Erklärung zum Zertifizierungsbetrieb der HU-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Größe: px

Ab Seite anzeigen:

Download "Erklärung zum Zertifizierungsbetrieb der HU-CA in der DFN-PKI. - Sicherheitsniveau: Global -"

Jobst Fuchs
vor 6 Jahren
Abrufe

1 Erklärung zum Zertifizierungsbetrieb der HU-CA in der DFN-PKI - Sicherheitsniveau: Global - Humboldt-Universität zu Berlin CPS der HU-CA Version 2.2 August 2008

2 CPS der HU- CA Seite 2/6 V 2.2

3 1 Einleitung Die HU-CA ist eine Zertifizierungsstelle des DFN-Anwenders Humboldt-Universität zu Berlin innerhalb der DFN-PKI. In der DFN-PKI wird eine Zertifizierungshierarchie verwendet, bei der das Zertifikat der HU-CA von der DFN-PCA ausgestellt wird. Für den Betrieb der HU-CA gelten die folgenden Dokumente: CP der DFN-PKI: "Zertifizierungsrichtlinie der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID CPS der DFN-PCA: "Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID Die vom CPS der DFN-PCA abweichenden Regelungen für die HU-CA sind in Kapitel 3 dieses Dokuments beschrieben. Die HU-CA stellt ausschließlich Zertifikate im Sicherheitsniveau "Global" aus. 2 Identifikation des Dokuments Titel: "Erklärung zum Zertifizierungsbetrieb der HU-CA in der DFN-PKI" Version: 2.2 Object Identifier (OID): Zusammensetzung der OID: IANA: Humboldt-Universitaet zu Berlin: PKI: 300 HU-CA: 1 HU-CA Richtlinie: 1 Version 2.2: 4 3 Abweichungen vom CPS der DFN-PCA Nachfolgend sind die Abschnitte des CPS der DFN-PCA aufgeführt, in denen für die HU-CA abweichende Regelungen getroffen werden. Zu CPS der DFN-PCA: "1.3.1 Zertifizierungsstellen" Die Anschrift der HU-CA lautet: Humboldt-Universität zu Berlin Telefon: ZE Computer- und Medienservice HU-CA Telefax: Unter den Linden 6 pki@hu-berlin.de Berlin WWW: Zu CPS der DFN-PCA: "1.3.2 Registrierungsstellen" Die Registrierungsstellen für die zuvor genannten Zertifizierungsstellen befinden sich in den Räumen der HU-CA, wie unter Darüber hinaus sind Registrierungsstellen in den Bereichen der PC-Säle des CMS verfügbar. WWW: Zu CPS der DFN-PCA: "1.5.1 Organisation" Die Verwaltung dieses CPS erfolgt durch die in Abschnitt genannte Einrichtung. CPS der HU- CA Seite 3/6 V 2.2

4 Der Betrieb der HU-CA erfolgt durch: DFN-Verein Telefon: Telefax: Alexanderplatz 1 pki@dfn.de D Berlin WWW: Zu CPS der DFN-PCA: "1.5.2 Kontaktperson" Die verantwortliche Person für das CPS der HU-CA ist: Humboldt-Universität zu Berlin ZE Computer- und Medienservice HU-CA Steffen Platzer Telefon: Rudower Chaussee 26 Raum Telefax: Berlin steffen.platzer@cms.hu-berlin.de Zu CPS der DFN-PCA: "2.2 Veröffentlichung von Informationen" Alle gemäß CP, Abschnitt 2.2, erforderlichen Informationen werden bereitgestellt unter: Zu CPS der DFN-PCA: "3.1.1 Namensform" Die DNs aller Zertifikatnehmer unterhalb der HU-CA enthalten die Attribute "C=DE" und "O=Humboldt-Universitaet zu Berlin". Das Attribut "OU=<Organisationseinheit>" muss mindestens einmal angegeben werden. Wenn eine Adresse angegeben wird, so kann diese über das Attribut " address" in den Namen aufgenommen werden. Die Adresse sollte allerdings bevorzugt in der Zertifikaterweiterung "subjectalternativename" aufgenommen werden. Damit entspricht der Name jedes Zertifikatnehmers dem folgenden Schema: C=DE [ ST=Berlin L=Berlin ] O=Humboldt-Universitaet zu Berlin OU=<Organisationseinheit> CN=<Eindeutiger Name> [ address=< Adresse> ] Zu CPS der DFN-PCA: "4.1.1 Wer kann ein Zertifikat beantragen" Die HU-CA bietet ihre Dienstleistungen allen Angehörigen und Mitarbeitern der Humboldt- Universität zu Berlin an. Zu CPS der DFN-PCA: "4.1.2 Registrierungsprozess" Zusätzlich zu den bereits beschriebenen Prozessen gibt es bei der Beantragung der HU-CA Smartcard mit persönlichem Zertifikat folgendes Verfahren. Voraussetzungen: CPS der HU- CA Seite 4/6 V 2.2

5 Beantragen können die HU-CA Smartcard mit persönlichem Zertifikat Angehörige der HU- Berlin (MA oder Studierende) unter Verwendung ihres HU-Accountes und ihrer HU-E- Mailadresse. Dabei wurden diese bereits durch die Personal- oder Studienabteilung identifiziert. Des Weiteren müssen bei der Beantragung die Zertifizierungsrichtlinien anerkannt werden. Verfahrensablauf: 1. persönliche Beantragung der HU-CA Smartcard über ein Webformular; authentifizierung mittels HU-Account; Angabe gültiger HU- adresse; Anerkennung der Policy 2. Produktion der HU-CA Smartcard - Erzeugen von PIN-geschütztem Schlüssel und CSR auf Offlinesystem - Export des CSR nach Online und Übermittlung an die DFN-Zertifizierungsinstanz - Empfang des Zertifikates und Import in das Offlinesystem - herstellen der personalisierten HU-CA Smartcard im Kartenproduktionssystem (Offline), drucken eines persönlichen PIN-Briefes mit PIN und PUK pro HU-CA Smartcard und der PIN zum geschütztem Schlüssel, löschen der PIN s im Kartenproduktionssystem 3. persönliche Übergabe der HU-CA Smartcard und des PIN-Briefes an den Antragsteller und nochmalige persönliche Identifizierung mittels eines gültigen Personalausweises oder Reisepasses Aufbewahrung der PIN-Briefe Die PIN-Briefe werden unter ständigem Verschluss gehalten. Dies geschieht in dafür vorgesehenen Stahlblechboxen in den RA s (Ausgabestellen). Zugriff darauf haben nur die RA- Mitarbeiter. PIN und PUK sind nicht einsehbar. Zu CPS der DFN-PCA: " Richtlinien u. Praktiken zur Schlüsselhinterlegung und wiederherstellung" Die HU-CA bietet eine Schlüsselhinterlegung von privaten Schlüsseln an, wenn die privaten Schlüssel bei ihr erzeugt wurden. Dabei verbleibt nur das mit einer PIN verschlüsselte Schlüsselmaterial auf dem Offlinesystem auf dem es erzeugt wurde. Das Offlinesystem befindet sich bei Nichtbenutzung in einem verschlossenen Datensafe. Die zur Verschlüsselung verwendete PIN wird an den Schlüsselinhaber ausgehändigt und befindet sich in seinem alleinigen Besitz. Dadurch ist sicher gestellt, dass eine Wiederherstellung des privaten Schlüssels nur unter aktiver Mitwirkung des Schlüsselinhabers möglich ist. Die Wiederherstellung erfolgt nur auf Antrag des Schlüsselinhabers und nur auf durch PIN geschützten Krypto-Geräten. Zu CPS der DFN-PCA: "5 Infrastrukturelle, organisatorische und personelle Sicherheitsmaßnahmen" und "6 Technische Sicherheitsmaßnahmen" Die HU-CA wird durch den DFN-Verein im Auftrag des DFN-Anwenders Humboldt-Universität zu Berlin bei der DFN-PCA betrieben. Daher sind für die HU-CA dieselben infrastrukturellen, organisatorischen, personellen und technischen Sicherheitsmaßnahmen umgesetzt, wie für die DFN-PCA (siehe CPS der DFN-PCA). Zu CPS der DFN-PCA: "6.1.1 Schlüsselerzeugung bei der HU-CA" Die Schlüsselerzeugung bei der HU-CA erfolgt immer auf einem Offlinesystem. Die Schlüssel für Benutzerzertifikate werden in Software generiert, auf ein durch PIN geschütztes Krypto- Gerät geschrieben und als verschlüsseltes Backup im Offlinesystem abgelegt. Die PIN zum verschlüsselten Backup bekommt nur der Schlüsselinhaber. CPS der HU- CA Seite 5/6 V 2.2

6 Das Offlinesystem ist durch Passwort geschützt. Wenn das System nicht im Betrieb ist wird es in einem verschlossenem Datensafe aufbewahrt. Zugriff auf das Offlinesystem und den Datensafe haben nur die Mitarbeiter der Registrierungsstellen, die mit der Produktion der Krypto-Geräte betraut sind. Das Offlinesystem wird in einem speziell zutrittsgesichertem Bereich betrieben. Ein unbeaufsichtigter Betrieb des Offlinesystemes ist nicht erlaubt. Zu CPS der DFN-PCA: "6.1.2 Übermittlung des privaten Schlüssels an den Zertifikatnehmer" Die Übermittlung von privaten Schlüsseln an den Zertifikatnehmer erfolgt auf Krypto- Geräten, die mit einer PIN gesichert sind. Die Übermittlung der PIN/PUK, des Sperrpasswortes und der PIN für das verschlüsselte Schlüsselmaterial erfolgt durch persönliche Übergabe eines PIN-Briefes an den Zertifikatnehmer. Der Empfang des Gerätes sowie des PIN-Briefes ist vom Zertifikatnehmer zu bestätigen. Bei der HU-CA verbleiben keine PIN s. Krypto-Geräte und PIN-Briefe werden getrennt von einander in die Ausgabestellen transportiert. Zu CPS der DFN-PCA: "6.2.4 Backup der privaten Schlüssel" Ein Backup von privaten Schlüsseln erfolgt nur, wenn die Schlüssel bei der HU-CA erzeugt wurden. Dabei wird das Schlüsselmaterial mit einer 128 bit langen PIN geschützt. Diese PIN wird dem Schlüsselinhaber ausgehändigt und ist dann nur noch in seinem Besitz. Eine Kopie der PIN oder unverschlüsseltes Schlüsselmaterial existieren nicht. Zu CPS der DFN-PCA: "6.3.2 Gültigkeit von Zertifikaten und Schlüsselpaaren" Die durch die HU-CA ausgestellten Serverzertifikate haben standardmäßig eine Laufzeit von fünf Jahren, die Nutzerzertifikate von drei Jahren. CPS der HU- CA Seite 6/6 V 2.2

Ähnliche Dokumente

Erklärung zum Zertifizierungsbetrieb der TU Ilmenau CA in der DFN-PKI

Erklärung zum Zertifizierungsbetrieb der TU Ilmenau CA in der DFN-PKI - Sicherheitsniveau: Global - Technische Universität Ilmenau CPS der TU Ilmenau CA V1.2 16.07.2010 CPS der TU Ilmenau CA Seite 1/5