Die Klassen der Swiss Government PKI PKI ERFA-Tagung Frühling 2015
Zertifikate identifizieren Maschinen, Personen, Organisationen und Systeme Personen - Sind natürliche Personen, welche durch eine entsprechende Ausweisschrift identifiziert werden können. Organisationen Sind Organisationen, welche über eine Unternehmens-ID (UID) verfügen und im entsprechenden Register aufgeführt sind. Organisationen werden durch Personen vertreten, welche für diese Organisation entsprechend unterschriftsberechtigt sind. Maschinen Sind Clients oder Server, welche sich durch eine überprüfbare FQDN identifizieren. Der registrierte Inhaber der Domain muss den Antragsteller autorisieren. Systeme Sind logische Konstrukte, welche einen beschriebenen Zustand darstellen. Systeme werden durch Personen oder Organisationen beschrieben und plausibilisiert. 2
Audits und Zertifizierungen Swiss Government Root CA I Zertifiziert nach ETSI TS 102 042 Zertifiziert nach ZertES für qualifizierte Zertifikate Swiss Government Root CA II Zertifiziert nach ETSI TS 104 456 Windows PKI Intra CC-Enterprise Nicht Zertifiziert Alle ausgestellten Zertifikate der SG-PKI Root CAs Klassen A bis D werden durch interne und externe Audits entsprechend den jeweils geltenden Richtlinien (ZertES, ETSI etc.) geprüft. Neu: Klare Trennung von Standard und Kundenspezifischen Zertifikaten PKCS#12 File kann nicht mehr durch SG-PKI erstellt werden 3
Swiss Government Root CA I Swiss Government Root CA I Swiss Government Enhanced CA 01 Swiss Government Enhanced CA 02 Swiss Government Qualified CA 01 Zertifikate: - Klasse B (aktuell) Zertifikate: - Klasse B (neue Prozesse) Zertifikate: - Klasse A 4
Swiss Government Root CA II Swiss Government Root CA II Swiss Government Regular CA 01 Swiss Government SSL CA 01 Swiss Government EV SSL CA 01 Zertifikate: Persönlich Organisationen Systeme Zertifikate : SSL Webserver Code Signing EV Extended Validation Zertifikate : EV SSL Webserver EV Code Signing Legende: aktuell geplant 5
Zertifikatsklassen Übersicht Klasse A Qualifizierte Zertifikate (ZertES) auf Smartcard TSA TimeStamping Authority Die TSA ist Teil der Qualified CA Infrastruktur (Klasse A) und wird nur im Kontext angeboten, wird aber zukünftig ein Teil der Signatur- und Validationsdienste werden. Klasse B Fortgeschrittene Zertifikate auf Smartcard Klasse C Standardzertifikate für Maschinen, Personen, Organisationen und Systeme Klasse D Spezialzertifikate für Maschinen, Personen, Organisationen und Systeme Klasse E Zertifikate für Maschinen und Systeme, welche ausschliesslich innerhalb der Bundesverwaltung verwendet werden 6
Ausstellprozesse Certified PKI Certified PKI Zertifikate können über folgende Ausstellprozesse bezogen werden: Certified PKI LRA Plattform Zertifikate werden durch ausgebildete und sicherheitsüberprüfte LRA Officer vor Ort ausgestellt RAaaS (Registration Authority as a Service) Zertifikate werden über eine WSS/SOAP Webservice Schnittstelle ausgestellt CSR upload Der Zertifikatsantrag (PKCS#10) wird via Webinterface hochgeladen 7
Certified PKI - Klasse A Certified PKI Qualifizierte Zertifikate (ZertES) Personen Qualifizerte Signatur Ausstellung nur über neue CMC LRAO Zusatzausbildung Klasse A notwendig Die TSA wird Teil der Signatur- und Validationsdienste werden 8
Certified PKI - Klasse B Certified PKI Fortgeschrittene Zertifikate auf Smartcard Personen - Authentifikation Personen - Signatur Personen - Verschlüsselung Organisationszertifikate der Klasse B können als neue Policy erstellt werden sobald die Technische Ausführungs Verordnung (TAV) der revidierten ZertES bekannt ist. Ausstellung nur über LRA 9
Certified PKI - Klasse C Standardzertifikate für Personen, Organisationen und Systeme Zertifikate ausgestellt für: - Personen - Organisationen - Systeme In den Ausprägungen: - Client Authentifikation (Client Auth) - Signatur (Sign) - Verschlüsselung (Encrypt) Für jedes Certified PKI Standardzertifikat der Klasse C wird ein spezifisches Lösungsmuster erstellt, welches den korrekten Einsatz und den definierten Ausstellprozess beschreibt. Die Anforderungen der internationalen Standards müssen eingehalten werden. Die Zertifikate sind «Public Trust» fähig Ausstellung über LRA, RAaaS oder CSR upload 10
Certified PKI - Klasse C Standardzertifikate für Personen, Organisationen und Systeme - Raster Certified PKI Ausprägung Client Auth Server Auth Signature Encryption Subject CN Person Auth yes explicit no no no Person (Name) Organization Auth yes explicit no no no Organisation (Name + UID) System Auth yes explicit no no no System (Name) Person Auth/Sign yes explicit no yes no Person (Name) Organization Auth/Sign yes explicit no yes no Organisation (Name + UID) System Auth/Sign yes explicit no yes no System (Name) Person Auth/Sign/Encrypt yes explicit no yes yes Person (Name) Organization Auth/Sign/Encrypt yes explicit no yes yes Organisation (Name + UID) System Auth/Sign/Encrypt yes explicit no yes yes System (Name) Person Sign/Encrypt no explicit no yes yes Person (Name) Organization Sign/Encrypt no explicit no yes yes Organisation (Name + UID) System Sign/Encrypt no explicit no yes yes System (Name) Gruppenmailbox (specific Org S/E) no explicit no yes yes Mailbox (Name + e-mail) 11
Certified PKI - Klasse C SSL/TLS Standardzertifikate für Maschinen zur Authentisierung von SSL/TLS Verbindungen SSL CA 01 Zertifikate (CN=FQDN) SSL Server Zertifikat (https://) SSL Server Zertifikat Wildcard (*.dn.tld) SSL Server Zertifikat SAN (dn1.dn.tld; dn2.dn.tld ) SSL Client Zertifikat (SSL Client Auth) SSL Client/Server Zertifikat (https:// und Client Auth) EV SSL CA 01 Zertifikate (CN=FQDN) EV SSL Server Zertifikat (https://) EV SSL Server Zertifikat SAN (dn1.dn.tld; dn2.dn.tld ) Für Certified jedes PKI Standardzertifikat der Klasse C wird ein spezifisches Lösungsmuster erstellt, welches den korrekten Einsatz und den definierten Ausstellprozess beschreibt. Die Anforderungen der internationalen Standards müssen eingehalten werden. Die Zertifikate sind «Public Trust» fähig Ausstellung über LRA, RAaaS oder CSR upload 12
Certified PKI - Klasse C Code Signing Standardzertifikate für Personen zum Signieren von Programmen (Code) Certified PKI CodeSigning Zertifikate werden für Personen ausgestellt können aber als CN eine Organisation haben. SSL CA 01 Zertifikate (CN=Name) CodeSigning Zertifikat (ETSI Standard) EV SSL CA 01 Zertifikate (CN=Name) EV CodeSigning Zertifikat (Hardtoken/ETSI Standard) 13
Certified PKI - Klasse D Spezialzertifikate für Maschinen, Personen, Organisationen und Systeme Kundenspezifische Soft-Zertifikate Certified PKI Beispiele: Organisations-Zertifikate Sedex (Auth,Sign,Encrypt) Organisations-Zertifikate ZKV (Auth) System-Zertifikate edoc (Auth) Kundenspezifische Zertifikatstypen werden per DLV oder PVE beantragt Jedes Kundenspezifische Zertifikat erhält eine eigene Policy und OID Betriebskosten werden im SLA pro Policy abgebildet Die Anforderungen der internationalen Standards müssen eingehalten werden Zertifikate sind «Public Trust» fähig Ausstellung über LRA, RAaaS oder CSR upload 14
Enterprise PKI Windows Enterprise PKI Klasse E C-Enterprise Softzertifikate für Personen (EOL Juni 2015) CC-Enterprise Softzertifikate für Maschinen Windows Enterprise PKI Zertifikate werden neu als Klasse E bezeichnet Zertifikate der Klasse E werden ab einer nicht zertifizierten Windows PKI erstellt und erfüllen die BV internen Anforderungen an Sicherheit und Nachvollziehbarkeit analog dem Active Directory Werden aber nicht durch ein Zertifizierungsverfahren oder Audit bestätigt und sind deshalb nicht «public trust» fähig. 15
Ausstellprozesse «Klasse E» Windows Enterprise PKI Für Router und Netzwerkgeräte: Manuelles Enrollment über PKCS#10 NDES (SCEP), wenn das Gerät SCEP unterstützt Windows Enterprise PKI Für Unix-Maschinenzertifikate: Manuelles Enrollment über PKCS#10 NDES (SCEP), wenn ein SCEP-Client vorhanden ist Für Windows Server in Workgroup-Mode Manuelles Enrollment über PKCS#10 Enrollment über CES/CEP kein Autoenrollment möglich ohne Domänenmitgliedschaft zusätzliche Templates sind bei Bedarf möglich Für Windows Server in Forest ohne Microsoft CA Manuelles Enrollment über PKCS#10 Enrollment über CES/CEP Cross-Forest (Auto-) Enrollment 16
Klasse E Technische Zertifikate für Personen, Organisationen, Maschinen und Systeme Windows Enterprise PKI Zertifikate werden neu als Klasse E bezeichnet Zertifikate der Klasse E werden ab einer nicht zertifizierten Windows PKI erstellt und erfüllen die BV internen Anforderungen an Sicherheit und Nachvollziehbarkeit analog dem Active Directory Werden aber nicht durch ein Zertifizierungsverfahren oder Audit bestätigt und sind deshalb nicht «public trust» fähig 17
Neue Bezeichnungen zusammengefasst Klasse C Standardzertifikate für Maschinen, Personen, Organisationen und Systeme Klasse D Spezialzertifikate für Maschinen, Personen, Organisationen und Systeme Klasse E Interne Zertifikate ab Windows PKI (kein Audit) 18
Fragen? 19