Trustcenter der Deutschen Rentenversicherung

Transkript

1 Trustcenter der Deutschen Rentenversicherung Certificate Policy und Certification Practice Statement für nicht-qualifizierte Serverzertifikate der Wurzelzertifizierungsstelle der Deutschen Rentenversicherung und der Zertifizierungsstelle der Deutschen Rentenversicherung Bund Version 2.0 Stand von 10

2 Inhaltsübersicht 1 Einleitung Überblick Zielsetzung dieses Dokumentes Dokumentidentifikation Teilnehmer und Instanzen des Trustcenters Registrierungsinstanzen Zertifikatswerber Zertifikatsinhaber Anwendung von Zertifikaten Vorgesehene Anwendung von Zertifikaten Nicht vorgesehene Zertifikatsverwendung Verwaltung dieses Dokumentes Organisation für die Verwaltung dieses Dokuments Kontaktperson Verantwortlicher für die Anerkennung anderer CPS Genehmigungsverfahren für die Anerkennung anderer CPS Abkürzungen Prozesse zur Erstellung von nicht-qualifizierten Serverzertifikaten Beantragung Erstellung eines Serverzertifikats Auslieferung eines Serverzertifikats Sperrung nicht-qualifizierter Serverzertifikate Erneuerung nicht-qualifizierter Serverzertifikate Archivierung Bekanntmachung und Verzeichnisdienst Verzeichnisdienst Veröffentlichung von Informationen der PKI-Instanzen Häufigkeit und Zyklen für Veröffentlichungen Weitere geschäftliche und rechtliche Regelungen Abschluss einer Verwaltungsvereinbarung Gültigkeit dieses Dokumentes Gültigkeitszeitraum Vorzeitiger Ablauf der Gültigkeit Änderungen / Ergänzungen dieses Dokumentes Verfahren für die Änderung / Ergänzung dieses Dokumentes Benachrichtigungsverfahren und Veröffentlichungsperioden Änderungsbedingungen Schriftlichkeitsgebot von 10

3 1 Einleitung 1.1 Überblick Die Träger der Deutschen Rentenversicherung betreiben ein gemeinschaftliches Trustcenter zur Bereitstellung von Zertifizierungsdiensten nach dem deutschen Signaturgesetz (SigG). Die Deutsche Rentenversicherung Bund betreibt die Wurzelzertifizierungsstelle der Deutschen Rentenversicherung und darunter die Zertifizierungsstelle der Deutschen Rentenversicherung Bund, die beide bei der Bundesnetzagentur nach dem SigG angezeigt sind. Die Wurzelzertifizierungsstelle der Deutschen Rentenversicherung gibt Schlüssel und Zertifikate für die Zertifizierungsstellen der Deutschen Rentenversicherung aus. Die Zertifizierungsstelle der Deutschen Rentenversicherung Bund gibt für die Mitarbeiter der Deutschen Rentenversicherung Bund Mitarbeiterchipkarten, die qualifizierte und nichtqualifizierte Zertifikate enthalten, aus. Darüber hinaus geben sowohl die Wurzelzertifizierungsstelle der Deutschen Rentenversicherung als auch die Zertifizierungsstelle der Deutschen Rentenversicherung Bund nicht-qualifizierte Serverzertifikate für eigene Zwecke der Rentenversicherung aus. Serverzertifikate werden eingesetzt zum Beispiel für Remote Access, Webserver oder die Virtuelle Poststelle und dienen dazu, bei der automatisierten elektronischen Kommunikation die Identität eines Servers nachzuweisen. Beim Prozess der Erstellung eines Serverzertifikats wird unterschieden zwischen der Erstellung eines Zertifikats verbunden mit der vorhergehenden Generierung eines RSA-Schlüsselpaars und der Erstellung eines Zertifikats zu einem anderweitig erzeugten Schlüsselpaar nach Vorlage eines PKCS#10- Requestes (PKCS#10-Response). Serverzertifikate und die zugehörigen Schlüssel werden nicht auf Chipkarten gespeichert, sondern in einem Software-Container (Software-PSE) vorgehalten. Das Zertifikatsprofil ist abhängig von der Anwendung, enthält aber immer ein Pseudonym und keine personenbezogenen Daten. Die Gültigkeitsdauer des Zertifikats wird individuell festgelegt, beträgt jedoch max. 3 Jahre. Das vorliegende Dokument enthält die Zertifizierungsrichtlinie (Certificate Policy) und das Certification Practice Statement (CPS) für die von der Wurzelzertifizierungsstelle der Deutschen Rentenversicherung und der Zertifizierungsstelle der Deutschen Rentenversicherung Bund herausgegebenen nicht-qualifizierten Serverzertifikate, soweit sie von folgenden Dokumenten abweichen: Certificate Policy und Certification Practice Statement der Wurzelzertifizierungsstelle der Deutschen Rentenversicherung (ASN.1 Object Identifier (OID) und ) Certificate Policy für die nicht-qualifizierten Zertifikate der Deutschen Rentenversicherung Bund (ASN.1 Object Identifier (OID) ) Certification Practice Statement der Zertifizierungsstelle der Deutschen Rentenversicherung Bund (ASN.1 Object Identifier (OID) ) Diese Dokumente gelten auch für die von der Wurzelzertifizierungsstelle der Deutschen Rentenversicherung und der Zertifizierungsstelle der Deutschen Rentenversicherung Bund herausgegebenen Zertifikate, soweit im Folgenden nicht etwas anderes bestimmt wird. 1.2 Zielsetzung dieses Dokumentes Dieses Dokument ist Certificate Policy und Certification Practice Statement gleichzeitig. Der Begriff Certificate Policy steht für die Gesamtheit der Regeln und Vorgaben, welche die Anwendbarkeit eines Zertifikatstyps festlegen. Die Zielsetzung einer Certificate Policy ist im 3 von 10

4 RFC 3647, Certificate Policy and Certification Practices Framework, ausführlich dargestellt. Insbesondere sollte eine Certificate Policy darlegen, welche technischen und organisatorischen Anforderungen die bei der Ausstellung der Zertifikate eingesetzten Systeme und Prozesse erfüllen, welche Vorgaben für die Anwendung der Zertifikate sowie im Umgang mit den zugehörigen Schlüsseln und Signaturerstellungseinheiten gelten, welche Bedeutung den Zertifikaten und ihrer Anwendung zukommt, das heißt welche Sicherheit, Beweiskraft, oder rechtliche Relevanz die mit ihnen erzeugten Kryptogramme bzw. Signaturen besitzen. Nach RFC 3647 legt das Certification Practice Statement (CPS) die Praktiken dar, die ein Trustcenter bei der Ausgabe der Zertifikate anwendet. Dem entsprechend beschreibt dieses Dokument das Vorgehen der Wurzelzertifizierungsstelle der Deutschen Rentenversicherung und der Zertifizierungsstelle der Deutschen Rentenversicherung Bund bei der Beantragung, Generierung, Auslieferung und Verwaltung von nicht-qualifizierten Serverzertifikaten. Das CPS dient der Information des Anwenderkreises der Zertifikate und der Dokumentation von Vorgangsweisen. Das Dokument enthält keine Bestimmungen, welche Rechte oder Pflichten von Personen begründen, ändern oder aufheben würden. 1.3 Dokumentidentifikation Genaue Bezeichnung des Dokuments: Certificate Policy und Certification Practice Statement für nicht-qualifizierte Serverzertifikate der Wurzelzertifizierungsstelle der Deutschen Rentenversicherung und der Zertifizierungsstelle der Deutschen Rentenversicherung Bund Version 2.0 Die ASN.1 Object Identifier (OID) für dieses Dokument ist: Teilnehmer und Instanzen des Trustcenters Registrierungsinstanzen Die Registrierung erfolgt durch die Wurzelzertifizierungsstelle der Deutschen Rentenversicherung für die nicht-qualifizierten Serverzertifikate, deren Herausgeber die Wurzelzertifizierungsstelle sein soll, und durch die Zertifizierungsstelle der Deutschen Rentenversicherung Bund für die nicht-qualifizierten Serverzertifikate, deren Herausgeber diese Zertifizierungsstelle sein soll Zertifikatswerber Erwerber von nicht-qualifizierten Serverzertifikaten sind die Deutsche Rentenversicherung Bund und andere RV-Träger, soweit mit Ihnen eine entsprechende Verwaltungsvereinbarung abgeschlossen worden ist. Nicht-qualifizierte Serverzertifikate werden auf Antrag ausgestellt. Anträge auf nicht-qualifizierte Serverzertifikate für die Verwendung bei der Deutschen Rentenversicherung Bund können von den Abteilungsleitern der Deutschen Rentenversicherung Bund schriftlich beim Leiter des Trustcenters der Deutschen Rentenversicherung gestellt werden. 4 von 10

5 Anträge auf nicht-qualifizierte Serverzertifikate für die Verwendung bei anderen RV-Trägern können von den in der jeweiligen Verwaltungsvereinbarung genannten Stellen gestellt werden Zertifikatsinhaber Zertifikatsinhaber für die nicht-qualifizierten Serverzertifikate sind die in den Anträgen bestimmten Personen. 1.5 Anwendung von Zertifikaten Vorgesehene Anwendung von Zertifikaten Die nicht-qualifizierten Serverzertifikate dienen den im Antrag genannten Zwecken und enthalten eine entsprechende Nutzungsbeschränkung Nicht vorgesehene Zertifikatsverwendung Die Verwendung der Zertifikate für andere als die in diesem Dokument genannten Zwecke ist nicht vorgesehen. 1.6 Verwaltung dieses Dokumentes Organisation für die Verwaltung dieses Dokuments Für die Verwaltung dieses Dokumentes ist die Deutsche Rentenversicherung Bund zuständig Kontaktperson Folgender Ansprechweg hinsichtlich dieses Dokumentes besteht: Deutsche Rentenversicherung Bund Abteilung Organisation und IT-Services Trustcenter der Deutschen Rentenversicherung Berlin Verantwortlicher für die Anerkennung anderer CPS Die Anerkennung anderer CPS ist nicht vorgesehen Genehmigungsverfahren für die Anerkennung anderer CPS Die Anerkennung anderer CPS ist nicht vorgesehen. 5 von 10

6 1.7 Abkürzungen ASN Abstract Syntax Notation BDSG Bundesdatenschutzgesetz C Country CA Certification Authority CC Common Criteria CP Certificate Policy CPS Certification Practice Statement CRL Certificate Revocation List CSP Cryptographic Service Provider Delta-CRL Aktualisierte Daten einer CRL DN Distinguished Name HSM Hardware Security Module HTTP Hypertext Transfer Protocol ID Identificator IETF Internet Engineering Task Force IT Informationstechnik LDAP Lightwight Directory Access Protocol MA Mitarbeiter O Organization OCF Open Card Framework OCSP Online Certificate Status Protocol OID Object Identifier OU Organizational Unit PIN Personal Identification Number PKCS Public-Key-Cryptosystem RFC Request for Comments - Internet Standards der IETF RSA Kryptoalgorithmus von Rivest, Shamir und Adleman RV Rentenversicherung SGB Sozialgesetzbuch SHA Secure-Hash-Standard (FIPS 180-1) SigG Deutsches Signaturgesetz SigV Deutsche Signaturverordnung URL Unified Ressource Locator X.509 ITU-Standard für Zertifikate und Sperrlisten ZDA Zertifizierungsdiensteanbieter 6 von 10

7 2 Prozesse zur Erstellung von nicht-qualifizierten Serverzertifikaten 2.1 Beantragung Serverzertifikate können von den Abteilungsleitern der Deutschen Rentenversicherung Bund und von den in den jeweiligen Verwaltungsvereinbarungen mit den RV-Trägern benannten Stellen schriftlich beim Leiter des Trustcenters der Deutschen Rentenversicherung beantragt werden. Der Antrag muss die ausstellende CA und den Zertifikatsinhaber benennen, das Pseudonym enthalten, auf das das Zertifikat ausgestellt werden soll, den Hostnamen, auf dem das Zertifikat zum Einsatz kommen soll den Einsatzzweck benennen und bei TSP-SSL-Client-Zertifikaten die Angabe, ob Abfragen über das interne Netz der Deutschen Rentenversicherung oder über das Internet erfolgen Weiterhin muss vom Antragsteller eine Stelle benannt werden, an welche die Zertifikate übermittelt werden können. Der Leiter des Trustcenters der Deutschen Rentenversicherung prüft, ob der Antrag von einer berechtigten Stelle unterschrieben ist und übergibt den Antrag, gegebenenfalls mit einer Nutzungsbeschränkung, zur Ausführung an den Leiter Systemverwaltung. Sofern ein PKCS#10-Request für ein existierendes Schlüsselpaar zum Einsatz kommt, wird der öffentliche Schlüssel per Mail über das interne Netz der Deutschen Rentenversicherung mit Bezugnahme auf den schriftlichen Antrag an den Leiter des Trustcenters der Deutschen Rentenversicherung übermittelt. 2.2 Erstellung eines Serverzertifikats Serverzertifikate werden von einem Systemverwalter unter Aufsicht des Leiters Systemverwaltung ausgestellt. Das gleiche gilt für die Generierung der Schlüsselpaare und der PIN s. Wurde ein Schlüsselpaar generiert, so wird zum Schutz der Soft-PSE eine PIN generiert. Die PIN wird dem Systemverwalter am Bildschirm angezeigt und dazu eine Bildschirm-Hardcopy ausgedruckt. Nach der Übertragung des Schlüsselpaares auf den dem Zertifikatsinhaber auszuhändigende Datenträger wird der private Schlüssel auf den Systemen der Zertifizierungsstelle gelöscht. Die PIN wurde nicht auf den Systemen der Zertifizierungsstelle gespeichert. Die Erstellung eines Serverzertifikats und die Löschung des privaten Schlüssels auf den Systemen der Zertifizierungsstelle wird auf dem schriftlichen Antrag vermerkt (mindestens Datum, durchführender Systemverwalter, CN des Zertifikats, Bestätigung des Leiters Systemverwaltung). Der Antrag wird daraufhin im Archiv der Wurzelzertifizierungsstelle / des ZDA Deutsche Rentenversicherung Bund in einem gesonderten Ordner aufbewahrt. Serverzertifikate werden grundsätzlich nicht in den Verzeichnisdiensten veröffentlicht. Sofern im Einzelfall wegen des Einsatzzweckes des Serverzertifikates eine Veröffentlichung notwendig ist, ist dies im Antrag anzugeben. 7 von 10

8 2.3 Auslieferung eines Serverzertifikats Zertifikate, die zu einem PKCS#10-Request erzeugt werden, werden vom Systemverwalter über das interne Netz der Deutschen Rentenversicherung per Mail an die im Antrag benannte Stelle zurück übermittelt. Der PKCS#10-Request wird in der Datenbank des Zertifikatsmanagementsystems vorgehalten und wird damit Bestandteil der elektronischen Dokumentation. Wenn das Schlüsselpaar hingegen erst im Trustcenter erzeugt wurde, so wird der erzeugte PKCS#12-Container vom Systemverwalter auf einem Datenträger gespeichert. Der Datenträger wird innerhalb der Deutschen Rentenversicherung Bund per Hauspost, ansonsten auf dem in der jeweiligen Verwaltungsvereinbarung genannten Weg an die im Antrag benannte Stelle übermittelt. In einem separaten Umschlag wird der Bildschirmausdruck mit der zugehörigen PIN auf dem gleichen Weg an die im Antrag benannte Stelle übermittelt. 2.4 Sperrung nicht-qualifizierter Serverzertifikate Serverzertifikate werden in der Regel nicht veröffentlicht. Die Sperrung wird vom Abteilungsleiter der beantragenden Stelle der Deutschen Rentenversicherung Bund bzw. von den in den jeweiligen Verwaltungsvereinbarungen mit den RV-Trägern benannten Stellen schriftlich beim Leiter des Trustcenters der Deutschen Rentenversicherung beantragt. Als Prüfung der Sperrberechtigung erfolgt lediglich eine einfache Plausibilitätsprüfung (Absender). Der Leiter des Trustcenters der Deutschen Rentenversicherung beauftragt einen MA Sperrung mit der Durchführung der Sperrung. Dieser nutzt dazu den Sperrclient und verfährt analog zur Sperrung eines Mitarbeiterzertifikats ohne Sperrpasswort. Sperrungen von Serverzertifikaten werden in einem Sperrprotokoll dokumentiert. Unveröffentlichte Zertifikate erscheinen nach ihrer Sperrung in der Sperrliste. 2.5 Erneuerung nicht-qualifizierter Serverzertifikate Nicht-qualifizierte Serverzertifikate werden erneuert, ein Herunterladen ist jedoch nicht vorgesehen und mit der vorhandenen Software (Mitarbeiter-Tool) nicht möglich. Nach Ablauf des Gültigkeitszeitraums eines Serverzertifikats sind alle erneuerten Zertifikate zum gleichen Pseudonym zu sperren, um einen Missbrauch und eine fortwährende Erneuerung zu verhindern. 2.6 Archivierung Die Unterlagen zu Serverzertifikaten, die von der Wurzelzertifizierungsstelle der Deutschen Rentenversicherung bzw. der Zertifizierungsstelle der Deutschen Rentenversicherung Bund ausgestellt wurden, werden im Archiv dieser Zertifizierungsstellen aufbewahrt. 8 von 10

9 3 Bekanntmachung und Verzeichnisdienst 3.1 Verzeichnisdienst Serverzertifikate werden grundsätzlich nicht in den Verzeichnissen veröffentlicht. Sofern im Einzelfall Serverzertifikate veröffentlicht werden, gelten die Regelungen der im Kapitel 1.1 genannten Dokumente. 3.2 Veröffentlichung von Informationen der PKI-Instanzen Das vorliegende Dokument wird auf der Web-Seite der Deutschen Rentenversicherung Bund veröffentlicht Häufigkeit und Zyklen für Veröffentlichungen Die Veröffentlichung der vorliegenden CPS und der CP erfolgt jeweils unmittelbar nach Erstellung bzw. Aktualisierung des Dokumentes. 9 von 10

10 4 Weitere geschäftliche und rechtliche Regelungen 4.1 Abschluss einer Verwaltungsvereinbarung Die Deutsche Rentenversicherung Bund schließt mit den RV-Trägern, die nicht-qualifizierte Serverzertifikate nutzen wollen, eine Verwaltungsvereinbarung ab, die die Beantragung, Auslieferung und Sperrung von nicht-qualifizierten Serverzertifikaten regelt. 4.2 Gültigkeit dieses Dokumentes Gültigkeitszeitraum Dieses Dokument ist vom Tage seiner Veröffentlichung an gültig. Seine Gültigkeit endet nur mit der Einstellung der Zertifizierungsdienste Vorzeitiger Ablauf der Gültigkeit Die Gültigkeit dieses Dokumentes endet vorzeitig mit der Veröffentlichung einer neuen Version. 4.3 Änderungen / Ergänzungen dieses Dokumentes Verfahren für die Änderung / Ergänzung dieses Dokumentes Die Deutsche Rentenversicherung Bund behält sich die Änderung dieses Dokuments vor. Diese kann insbesondere durch eine Weiterentwicklung der technischen oder rechtlichen Gegebenheiten erforderlich sein Benachrichtigungsverfahren und Veröffentlichungsperioden Sollten die Änderungen sicherheitsrelevante Aspekte oder die Verfahren hinsichtlich der Zertifikatsinhaber betreffen, wie beispielsweise Änderungen des Registrierungsablaufs, des Verzeichnis- und Sperrdiensts, der Kontaktinformationen oder der Haftung, wird der Zertifizierungsdiensteanbieter die Zertifikatsinhaber per Mail benachrichtigen. Hinsichtlich übriger Änderungen, insbesondere der Verbesserung geringfügiger redaktioneller Versehen oder der Beifügung von Erläuterungen, kann eine Benachrichtigung der Zertifikatsinhaber unterbleiben Änderungsbedingungen Bei Ergänzungen oder Modifikationen der CPS entscheidet die Zertifizierungsstelle, ob sich daraus signifikante Änderungen der Sicherheit der Zertifizierungsdienste, des Vertrauens, welches den Zertifikaten entgegengebracht werden kann, der Rechte und Pflichten der Teilnehmer oder der Anwendbarkeit der Zertifikate ergeben. Falls dies der Fall ist, wird die Versionsnummer auf die nächste volle Nummer erhöht Schriftlichkeitsgebot Die jeweils aktuelle Schriftversion dieses Textes ersetzt sämtliche vorhergehende Versionen. Mündliche Kundmachungen erfolgen nicht. 10 von 10