 19 vn 31

20 entsprechender Maßnahmen. Die Zertifizierung auf Basis vn IT-Grundschutz ist aufgrund der umfänglich geprüften technischen Aspekte wesentlich aussagekräftiger als eine reine ISO-Zertifizierung. Das T-Systems Trust Center verfügt über eine ISO27001 Zertifizierung. Derzeit wird darüber hinaus eine Zertifizierung der gesamten Basisinfrastruktur des Trust Centers nach ISO auf Basis vn IT-Grundschutz durchgeführt, die in Q3/2013 abgeschlssen sein wird. Darauf aufbauend ist geplant, auch die verbleibenden applikatinsspezifischen Anteile der Shared T-Systems Energy Sub-CA und der Dedicated Energy Sub-CA Instanzen nach ISO auf Basis vn IT-Grundschutz zu zertifizieren Anfrderungen an Krypt-Mdule und Sicherung privater Schlüssel Die entsprechenden Anfrderungen an Rt-CA und Sub-CA Instanzen der SM-PKI sind in Kapitel 5.1 der BSI TR frmuliert: Es müssen gemäß Cmmn Criteria Schutzprfilen zertifizierte Hardware Security Mdule (HSM) zur Schlüsselgenerierung und speicherung für CA-Zertifikate und für die Signatur vn Zertifikaten und Sperrlisten eingesetzt werden. Die T-Systems setzt derartig zertifizierte HSM bereits heute im Kntext Ihres eid-service (eid Funktin des neuen Persnalausweises) in einer Clusterlösung ein, die einen ausfallsicheren HSM Betrieb mit mehreren aktiven HSM Knten erlaubt. Diese technische Lösung wird auch bei den Smart Metering Sub-CA Services zum Einsatz kmmen. Weitere Anfrderungen an technische Umsetzung und Przesse werden unter Umständen aus der Smart Metering Rt Plicy erwachsen, die derzeit nch nicht vrliegt. Sbald die Plicy vrliegen wird, wird eine Analyse erflgen und erfrderliche technische Maßnahmen werden umgesetzt werden. 3.5 Umsetzung der funktinalen Anfrderungen der TR Alle vm T-Systems Trust Center angebtenen Energy Sub-CA Services werden in allen Aspekten vllständig knfrm zu den technischen Anfrderungen der BSI TR realisiert. Sllten sich im Lauf der Zeit Mdifikatinen und Erweiterungen der Richtlinie ergeben, die relevant für die Smart Metering Sub-CA Instanzen sind, werden entsprechende Änderungen zeitnah und in Abstimmung mit den Kunden umgesetzt werden CA Zertifikate Die Energy CA Services setzen CA-Zertifikate gemäß der Festlegungen der TR ein Endnutzer Zertifikate Die Energy CA Services erstellen Zertifikate für alle Endnutzer der SM-PKI in allen definierten Ausprägungen. Dies sind: Zertifikate für Externe Marktteilnehmer (TLS (Optinal) -, Signatur- und Verschlüsselungszertifikate gemäß TR ) Zertifikate für Gateway Administratren (TLS-, Signatur- und Verschlüsselungszertifikate gemäß TR ) Gütesiegelzertifikate für Smart Meter Gateways (TLS-, Signatur- und Verschlüsselungszertifikate gemäß TR ) Wirkzertifikate für Smart Meter Gateways (TLS-, Signatur- und Verschlüsselungszertifikate gemäß TR ) Seite 20 vn 31

21 Alle Zertifikate sind X.509v3 Zertifikate, die knfrm zu den in Annex A TR definierten Prfilen generiert werden. Die Laufzeit aller Endnutzerzertifikate beträgt 2 Jahre. Es gelten die Festlegungen vn Annex F der TR bezüglich der unterstützten kryptgraphischen Verfahren. Die jeweils zwei (Du) der drei (Tripel) Zertifikate eines Endnutzers werden vn den Przessen der Energy CA Services immer gemeinsam behandelt, d.h., sie werden gemeinsam beantragt, gemeinsam genehmigt der ggf. gemeinsam gesperrt Sperrdienst und Sperrlisten Jeder Energy CA Service beinhaltet einen Sperrdienst für alle ausgestellten Zertifikatstypen und erzeugt und signiert Sperrlisten (Certificate Revcatin Lists, CRL) gemäß dem in Annex B TR definierten Prfil. Sperrlisten werden peridisch erzeugt und veröffentlicht (als http und LDAP Dwnlad). CA Administratren können darüber hinaus die Erzeugung einer neuen Sperrliste anlassbezgen initiieren Datenstrukturen und Prtklle für das Zertifikatsmanagement Die Kmmunikatin der Endnutzer der SM-PKI mit einer Energy CA der T-Systems erflgt über einen sicheren Kanal (TLS) und Webservices. Dazu werden die in Annex C TR definierten Datenstrukturen für Zertifikatsrequests und respnses unterstützt. Die Daten werden mittels der in Annex D der TR definierten Prtkllnachrichten übertragen. Die Energy CA Services unterstützen swhl die synchrne als auch die asynchrne Kmmunikatin mit den Endnutzern Verzeichnisdienste Jede T-Systems Energy CA stellt die ausgegebenen Endnutzerzertifikate in einem zugriffsgeschützten LDAP Verzeichnis gemäß der Festlegungen in Annex E der TR zur Verfügung. Zugriff auf das Verzeichnis haben ausschließlich Teilnehmer der SM-PKI, die sich durch KOM-Zertifikate authentifizieren. 3.6 Der Registratin Authrity (RA) Service Jeder CA-Service der T-Systems beinhaltet auch einen Registratin Authrity (RA) Service, der auf der gleichen technischen Plattfrm realisiert ist. Der RA-Service liefert die für die Verwaltung vn Zertifikaten und Autrisierung vn Zertifikatsprzessen ntwendige Funktinalität. Die Persnen, die die RA-Services nutzen, werden im Flgenden als RA-Operatren bezeichnet. Zu jeder Energy CA kann es mehrere RA-Operatren geben. Jeder RA Operatr erhält ein spezielles KOM Zertifikat, dem RA- Rechte zugerdnet sind. Es existieren unterschiedliche Ausprägungen vn RA-Rechten. Schlüsselmaterial und Zertifikat eines RA Operatrs kann entweder in Sftware vrliegen der auf einer Smart Card gespeichert sein. Die RA Funktinalitäten werden durch eine Webberfläche zur Verfügung gestellt, das sgenannte Web RA Frntend. Ein RA-Operatr authentifiziert beim Zugriff auf das Web RA Frntend in der TLS basierten Kmmunikatin mit seinem KOM-RA Zertifikat Zwei Verwaltungsebenen: Masterdmäne und Subdmäne Swhl Shared Energy Sub-CA als auch Dedicated Energy Sub-CA verfügen jeweils über zwei hierarchisch strukturierte Ebenen zur Verwaltung vn Zertifikaten. Die bere Verwaltungsebene ist die sgenannte Masterdmäne, die vn der Rlle Master-RA verwaltet wird. Seite 21 vn 31

22 Die Masterdmäne untergliedert sich in mehrere sgenannte Subdmänen. Die Subdmänen sind vneinander strikt abgeschttete Verwaltungseinheiten für Zertifikate und die Autrisierung vn Zertifikatsprzessen. Eine Subdmäne wird vn der Rlle Sub-RA verwaltet. Jeder Sub-RA-Operatr sieht und steuert ausschließlich die der eigenen Subdmäne zugerdneten Zertifikatsanträge und Zertifikate. Die hier beschriebene Verwaltungshierarchie ist völlig unabhängig vn der PKI Hierarchie Aufgaben des Master-RA-Operatrs Ein Master-RA-Operatr ist eine Mandanten-übergreifende Instanz, und autrisiert sich beim Zugriff auf Verwaltungsfunktinen durch ein KOM-Zertifikat, dem die Rechte einer Master-RA zugerdnet sind. Die Master- RA Rlle hat die flgenden Aufgaben: Einrichtung vn Subdmänen (jede Subdmäne repräsentiert einen Mandanten) De-Aktivierung vn Subdmänen Ausgabe und Sperrung vn mandantenspezifischen Sub-RA Zertifikaten (KOM-Zertifikaten) Zugriff auf mandantenübergreifende Statistik- und Abrechnungsinfrmatinen Bei Bedarf: mandantenübergreifende Sperrhtline Im Fall der Shared Energy Sub-CA wird die Rlle der Master-RA durch Operatren des Trust Centers wahrgenmmen. Mandanten sprich Inhaber einer Subdmäne sind jeweils verschiedene Unternehmen, die sich die Services der Shared Energy Sub-CA teilen. Beispiele für Mandanten sind z.b. SMGW Integratr: Ausgabe vn SMGW Gütesiegel-Zertifikaten Messstellenbetreiber: Ausgabe vn SMGW Admin-Zertifikaten und SMGW Wirk-Zertifikaten Im Fall der Dedicated Energy Sub-CA wird die Rlle der Master-RA durch Operatren des Kunden wahrgenmmen, in dessen Auftrag die Dedicated Energy Sub-CA vn der T-Systems betrieben wird. Mandanten sprich Subdmänen werden durch den Kunden selbst eingerichtet, und können z.b. Unternehmen sein, denen gegenüber der Kunde als Reseller vn CA-Services auftritt der aber verschiedene Unterrganisatinen der Abteilungen des Kunden Aufgaben des Sub-RA Operatrs Ein Sub-RA Operatr ist eine mandantenspezifische Instanz und ist verantwrtlich für die Verwaltung der Zertifikate und Autrisierung vn Zertifikatsprzessen für die Subdmäne. Er autrisiert sich beim Zugriff auf Verwaltungsfunktinen durch ein KOM-Zertifikat, dem die Rechte einer Sub- RA zugerdnet sind. Er erhält sein KOM-Zertifikat vn der Master-RA Instanz. Die Sub-RA Rlle hat die flgenden Aufgaben: Genehmigen der Ablehnen vn Zertifikatsanträgen für Endnutzer Genehmigen der Ablehnen vn Sperranträgen für Endnutzer-Zertifikate Abruf vn Statistiken auf Subdmänen-Ebene 3.7 Zertifizierungsprzesse für Endnutzer-Zertifikate Die Gestaltung der Registrierungs- und Freigabeprzesse für Endnutzer Zertifikate wird im Rahmen der Smart Metering Rt Plicy festgelegt werden. Diese liegt derzeit nch nicht vr. Im Flgenden wird dargestellt, welche Annahmen die T-Systems diesbezüglich trifft. Seite 22 vn 31

23 3.7.1 Erst-Beantragung vn EMT und SMGW Administratr-Zertifikaten Bei den EMT-Zertifikaten handelt es sich um Organisatinszertifikate, der Name der Organisatin ist im Zertifikatsfeld Cmmn Name enthalten. Das Zertifikat enthält weitere Infrmatinen wie Organisatinseinheit und Adressdaten. Bei den SMGW-Administratr-Zertifikaten handelt es sich um Persnenzertifikate, der Name der Persn ist im Zertifikatsfeld Cmmn Name enthalten. Auch hier enthält das Zertifikat weitere Infrmatinen wie Organisatinseinheit und Adressdaten. Üblicherweise erfrdert die Ausstellung vn Persnen- und Organisatinszertifikaten eine srgfältige und zuverlässige Überprüfung der Identität und Autrisierung des Antragstellers und der im Zertifikat enthaltenen Daten. Bei Organisatinszertifikaten wird sich der Przess möglicherweise ähnlich wie bei der Beantragung vn SSL Server Zertifikaten gestalten. Hier wird üblicherweise die pstalische Übermittlung eines Handelsregisterauszugs swie durch eine autrisierte Persn unterschriebene Antragsdkumente parallel zum elektrnischen Versand der RequestCertificate Nachricht gemäß TR vrzusehen sein. Beim Gateway Administratr wird eine analge Vrgehensweise angenmmen. Ein Beispiel für den rganisatrischen Ablauf des Antragsprzesses kann hier z.b. die D Registrierung sein. Neben ihren Endnutzerzertifikaten erhalten EMT und SMGW-Administratr jeweils ein KOM-Zertifikat zum Zugriff auf den Verzeichnisdienst. Der Ablauf der Erst-Beantragung mit manueller Prüfung durch den Sub-RA Operatr verläuft asynchrn wie flgt: Antragsteller generiert Request Paket und sendet RequestCertificate Nachricht RequestCertificate Nachricht enthält Request-Paket mit zwei der drei einzelnen Requests für SIG, ENC und TLS Zertifikate (TLS Zertifikat ist bei EMT ptinal) Sub-CA quittiert den Empfang Sub-CA prüft autmatisch auf krrektes ASN.1 Frmat, innere Signaturen und Zertifikatsprfil gemäß TR Anhang A Sub-RA-Operatr prüft die elektrnischen Antragsdaten gegen die schriftlichen Unterlagen Sub-RA-Operatr genehmigt das Request-Paket der lehnt es ab Bei Genehmigung erzeugt und signiert Sub-CA die zwei bzw. drei Zertifikate Sub-CA sendet SendCertificates Nachricht (Ablehnung der Paket mit zwei bzw. drei ausgestellten Zertifikaten) asynchrn an den Antragsteller Wiederhlungs-Beantragung vn EMT und SMGW Admin Zertifikaten Die Festlegungen der TR ermöglichen einen autmatisierten Przess bei der Wiederhlungs- Beantragung vn Endnutzerzertifikaten, sfern die Vrgängerzertifikate nch gültig, als weder gesperrt nch abgelaufen sind. In diesem Punkt dürften vn der Smart Metering Rt Plicy keine grundlegenden Przessänderungen zu erwarten sein. Die reguläre Gültigkeit und Dauer der Zertifikats- und Schlüsselverwendung bei Endnutzerzertifikaten beträgt 2 Jahre. Bei jeder Wiederhlungs-Beantragung ist eine Neu-Generierung eines Schlüsselpaars vrgeschrieben. Falls vrherige Zertifikate nch gültig sind, erflgt die zuverlässige Authentifizierung eines neuen Request-Pakets durch die äußere Signatur des Pakets mit dem SIG Zertifikat des Endnutzers. Falls die Vrgänger Zertifikate abgelaufen der gesperrt sind, ist der gleiche Przess wie bei der Erstbeantragung durchzuführen. Der Ablauf der Wiederhlungs-Beantragung bei gültigen Vrgänger Zertifikaten vllständig autmatisiert hne RA-Operatr verläuft synchrn wie flgt: Seite 23 vn 31

24 Antragsteller generiert Request Paket, versieht es mit einer äußeren Signatur mit dem nch gültigen SIG Schlüssel und sendet RequestCertificate Nachricht RequestCertificate Nachricht enthält Request-Paket mit zwei der drei einzelnen Requests für SIG, ENC und TLS Zertifikate (TLS Zertifikat ist bei EMT ptinal) Das Request-Paket ist durch eine äußere Signatur mit dem nch gültigen SIG Schlüssel authentifiziert; Sub- CA prüft autmatisch auf krrektes ASN.1 Frmat, innere Signaturen, äußere Signatur und Zertifikatsprfil gemäß TR Anhang A Falls krrekt, erzeugt und signiert Sub-CA die zwei bzw. drei Zertifikate Sub-CA sendet SendCertificates Nachricht (Ablehnung der Paket mit zwei bzw. drei ausgestellten Zertifikaten) synchrn an den Antragsteller Sperrung vn EMT und SMGW-Administratr-Zertifikaten Eine Sperrung kann durch den Inhaber der Zertifikate (Endnutzer) der durch eine andere autrisierte Instanz, die beim Registrierungsvrgang im Rahmen der Erstbeantragung festgelegt wurde, initiiert werden. Es ist eine srgfältige und zuverlässige Überprüfung der Identität und Autrisierung der Instanz, die einen Sperrantrag stellt, erfrderlich, da die Sperrung der Zertifikate dazu führt, dass der betrffene Endnutzer nicht mehr mit SMGW Instanzen kmmunizieren kann. Beispiele für Sperrgründe sind: Verlust der Krruptin des Schlüsselmaterials/der SmartCard Daten im Zertifikat ändern sich (z.b. Organisatinsname der Adressinfrmatinen) SMGW Admin (Persn) übt ihre Tätigkeit nicht länger aus Der Ablauf der Erst-Beantragung mit manueller Prüfung durch den Sub-RA-Operatr verläuft asynchrn wie flgt: Antragsteller stellt Sperrantrag telefnisch der nline über die Webseiten der Sub-CA RA-Operatr prüft die Autrisierung der Instanz, die einen Sperrantrag stellt, gemäß Vrgaben der Rt Plicy RA-Operatr genehmigt die Sperrung der lehnt sie ab Bei Genehmigung: Sub-CA sperrt alle drei Zertifikate des identifizierten Zertifikatspakets Sub-CA nimmt die Zertifikate des Pakets bei der nächsten Generierung der Sperrliste in die Sperrliste auf Sub-CA stellt danach die neue Sperrliste zum HTTP/LDAP Dwnlad bereit Erst-Beantragung vn SMGW-Gütesiegel-Zertifikaten Bei den SMGW-Zertifikaten handelt es sich um Maschinenzertifikate, die eindeutige GW-ID ist im Zertifikatsfeld Cmmn Name enthalten. Das Zertifikat enthält im Fall vn Gütesiegelzertifikaten den Namen des SMGW Herstellers im Zertifikatsfeld Organizatinal Unit. Der SMGW-Integratr ist als verantwrtliche Registrierungsinstanz für SMGW-Gütesiegel-Zertifikate anzusehen, da nur vn ihm die Richtigkeit der genannten GW-ID und des Herstellers während der Vrpersnalisierung geprüft werden kann. Daher wird der SMGW Integratr wie in Kapitel 3.2 und 0 beschrieben mit einem speziellen KOM-RA-Zertifikat ausgestattet, das ihm die Rlle der Registratin Authrity im Registrierungsprzess bescheinigt. In den Sub-CA wird als Standardprzess für die Zertifikatsbeantragung und -auslieferung vn SMGW-Zertifikaten der flgende Request-per-Request Mdus vrgesehen: Seite 24 vn 31

25 Request-per-Request Mdus (synchrn): SMGW-Integratr generiert Request Paket, versieht es mit äußerer Signatur per KOM-Signaturschlüssel und sendet RequestCertificate Nachricht In der TLS Verbindung mit der Sub-CA authentifiziert sich der Integratr mit dem KOM-Zertifikat; dieses bescheinigt ihm Sub-RA Rechte RequestCertificate Nachricht enthält Request-Paket mit drei einzelnen Requests für SIG, ENC und TLS Gütesiegelzertifikate Sub-CA prüft autmatisch auf krrektes ASN.1 Frmat, innere Signaturen, äußere Signatur und Zertifikatsprfil gemäß TR Anhang A Falls krrekt, erzeugt und signiert Sub-CA die drei Zertifikate Sub-CA sendet SendCertificates Nachricht (Ablehnung der Paket mit drei ausgestellten Zertifikaten) synchrn an den Integratr Dieses Verfahren erlaubt die sfrtige Weiterverarbeitung durch einen SMGW-Integratr (Imprt der Zertifikate in das Sicherheitsmdul). Falls die Kmmunikatinsverbindung zwischen Integratr und Sub-CA allerdings nicht zustande kmmt der unterbrchen wird, schlägt die Beantragung fehl und muss zu einem späteren Zeitpunkt ggf. wiedehlt werden. Hierbei ist die Möglichkeit vn Störungen in der gesamten Servicekette (Trust Center, Backbne, Last Mile, Hauseinführung, Inhuse Netz, Inhuse IT etc.), bei der Planung des Vrpersnalisierungsprzesses des SMGW Integratrs zu berücksichtigen. Um hier eine Alternative zu bieten, ist ein ptinaler weiterer Mdus geplant, der sgenannte Bulk-Mdus. Dieser ist im Detail nch mit dem BSI als Herausgeber der technischen Richtlinie und mit den Kunden abzustimmen, da er eine Erweiterung des Webservice beinhalten würde. Er sieht zwei zeitlich versetzte Durchläufe im Przess der Vrpersnalisierung vr, die Zertifikate werden rechtzeitig vrprduziert. Bulk Mdus (asynchrn): Integratinsdurchlauf 1: Der Integratr erzeugt Request-Pakete für eine größere Anzahl vn Gateways, versieht diese mit äußerer Signatur per KOM-Signaturschlüssel und aggregiert sie in einer RequestCertificate Nachricht. Dies könnten beispielsweise Requests für 10 der 50 der 100 Gateways sein. Das Datenfrmat ist auch hier knfrm zu den Festlegungen der TR In der TLS Verbindung mit der Sub-CA authentifiziert sich der Integratr mit dem KOM-Zertifikat RequestCertificate Nachricht mit Anzahl vn Request-Paketen mit jeweils drei einzelnen Requests für SIG, ENC und TLS Gütesiegelzertifikate wird gesendet; Sub-CA quittiert den Empfang Sub-CA prüft autmatisch auf krrektes ASN.1 Frmat, innere Signaturen, äußere Signatur Zertifikatsprfil gemäß TR Anhang A Falls krrekt, erzeugt und signiert Sub-CA jeweils drei Zertifikate für alle im Request enthaltenen Pakete Sub-CA sendet SendCertificates Nachricht (Ablehnung der Anzahl vn Paketen mit jeweils drei ausgestellten Zertifikaten) asynchrn an den Integratr Integratinsdurchlauf 2: Integratr imprtiert die Gütesiegel-Zertifikate in die Gateways Erst-Beantragung vn SMGW-Wirk-Zertifikaten Bei den SMGW-Zertifikaten handelt es sich um Maschinenzertifikate, die eindeutige GW-ID ist im Zertifikatsfeld Cmmn Name enthalten. Das Zertifikat enthält im Fall vn Wirkzertifikaten den Namen des zuständigen SMGW-Administratrs im Zertifikatsfeld Organizatinal Unit. Der SMGW-Administratr ist als verantwrtliche Registrierungsinstanz für SMGW-Wirk-Zertifikate anzusehen, da nur vn ihm die Richtigkeit der genannten GW-ID während der Vr-Ort-Inbetriebnahme geprüft werden kann. und Seite 25 vn 31

26 Daher wird der SMGW-Administratr wie in Kapitel 3.2 und 0 beschrieben mit einem speziellen KOM-RA- Zertifikat ausgestattet, das ihm die Rlle der Registratin Authrity im Registrierungsprzess bescheinigt. In den Sub-CA wird als Standardprzess für die Zertifikatsbeantragung und -auslieferung vn SMGW-Zertifikaten der bereits bei den Gütesiegelzertifikaten beschriebene Request-per-Request Mdus vrgesehen: Request-per-Request Mdus (synchrn): SMGW Administratr generiert Request Paket, versieht es mit äußerer Signatur per KOM-Signaturschlüssel und sendet RequestCertificate Nachricht In der TLS Verbindung mit der Sub-CA authentifiziert sich der Administratr mit dem KOM-Zertifikat; dieses bescheinigt ihm Sub-RA Rechte RequestCertificate Nachricht enthält Request-Paket mit drei einzelnen Requests für SIG, ENC und TLS Gütesiegelzertifikate Sub-CA prüft autmatisch auf krrektes ASN.1 Frmat, innere Signaturen, äußere Signatur und Zertifikatsprfil gemäß TR Anhang A Falls krrekt, erzeugt und signiert Sub-CA die drei Zertifikate Sub-CA sendet SendCertificates Nachricht (Ablehnung der Paket mit drei ausgestellten Zertifikaten) synchrn an den Administratr Wiederhlungs-Beantragung vn SMGW-Wirk-Zertifikaten Die Festlegungen der TR ermöglichen einen autmatisierten Przess bei der Wiederhlungs- Beantragung vn SMGW-Wirk-Zertifikaten, sfern die Vrgängerzertifikate nch gültig, als weder gesperrt nch abgelaufen sind. In diesem Punkt dürften vn der Smart Metering Rt Plicy keine grundlegenden Przessänderungen zu erwarten sein. Die reguläre Gültigkeit und Dauer der Zertifikats- und Schlüsselverwendung bei Endnutzer-Zertifikaten beträgt zwei Jahre. Bei jeder Wiederhlungs-Beantragung ist eine Neu-Generierung eines Schlüsselpaars vrgeschrieben. Falls vrherige Zertifikate nch gültig sind, erflgt die zuverlässige Authentifizierung eines neuen Request-Pakets durch die äußere Signatur des Pakets mit dem SIG Zertifikat des SMGW. Falls die Vrgänger Zertifikate abgelaufen der gesperrt sind, ist der gleiche Przess wie bei der Erstbeantragung durchzuführen. Der Ablauf der Wiederhlungs-Beantragung bei gültigen Vrgänger Zertifikaten verläuft vllständig autmatisiert und synchrn wie flgt: SMGW-Administratr generiert Request Paket, versieht es mit einer äußeren Signatur mit dem nch gültigen SIG-Schlüssel des SMGW und sendet RequestCertificate Nachricht In der TLS-Verbindung mit der Sub-CA authentifiziert sich der SMGW-Administratr mit seinem KOM-Zertifikat RequestCertificate Nachricht enthält Request-Paket mit drei einzelnen Requests für SIG, ENC und TLS Zertifikat des SMGW Das Request-Paket ist durch eine äußere Signatur mit dem nch gültigen SIG-Schlüssel des SMGW authentifiziert; Sub-CA prüft autmatisch auf krrektes ASN.1 Frmat, innere Signaturen, äußere Signatur und Zertifikatsprfil gemäß TR Anhang A Falls krrekt, erzeugt und signiert Sub-CA die zwei bzw. drei Zertifikate Sub-CA sendet SendCertificates Nachricht (Ablehnung der Paket mit drei ausgestellten Zertifikaten) synchrn an den Antragsteller Seite 26 vn 31

27 3.7.7 Sperrung vn SMGW-Zertifikaten Der SMGW-Integratr ist die autrisierte Instanz für eine Sperrung vn SMGW Gütesiegel-Zertifikaten. Das KOM- Zertifikat des SMGW Integratrs hat RA Rechte zur Sperrung vn SMGW Gütesiegel-Zertifikaten. Der SMGW-Administratr ist die autrisierte Instanz für eine Sperrung vn SMGW-Wirk-Zertifikaten. Das KOM- Zertifikat des SMGW Administratrs hat RA Rechte zur Sperrung vn SMGW Wirk-Zertifikaten Daher ergibt sich der flgende autmatisierte Ablauf mit SMGW Integratr/Administratr in der Rlle des Sub-RA Operatrs (synchrn): SMGW Integratr/Administratr stellt Sperrantrag nline über die Webseiten der Sub-CA In der TLS Verbindung mit der Sub-CA authentifiziert sich der SMGW Integratr/Administratr mit seinem KOM-Zertifikat in der Sub-RA Rlle Sub-CA sperrt autmatisch das identifizierte Zertifikatspaket (3 Zertifikate) Sub-CA nimmt die Zertifikate des Pakets bei der nächsten Generierung der Sperrliste in die Sperrliste auf Sub-CA stellt danach die neue Sperrliste zum HTTP/LDAP Dwnlad bereit. 3.8 Administratinsfunktinen Den Master-RA und Sub-RA Operatren stehen Webinterfaces zur Verwaltung der vn der jeweiligen RA verantwrteten Zertifikate und Zertifikatsanträge zur Verfügung. Für die Master-RA werden die flgenden Funktinen angebten: Einrichtung eines Mandanten/einer Subdmäne Deaktivierung eines Mandanten/einer Subdmäne Ausgabe eines KOM-Zertifikats mit Sub-RA Rlle zur Ausgabe der Sperrung vn EMT-Zertifikaten Ausgabe eines KOM-Zertifikats mit Sub-RA Rlle zur Ausgabe der Sperrung vn SMGW-Administratr Zertifikaten Ausgabe eines KOM-Zertifikats mit Sub-RA Rlle zur Authentifizierung bei Erst-Beantragung der Sperrung vn SMGW-Gütesiegel-Zertifikaten Ausgabe eines KOM-Zertifikats mit Sub-RA Rlle zur Authentifizierung bei Erst-Beantragung der Sperrung vn SMGW-Wirk-Zertifikaten Ausgabe eines KOM-Zertifikats zum Zugriff auf den Verzeichnisdienst Prüfung und Freigabe der Ablehnung der Sperrung eines KOM-Zertifikats Für die Sub-RA werden die flgenden Funktinen angebten: Prüfung und Freigabe der Ablehnung eines Requests für zwei Zertifikate (Du) der drei Zertifikate (Triple) für eine EMT Organisatin (Signatur-, Verschlüsselungszertifikat sind verpflichtend, TLS-Zertifikat ptinal) Prüfung und Freigabe der Ablehnung eines Requests für ein SMGW Admin Zertifikat Tripel (SIG, ENC, TLS) Prüfung und Freigabe der Ablehnung des Sperrantrags eines EMT Zertifikats Dus der Tripels Prüfung und Freigabe der Ablehnung des Sperrantrags eines SMGW Admin Zertifikats Tripels Sperrung eines SMGW Zertifikats Tripels Seite 27 vn 31

28 Weiterhin ist für Master-RA und Sub-RA der Abruf vn Statistiken möglich, die die flgenden Daten enthalten: Anzahl Zertifikate (gesamt) (Prduktinszahlen gesamt) Anzahl Zertifikate im Status gültig Anzahl Zertifikate im Status gesperrt Anzahl Zertifikate im Status suspendiert Anzahl prduzierter Zertifikate in einem Zeitraum Sub-RA Operatren erhalten dabei nur Infrmatinen über ihren Mandanten-spezifischen Bereich (Subdmäne), Master-RA Operatren erhalten Infrmatinen aus allen Subdmänen, auch in kumulierter Frm. 3.9 Service Level Die Service Level werden in einem Service Level Agreement (SLA) beschrieben. Das Trust Center Rahmen-SLA beschreibt die grundlegenden Inhalte. Das Kundenspezifische SLA im Fall der Dedicated Energy Sub-CA kann vertraglich vereinbarte Abweichungen vm Trust Center Rahmen-SLA beinhalten. Seite 28 vn 31

29 4 Zusätzliche Leistungen 4.1 Shared Energy Test Sub-CA Als weiteres Prdukt bietet die T-Systems eine Standard Lösung zum Test der Endnutzer-Zertifikate, Schnittstellen und Prtklle der SM-PKI an. Abbildung 9: Struktur des Shared Energy Test PKI Service Die Wurzelinstanz der Test-PKI ist vrläufig eine T-Systems eigene Energy Test Rt-CA, die knfrm zu den Vrgaben der TR an eine Rt-CA realisiert wird. In der Hierarchie befindet sich darunter eine TR knfrme Shared Energy Test Sub-CA, die Testzertifikate an Endnutzer ausgibt. Es ist zu erwarten, dass das BSI in der Zukunft parallel zur SM-Rt-CA auch eine BSI eigene zentrale Smart Metering Test Rt-CA betreiben lassen wird. Sbald diese verfügbar sein wird, wird die Shared Energy Test Sub- CA unter die BSI Test Wurzelinstanz wechseln Service Charakteristik Eine Shared Energy Test Sub-CA zeichnet sich durch flgende Eigenschaften aus: SM Test-PKI : vllständig knfrm zu Schnittstellen, Prtkllen und Frmaten der TR im Subject DN der Zertifikate sind die Zertifikate als Testzertifikate ausgewiesen Test PKI ermöglicht: Test der Prtklle und Datenfrmate bei Zertifikatsmanagement und Zertifikatsvalidierung Anwendungs- und Integratinstests mit Zertifikaten Gemeinsame Nutzung der Test Sub-CA durch mehrere Unternehmen (=Mandanten): Hersteller vn Smart Metering Gateways Integratren vn Smart Metering Gateways Hersteller vn Gateway Administratinskmpnenten Seite 29 vn 31

30 Hersteller vn EMT Kmmunikatinskmpnenten Prüfstellen, die mit Zertifizierungen und Knfrmitätstests vn Prdukten befasst sind Inklusive Verzeichnisdienst und Sperrlisten alle Mandanten haben: eigenständige und vn anderen Mandanten separierte Verwaltung der eigenen Testzertifikate vereinfachte Registrierungs- /Sperr- / Administratinsprzesse Geschäftsfälle Für einen Mandanten auf der Shared Energy Test Sub-CA existieren die gleichen Geschäftsfälle wie für die Shared Energy Sub-CA, wbei sich alle Geschäftsfälle auf Test-Zertifikate beziehen. 4.2 Shared HAN Sub-CA Ergänzend zu den SM-Sub-CA Services bietet die T-Systems unter der eigenen T-Systems Rt einen Shared HAN Sub-CA Service an, vn dem Zertifikate für den Anwendungsbereich des HAN (Hme Area Netwrk) und ebenfalls die bereits erläuterten KOM-Zertifikate ausgestellt werden. Die Shared HAN Sub-CA ist ein Standardprdukt der T-Systems und existiert genau in einer Instanz. Sie arbeitet in einer T-Systems PKI Hierarchie mit der T-Systems HAN Rt als Wurzelinstanz. Sie kann firmenübergreifend vn mehreren Mandanten genutzt werden, um Endnutzerzertifikate für den Anwendungsbereich des HAN (Hme Area Netwrk) zu beziehen. Die Endnutzer im HAN sind Letztverbraucher, Servicetechniker, CLS (Cntrlable Lcal System) Kmpnenten und Smart Metering Gateways. Die Shared HAN Sub-CA gibt ebenfalls die bereits im Kntext der Smart Metering Sub-CA Services erläuterten KOM-Zertifikate zur Sicherung der Kmmunikatin mit der Sub-CA aus. Abbildung 10: Struktur der Shared HAN Sub-CA Seite 30 vn 31