Erklärung zum Zertifizierungsbetrieb der TU Darmstadt Classic CA in der DFN-PKI - Sicherheitsniveau: Classic - CPS der TU Darmstadt Classic CA V1.3 02. April 2009
1 Einleitung Die TU Darmstadt Classic CA ist eine Zertifizierungsstelle des DFN-Anwenders Technische Universität Darmstadt innerhalb der DFN-PKI. In der DFN-PKI wird eine Zertifizierungshierarchie verwendet, bei der das Zertifikat der TU Darmstadt Classic CA von der DFN-PCA ausgestellt wird. Für den Betrieb der TU Darmstadt Classic CA gelten die folgenden Dokumente: CP der DFN-PKI: "Zertifizierungsrichtlinie der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID 1.3.6.1.4.1.22177.300.1.1.5.2.1 CPS der DFN-PCA: "Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID 1.3.6.1.4.1.22177.300.2.1.5.2.1 Die vom CPS der DFN-PCA abweichenden Regelungen für die TU Darmstadt Classic CA sind in Kapitel 3 dieses Dokuments beschrieben. Die TU Darmstadt Classic CA stellt ausschließlich Zertifikate im Sicherheitsniveau "Classic" aus. 2 Identifikation des Dokuments Titel: "Erklärung zum Zertifizierungsbetrieb der TU Darmstadt Classic CA in der DFN-PKI" Version: 1.3 3 Abweichungen vom CPS der DFN-PCA Nachfolgend sind die Abschnitte des CPS der DFN-PCA aufgeführt, in denen für die TU Darmstadt Classic CA abweichende Regelungen getroffen werden. Zu CPS der DFN-PCA: "1.3.1 Zertifizierungsstellen" Die Anschrift der TU Darmstadt Classic CA lautet: Hochschulrechenzentrum TU Darmstadt Classic CA Petersenstr. 30 Telefon: +49 6151 16-5621 Telefax: +49 6151 16-3050 E-Mail: tud-ca@hrz.tu-darmstadt.de 64287 Darmstadt WWW: www.hrz.tu-darmstadt.de Zu CPS der DFN-PCA: "1.3.2 Registrierungsstellen" Die ausgezeichnete Registrierungsstelle für die zuvor genannten Zertifizierungsstellen befindet sich in den Räumen der TU Darmstadt Classic CA. Darüber hinaus gibt es noch folgende zwei Registrierungsstellen: Studierende Dezernat II Studierendenservice Mitarbeiter Karolinenplatz 5 Karolinenplatz 5 Dezernat III - Personalangelegenheiten 64289 Darmstadt 64289 Darmstadt Zu CPS der DFN-PCA: "1.5.1 Organisation" Die Verwaltung dieses CPS erfolgt durch die in Abschnitt 1.3.1 genannte Einrichtung. CPS der TU Darmstadt Classic CA Seite 2/5 V1.3
Der Betrieb der TU Darmstadt Classic CA erfolgt durch: DFN-Verein Telefon: +49 30 884299-24 Telefax: +49 30 884299-70 Alexanderplatz 1 E-Mail: pki@dfn.de D - 10178 Berlin WWW: www.pki.dfn.de Zu CPS der DFN-PCA: "1.5.2 Kontaktperson" Die verantwortliche Person für das CPS der TU Darmstadt Classic CA ist: Hochschulrechenzentrum TU Darmstadt Classic CA Michael Würtz Telefon: +49 6151 16-5812 Petersenstr. 30 Telefax: +49 6151 16-3050 64287 Darmstadt E-Mail: wuertz@hrz.tu-darmstadt.de Zu CPS der DFN-PCA: "2.2 Veröffentlichung von Informationen" Alle gemäß CP, Abschnitt 2.2, erforderlichen Informationen werden bereitgestellt unter: http://www.pki.dfn.de/teilnehmer Zu CPS der DFN-PCA: "3.1.1 Namensform" Die DNs aller Zertifikatnehmer unterhalb der TU Darmstadt Classic CA enthalten die Attribute "C=DE" und "O=Technische Universitaet Darmstadt". Das optionale Attribut "OU=<Organisationseinheit>" kann mehrfach angegeben werden. Das optionale Attribut "UID=<pro Person eindeutige Nummer>" kommt einmalig vor und garantiert die Eindeutigkeit des Subjects in den Zertifikaten. Die E-Mail Adresse wird in der Zertifikaterweiterung "subjectalternativename" eingetragen. Voraussetzung hierfür ist die Zugehörigkeit der Domain zur TU Darmstadt. Damit entspricht der Name jedes Zertifikatnehmers dem folgenden Schema: C=DE ST=Hessen L=Darmstadt O=Technische Universitaet Darmstadt [ OU=<Organisationseinheit> ] [ UID=<pro Person eindeutige Nummer> ] CN=<Personen Namen> Zu CPS der DFN-PCA: "4.1.1 Wer kann ein Zertifikat beantragen" Die TU Darmstadt Classic CA bietet ihre Dienstleistungen allen Angehörigen und Mitarbeitern des DFN-Anwenders an. Zu CPS der DFN-PCA: "4.1.2 Registrierungsprozess" Voraussetzung für die Registrierung ist eine gültige TU-ID, ein Eintrag im Identity Management System der TU Darmstadt. CPS der TU Darmstadt Classic CA Seite 3/5 V1.3
Der Registrierungsprozess erfolgt automatisiert. Studierende erhalten bei der Einschreibung ein Krypto-Gerät, das einen geheimen Signatur-Schlüssel enthält. Über ein automatisiertes Online-Verfahren kann ein Zertifikat für diesen Schlüssel beantragt, und das Zertifikat später auf das Krypto-Gerät geladen werden. Nicht studentische Angehörige der TU Darmstadt können, sofern sie im Besitz einer TU-ID sind und über eine entsprechende Berechtigung sowie Freigabe verfügen, ein Krypto-Gerät anfordern, und mit dem selben Online-Verfahren Zertifikate sowohl für den Signatur-Schlüssel, als auch für den Verschlüsselungs-Schlüssel erhalten und auf das Krypto-Gerät laden. Eine Kopie des Verschlüsselungs-Schlüssels ist bei der RA hinterlegt (s. 4.12.1). Zu CPS der DFN-PCA: "4.12.1 Richtlinien und Praktiken zur Schlüsselhinterlegung und -wiederherstellung" Eine Schlüsselhinterlegung findet automatisch für alle Verschlüsselungs-Schlüssel der Mitarbeiter statt. Die Schlüssel befinden sich auf Datenträgern bei der Registrierungsstelle und sind dort so gespeichert, dass ein Auslesen eines Schlüssels nur durch Zusammentreffen zweier Mitglieder aus unterschiedlichen organisatorischen Einheiten erfolgen kann. Diese Datenträger sind die einzigen Medien, die die geheimen Schlüsseldaten (privater Schlüssel des Verschlüsselungsschlüssels) enthalten. Es gibt keine weitere Sicherung dieser Daten bei dem Hersteller oder dem Beschlüsselungsdienstleister der Karten. Organisatorischer Ablauf Beantragung der Schlüsselwiederherstellung Eine Schlüsselwiederherstellung kann unter folgenden Umständen beantragt werden: bei Verlust oder zu häufiger Falscheingabe der PIN oder PUK bei Verlust oder Defekt der Chipkarte durch den Besitzer der Karte / des Zertifikates nach Ausscheiden eines Mitarbeiters, schwerer Krankheit, Tod, oder zur Beweissicherung bei Verdacht auf strafrechtliche Handlungen durch den Leiter der organisatorischen Einheit. Der Antrag muss schriftlich an einen Mitarbeiter der Zertifizierungsstelle der TU Darmstadt erfolgen. Dieser hat bei einem berechtigten Antrag die Aufgabe alle weiteren Schritte einzuleiten. Durchführung der Schlüsselwiederherstellung Vor der Durchführung einer Schlüsselwiederherstellung ist der Datenschutzbeauftragte der TU Darmstadt zu informieren. Dabei muss der Grund der Schlüsselwiederherstellung mitgeteilt werden. Folgende Personen müssen während einer Schlüsselwiederherstellung anwesend sein: ein Besitzer einer Operatorkarte aus Gruppe 1 (Registrierungsstelle) ein Besitzer einer Operatorkarte aus Gruppe 2 (Personalabteilung) der Antragsteller ein Protokollant Über die einzelnen Schritte der Schlüsselwiederherstellung sowie die anwesenden Personen ist Protokoll zu führen. Dieses Protokoll wird nach Beendigung der Schlüsselwiederherstellung bei dem Datenschutzbeauftragten der TU Darmstadt und in Kopie bei der Registrierungsstelle der TU Darmstadt Classic CA hinterlegt. Zu CPS der DFN-PCA: "5 Infrastrukturelle, organisatorische und personelle Sicherheitsmaßnahmen" und "6 Technische Sicherheitsmaßnahmen" CPS der TU Darmstadt Classic CA Seite 4/5 V1.3
Die TU Darmstadt Classic CA wird durch den DFN-Verein im Auftrag des DFN-Anwenders bei der DFN-PCA betrieben. Daher sind für die TU Darmstadt Classic CA dieselben infrastrukturellen, organisatorischen, personellen und technischen Sicherheitsmaßnahmen umgesetzt, wie für die DFN-PCA (siehe CPS der DFN-PCA). Zu CPS der DFN-PCA: "Zu CPS der DFN-PCA: "6.1.1 Schlüsselerzeugung" Schlüssel für Benutzerzertifikate werden bei dem Dienstleister erzeugt, der die Krypto-Geräte initialisiert. Eine Speicherung der Schlüssel erfolgt ausschließlich für den Zweck der Wiederherstellung von Verschlüsselungs-Schlüsseln der Mitarbeiter. Diese Schlüssel werden der Registrierungsstelle in gesicherter Form auf Datenträgern übergeben und danach beim Dienstleister gelöscht. Zu CPS der DFN-PCA: "6.1.2 Übermittlung des privaten Schlüssels an den Zertifikatnehmer" Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt auf Krypto-Geräten, die mit einer Null-PIN gesichert sind. Die Schlüssel können erst verwendet werden, wenn der Zertifikatnehmer eine PIN selbst gewählt und aktiviert hat. Dabei wird ebenfalls eine PUK erzeugt, die nur dem Zertifikatnehmer bekannt gegeben wird. Durch das Online-Verfahren zur Registrierung ist sicher gestellt, dass nur der berechtigte Inhaber des Krypto-Gerätes ein Zertifikat beantragen kann. Zu CPS der DFN-PCA: "6.2.4 Backup der privaten Schlüssel" Die TU Darmstadt Classic CA bietet die Wiederherstellung der geheimem Verschlüsselungsschlüssel der TU Darmstadt bei der RA entsprechend Kapitel 4.12.1 an. Zu CPS der DFN-PCA: "6.3.2 Gültigkeit von Zertifikaten und Schlüsselpaaren" Die durch die TU Darmstadt Classic CA ausgestellten Serverzertifikate haben standardmäßig eine Laufzeit von fünf Jahren, die Nutzerzertifikate von einem Jahr. CPS der TU Darmstadt Classic CA Seite 5/5 V1.3