Certification Practice Statement der Bundesagentur für Arbeit , VERSION 3.1

Transkript

1 Certification Practice Statement der Bundesagentur für Arbeit , VERSION 3.1

2 Impressum Bundesagentur für Arbeit IT-Systemhaus Vertrauensdiensteanbieter Regensburger Straße Nürnberg 2

3 Inhaltsverzeichnis Inhaltsverzeichnis Einleitung Überblick Dokumentidentifikation Teilnehmer der Zertifizierungsinfrastruktur (PKI) Zertifizierungsstellen (CA) u. Zertifizierungshierarchie Registrierungsinstanzen Antragsteller Vertrauende Dritte (Relying Parties) Weitere Teilnehmer Anwendung von Zertifikaten Zulässige Anwendung von Zertifikaten Unzulässige Anwendung von Zertifikaten Policy-Verwaltung Organisation für die Verwaltung dieses Dokuments Kontaktperson Zuständigkeit für die Abnahme des CPS Abnahmeverfahren des CPS Definition und Abkürzungen Veröffentlichung und Verzeichnisdienst Verzeichnisdienste Veröffentlichung von Zertifikatsinformationen Häufigkeit und Zyklen für Veröffentlichungen Zugriffskontrolle auf Verzeichnisse Identifizierung und Authentisierung Namensgebung Namenstypen Anforderungen an die Bedeutung von Namen Anonymität und Pseudonyme für Zertifikatsinhaber Regeln zur Interpretation verschiedener Namensformen Eindeutigkeit von Namen Erkennung, Authentisierung und Rolle von geschützten Namen Erstmalige Identitätsprüfung Methode zum Besitznachweis des privaten Schlüssels Authentifizierung von Organisationen

4 3.2.3 Authentifizierung natürlicher Personen Nicht verifizierte Teilnehmerinformationen Überprüfung der Handlungsvollmacht Kriterien für Zusammenwirkung Identifizierung und Authentifizierung bei Schlüsselerneuerung Identifizierung und Authentifizierung bei Routine- Schlüsselerneuerung Identifizierung und Authentifizierung bei Schlüsselerneuerung nach Sperrung Identifizierung und Authentifizierung beim Sperrantrag Identifizierung und Authentifizierung beim Antrag auf Schlüsselwiederherstellung Anforderungen an den Lebenszyklus des Zertifikats Antragstellung für Zertifikate Wer kann ein Zertifikat beantragen Antragsprozess und Verantwortlichkeiten Antragsbearbeitung Durchführung der Identifikation und Authentifizierung Annahme bzw. Ablehnung des Antrags Fristen für die Antragsbearbeitung Zertifikatserstellung CA-Prozesse während der Zertifikatserstellung Benachrichtigung des Zertifikatsinhabers über die Zertifikatserstellung Zertifikatsannahme Verfahren der Zertifikatsannahme Veröffentlichung der Zertifikate durch den Zertifizierungsdienst Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Nutzung des Schlüsselpaares und des Zertifikats Nutzung durch den Zertifikatsinhaber Nutzung durch vertrauende Dritte Zertifikatserneuerung unter Beibehaltung des alten Schlüssels (Re-Zertifizierung) Gründe für eine Zertifikatserneuerung Wer kann eine Zertifikatserneuerung beantragen Ablauf der Zertifikatserneuerung Benachrichtigung des Zertifikatsinhabers nach Zertifikatserneuerung Annahme einer Zertifikatserneuerung

5 4.6.6 Veröffentlichung einer Zertifikatserneuerung durch den Zertifizierungsdienst Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Schlüssel- und Zertifikatserneuerung (Re-Key) Gründe für eine Schlüssel- und Zertifikatserneuerung Wer kann eine Schlüssel- und Zertifikatserneuerung beantragen Ablauf der Schlüssel- und Zertifikatserneuerung Benachrichtigung des Zertifikatsinhabers nach Schlüsselund Zertifikatserneuerung Annahme der Schlüssel- und Zertifikatserneuerung Veröffentlichung einer Zertifikatserneuerung durch den Zertifizierungsdienst Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Zertifikatsmodifizierung Gründe für eine Zertifikatsmodifizierung Wer kann eine Zertifikatsmodifizierung beantragen Ablauf der Zertifikatsmodifizierung Benachrichtigung des Zertifikatsinhabers nach der Zertifikatsmodifizierung Annahme der Zertifikatsmodifizierung Veröffentlichung einer Zertifikatsmodifizierung durch den Zertifizierungsdienst Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Sperrung und Suspendierungen von Zertifikaten Gründe für eine Sperrung Sperrberechtigte Verfahren zur Sperrung Fristen für die Beantragung einer Sperrung Bearbeitungszeit für Anträge auf Sperrung Prüfung des Zertifikatsstatus durch Dritte Periode für die Erstellung der Sperrlisten Maximale Latenz der Sperrlisten Verfügbarkeit von Online-Sperrinformationen Nutzung der Online-Sperrinformationen durch Dritte Andere verfügbare Formen der Bekanntmachung von Sperrinformationen Spezielle Anforderungen bei Kompromittierung privater Schlüssel

6 Gründe für die Suspendierung Wer kann eine Suspendierung beantragen Verfahren zur Suspendierung Maximale Sperrdauer bei Suspendierung Auskunftsdienste über den Zertifikatsstatus Betriebseigenschaften Verfügbarkeit Optionale Funktionen Austritt aus dem Zertifizierungsdienst Schlüsselhinterlegung und -wiederherstellung Richtlinien und Praktiken zur Schlüsselhinterlegung und -wiederherstellung Richtlinien und Praktiken zum Schutz und Wiederherstellung von Sitzungsschlüsseln Infrastrukturelle, organisatorische und personelle Sicherheitsmaßnahmen Infrastrukturelle Sicherheitsmaßnahmen Lage und Konstruktion des Standortes Zutrittskontrolle Stromversorgung und Klimakontrolle Schutz vor Wasserschäden Brandschutz Lagerung von Datenträgern Entsorgung von Datenträgern Ausgelagertes Backup Organisatorische Sicherheitsmaßnahmen Sicherheitskritische Rollen Anzahl benötigter Personen bei sicherheitskritischen Aufgaben Identifikation und Authentisierung von Rollen Trennung von Rollen und Aufgaben Personelle Sicherheitsmaßnahmen Anforderungen an die Fachkunde und Erfahrung Anforderungen an die Zuverlässigkeit Anforderungen an die Schulung Wiederholungen der Schulungen Häufigkeit und Abfolge von Rollenwechsel Sanktionen bei unzulässigen Handlungen Vertragsbedingungen mit dem Personal beauftragter Dritter

7 5.3.8 An das Personal ausgehändigte Dokumente Protokollierung sicherheitskritischer Ereignisse Protokollierte Ereignisse Auswertung von Protokolldaten Aufbewahrungsfristen für Protokolldaten Schutz der Protokolldaten Sicherungsverfahren für Protokolldaten Internes/externes Protokollierungssystem Benachrichtigung des Auslösers eines Ereignisses Schwachstellenbewertung Archivierung von Protokolldaten Arten von zu archivierenden Daten Archivierungsfristen Schutzvorkehrungen für das Archiv Sicherungsverfahren für das Archiv Anforderungen an den Zeitstempel der archivierten Daten Internes oder externes Archivierungssystem Verfahren zur Beschaffung und Verifizierung von Archivdaten Schlüsselwechsel der Zertifizierungsinstanzen Kompromittierung und Wiederherstellung (Disaster Recovery) Prozeduren bei Sicherheitsvorfällen Wiederherstellung nach Kompromittierung von Ressourcen Wiederherstellung nach Schlüsselkompromittierung Aufrechterhaltung des Betriebs im Notfall Einstellung der Zertifizierungsdienste Technische Sicherheitsmaßnahmen Erzeugung und Installation von Schlüsselpaaren Erzeugung von Schlüsselpaaren Übergabe privater Schlüssel an den Zertifikatsinhaber Übergabe öffentlicher Schlüssel an den Zertifizierungsdiensteanbieter Übergabe öffentlicher CA Schlüssel an dritte (Relying Parties) Schlüssellängen Erzeugung und Prüfung der Schlüsselparameter Verwendungszweck der Schlüssel

8 6.2 Schutz der privaten Schlüssel und der kryptographischen Module Standards für Schutzmechanismen und Bewertung der kryptographischen Module Aufteilung der Kontrolle privater Schlüssel auf mehrere Personen Treuhänderische Hinterlegung privater Schlüssel Sicherung und Wiederherstellung privater Schlüssel Archivierung privater Schlüssel Transfer privater Schlüssel Speicherung privater Schlüssel Methoden zur Aktivierung privater Schlüssel Methoden zur Deaktivierung privater Schlüssel Methoden zur Vernichtung privater Schlüssel Bewertung kryptographischer Module Weitere Aspekte des Schlüsselmanagements Archivierung öffentlicher Schlüssel Verwendungsdauern von Zertifikaten und Schlüsselpaaren Aktivierungsdaten Erzeugung und Installation von Aktivierungsdaten Schutzmaßnahmen für Aktivierungsdaten Weitere Aspekte zu Aktivierungsdaten Sicherheitsbestimmungen für Computer Spezifische Sicherheitsanforderungen für Computer Bewertung der Computersicherheit Technische Kontrollen des Software-Lebenszyklus Systementwicklungsmaßnahmen Sicherheitsmanagement Bewertung der Maßnahmen zur Kontrolle des Lebenszyklus Maßnahmen zur Netzwerksicherheit Zeitstempel Profile Zertifikatsprofile Versionsnummer(n) Zertifikatserweiterungen Algorithmenbezeichner (OID) Namensformen Nutzung von Erweiterungen zu Namensbeschränkungen 56 8

9 7.1.6 Bezeichner für Zertifizierungsrichtlinien (OID) Nutzung von Erweiterungen zur Richtlinienbeschränkungen (Policy-Constraints) Syntax und Semantik von Policy Qualifiern Verarbeitung von kritischen Erweiterungen für Zertifizierungsrichtlinien (Certificate Policies) Profil der Sperrlisten Versionsnummer(n) Erweiterungen der Sperrlisten OCSP-Profile Versionsnummer(n) OCSP-Erweiterungen Revisionen und andere Bewertungen Häufigkeiten von Revisionen Identität und Qualifikation des Auditors Beziehungen zwischen Auditor und zu untersuchender Partei Umfang der Prüfungen Maßnahmen bei Mängeln Veröffentlichung der Ergebnisse Weitere geschäftliche und rechtliche Regelungen Gebühren Gebühren für die Ausstellung oder Erneuerung von Zertifikaten Gebühren für den Abruf von Zertifikaten Gebühren für die Abfrage von Zertifikatsstatusinformationen Gebühren für andere Dienstleistungen Rückerstattungen Finanzielle Verantwortung Deckungsvorsorge Weitere Vermögenswerte Erweiterte Versicherung oder Garantie Vertraulichkeit betrieblicher Informationen Art der geheim zu haltenden Information Öffentliche Informationen Verantwortlichkeit für den Schutz von geheim zu haltenden Information Schutz personenbezogener Daten Geheimhaltung Vertraulich zu behandelnde Daten

10 9.4.3 Nicht vertraulich zu behandelnde Daten Verantwortlichkeit für den Schutz privater Informationen Einverständniserklärung zur Nutzung privater Informationen Weitergabe von Informationen an Ermittlungsinstanzen oder Behörden Sonstige Offenlegungsgründe Geistiges Eigentum und dessen Rechte Gewährleistung, Sorgfalts- und Mitwirkungspflichten Verpflichtung der Zertifizierungsstelle Verpflichtung der Registrierungsstelle Verpflichtung des Zertifikatsinhabers Verpflichtung vertrauender Dritte Verpflichtung weiterer Teilnehmer Haftungsausschluss Haftungsbegrenzungen Schadensersatz Gültigkeit des CPS Gültigkeitszeitraum Vorzeitiger Ablauf der Gültigkeit Konsequenzen der Aufhebung Individuelle Mitteilungen und Absprachen mit den Teilnehmern Änderungen der Richtlinie Verfahren für die Änderung Benachrichtigungsverfahren und Veröffentlichungsperioden Bedingungen für Änderungen der Objekt-Kennung (OID) Schiedsverfahren Geltende Gesetze Konformität mit anwendbarem Recht Sonstige Bestimmungen Vollständigkeitsklausel Abtretung der Rechte Salvatorische Klausel Vollstreckung (Anwaltskosten und Rechtsverzicht) Höhere Gewalt (Force Majeure) Andere Regelungen Organisatorisch Testmöglichkeiten

11 Menschen mit Behinderung Referenzen Definitionen und Abkürzungen Tabellenverzeichnis Tabelle 1 - Veröffentlichte Informationen Tabelle 2 - Zuordnung der Sperrberechtigungen zu den Sperrmöglichkeiten 34 Tabelle 3 - Zulässige Erweiterungen der OCSP-Anfragen Tabelle 4 - Erweiterungen der OCSP-Antworten

12 1 Einleitung 1.1 Überblick Im Rahmen seiner Zertifizierungstätigkeit erstellt und verwaltet der qualifizierte Vertrauensdiensteanbieter (VDA) der Bundesagentur für Arbeit (BA) qualifizierte Zertifikate. Der VDA führt zu diesem Zweck folgende Prozesse durch Registrierung natürlicher Personen Zertifikatserstellung Personalisierung, Ausgabe und Sperrung von Smartcards Veröffentlichung von Zertifikaten Sperrung von Zertifikaten einschließlich Bereitstellung des Sperrstatus Qualifizierte Wurzel-CA TSP-R Qualifizierte Signatur-CA OCSP-R Die qualifizierten Zertifikate sind in folgender Zertifizierungshierarchie angeordnet Signaturzertifikat Massensigna turzertifikat Die beiden oberen Ebenen zeigen qualifizierte Zertifikate, die im Betrieb des Trustcenters eingesetzt werden. Diese Zertifikate werden Dienstezertifikate genannt. Qualifizierte Zertifikate werden auch für Benutzer, z.b. Mitarbeiter der Bundesagentur für Arbeit, ausgestellt. Diese Zertifikate werden je nach Ausprägung Signaturzertifikate oder Massensignaturzertifikate genannt. Ein qualifiziertes Zertifikat wird zusammen mit dem zugehörigen Signaturschlüsselpaar auf einer Signaturkarte an den Zertifikatsinhaber ausgeliefert. Der Zertifikatsinhaber ist also gleichzeitig Signaturschlüsselinhaber. Bei dieser Signaturkarte handelt es sich um eine qualifizierte elektronische Signaturerstellungseinheit (QSCD) im Sinne der [eidas]. Signaturkarten werden in folgenden technischen Ausprägungen vom VDA erstellt und verwaltet o Dienstekarte. Sie enthält ein Dienstezertifikat und wird ausschließlich im Betrieb des Trustcenters verwendet. o Einzelsignaturkarte. Sie enthält ein Signaturzertifikat und wird abhängig vom Benutzerkreis als digitale Dienstkarte 12

13 o (ddk) oder Mandanten-Signaturkarte bezeichnet. Digitale Dienstkarten werden an Mitarbeiter der BA sowie an Mitarbeiter der gemeinsamen Einrichtung nach dem Sozialgesetzbuch II (SGB II) ausgegeben. Die Ausgabe an Mitarbeiter einer gemeinsamen Einrichtung impliziert einen vorausgehenden Einkauf der entsprechenden Dienstleistung durch die gemeinsame Einrichtung bei der BA. Mandanten-Signaturkarten werden an Mitarbeiter von Institutionen (Mandanten) ausgegeben, die Signaturkarten für ihre Mitarbeiter beantragen. Dies impliziert eine vorausgehende vertragliche Vereinbarung zwischen der Bundesagentur für Arbeit und der Institution. Massensignaturkarte. Sie enthält ein Massensignaturzertifikat und wird abhängig vom Benutzerkreis schlicht als Massensignaturkarte (für Mitarbeiter der Bundesagentur für Arbeit im SGB III) oder Mandanten-Massensignaturkarte bezeichnet. Massensignaturkarten ermöglichen die Erstellung mehrerer qualifizierter Signaturen nach einmaliger Aktivierung des privaten Schlüssels im Sinne von Abschnitt Für die Mandanten- Massensignaturkarte ist eine vorherige vertragliche Vereinbarung zwischen der Bundesagentur für Arbeit und der Institution erforderlich. Dienstekarten und zertifikate werden im Folgenden nur noch betrachtet, wenn sie in ihrer Funktion relevant sind. Beantragung, Erstellung usw. werden hier nicht beschrieben. Einzelsignaturkarten enthalten zusätzlich die folgenden Schlüsselpaare und nicht-qualifizierten Zertifikate: Authentisierung: Ein Schlüsselpaar sowie ein zugehöriges Zertifikat (Authentisierungszertifikat) für die Durchführung zertifikatsbasierter Authentisierung (z. B. Login an Systemen). Dieses Zertifikat ermöglicht zudem die fortgeschrittene Signatur. Der Authentisierungsschlüssel wird bei Mandanten-Signaturkarten ausschließlich zur Kartenfreischaltung im Sinne des Abschnittes aufgebracht. Verschlüsselung: Ein Schlüsselpaar sowie ein zugehöriges Zertifikat (Verschlüsselungszertifikat) für die Ver- und Entschlüsselung von Daten. Massensignaturkarten enthalten zusätzlich ein Schlüsselpaar und ein zugehöriges nicht-qualifiziertes Zertifikat (Authentisierungszertifikat), das ausschließlich für die Freischaltung der Massensignaturkarte im Sinne des Abschnittes genutzt wird. 13

14 Die genannten nicht-qualifizierten Zertifikate erstellt und verwaltet der VDA in folgender Zertifizierungshierarchie Wurzel-CA ARL Authentisierungs- CA CRL Verschlüsselungs- CA CRL Authentisierungszertifikat Verschlüsselungszertifikat An externe Mitarbeiter der BA werden bei Bedarf Gästekarten ausgegeben. Sie enthalten die folgenden Schlüsselpaare und Zertifikate: Authentisierung: Ein Schlüsselpaar sowie ein zugehöriges Zertifikat (Authentisierungszertifikat) für die Durchführung zertifikatsbasierter Authentisierung (z. B. Login an Systemen). Dieses Zertifikat ermöglicht zudem die fortgeschrittene Signatur. Verschlüsselung: Ein Schlüsselpaar sowie ein zugehöriges Zertifikat (Verschlüsselungszertifikat) für die Ver- und Entschlüsselung von Daten. Es werden keine Gästekarten an Mandanten ausgegeben. Einzelsignaturkarte, MSK, Gästekarte werden unter dem Begriff Smartcard zusammengefasst. Alle Schlüsselpaare auf einer Smartcard werden in der sicheren Umgebung des VDA erzeugt. Das vorliegende Dokument ist das Certification Practice Statement (CPS) der Zertifizierungsdienste der Bundesagentur für Arbeit. Die Dokumentenstruktur orientiert sich an dem RFC 3647 [RFC3647]. Entsprechend den Vorgaben des RFC 3647 legt das Certification Practice Statement (CPS) die Praktiken dar, die der VDA bei der Beantragung, Generierung, Auslieferung und Verwaltung der Zertifikate anwendet. Das vorliegende CPS ermöglicht somit eine qualitative Einschätzung der Zertifizierungstätigkeit des VDA der BA. Vorgaben für die Bedeutung und Verwendung der Zertifikate werden im jeweiligen Certificate Policy definiert. Neben der Zertifizierungstätigkeit stellt der VDA auch qualifizierte Zeitstempel bereit. Sofern es nur seine Zertifizierungstätigkeit betrifft, wird der VDA in vorliegendem Dokument auch als Zertifizierungsdiensteanbieter (ZDA) bezeichnet. 1.2 Dokumentidentifikation Die Dokumentenbezeichnung für das vorliegende CPS lautet: 14

15 Certification Practice Statement der Bundesagentur für Arbeit, Version: 3.1, Datum Das Dokument wird über den Object Identifier (OID) referenziert: Falls weitere Stellen angegeben sind, bezeichnen Sie die Versionsnummer des CPS. 1.3 Teilnehmer der Zertifizierungsinfrastruktur (PKI) Zertifizierungsstellen (CA) u. Zertifizierungshierarchie Der VDA der BA betreibt mehrere Zertifizierungshierarchien. Dieses CPS umfasst Eine Zertifizierungshierarchie für die Ausstellung von qualifizierten Zertifikaten, Eine Zertifizierungshierarchie für die Erstellung von Authentisierungsund Verschlüsselungszertifikaten. Die Zertifizierungshierarchie für qualifizierte Zertifikate, vgl. Abschnitt 1.1: Auf der obersten Ebene dieser Zertifizierungshierarchie befindet sich die qualifizierte Wurzel-CA, die o o o die Zertifikate der qualifizierten Signatur-CAs, die Zertifikate des OCSP-Responders für qualifizierte Zertifikate, die Zertifikate des TSP-Responders (Zeitstempeldienst) qualifiziert signiert. Auf der zweiten Hierarchieebene befinden sich: die qualifizierte Signatur-CA, die die qualifizierten Signaturzertifikate und Massensignaturzertifikate signiert, der OCSP-Responder für Zertifikatsabfragen für qualifizierte Zertifikate, der TSP-Responder für die Erstellung qualifizierter elektronischer Zeitstempel Auf der dritten Hierarchieebene befinden sich die qualifizierten Signaturzertifikate und Massensignaturzertifikate. Die Zertifizierungshierarchie für Authentisierungs- und Verschlüsselungszertifikate, vgl. Abschnitt 1.1: Auf der obersten Ebene dieser Zertifizierungshierarchie befindet sich die Wurzel-CA, die o o o signiert. die Zertifikate der Authentisierungs-CA und die Zertifikate der Verschlüsselungs-CA und die ARL der Wurzel-CA Auf der zweiten Hierarchieebene befinden sich: 15

16 die Authentisierungs-CA, die o o signiert, die Authentisierungszertifikate und die Sperrlisten der Authentisierungszertifikate die Verschlüsselungs-CA, die o o signiert. die Verschlüsselungszertifikate und die Sperrlisten der Verschlüsselungszertifikate Auf der dritten Hierarchieebene befinden sich: die Authentisierungszertifikate, die Verschlüsselungszertifikate die Sperrlisten der Authentisierungszertifikate bzw. Verschlüsselungszertifikate Registrierungsinstanzen Eine Registrierungsinstanz (RA) ist diejenige Organisationseinheit einer PKI- Infrastruktur, welche die Identifizierung und Authentisierung des Antragstellers durchführt, Zertifikatserneuerungen veranlasst und Sperranträge entgegennimmt. Sie ist die Stelle, mit der eine Person kommunizieren muss, um ein Zertifikat zu erhalten. Die Registrierung wird in lokalen Registrierungsinstanzen (engl. Local Registration Authority, LRA) durchgeführt. Dort identifizieren die LRA-Registrare die Mitarbeiter, registrieren diese (Erfassung der notwendigen Mitarbeiter-Daten) und beauftragen die Ausstellung entsprechender Zertifikate und Smartcards. Die LRA-Kartenausgeber händigen den Mitarbeitern (nach erneuter Identifizierung) gegen Unterschrift die Smartcard aus und veranlassen die Archivierung der entsprechenden Unterlagen Antragsteller Besteller (Subscriber) Besteller sind ausschließlich natürliche Personen. Sie sind nur in den folgenden Fällen vom späteren Zertifikatsinhaber verschieden: Antragsteller für eine Gästekarte ist ein Zeichnungsbefugter der Fachabteilung, die für einen Gast eine Gästekarte benötigt. Antragsteller für eine Massensignaturkarte ist ein zeichnungsbefugter Mitarbeiter, der von der Fachabteilung benannt wird, die für die Massensignaturanwendung zuständig ist. Mandanten-Signaturkarten bzw. -MSK werden von berechtigten Mitarbeitern des Mandanten beantragt Zertifikatsinhaber Zertifikatsinhaber sind ausschließlich natürliche Personen. Es handelt sich um Mitarbeiter der Bundesagentur für Arbeit, einer gemeinsamen Einrichtung nach SGB II, die im Vorfeld die entsprechende Dienstleistung bei der BA eingekauft hat, des Mandanten oder um einen externen Mitarbeiter. 16

17 1.3.4 Vertrauende Dritte (Relying Parties) BA-interne Systeme, die den Zertifikatsinhaber authentisieren (Authentisierungszertifikat) Kommunikationsteilnehmer, die verschlüsselte s an den Zertifikatsinhaber senden wollen (Verschlüsselungszertifikat) Empfänger signierter Daten oder Dokumente (Authentisierungszertifikat, Signaturschlüsselzertifikat) Weitere Teilnehmer Keine. 1.4 Anwendung von Zertifikaten Zulässige Anwendung von Zertifikaten Die von der Bundesagentur für Arbeit ausgegebenen qualifizierten Zertifikate und die entsprechenden Signaturschlüssel auf der digitalen Dienstkarte, MSK, Mandanten-Signaturkarte oder MSK erfüllen die Anforderungen der [eidas] an qualifizierte Zertifikate für elektronische Signaturen, deren Signaturerstellungsdaten sich in einer qualifizierten elektronischen Signaturerstellungseinheit befinden. Die qualifizierten Zertifikate sind zur Nutzung wie in [QCP-n-qscd] beschrieben vorgesehen. Das qualifizierte Signaturzertifikat einer ddk darf dabei ausschließlich für dienstliche Zwecke oder in der Kommunikation mit Behörden verwendet werden. Die Anwendung des Signaturzertifikates einer MSK wird im Einsatzkonzept geregelt. Für die Einschränkung der Anwendung von Signaturzertifikaten einer Mandanten-Signaturkarte oder MSK gegenüber [QCP-n-qscd] ist der Mandant verantwortlich. Das Verschlüsselungszertifikat darf ausschließlich zur Verschlüsselung dienstlicher s verwendet werden, das Authentisierungszertifikat ausschließlich zur Authentisierung gegenüber BA-internen Systemen oder zur Erstellung fortgeschrittener Signaturen zu dienstlichen Zwecken. Bei der Nutzung der Zertifikate und Schlüsselpaare muss der Zertifikatsinhaber seine in der jeweiligen Certificate Policy definierten Pflichten erfüllen. Weitergehende Einschränkungen können sich aus mitgeltenden Dokumenten ergeben. In Frage kommen hier BA-interne Weisung oder vertragliche Vereinbarungen, Gesamtkatalog der BA für gemeinsame Einrichtungen, Verwaltungsvereinbarung mit Mandanten Unzulässige Anwendung von Zertifikaten Insbesondere gelten folgende Nutzungsbeschränkungen und -verbote: Der Zertifikatsinhaber hat sich über mögliche Nutzungsbeschränkungen und Verbote über die Ein- und Ausfuhr von Verschlüsselungstechniken und/oder Verschlüsselungsprodukten in Drittländern zu informieren und diese zu beachten. Ein Verstoß gegen geltende Vorschriften kann strafbar sein. Mitarbeiterzertifikate und Mandanten-Zertifikate sind nicht zur Verwendung oder zum Weitervertrieb als Kontroll- oder Steuerungseinrichtung in gefährlichen Umgebungen oder für Verwendungszwecke, bei denen ein ausfallsicherer Betrieb erforderlich ist bzw. der Betrieb von nuklearen Einrichtungen, Flugzeugnavigations- oder Kommunikationssystemen, 17

18 Luftverkehrs-Kontrollsystemen oder Waffenkontrollsystemen, wobei ein Ausfall direkt zum Tode, zu Personenschäden oder zu schweren Umweltschäden führen kann, vorgesehen oder darauf ausgelegt. Eine Verwendung zu solchen Zwecken wird ausdrücklich ausgeschlossen. Nach Ablauf der Gültigkeitsdauer oder Sperrung des Zertifikats dürfen die persönlichen Schlüssel nicht mehr zur Signierung verwendet werden. 1.5 Policy-Verwaltung Organisation für die Verwaltung dieses Dokuments Die Verwaltung des Dokuments erfolgt durch den VDA der Bundesagentur Arbeit. Informationen zur Änderung der Richtlinie finden Sie in Abschnitt Für Kontaktinformationen zum VDA siehe Abschnitt Kontaktperson Die Revision und Freigabe des vorliegenden Certification Practice Statement (CPS) unterliegt der ausschließlichen Verantwortung des VDA der Bundesagentur für Arbeit. Ansprechpartner für Fragen bezüglich dieses CPS ist: Bundesagentur für Arbeit IT-Systemhaus Vertrauensdiensteanbieter Regensburger Straße Nürnberg Internet: Zuständigkeit für die Abnahme des CPS Für die Verabschiedung dieses CPS ist der VDA-Leiter zuständig. Zur Gültigkeit des CPS siehe Abschnitt Abnahmeverfahren des CPS Das CPS wird bei Bedarf durch den VDA fortgeschrieben, vgl. Abschnitt Nach einer Eignungsprüfung durch den Datenschutzbeauftragten und die Rechtsabteilung wird sie vom VDA-Leiter abgenommen. 1.6 Definition und Abkürzungen Definitionen und Abkürzungen siehe in Kapitel

19 2 Veröffentlichung und Verzeichnisdienst 2.1 Verzeichnisdienste Der Vertrauensdiensteanbieter der Bundesagentur für Arbeit betreibt die folgenden Verzeichnisdienste: Auf einer Webseite des Vertrauensdiensteanbieter werden Informationen des ZDA wie Kontaktinformationen, CP und CPS, und die CA-Zertifikate veröffentlicht. Die Webseite ist unter der URL erreichbar. Über einen OCSP-Verzeichnisdienst kann der Status von qualifizierten Zertifikaten abgerufen werden. Sofern der Zertifikatsinhaber zugestimmt hat, kann über den OCSP-Verzeichnisdienst auch das qualifizierte Zertifikat abgerufen werden. Die Verbindungsparameter des OCSP-Verzeichnisdienstes werden auf oben genannter Webseite veröffentlicht. Weitere Informationen zum OCSP-Verzeichnisdienst finden sich in Abschnitt Über einen LDAP-Verzeichnisdienst können die Zertifikate und Sperrlisten der nicht-qualifizierten CAs abgerufen werden. Die Verbindungsparameter des LDAP-Verzeichnisses werden auf oben genannter Webseite veröffentlicht. Die in Abschnitt 2.2 von ISIS-MTT [ISISMTT1] Version 1.1, Part 4 definierten Zugriffsoperationen werden unterstützt. In einem internen Verzeichnisdienst werden neben den Zertifikate und Sperrlisten der nicht-qualifizierten CAs auch die Verschlüsselungszertifikate veröffentlicht. 2.2 Veröffentlichung von Zertifikatsinformationen Die Bundesagentur für Arbeit veröffentlicht die folgenden Informationen zu ihrem Zertifizierungsdienst: Qualifizierte Zertifikate Sperrstatusinformationen für qualifizierte Zertifikate Sperrlisten der nicht-qualifizierten CAs (ARL bzw. CRL) Zertifikat und Hashwert (Fingerprint) der CA Zertifikat und Hashwert (Fingerprint) des OCSP-Reponders CPS der Bundesagentur für Arbeit CP für qualifizierte Zertifikate Die folgende Tabelle gibt einen Überblick über die durch die Bundesagentur für Arbeit veröffentlichten Informationen sowie deren Veröffentlichungsort. Zertifikatstyp Qualifizierte Zertifikate veröffentlicht in Zertifikat und Hashwert (Fingerprint) des TSP-Responders (Zeitstempeldienst) OCSP-Verzeichnis Link 19

20 Zertifikatstyp Sperrstatusinformationen qualifizierte Zertifikate CA-Zertifikate und Sperrlisten CA-Zertifikate und Sperrlisten CA-Zertifikate und ihr Hashwert (Fingerprint) Zertifikat und Hashwert (Fingerprint) des OCSP-Responders Zertifikat und Hashwert (Fingerprint) des Zeitstempeldienstes TSP für Zertifikate der Verschlüsselungs- CA CPS CP für qualifizierte Zertifikate veröffentlicht in Internes Verzeichnis OCSP-Verzeichnis LDAP-Verzeichnis Web-Verzeichnis Web-Verzeichnis Web-Verzeichnis Internes Verzeichnis Web-Verzeichnis Web-Verzeichnis Link ldap://ldap.pki.arbeitsagentur.de/ Tabelle 1 - Veröffentlichte Informationen Das Sicherheitskonzept der Zertifizierungsdienste sowie die technischen Spezifikationen, Betriebskonzepte und Arbeitsanweisungen enthalten vertrauliche Informationen und werden daher weder im Intranet noch im Internet veröffentlicht. 2.3 Häufigkeit und Zyklen für Veröffentlichungen Vor der Verwendung der Smartcard muss der Zertifikatsinhaber die erhaltene Karte freischalten, vgl. dazu Abschnitt 4.4. Im Zuge dessen werden sofern auf der Smartcard vorhanden - Verschlüsselungs- und Signaturzertifikat veröffentlicht. Das gilt auch für die Dienstekarten. Die Veröffentlichung der von der Bundesagentur für Arbeit ausgestellten nicht qualifizierten CA-Zertifikate erfolgt sofort nach ihrer Erstellung. Die Zyklen für die Veröffentlichung von Sperrlisten sind in Abschnitt angegeben. Die Veröffentlichung der Certificate Policy für qualifizierte Zertifikate und des Certification Practice Statements erfolgt jeweils nach der Freigabe der aktualisierten Version. Aktualisierungen der Certificate Policies und des CPS werden in Kap behandelt. 2.4 Zugriffskontrolle auf Verzeichnisse Der Zugriff auf den internen Verzeichnisdienst ist auf die Mitarbeiter der Bundesagentur für Arbeit beschränkt. Alle authentisierten Mitarbeiter haben Lesezugriff. Änderungsrechte für den Verzeichnisdienst haben nur berechtigte Rollenträger oder Systeme. 20

21 Die im Internet veröffentlichte Information ist öffentlich zugänglich. Der Lesezugriff auf den Verzeichnisdienst ist also nicht beschränkt. Dagegen haben nur berechtigte Rollenträger oder Systeme Änderungsrechte für den Verzeichnisdienst. Die Bundesagentur für Arbeit hat entsprechende Sicherheitsmaßnahmen implementiert, um ein unbefugtes Ändern von Einträgen in den Verzeichnisdiensten zu verhindern. 21

22 3 Identifizierung und Authentisierung 3.1 Namensgebung Namenstypen Es gelten die Regelungen des Standard X.509 (siehe [X509]) bzw. seiner Profilierung in [RFC5280] bzw. dessen Profilierung in [COMPKI]. Zertifikatsprofile finden sich in Abschnitt Anforderungen an die Bedeutung von Namen Es gelten die Regelungen des Standard X.509 (siehe [X509]) bzw. seiner Profilierung in [RFC5280] bzw. dessen Profilierung in [COMPKI]. Für das Feld Subject gelten zusätzlich folgende Festlegungen: Attribut CountryName: <DE> Attribut Organization: <Bundesagentur fuer Arbeit> Attribut Surname: <[Doktorgrad] Nachname des Zertifikatshalters wie im Ausweisdokument> für natürliche Personen. Der Doktorgrad ist optional und wird nur verwendet wenn er im amtl. Ausweisdokument vermerkt ist. Attribut GivenName: <Vorname des Zertifikathalters wie im Ausweisdokument > für natürliche Personen. Attribut CommonName (CN): <<Vorname> <Nachname>>, wobei Vorname identisch sein muss mit dem Attribut GivenName und Nachname identisch sein muss mit dem Attribut Surname (inkl. optionalem Doktorgrad). Ist ein cn in der oben genannten Form zu lang, so wird er auf die maximal zulässige Länge (64 Zeichen) gekürzt. Dabei werden zuerst die Titel und Vornamen gekürzt. Bei Massensignaturkarten oder Mandanten-Massensignaturkarten wird der CN im Einsatzkonzept der Massensignaturkarte bzw. durch den Mandanten festgelegt. Er enthält in jedem Fall ein Pseudonym, vgl. Abschnitt Attribut SerialNumber: Der Wert wird vom VDA generiert und bezeichnet den Zertifikatsinhaber eindeutig. Zu seiner Bestimmung werden Vorname, zweiter Vorname, Geburtsname, Geburtsort, Geburtsdatum des Zertifikatsinhabers benutzt. Verschlüsselungs- und Authentisierungszertifikate enthalten zusätzlich einen alternativen Inhaber-Namen in der Erweiterung SubjectAltName: rfc822name enthält die -Adresse des Zertifikatsinhabers. OtherName enthält den UPN (User Principal Name) des Zertifikatsinhabers Anonymität und Pseudonyme für Zertifikatsinhaber Die Verwendung von Pseudonymen innerhalb der Signatur-, Verschlüsselungsoder Authentisierungszertifikate wird von der BA nicht unterstützt. Der Pseudonymverzicht wird durch Unterschrift des Zertifikatsinhabers im Registrierungsprozess bestätigt. Die für den Zertifizierungsdienst benötigten qualifizierten Zertifikate der CA sowie des OCSP-Responder und des Zeitstempeldienstes (Dienstezertifikate) sind auf Mitarbeiter des Zertifizierungsdienstes (Sicherheitsoffizier) ausgestellt. 22

23 Die Sicherheitsoffiziere können anhand des Attributes SerialNumber im Feld Subject des Dienstezertifikates identifiziert werden. Dienstezertifikate tragen ein Pseudonym im Attribut CommonName des Subject, das mit dem Suffix :PN gekennzeichnet ist. Der Inhaber eines Massensignaturzertifikates kann anhand des Attributes SerialNumber im Feld Subject dieses Zertifikates identifiziert werden. Massensignaturzertifikate tragen ebenfalls ein Pseudonym im Attribut CommonName des Subject, das mit dem Suffix :PN gekennzeichnet ist Regeln zur Interpretation verschiedener Namensformen Es gelten die Regelungen des Standard X.509 (siehe [X509]) bzw. seiner Profilierung in [RFC5280] bzw. dessen Profilierung in [COMPKI] Eindeutigkeit von Namen Qualifizierte Zertifikate, Authentisierungs- und Verschlüsselungszertifikate können anhand des Attributes SerialNumber im Feld Subject eindeutig ihrem Inhaber zugeordnet werden. Aufgrund der Generierung der SerialNumber, vgl. Abschnitt 3.1.2, sind verschiedenen Personen verschiedene Werte der SerialNumber zugeordnet. Der VDA vergibt für den Wert des Feldes Subject in den nicht-qualifizierten CA-Zertifikaten eindeutige Werte Erkennung, Authentisierung und Rolle von geschützten Namen Der Wert des Feldes Subject in den ausgestellten Signatur-, Authentisierungs- und Verschlüsselungszertifikate ist im Wesentlichen identisch mit dem Namen des Zertifikatsinhabers in seinem Ausweis, also der Name einer natürlichen Person. Somit ist der Namenschutz gegeben. Der Besteller einer Massensignaturkarte oder Mandaten- Massensignaturkarte ist Hinsichtlich der Wahl des Pseudonyms für die Einhaltung von Namensrechten verantwortlich. Der Namensraum der verwendeten Pseudonyme in den Dienstezertifikaten wird vom Zertifizierungsdienst geprüft und freigegeben. 3.2 Erstmalige Identitätsprüfung Methode zum Besitznachweis des privaten Schlüssels Die Schlüsselpaare werden in der sicheren Umgebung des VDA erzeugt. Daher ist kein Besitznachweis nötig Authentifizierung von Organisationen Die Authentisierung von Organisationen entfällt, da die Bundesagentur für Arbeit keine Zertifikate für Organisationen ausstellt Authentifizierung natürlicher Personen Bei der Registrierung für ein qualifiziertes Zertifikat oder Verschlüsselungszertifikat muss sich der künftige Zertifikatsinhaber in der LRA persönlich durch einen gültigen amtlichen Ausweis sowie durch eine Gegenprobe der im Ausweis abgebildeten Unterschrift identifizieren. Zu den erhobenen Daten vergleiche Abschnitt Ein LRA-Rolleninhaber darf nicht seine eigene Identifikation durchführen. 23

24 Zur Referenzierung des verwendeten Ausweisdokumentes werden Ausweisnummer, der Typ des Ausweises und das Gültigkeitsdatum erhoben Nicht verifizierte Teilnehmerinformationen Alle Informationen des Zertifikatsinhabers, die in das Zertifikat übernommen werden sollen, werden verifiziert Überprüfung der Handlungsvollmacht Entfällt, da kein entsprechendes Attribut im Zertifikat aufgenommen wird Kriterien für Zusammenwirkung Kriterien zur Zusammenwirkung entfallen. 3.3 Identifizierung und Authentifizierung bei Schlüsselerneuerung Identifizierung und Authentifizierung bei Routine-Schlüsselerneuerung Die routinemäßige Schlüsselerneuerung (d. h. Ausstellung eines neuen Zertifikates zu einem neuen Schlüssel kurz vor oder nach dem regulären Ablauf des alten Zertifikates) in einem automatisierten Prozess wird ausschließlich für ddk und bei unveränderten Stammdaten durchgeführt. Die Identifizierung und Authentisierung erfolgt erst bei der Übergabe der neuen Signaturkarte anhand eines Ausweisdokumentes. Sie entspricht dem Verfahren zur Zertifikatsannahme, vgl. Abschnitt 4.4.1, dient hier aber der Verifikation, dass sich die Stammdaten nicht geändert haben Identifizierung und Authentifizierung bei Schlüsselerneuerung nach Sperrung Bei unveränderten Stammdaten erfolgt die Identifizierung und Authentifizierung bei einer Schlüsselerneuerung nach einer Sperrung (d. h. bei der Ausstellung eines neuen Zertifikates zu einem neuen Schlüssel nach einer Sperrung) erst bei der Übergabe der neuen Signaturkarte anhand eines Ausweisdokumentes. Sie entspricht dem Verfahren zur Zertifikatsannahme, vgl. Abschnitt 4.4.1, dient hier aber der Verifikation, dass sich die Stammdaten nicht geändert haben. Bei geänderten Stammdaten ist eine Identifizierung nach Abschnitt 3.2 erforderlich. 3.4 Identifizierung und Authentifizierung beim Sperrantrag Bezüglich der Identifizierung und Authentisierung beim Sperrantrag werden die folgenden Fälle unterschieden: Bei einer telefonischen Sperrung authentisiert sich der Beantragende durch seine -Adresse und das Sperrpasswort, das er der Smartcard bei der Registrierung zugeordnet hat. Bei einer schriftlichen Sperrung authentisiert sich der Beantragende gegenüber dem Sperroperator durch die erforderlichen Daten auf dem Sperrantrag sowie durch seine eigenhändige Unterschrift. Bei der Durchführung einer Sperrung durch den Sperroperator Webportal oder den LRA-Sperroperator authentisiert sich dieser mit seinem persönlichen Zertifikat gegenüber der Anwendung. 24

25 3.5 Identifizierung und Authentifizierung beim Antrag auf Schlüsselwiederherstellung Bei Schlüssel- und Zertifikatserneuerung nach Abschnitt 4.7 wird automatisch der hinterlegte Entschlüsselungsschlüssel der alten Karte wiederhergestellt und dem Inhaber zur Verfügung gestellt. Der zur Verfügung gestellte Schlüssel ist mit dem neuen Verschlüsselungsschlüssel geschützt und daher nur dem Inhaber zugänglich. Die Identifizierung erfolgt also wie in Für die manuelle Schlüsselwiederherstellung ist ein schriftlicher Antrag erforderlich, der von der Rechtsabteilung und dem TC-Leiter überprüft wird. 25

26 4 Anforderungen an den Lebenszyklus des Zertifikats 4.1 Antragstellung für Zertifikate Wer kann ein Zertifikat beantragen Die zulässigen Antragsteller sind in Abschnitt aufgeführt Antragsprozess und Verantwortlichkeiten Vor der Beantragung einer Mandanten-Signaturkarte oder Mandanten-Massensignaturkarte ist eine vertragliche Vereinbarung zwischen der Bundesagentur für Arbeit und dem Mandanten erforderlich. Zur Beantragung von Mandanten-Signaturkarten bzw. -MSK benennt der Mandant dem VDA im Vorfeld berechtigte Mitarbeiter. Diese werden vom VDA technisch berechtigt, die Bestellfunktion auf einer dedizierten Mandanten-website zu nutzen. Im Zuge der Bestellung müssen die berechtigten Mitarbeiter folgende Stammdaten des künftigen Zertifikatsinhabers hinterlegen: Anrede, Vorname, Nachname, -Adresse Vor der Beantragung einer ddk für einen Mitarbeiter einer gemeinsamen Einrichtung ist der Einkauf der entsprechenden Dienstleistung durch die gemeinsame Einrichtung bei der BA erforderlich. Für Mitarbeiter der Bundesagentur für Arbeit oder einer gemeinsamen Einrichtung nach SGB II ist keine dedizierte Antragstellung erforderlich. Die Beantragung erfolgt implizit durch Aufnahme der Beschäftigung und ggf. Einkauf der entsprechenden Dienstleistung. Die Hinterlegung von Stammdaten des künftigen Zertifikatsinhabers erfolgt durch den Personalservice. Zur Beantragung von Massensignaturkarten benennt die Fachabteilung, die für die Massensignaturanwendung zuständig ist, dem VDA im Vorfeld die berechtigten Antragsteller. Unterschriftsberechtigte Mitarbeiter können eine MSK per Antragsformular bestellen. Die Liste der Unterschriftsberechtigten steht den LRA zur Verfügung. Bei der Registrierung wird überprüft, ob der Antragsteller in der Liste steht. Zur Beantragung einer Gästekarte stellt der VDA ein Antragsformular zur Verfügung, das von einem Zeichnungsbefugten der Fachabteilung auszufüllen ist, die für einen ihrer externen Mitarbeiter eine Gästekarte benötigt. Die Bereitstellung der Stammdaten des externen Mitarbeiters erfolgt durch den Personalservice. In jedem Fall erfolgt die Einladung zur erstmaligen Identitätsprüfung nach 3.2 durch die zuständige LRA. Als Teil der Einladung für eine ddk wird dem Zertifikatsinhaber eine Unterrichtung überlassen. Sie beschreibt Funktionen der ddk Datenschutzregularien Registrierung, Kartenausgabe, Freischaltung, Sperrung Die Definition, Rechtswirkung, Erstellung, und (langfristige) Prüfung einer qualifizierten elektronischen Signatur. Sicherheitshinweise für den Einsatz der ddk 26

27 Für Mandanten-Signaturkarte und Mandanten Massensignaturkarte existieren entsprechende Unterrichtungen, die dem Zertifikatsinhaber ebenfalls als Teil der Einladung überlassen werden. Für die Massensignaturkarte existiert ebenfalls eine entsprechende Unterrichtung. Hier liegt es allerdings in der Verantwortung des Bestellers, dem Zertifikatsinhaber diese Unterrichtungen vor der Registrierung zukommen zu lassen. Als Teil der Einladung für eine Gästekarte wird dem externen Mitarbeiter eine entsprechende Unterrichtung überlassen. 4.2 Antragsbearbeitung Durchführung der Identifikation und Authentifizierung Der künftige Zertifikatsinhaber wird von der zuständigen LRA zur Registrierung eingeladen. Für die Registrierung muss er persönlich bei der zuständigen LRA erscheinen. Die Identifizierung erfolgt nach den Vorgaben zur erstmaligen Identitätsprüfung in Abschnitt 3.2. Der LRA-Registrar ruft den Stammdatensatz des künftigen Zertifikatsinhabers im Kartenmanagementsystem auf, prüft die vorhandenen Stammdaten und ergänzt diese anhand des Ausweisdokumentes. Anschließend erstellt er das Formular Identitätsdaten, in dem Vorname(n), Nachname, Geburtsdatum, Geburtsort, Staatsangehörigkeit des Zertifikatsinhabers, sowie Art des vorgelegten Ausweisdokumentes, Ausweisnummer und sein Ablaufdatum eingetragen sind. Die Richtigkeit dieser Daten bestätigen LRA-Registrar und Antragsteller mit ihrer Unterschrift auf dem Formular. Der ebenfalls ergänzte Geburtsname wird im System gespeichert. Bei Beantragung einer MSK oder Mandanten-MSK wird diese Identifikation durch zwei LRA-Rolleninhaber im Vieraugenprinzip durchgeführt Annahme bzw. Ablehnung des Antrags Anträge werden in folgenden Fällen abgelehnt: Der Antragsteller ist nicht berechtigt (siehe Abschnitt 4.1.1). Die notwendige vertragliche Vereinbarung bzw. der Einkauf der entsprechenden Dienstleistung fehlt (siehe Abschnitt 4.1.2) Der Zertifikatsinhaber kann nicht zweifelsfrei identifiziert werden oder es gibt Unstimmigkeiten bzgl. seiner Daten (siehe Abschnitt 4.2.1). Der künftige Inhaber eines Massensignaturzertifikates hat keine im Sinne des Abschnittes freigeschaltete Einzelsignaturkarte Sofern der Antrag angenommen wird, führt der LRA-Registrar die folgenden Schritte aus: Er fordert den Zertifikatsinhaber auf, ein Sperrpasswort zu vergeben (siehe Abschnitt 3.4) Er lässt sich vom Zertifikatsinhaber o die Kenntnisnahme der Unterrichtung (siehe Abschnitt 4.1.2) o Zustimmung zur Veröffentlichung des qualifizierten Zertifikates (nicht für Gästekarte) o den Pseudonymverzicht nach Abschnitt (nicht für MSK o- der Mandanten-MSK) o die Zulässigkeit der amtsseitigen Sperrung (nicht für Gästekarte) bestätigen 27

28 Er signiert qualifiziert alle bisher erhobenen Daten. Damit wird der elektronische Registrierungsprozess abgeschlossen und ein Personalisierungsauftrag an das Trustcenter erstellt. Er legt die Registrierungsunterlagen in einer Registrierungsakte ab. Bei MSK oder Mandanten-MSK trägt der LRA-Registrar das auf dem Antragsformular notierte Pseudonym ein. Ist der Zertifikatsinhaber Mitarbeiter der BA im Rechtskreis SGB III, werden zusätzlich Foto und Unterschrift elektronisch erfasst Fristen für die Antragsbearbeitung Es werden keine Fristen für die Bearbeitung der Anträge festgelegt. 4.3 Zertifikatserstellung CA-Prozesse während der Zertifikatserstellung Nach erfolgreicher Registrierung wird auf einem zentralen System die Personalisierung der Smartcard durchgeführt. Dazu wird der Registrierungsdatensatz vom Registrierungssystem signiert an die CA übergeben. Bei erfolgreicher Signaturvalidierung wird anhand der im Registrierungsdatensatz enthaltenen Daten das entsprechende Zertifikat erzeugt und zusammen mit dem Schlüsselpaar auf der Smartcard gespeichert. Das Schlüsselpaar für die Verschlüsselung wird vom zentralen Schlüsselgenerierungsdienst erzeugt (siehe Abschnitt 6.1.1) und auf die Smartcard geschrieben (siehe Abschnitt 6.2.7). Der private Schlüssel wird außerdem im Schlüsselhinterlegungsdienst verschlüsselt abgespeichert (siehe Abschnitt 6.2.3). Zu den öffentlichen Schlüsseln werden Zertifikate erstellt und auf die Smartcard geschrieben Benachrichtigung des Zertifikatsinhabers über die Zertifikatserstellung Der Zertifikatsinhaber wird nach Eingang der Smartcard in der LRA benachrichtigt. 4.4 Zertifikatsannahme Verfahren der Zertifikatsannahme Die Zertifikate werden mit der Smartcard an den Zertifikatsinhaber ausgeliefert. Bei der Übergabe der Smartcard erfolgt eine erneute Identifizierung anhand eines Ausweises wie bei der Registrierung, vgl. Abschnitt Der Zertifikatsinhaber muss den Empfang schriftlich bestätigen. Dabei werden Typ, Nummer und Ablaufdatum des vorgelegten Ausweises festgehalten. Die Ausgabe einer Massensignaturkarte oder Mandanten-Massensignaturkarte findet zusätzlich in der LRA im Vier-Augen-Prinzip statt. Wenn der Antragsteller in der LRA erscheint, zieht der Kartenausgeber einen LRA-Registrar für den weiteren Ablauf hinzu. Vor der Verwendung der Schlüsselpaare muss der Zertifikatsinhaber die erhaltene Karte freischalten. Dabei muss er im ersten Schritt die PINs und PUKs der Karte initial setzen; dieser Vorgang setzt voraus, dass noch keine PINs gesetzt wurden (siehe Abschnitt 6.1.2). Im zweiten Schritt wird die Veröffentlichung seiner Zertifikate angestoßen. Die dazu notwendige Software und ein geeignetes 28

29 Kartenterminal mit eigener Tastatur (Klasse-2) sind auf den BA-Arbeitsplätzen und in der LRA vorhanden. Die Mitarbeiter der LRA unterstützen ihn auf Wunsch dabei Veröffentlichung der Zertifikate durch den Zertifizierungsdienst Mit der Unterzeichnung der Zustimmung zur Veröffentlichung erklärt der Zertifikatsinhaber sein Einverständnis zur Veröffentlichung seiner Zertifikate. Im Zuge der Freischaltung der Smartcard werden sofern auf der Smartcard vorhanden Verschlüsselungs- und Signaturzertifikat in den Verzeichnissen des Zertifizierungsdienstes veröffentlicht. Details zur Veröffentlichung der Zertifikate finden sich in Abschnitt Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst Sofern erforderlich wird die Aufsichtsstelle nach [eidas] über neue Dienstezertifikate informiert. 4.5 Nutzung des Schlüsselpaares und des Zertifikats Nutzung durch den Zertifikatsinhaber Der Zertifikatsinhaber ist verpflichtet, seine Schlüsselpaare mit einer angemessenen Sorgfalt zu nutzen. Generelle Hinweise dazu findet er in der Unterrichtung, vgl. Abschnitt Insbesondere muss er sicherstellen, dass seine privaten Schlüssel nicht ohne sein Wissen und nur in der von ihm gewünschten Weise eingesetzt werden. Dazu hat er direkt im Anschluss an die Übergabe der Smartcard diese freizuschalten, also PINs und PUKs mit nur ihm bekannten Werten 1 zu vergeben und die Veröffentlichung der Zertifikate anzustoßen. Die Nutzung der privaten Schlüssel ist erst möglich, nachdem der Zertifikatsinhaber die Smartcard freigeschaltet hat, vgl. Abschnitt 4.4. Damit erhält er die alleinige Kontrolle über seine privaten Schlüssel. Zur Verwendung von Zertifikaten siehe Abschnitt Nutzung durch vertrauende Dritte Vertrauende Dritte sollten einem Zertifikat des Zertifizierungsdienstes der BA nur dann vertrauen, wenn dieses gültig und nicht gesperrt ist. Bei der Prüfung von Zertifikaten ist zu unterscheiden, ob es sich um ein fortgeschrittenes Zertifikat oder um ein qualifiziertes Zertifikat handelt. Bei dem qualifizierten Zertifikat ist zur Prüfung das Kettenmodell gemäß [COMPKI] SiG-Profiles anzuwenden. Vor dem Vertrauen auf ein Zertifikat hat der vertrauende Dritte folgendes zu prüfen: den Sperrstatus des Zertifikats und aller darüber liegenden CA-Zertifikate der Zertifizierungskette. Bei qualifizierten Zertifikaten entsprechend den Status der Zertifikate zum Zeitpunkt der Signaturerstellung, die Eignung der Nutzung eines Zertifikats für einen bestimmten Zweck, der durch das vorliegende CPS nicht verboten oder anderweitig beschränkt ist, 1 Die Vergabe unterschiedlicher Werte wird empfohlen 29