der DLR CA Deutsches Zentrum für Luft- und Raumfahrt e.v. CPS V

Transkript

1 Erklärung zum Zertifizierungsbetrieb der DLR CA in der DFN-PKI Deutsches Zentrum für Luft- und Raumfahrt e.v. CPS V Deutsches Zentrum für Luft- und Raumfahrt e.v.seite 1 CPS V1.2,

2 1 Einleitung Die DLR CA ist eine Zertifizierungsstelle des DFN-Anwenders Deutsches Zentrum für Luftund Raumfahrt e.v. innerhalb der DFN-PKI. In der DFN-PKI wird eine Zertifizierungshierarchie verwendet, bei der das Zertifikat der DLR CA von der Wurzelzertifizierungsstelle der DFN-PKI, der DFN-PCA, ausgestellt wird. Für den Betrieb der DLR CA gelten die folgenden Dokumente: CP der DFN-PKI: "Zertifizierungsrichtlinie der Public Key Infrastruktur im Deutschen Forschungsnetz Classic -", Version 1.1, Februar 2005, OID CPS der DFN-PCA: "Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der Public Key Infrastruktur im Deutschen Forschungsnetz Classic -", Version 1.1, Februar 2005, OID Die vom CPS der DFN-PCA abweichenden Regelungen für die DLR CA sind in Abschnitt 3 dieses Dokuments beschrieben. 2 Identifikation des Dokuments Titel: "Erklärung zum Zertifizierungsbetrieb der DLR CA in der DFN-PKI" Version: Abweichungen vom CPS der DFN-PCA Nachfolgend sind die Abschnitte des CPS der DFN-PCA aufgeführt, in denen für die DLR CA abweichende Regelungen getroffen werden. Abschnitt Zertifizierungsstellen Die Anschrift der DLR CA lautet: Deutsches Zentrum für Luftund Raumfahrt e.v. Telefon: IK-M Telefax: Linder Höhe D Köln Abschnitt Registrierungsstellen ca@dlr.de WWW: Die ausgezeichneten Registrierungsstellen für die zuvor genannten Zertifizierungsstellen befinden sich in den Räumen der DLR CA sowie weiteren Standorten des Unternehmens Deutsches Zentrum für Luft- und Raumfahrt e.v. Die Liste der Registrierungsstellen wird unter der URL [URL] veröffentlicht. Abschnitt Organisation Die Verwaltung dieses CPS erfolgt durch die in Abschnitt genannte Einrichtung. Der Betrieb der DLR CA erfolgt durch: DFN-Verein Telefon: Stresemannstr. 78 D Berlin Telefax: pki@dfn.de WWW: Deutsches Zentrum für Luft- und Raumfahrt e.v.seite 2 CPS V1.2,

3 Abschnitt Kontaktperson Die verantwortliche Person für das CPS der DLR CA ist: Deutsches Zentrum für Luftund Raumfahrt e.v. Uwe Gorschütz IK-M Telefon: Linder Höhe Telefax: D Köln Abschnitt 2.1 Verzeichnisdienst uwe.gorschuetz@dlr.de Der Verzeichnisdienst der DLR CA ist online zu erreichen unter: http(s):// ldap://ldap.pca.dfn.de/c=de, o=dfn-verein, ou=dfn-pki, o=deutsches Zentrum fuer Luft- und Raumfahrt e.v. (DLR) Abschnitt 2.2 Veröffentlichung von Informationen Die DLR CA publiziert unter der Adresse http(s):// die folgenden Informationen: Zertifikat und Fingerabdruck Erklärung zum Zertifizierungsbetrieb Abschnitt Namensform Die DNs aller Zertifikatnehmer unterhalb der DLR CA enthalten die Attribute "C=DE" und "O=Deutsches Zentrum fuer Luft- und Raumfahrt e.v. (DLR)". Das optionale Attribut "OU=<Organisationseinheit>" kann mehrfach angegeben werden. Wenn eine Adresse angegeben wird, so wird diese über das Attribut " =" in den Namen aufgenommen. Damit entspricht der Name jedes Zertifikatnehmers dem folgenden Schema: C=DE, O= Deutsches Zentrum fuer Luft- und Raumfahrt e.v. (DLR), [ OU=<Organisationseinheit>, ] CN=<Eindeutiger Name>, [ =< Adresse> ] Abschnitt Pseudonymität / Anonymität Die DLR CA bietet keine Möglichkeit an, auf Verlangen einer natürlichen Person anstelle des Namens im Zertifikat ein Pseudonym aufzuführen. Abschnitt Wer kann ein Zertifikat beantragen Die DLR CA bietet ihre Dienstleistungen allen Angehörigen und Mitarbeitern des DFN- Anwenders Deutsches Zentrum für Luft- und Raumfahrt e.v. (DLR) sowie im Auftrag des DLR handelnden Personen an. Abschnitt Veröffentlichung des Zertifikats Die DLR CA veröffentlicht die gemäß der Zertifizierungsrichtlinien der DFN-PKI geforderten Zertifikate über die oben angegebenen Informationssysteme. Deutsches Zentrum für Luft- und Raumfahrt e.v.seite 3 CPS V1.2,

4 Zertifikate für natürliche und juristische Personen werden nur dann durch die T-Systems-SfR CA veröffentlicht, wenn Sie für den Einsatzzweck Signatur und -Verschlüsselung verwendet werden sollen. Zertifikate für den Einsatzzweck Authentifizierung werden auf Grund der darin enthaltenen sensiblen Daten nicht veröffentlicht. Abschnitt Richtlinien und Praktiken zur Schlüsselhinterlegung und wiederherstellung Die DLR CA bietet die Möglichkeit der Hinterlegung privater Schlüssel an. Im Rahmen der Zertifikatbeantragung in den Registrierungsstellen der DLR CA wird ein verschlüsseltes Backup der privaten Schlüssel auf einem externen Datenträger erzeugt. Die Verschlüsselung erfolgt mittels Keybackup-Rollenzertifikat. Der private Schlüssel des Rollenzertifikats wird auf einem USB-Crypto-Gerät gespeichert, welches mit einer PIN belegt wird, die jeweils hälftig und unabhängig voneinander von zwei Personen generiert wird. Der externe Datenträger darf nur für den Zeitraum der Zertifikatbeantragung bzw. Schlüsselwiederherstellung mit einem am Netz angeschlossenen DV-System verbunden werden. Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt auf USB-Crypto-Geräten, die mit einer PIN gesichert sind. Die Übermittlung der PIN erfolgt durch Versand bzw. Aushändigung eines PIN-Briefes. Der Empfang des Gerätes sowie des PIN-Briefes ist vom Zertifikatnehmer zu bestätigen. Es wird gewährleistet, dass Mitarbeiter der Registrierungsstellen keine Kenntnis der jeweiligen PIN erlangen. Ein Zugriff auf das verschlüsselte Backup durch eine einzelne Person ist ausgeschlossen. Die Herausgabe von hinterlegten privaten Schlüsseln erfolgt grundsätzlich nur an den jeweiligen Zertifikatnehmer und in jedem Fall auf USB-Crypto-Geräten. Folgende Regelungen gelten dabei: a) Im Falle des Defektes eines USB-Crypto-Gerätes wird der hinterlegte private Schlüssel des betroffenen Zertifikatnehmers von der Registrierungsstelle der DLR CA auf ein neues Gerät gespeichert, welches dem Zertifikatnehmer ausgehändigt wird. Das defekte Gerät wird danach durch die Registrierungsstelle unverzüglich vernichtet oder, falls ein Softwareproblem vorlag, neu initialisiert. b) Bei Verlust oder Diebstahl des privaten Schlüssels (des USB-Crypto-Gerätes) erfolgt eine befristete Herausgabe des privaten Schlüssels für maximal 5 Arbeitsage an den Zertifikatnehmer für den Fall der Wiederherstellung zuvor verschlüsselter Daten oder wenn andere schwerwiegende Gründe vorliegen. Spätestens nach Ablauf dieser Frist wird der hinterlegte bzw. erneut ausgehändigte Schlüssel auf allen Datenträgern und USB-Crypto-Geräten gelöscht. Das Zertifikat wird unverzüglich gesperrt. Im Falle des Ausscheidens eines Zertifikatnehmers aus dem Unternehmen, länger andauernder Krankheit oder Tod können Mitarbeiter der Registrierungsstellen nach Genehmigung durch den Datenschutzbeauftragten des DLR den privaten Schlüssel des betreffenden Mitarbeiters für einen Zeitraum von maximal 10 Arbeitstagen zur Sicherstellung verschlüsselter, unternehmenskritischer Daten verwenden. Die Wiederherstellung des hinterlegten privaten Schlüssels in diesem Fall kann nur unter Hinzuziehung eines weiteren Mitarbeiters durchgeführt werden. Nach erfolgter Sicherstellung dieser Daten, spätestens jedoch nach Ablauf der Befristung, wird der private Schlüssel auf allen Datenträgern und USB-Crypto-Geräten gelöscht. Das Zertifikat wird unverzüglich gesperrt. Deutsches Zentrum für Luft- und Raumfahrt e.v.seite 4 CPS V1.2,

5 Abschnitt Sicherheitsrelevante Rollen Für die DLR CA gilt die folgende Ergänzung der Rollendefinition zum Thema Registrierungsdienst Rolle Funktion Kürzel Registrator (Ergänzung der Funktion für bereits existierende Rolle) PIN-Geber RA (neue Rolle) Datenschutzbeauftragter Backup inkl. Verschlüsselung privater Schlüssel mit Keybackup-Zertifikat Ausgabe und Wiederherstellung von USB- Crypto-Geräten PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Schlüsseln PIN Vergabe für Key-Backup-Schlüssel Wiederherstellung von privaten Schlüsseln Erteilung der Genehmigung zur Wiederherstellung von privaten Schlüsseln von ausgeschiedenen, kranken oder verstorbenen Zertifikatnehmern (statt RG) RA02 DSB Abschnitt Involvierte Mitarbeiter pro Arbeitsschritt Für die DLR CA gelten die folgenden Ergänzungen bzw. Änderungen. Tätigkeit Rollen Vier- Augen- Prüfung der Anträge hinsichtlich Vollständigkeit und Korrektheit Prinzip Erläuterung Änderung Kürzel Archivierung von Dokumenten sofern erforderlich Änderung Kürzel Freigabe und Übermittlung von Zertifikat- und Sperranträgen an die zuständige Zertifizierungsstelle Änderung Kürzel Backup inkl. Verschlüsselung privater Schlüssel mit Keybackup-Zertifikat Ergänzung Ausgabe und Wiederherstellung von USB- Crypto-Geräten Ergänzung PIN Vergabe für Key-Backup-Schlüssel, RA02 x Ergänzung Wiederherstellung von privaten Schlüsseln, RA02, DSB x Ergänzung Deutsches Zentrum für Luft- und Raumfahrt e.v.seite 5 CPS V1.2,

6 5.2.4 Trennung von Aufgaben Für die DLR CA gelten folgende Ergänzungen bzw. Änderungen hinsichtlich der Unverträglichkeit von Rollen. Rolle R - Revision ISO - Sicherheitsbeauftragter SA - Systemadministrator Systemoperator - Registrator RA02 PIN Geber RA Unverträglich mit TS,, RA02, CAO1, CAO2, SA, SO TS,, RA02, CAO1, CA02, SA, SO R, ISO, TS,, RA02, CAO1 R, ISO, TS,, RA02, CAO1 R, ISO, SA, SO, RA02 R, ISO, SA, SO,, DSB Hinsichtlich der Aufteilung der Rollen auf Personengruppen gelten folgende bzw. Änderungen. Personengruppe Aufgabengebiet Rollen 3 (Änderung) Registrierungsdienst (Registrator) und Zertifizierung 5 (Ergänzung) Schlüssel-Backup und Wiederherstellung, CAO1, RA02, DSB Abschnitt 5.8 Einstellung des Betriebs Falls es zur Einstellung des Zertifizierungsbetriebs kommen sollte, werden folgende Maßnahmen ergriffen: Information der DFN-PCA mindestens drei Monate vor Einstellung der Tätigkeit. Information aller Zertifikatnehmer, Registrierungsstellen und betroffenen Organisationen mindestens drei Monate vor Einstellung der Tätigkeit. Rechtzeitiger Widerruf aller Zertifikate. Sichere Zerstörung der privaten Schlüssel der Zertifizierungsstelle nach Widerruf aller Zertifikate. Der DFN-Anwender Deutsches Zentrum für Luft- und Raumfahrt e.v. stellt den Fortbestand der Archive und die Abrufmöglichkeit einer vollständigen Widerrufsliste für den zugesicherten Aufbewahrungszeitraum sicher. Abschnitt Übermittlung des privaten Schlüssels an den Zertifikatnehmer Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt auf USB-Crypto-Geräten, die mit einer PIN gesichert sind. Die Übermittlung der PIN erfolgt durch Versand bzw. Aushändigung eines PIN-Briefes. Der Empfang des Gerätes sowie des PIN-Briefes ist vom Zertifikatnehmer zu bestätigen. Bei postalischer Auslieferung von PIN-Brief und USB-Crypto- Gerät wird durch zeitlich versetzten Versand gewährleistet, dass ein Angreifer nicht gleichzeitig Zugriff auf USB-Crypto-Gerät und PIN-Brief hat. Abschnitt Hinterlegung privater Schlüssel Die DLR CA bietet die Möglichkeit zur Schlüsselhinterlegung entsprechend Kapitel an. Deutsches Zentrum für Luft- und Raumfahrt e.v.seite 6 CPS V1.2,