Certification Practice Statement for the S-TRUST Network (S-TRUST Network-CPS) - Zertifikatsrichtlinien für das S-TRUST Netzwerk -

Certification Practice Statement for the S-TRUST Network (S-TRUST Network-CPS) - Zertifikatsrichtlinien für das S-TRUST Netzwerk -

Dokumentenhistorie Version Datum Beschreibung/ Änderungsgrund 1.11 23.01.2014 Änderungen in den Kapiteln 2.1.1, 3.1.1 und 4.1.1 Ergänzung und Beschreibung der zweiten Zertifizierungshierarchie für die Erstellung von Authentifizierungs- und Verschlüßelungszertifikaten Anpassung Impressum 1.10 24.04.2013 Änderungen / Ergänzungen i.v.m. ETSI Prüfung durch TÜV Informationstechnik GmbH am 09/10.04.2013 Kapitel 4.7.1.5: Anpassung der Version für die ETSI- Norm 102 176-1 V2.1.1 (2011-07) Anpassung der Impressumdaten 1.9 22.04.2013 Änderungen / Ergänzungen i.v.m. ETSI Prüfung durch TÜV Informationstechnik GmbH am 09/10.04.2013 Ergänzung Zertifizierungspolitik im Abschnitt 1.1 Überblick: Die CPS erfüllt alle Anforderungen der Normen ETSI TS 101 456 (QCP Public + SSCD) und ETSI TS 102 042 (NCP+) 1.8 07.01.2013 Änderungen / Ergänzungen i.v.m. ETSI Prüfung durch TÜV Informationstechnik GmbH am 25/26.04.2012 Anpassung des Namens: Certification Practice Statement for the S-TRUST Network (S-TRUST Network- CPS) - Zertifikatsrichtlinien für das S-TRUST Netzwerk Abschnitt 2.6.3.2 - Anpassung gemäß ETSI: Die Rolleninhaber und deren Vorgesetzte werden durch den Sicherheitsmanager informiert, sobald die Sicherheitsüberprüfung abgeschlossen ist und die Tätigkeit als Rolleninhaber aufgenommen werden kann. Anpassung Impressum - neuer Geschäftsführer 1.7 14.04.2010 Änderungen / Ergänzungen i.v.m. ETSI Prüfung durch TÜV Informationstechnik GmbH am 13.04.2010, sowie Änderungen der Impressumdaten: Kapitel Kapitel 2.2.1 und 3.2.1 Herausnahme der DSV-seitigen monetären Beschränkung, da die in 2010 ausgestellten Zertifikate keine solche Beschränkung mehr enthalten. Anpassung Kap. 2 Hinweis auf Änderung ab 01.07.2010, Zertifikate ohne CRL / Sperrlistenverweis (ohne CDP, nur noch OCSP- Abfrage) S-TRUST Network CPS Seite: 2 von 101

Anpassung Kap. 3 Hinweis auf Änderung ab 31.12.2009, Zertifikate ohne CRL / Sperrlistenverweis (ohne CDP, nur noch OCSP- Abfrage) 1.6 08.05.2009 Änderungen / Ergänzungen i.v.m. ETSI Prüfung durch TÜV Informationstechnik GmbH am 29./30.04.2009 Kapitel 2 Punkt 2.1.1 Erweiterung um den Hinweis: Das Authentisierungs- und Verschlüsselungszertifikat ist immer Bestandteil bei der Ausstellung qualifizierter Zertifikate. Diese werden automatisch generiert, ohne dass diese gesondert beantragt werden müssen. Die Prozesse in Folge sind dabei identisch für die Ausstellung der Zertifikate, ansonsten wird dies explizit in den jeweiligen Unterpunkten erwähnt. Kapitel 2 Punkt 2.4.1.2... Benutzerpseudonym_Ftl.Nummer:PN im qualifizierten Personenzertifikat und in das Authentisierungs- und Verschlüsselungszertifikat Kapitel 2 Punkt 2.5.10.8... Alternativ kann die Prüfung über eine OCSP-Abfrage erfolgen Kapitel 2 Punkt 2.6.6.1... ausgestellte qualifizierten Zertifikate und Authentisierungs- und Verschlüsselungszertifikate Kapitel 2 Punkt 2.6.6.2... Im Falle der Einstellung der Zertifizierungsdienste siehe Punkt 2.6.8 Kapitel 2 Punkt 2.7.1.4 Der öffentliche Schlüssel der qualifizierten S-TRUST Wurzel-CA,der qualifizierten Signatur-CA und der Authentisierungs/Verschlüsselungszertifikats CA wird auf der Chipkarte gespeichert. Kapitel 2 Punkt 2.7.3.1...gemäß den gesetzlichen Anforderungen (SigG 10 i.v.m. 8 SigV) archiviert. Kapitel 2 Punkt 2.10.4.5 gelöscht: Keine Bestimmungen. Neue Formulierung: Es bestehen keine weiteren Offenlegungsgründe. Kapitel 3 : Übernahme der o.g. Änderungen analog Kapitel 2 1.5 12.12.2008 Ergänzungen für den akkreditierten Betrieb eingearbeitet: Ergänzungen in der Einleitung, Kapitel 1.1; 1.2.1; 1.2.2 Neuerstellung Kapitel 3 Signaturvorbereitete Chipkarte für die qualifizierte Signatur mit Anbieterakkreditierung Überarbeitung Kap. 2: S-TRUST Network CPS Seite: 3 von 101

2.5.10 Ergänzung zur Sperrung von Zertifikaten; Formale Verbesserungen eingearbeitet in Kapitel 2.6.6.1; 2.6.6.3, 2.7.2.4; 2.7.2.5; 2.7.4.2; 2.7.5.1; 2.10.2.1; 2.10.3.1, 2.10.4.1; 2.10.4.2 Angabe der Telefongebühren für Sperrhotline (Kapitel 4.5.9.3.1; 5.2.3) 1.4 30.05.2008 Anpassungen in Kapitel 1.2.1; 2.4ff; 2.5ff; 2.10.4.4 und 5 Ergänzungen und Korrekturen zur Einführung eines Pseudonyms Ergänzungen zur Einführung der Attribute: berufsbezogene oder sonstige Angaben Ergänzung: Sperrung durch die für berufsbezogene oder sonstige Angaben zuständige Stelle 1.3 30.04.2008 Anpassungen in Kapitel 3 durch ETSI-Prüfung 3.6.8 Einstellung ZDA / 3.5.9.6 Sperrung von Zertifikaten 1.2 14.12.2007 Umbenennung der Produktbezeichnung SparkassenCard/kontounabhängige GeldKarte zu Signaturvorbereitete Chipkaten für die qualifizierte Signatur von S-TRUST Einführung eines personalisierten Download-Links zur E- Mail-Adressverifikation bei qualifizierten Signaturprodukten FIPS 140-1 Level 2 auf Level 3 für kryptographische CA Module (nicht SigG) erhöht Ergänzungsregelung für den Fall einer Einstellung der Zertifizierungsdienste für die qualifizierten Signaturprodukte eingefügt Transaktionslimit von 2,5 Millionen Euro für die qualifizierten Signaturprodukte nachgetragen 1.1 12.01.2007 Verbesserungen aus ETSI-Audits ETSI TS 101 456 sowie ETSI 102 042 eingearbeitet. 1.0 01.12.2006 Erstversion S-TRUST Network CPS Seite: 4 von 101

Impressum Deutscher Sparkassen Verlag GmbH Postanschrift: 70547 Stuttgart Hausanschrift: Am Wallgraben 115, 70565 Stuttgart Telefon: +49 711 782-0 Telefax: +49 711 782-1635 E-Mail: info@s-trust.de Aufsichtsratsvorsitzender: Thomas Mang, Sitz der Gesellschaft: Stuttgart, Registergericht: Stuttgart, Handelsregister: Nr. B/748, Bankverbindung: Baden-Württembergische Bank (BW-Bank), BLZ: 600 501 01, Konto: 1366860, USt. ID-Nr.: DE 147830796, Geschäftsführung: Prof. Michael Ilg (Vorsitzender), Wilhelm Gans, Markus Keggenhoff, Oliver Lux 2014 Deutscher Sparkassen Verlag GmbH, Stuttgart Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. S-TRUST Network CPS Seite: 5 von 101

Inhaltsverzeichnis 1 Einleitung 11 1.1 Überblick 11 1.2 Karten und Zertifikate 11 1.2.1 Signaturvorbereitete Chipkarten zur Erstellung qualifizierter Signaturen 11 1.2.2 Signaturvorbereitete Chipkarte zur Erstellung qualifizierter Signaturen mit Anbieterakkreditierung 12 1.2.3 S-TRUST Signaturkarte 13 1.3 Dokumentenidentifikation 13 1.4 Policy-Verwaltung 13 1.4.1 Genehmigung 13 1.4.2 Ansprechpartner 13 1.4.3 Änderungsprozedur 13 2 Signaturvorbereitete Chipkarten für qualifizierte Signatur 14 2.1 Zertifizierungshierarchie, Teilnehmer und Instanzen der PKI 14 2.1.1 Zertifizierungshierarchie 14 2.1.2 Registrierungsstellen 17 2.1.3 Endteilnehmer (Endkunde) 17 2.1.4 Vertrauende Dritte 17 2.1.5 Weitere Dienste und Teilnehmer 17 2.2 Anwendbarkeit von Zertifikaten 18 2.2.1 Zulässige Anwendung von Zertifikaten 18 2.2.2 Unzulässige Anwendung von Zertifikaten 18 2.3 Bekanntmachung und Verzeichnisdienst 18 2.3.1 Verzeichnisse 18 2.3.2 Veröffentlichung von Zertifikatsinformationen 19 2.3.3 Veröffentlichung von Geschäftsbedingungen 19 2.3.4 Häufigkeit und Zyklen für Veröffentlichungen 19 2.3.5 Zugriffskontrolle auf Verzeichnisse 20 2.4 Identifizierung und Authentisierung 20 2.4.1 Namensgebung 20 2.4.2 Erstmalige Identifizierung 21 2.5 Anforderungen an den Lebenszyklus der Zertifikate 21 2.5.1 Antragstellung auf Zertifizierung 21 2.5.2 Antragsbearbeitung 21 2.5.3 Zertifikatsausstellung 23 2.5.4 Zertifikatsübergabe und -annahme 23 2.5.5 Nutzung der Schlüsselpaare und der Zertifikate 24 2.5.6 Re-Zertifizierung von Zertifikaten mit Schlüsselwechsel 25 2.5.7 Re-Zertifizierung von Schlüsseln 25 2.5.8 Re-Zertifizierung von Schlüsseln mit Datenanpassung 25 2.5.9 Wiederholte Ausstellung von Zertifikaten 25 2.5.10 Sperrung von Zertifikaten 25 2.6 Physikalische, organisatorische und personelle Sicherheitsmaßnahmen 28 2.6.1 Physikalische Sicherheitsmaßnahmen 28 S-TRUST Network CPS Seite: 6 von 101

2.6.2 Organisatorische Sicherheitsmaßnahmen 30 2.6.3 Personelle Sicherheitsmaßnahmen 31 2.6.4 Protokollierung sicherheitskritischer Ereignisse 33 2.6.5 Schlüsselwechsel der Wurzel-CA 34 2.6.6 Archivierung 34 2.6.7 Wiederanlauf nach Katastrophen 35 2.6.8 Einstellung der Zertifizierungsdienste 36 2.7 Technische Sicherheitsmaßnahmen 37 2.7.1 Erzeugung und Installation von Schlüsseln 37 2.7.2 Schutz der privaten Schlüssel und kryptographischen Module 38 2.7.3 Weitere Aspekte der Verwaltung von Schlüsselpaaren 39 2.7.4 Aktivierungsdaten 40 2.7.5 Sicherheitsbestimmungen für Computer 41 2.7.6 Technische Kontrollen des Software-Lebenszyklus 41 2.7.7 Maßnahmen zur Netzwerksicherheit 42 2.7.8 Zeitstempel 42 2.8 Profile 42 2.8.1 Zertifikatsprofile 42 2.8.2 Profil der Sperrlisten 42 2.8.3 OCSP-Profil 42 2.9 Audits, Revisionen und weitere Prüfungen 42 2.9.1 Häufigkeit 43 2.9.2 Identität und Qualifikation des Prüfers 43 2.9.3 Beziehungen zwischen Prüfer und zu untersuchender Partei 43 2.9.4 Umfang der Prüfungen 43 2.9.5 Maßnahmen bei Mängeln 44 2.9.6 Veröffentlichung der Ergebnisse der Audits und Revisionen 44 2.10 Geschäftliche und rechtliche Bestimmungen 44 2.10.1 Gebühren 44 2.10.2 Finanzielle Verantwortung 45 2.10.3 Vertraulichkeit betrieblicher Informationen 45 2.10.4 Vertraulichkeit personenbezogener Informationen 45 3 Signaturvorbereitete Chipkarte für die qualifizierte Signatur mit Anbieterakkreditierung 47 3.1 Zertifizierungshierarchie, Teilnehmer und Instanzen der PKI 47 3.1.1 Zertifizierungshierarchie 47 3.1.2 Registrierungsstelle 50 3.1.3 Endteilnehmer (Endkunde) 50 3.1.4 Vertrauende Dritte 50 3.1.5 Weitere Dienste und Teilnehmer 50 3.2 Anwendbarkeit von Zertifikaten 51 3.2.1 Zulässige Anwendung von Zertifikaten 51 3.2.2 Unzulässige Anwendung von Zertifikaten 51 3.3 Bekanntmachung und Verzeichnisdienst 51 3.3.1 Verzeichnisse 51 3.3.2 Veröffentlichung von Zertifikatsinformationen 52 3.3.3 Veröffentlichung von Geschäftsbedingungen 52 S-TRUST Network CPS Seite: 7 von 101

3.3.4 Häufigkeit und Zyklen für Veröffentlichungen 52 3.3.5 Zugriffskontrolle auf Verzeichnisse 52 3.4 Identifizierung und Authentisierung 52 3.4.1 Namensgebung 52 3.4.2 Erstmalige Identifizierung 53 3.5 Anforderungen an den Lebenszyklus der Zertifikate 53 3.5.1 Antragstellung auf Zertifizierung 53 3.5.2 Antragsbearbeitung 53 3.5.3 Zertifikatsausstellung 54 3.5.4 Zertifikatsübergabe und -annahme 54 3.5.5 Nutzung der Schlüsselpaare und der Zertifikate 55 3.5.6 Re-Zertifizierung von Zertifikaten mit Schlüsselwechsel 56 3.5.7 Re-Zertifizierung von Schlüsseln 56 3.5.8 Re-Zertifizierung von Schlüsseln mit Datenanpassung 56 3.5.9 Wiederholte Ausstellung von Zertifikaten 56 3.5.10 Sperrung von Zertifikaten 56 3.6 Physikalische, organisatorische und personelle Sicherheitsmaßnahmen 57 3.6.1 Physikalische Sicherheitsmaßnahmen 57 3.6.2 Organisatorische Sicherheitsmaßnahmen 58 3.6.3 Personelle Sicherheitsmaßnahmen 59 3.6.4 Protokollierung sicherheitskritischer Ereignisse 61 3.6.5 Schlüsselwechsel der Wurzel-CA 62 3.6.6 Archivierung 62 3.6.7 Wiederanlauf nach Katastrophen 63 3.6.8 Einstellung der Zertifizierungsdienste 63 3.7 Technische Sicherheitsmaßnahmen 64 3.7.1 Erzeugung und Installation von Schlüsseln 64 3.7.2 Schutz der privaten Schlüssel und kryptographischen Module 65 3.7.3 Weitere Aspekte der Verwaltung von Schlüsselpaaren 66 3.7.4 Aktivierungsdaten 67 3.7.5 Sicherheitsbestimmungen für Computer 68 3.7.6 Technische Kontrollen des Software-Lebenszyklus 69 3.7.7 Maßnahmen zur Netzwerksicherheit 69 3.7.8 Zeitstempel 69 3.8 Profile 69 3.8.1 Zertifikatsprofile 69 3.8.2 Profil der Sperrlisten 69 3.8.3 OCSP-Profil 69 3.9 Audits, Revisionen und weitere Prüfungen 70 3.9.1 Häufigkeit 70 3.9.2 Identität und Qualifikation des Prüfers 70 3.9.3 Beziehungen zwischen Prüfer und zu untersuchender Partei 70 3.9.4 Umfang der Prüfungen 70 3.9.5 Maßnahmen bei Mängeln 70 3.9.6 Veröffentlichung der Ergebnisse der Audits und Revisionen 71 3.10 Geschäftliche und rechtliche Bestimmungen 71 3.10.1 Gebühren 71 S-TRUST Network CPS Seite: 8 von 101

3.10.2 Finanzielle Verantwortung 71 3.10.3 Vertraulichkeit betrieblicher Informationen 71 3.10.4 Vertraulichkeit personenbezogener Informationen 72 4 S-TRUST Signaturkarte 73 4.1 Zertifizierungshierarchie, Teilnehmer und Instanzen der PKI 73 4.1.1 Zertifizierungshierarchie 73 4.1.2 Registrierungsstellen 75 4.1.3 Endteilnehmer 75 4.1.4 Vertrauende Dritte 75 4.1.5 Weitere Teilnehmer und Dienste 75 4.2 Anwendbarkeit von Zertifikaten 76 4.2.1 Zulässige Anwendung von Zertifikaten 76 4.2.2 Unzulässige Anwendung von Zertifikaten 76 4.3 Bekanntmachung und Verzeichnisdienst 76 4.3.1 Verzeichnisse 76 4.3.2 Veröffentlichung von Zertifikatsinformationen 76 4.3.3 Veröffentlichung der Geschäftsbedingungen 77 4.3.4 Häufigkeit und Zyklen für Veröffentlichungen 77 4.3.5 Zugriffskontrolle auf Verzeichnisse 77 4.4 Identifizierung und Authentisierung 77 4.4.1 Namensgebung 77 4.4.2 Erstmalige Identifizierung 78 4.5 Anforderungen an den Lebenszyklus des Zertifikats 78 4.5.1 Antragstellung auf Zertifizierung 78 4.5.2 Antragsbearbeitung 78 4.5.3 Zertifikatsausstellung 79 4.5.4 Zertifikatsübergabe und -annahme 80 4.5.5 Nutzung des Schlüsselpaares und des Zertifikats 80 4.5.6 Re-Zertifizierung von Zertifikaten mit Schlüsselwechsel 80 4.5.7 Re-Zertifizierung von Schlüsseln 80 4.5.8 Re-Zertifizierung mit Datenanpassung 80 4.5.9 Sperrung von Zertifikaten 80 4.6 Physikalische, organisatorische und personelle Sicherheitsmaßnahmen 82 4.6.1 Physikalische Sicherheitsmaßnahmen 82 4.6.2 Organisatorische Sicherheitsmaßnahmen 82 4.6.3 Personelle Sicherheitsmaßnahmen 83 4.6.4 Protokollierung sicherheitskritischer Ereignisse 83 4.6.5 Schlüsselwechsel der Wurzel-CA 83 4.6.6 Archivierung 84 4.6.7 Wiederanlauf nach Katastrophen 84 4.6.8 Einstellung der Zertifizierungsdienste 84 4.7 Technische Sicherheitsmaßnahmen 85 4.7.1 Erzeugung und Installation von Schlüsseln 85 4.7.2 Schutz der privaten Schlüssel und kryptographischen Module 86 4.7.3 Weitere Aspekte der Verwaltung von Schlüsselpaaren 87 4.7.4 Aktivierungsdaten 87 4.7.5 Sicherheitsbestimmungen für Computer 88 S-TRUST Network CPS Seite: 9 von 101

4.7.6 Technische Kontrollen des Software-Lebenszyklus 88 4.7.7 Maßnahmen zur Netzwerksicherheit 88 4.7.8 Zeitstempel 88 4.8 Profile 88 4.8.1 Zertifikatsprofile 88 4.8.2 Profil der Sperrlisten 88 4.8.3 OCSP-Profil 88 4.9 Audits, Revisionen und weitere Prüfungen 88 4.9.1 Häufigkeit 88 4.9.2 Identität und Qualifikation des Prüfers 88 4.9.3 Beziehungen zwischen Prüfer und zu untersuchender Partei 88 4.9.4 Umfang der Prüfungen 89 4.9.5 Maßnahmen bei Mängeln 89 4.9.6 Veröffentlichung der Ergebnisse der Audits und Revisionen 89 4.10 Geschäftliche und rechtliche Bestimmungen 89 4.10.1 Gebühren 89 4.10.2 Finanzielle Verantwortung 89 4.10.3 Vertraulichkeit betrieblicher Informationen 90 4.10.4 Vertraulichkeit personenbezogener Informationen 90 5 Weitere geschäftliche und rechtliche Bestimmungen 90 5.1 Geistiges Eigentum und dessen Rechte 90 5.2 Sorgfalts-, Mitwirkungspflichten u. Obliegenheiten des Zertifikatsinhabers 91 5.2.1 Aufbewahrung und Nutzung der privaten Schlüssel und Zertifikate 91 5.2.2 Geheimhaltung 91 5.2.3 Anzeige- und Mitteilungspflichten 91 5.3 Nutzung durch Dritte 92 5.4 Haftung des Kunden/Zertifikatsinhabers 92 5.5 Störungen und Schlechtleistung 92 5.6 Schlichtungsstelle 92 5.7 Haftung von ZDA DSV 93 5.8 Gültigkeit der CPS 93 5.8.1 Gültigkeitszeitraum 93 5.8.2 Ende der Gültigkeit 93 5.9 Änderungen und Ergänzungen der CPS 93 5.9.1 Verfahren für die Ergänzung der CPS 93 5.9.2 Benachrichtigungsverfahren und Veröffentlichungsperioden 94 5.10 Anwendbares Recht 94 5.11 Gerichtsstand 94 5.12 Vorrang zwingender gesetzlicher Regelungen 94 6 Anhang A: Definitionen und Abkürzungen 95 S-TRUST Network CPS Seite: 10 von 101

1 Einleitung 1.1 Überblick Die Deutscher Sparkassen Verlag GmbH ist ein Zertifizierungsdiensteanbieter ( ZDA ). Unter der Marke S-TRUST bietet die Deutscher Sparkassen Verlag GmbH ( ZDA DSV ) Leistungen zur Erstellung fortgeschrittener elektronischer Signaturen, zur Erstellung qualifizierter elektronischer Signaturen und zur Erstellung qualifizierter elektronischer Signaturen mit Anbieterakkreditierung an. Das vorliegende Dokument bildet das Certification Practice Statement (CPS) der Zertifizierungsdienste für kartenbasierte Zertifikate von S-TRUST. Es dient zur Information über die Zertifizierungsdienstleistungen der Deutschen Sparkassen Verlag GmbH. Dieses CPS legt die Praktiken dar, die der Zertifizierungsdiensteanbieter Deutscher Sparkassen Verlag GmbH (ZDA DSV) bei der Beantragung, Generierung, Auslieferung und Verwaltung der Zertifikate anwendet. Die CPS erfüllt alle Anforderungen der Normen ETSI TS 101 456 (QCP Public + SSCD) und ETSI TS 102 042 (NCP+). Die Konformität zu den Normen wird jährlich durch einen externen Auditor geprüft und per Zertifikat bestätigt. 1.2 Karten und Zertifikate 1.2.1 Signaturvorbereitete Chipkarten zur Erstellung qualifizierter Signaturen Die Chipkarten für die qualifizierte Signatur von S-TRUST werden mit Vorbereitung für die elektronische Signatur vom ZDA DSV angeboten. Alle für die Aufnahme von Zertifikaten vorbereiteten Chipkarten wie z. B. die SparkassenCard sind am S-TRUST Logo auf der Kartenrückseite zu erkennen. Außer der Signaturfunktion bieten diese Karten eine Authentisierungs-, und Verschlüsselungsfunktion an. Neben den Wurzelzertifikaten von S- TRUST werden folgende Personenzertifikate auf die Chipkarte heruntergeladen: Signaturzertifikat für die Erstellung qualifizierter elektronischer Signaturen, Verschlüsselungs-/ Authentisierungszertifikat. Mit dem privaten Schlüssel der Chipkarte in Verbindung mit dem qualifizierten Zertifikat können qualifizierte elektronische Signaturen nach 2 Abs. 3 des deutschen Signaturgesetzes (SigG) erstellt werden. Die qualifizierte elektronische Signatur ist der eigenhändigen Unterschrift in ihrer rechtlichen Bedeutung gleichgestellt, wenn sich aus dem Gesetz nichts anderes ergibt. Mit dem Verschlüsselungs-/ Authentisierungs-Zertifikat können vertrauliche Daten, wie z.b. E- Mails oder Dokumente verschlüsselt und Authentifizierungen gegenüber Anwendungen durchgeführt werden. Der ZDA DSV bietet die Möglichkeit an, Angaben des Antragstellers (Attribute) über seine Vertretungsmacht in das Zertifikat mit aufzunehmen (vgl. 5 Abs. 2 SigG). Ein qualifiziertes Personenzertifikat und das fortgeschrittene Authentifizierungs-/Verschlüsselungszertifikat können den Firmennamen oder ein ähnliches Unternehmenskennzeichen enthalten. Das qualifiziertes Personenzertifikat kann zusätzlich eine Beschränkung in Form eines Freitextes sowie berufsbezogene Angaben enthalten. S-TRUST Network CPS Seite: 11 von 101

Angaben zur Firma oder Organisation können in das Zertifikat nur aufgenommen werden, wenn der Kunde eine entsprechende Berechtigung durch Vorlage einer schriftlichen Bestätigung des Rechteinhabers an dem Firmennamen oder dem Unternehmenskennzeichen nachweist. Berufsbezogene Angaben oder die Angabe einer Beschränkung mit Bezug zu einem Dritten sind durch die für die berufsbezogenen Angaben oder sonstigen Angaben zuständigen Stelle zu bestätigen. (vgl. 5 Abs. 2 SigG, 3 Abs. 2 SigV). Der Rechteinhaber und/oder die zuständige bestätigende Stelle sind zur Sperrung des Zertifikats berechtigt. 1.2.2 Signaturvorbereitete Chipkarte zur Erstellung qualifizierter Signaturen mit Anbieterakkreditierung S-TRUST bietet eine Chipkarte mit Vorbereitung zur Erstellung qualifizierter Signaturen mit Anbieter-Akkreditierung an. Durch Freischaltung der Chipkarte und nach Download des/der Zertifikat(e) wird die Chipkarte eine sichere Signaturerstellungseinheit i.s.v. 2 Nr. 10 SigG. Die signaturvorbereitete Chipkarte ist am S-TRUST Logo auf der Kartenrückseite zu erkennen. Außer der Signaturfunktion bietet diese Chipkarte eine Authentisierungs-, und Verschlüsselungsfunktion an. Neben dem Wurzelzertifikat der Bundesnetzagentur und dem Ausstellerzertifikat von S-TRUST werden folgende Personenzertifikate auf die Chipkarte geladen und gespeichert: Signaturzertifikat für die Erstellung qualifizierter elektronischer Signaturen mit Anbieterakkreditierung, Verschlüsselungs-/ Authentisierungszertifikat. Mit dem privaten Schlüssel der Chipkarte und der PIN in Verbindung mit dem qualifizierten Zertifikat können qualifizierte elektronische Signaturen nach 2 Nrn. 3 und 15, 15 Abs. 1 Satz 4 des deutschen Signaturgesetzes (SigG) erstellt werden. Die qualifizierte elektronische Signatur ist der eigenhändigen Unterschrift in ihrer rechtlichen Bedeutung gleichgestellt, wenn sich aus dem Gesetz nichts anderes ergibt. Mit dem Verschlüsselungs-/ Authentisierungs-Zertifikat können vertrauliche Daten, wie z.b. E- Mails oder Dokumente verschlüsselt und Authentifizierungen gegenüber Anwendungen durchgeführt werden. Der ZDA DSV bietet die Möglichkeit an, Angaben des Antragstellers (Attribute) über seine Vertretungsmacht in das Zertifikat mit aufzunehmen (vgl. 5 Abs. 2 SigG). Ein qualifiziertes Personenzertifikat und das Authentifizierungs-/Verschlüsselungszertifikat können den Firmennamen oder ein ähnliches Unternehmenskennzeichen enthalten. Das qualifizierte Personenzertifikat kann zusätzlich eine Beschränkung in Form eines Freitextes sowie berufsbezogene Angaben enthalten. Angaben über eine Vertretungsmacht sowie Unternehmens- und Organisationsangaben können in das Zertifikat nur aufgenommen werden, wenn der Kunde eine entsprechende Berechtigung durch Vorlage einer schriftlichen Bestätigung des Vertretenen und/oder des Rechteinhabers an dem Firmennamen oder dem Unternehmenskennzeichen nachweist. Berufsbezogene Angaben oder die Angabe einer Beschränkung mit Bezug zu einem Dritten sind durch die für die berufsbezogenen Angaben oder sonstigen Angaben zuständige Stelle zu bestätigen (vgl. 5 Abs. 2 SigG, 3 Abs. 2 SigV). Der Rechteinhaber und/oder die zuständige bestätigende Stelle sind zur Sperrung des Zertifikats berechtigt ( 8 Abs. 2 SigG). S-TRUST Network CPS Seite: 12 von 101

1.2.3 S-TRUST Signaturkarte Die S-TRUST Signaturkarte dient der Erzeugung von fortgeschrittenen elektronischen Signaturen nach deutschem Signaturgesetz. Darüber hinaus ist diese Karte mit einer Authentisierungs- und Verschlüsselungsfunktion ausgestattet. Neben den Wurzelzertifikaten werden folgende Personenzertifikate auf der S-TRUST Signaturkarte mit ausgeliefert: Signaturzertifikat für die Erstellung fortgeschrittener elektronischer Signaturen, Verschlüsselungs-/ Authentisierungszertifikat. 1.3 Dokumentenidentifikation Die Dokumentenbezeichnung für das vorliegende CPS lautet: Certification Practice Statement for the S-TRUST Network (S-TRUST Network-CPS). Für die Referenzierung des CPS wird folgender CPS-URL Qualifier im Zertifikat verwendet: https://www.s-trust.de/stn-cps. 1.4 Policy-Verwaltung 1.4.1 Genehmigung Die Genehmigung unterliegt der Verantwortung des ZDA-Leiters des ZDA Deutscher Sparkassen Verlag GmbH. Die Einhaltung gewährleistet und überwacht der Sicherheitsmanager. Das CPS wird unter https://www.s-trust.de/stn-cps veröffentlicht. 1.4.2 Ansprechpartner Der Ansprechpartner für dieses CPS ist: Deutscher Sparkassen Verlag GmbH Produktmanagement Zertifizierungsdienstleistungen Am Wallgraben 115 70565 Stuttgart Deutschland http://www.s-trust.de 1.4.3 Änderungsprozedur Dieses Certification Practice Statement dient allein einer ersten Information über die Zertifizierungsdienstleistungen der Deutschen Sparkassen Verlag GmbH unter dem Unternehmenskennzeichen S-TRUST. Der ZDA DSV behält sich vor, den Inhalt dieses CPS jederzeit zu ändern oder zu ergänzen. Dies insbesondere, um die Leistung zu verbessern oder an technische Entwicklungen anzupassen und wenn dies aufgrund von Gesetzesänderungen und/oder Ergänzungen notwendig erscheint. Die Revision und Freigabe unterliegt der ausschließlichen Verantwortung der Deutschen Sparkassen Verlag GmbH. S-TRUST Network CPS Seite: 13 von 101

2 Signaturvorbereitete Chipkarten für qualifizierte Signatur 2.1 Zertifizierungshierarchie, Teilnehmer und Instanzen der PKI 2.1.1 Zertifizierungshierarchie Der ZDA DSV verwendet für die Ausstellung der verschiedenen Zertifikatstypen jeweils eine Zertifizierungsinstanz (CA). Durch die Zertifizierungsinstanzen und die von ihnen ausgestellten Zertifikate wird die in der folgenden Abbildung dargestellte Zertifizierungshierarchie definiert. S-TRUST Qualified Root CA S-TRUST Qualified Signature CA Qualified ARL # 1 S-TRUST Qualified OCSP- Responder Qualified End Entity Certificate # 1 Zertifikate die ab dem 01.07.2010 ausgestellt sind, enthalten keinen CDP mehr und stellen die Sperrangaben ausschließlich über OCSP-Abfrage zur Verfügung S-TRUST Authentication and Encryption Root CA End Entity Authentication and Encryption Certificate S-TRUST OCSP-Responder for Authentication and Encryption Certificates CRL for qualified and advanced End Entity Certificates S-TRUST Universal Root CA S-TRUST Authentication and Encryption Class 3 CA ARL S-TRUST Authentication and Encryption OCSP Responder End Entity Certificate Abbildung 1: Zertifizierungshierarchie # 1 Zertifikate die ab dem 01.07.2010 ausgestellt sind, enthalten keinen CDP mehr und stellen die Sperrangaben ausschließlich über OCSP-Abfrage zur Verfügung S-TRUST Network CPS Seite: 14 von 101

Es existieren drei Zertifizierungshierarchien: eine Zertifizierungshierarchie für die Ausstellung qualifizierter Zertifikate und zwei Zertifizierungshierarchien für die Erstellung von Authentisierungs- und Verschlüsselungszertifikaten. Das Authentisierungs- und Verschlüsselungszertifikat ist immer Bestandteil bei der Ausstellung qualifizierter Zertifikate. Diese werden automatisch generiert, ohne dass diese gesondert beantragt werden müssen. Die Prozesse in Folge sind dabei identisch für die Ausstellung der Zertifikate, ansonsten wird dies explizit in den jeweiligen Unterpunkten erwähnt. Im Folgenden werden diese kurz erläutert. Zertifizierungshierarchie für qualifizierte Zertifikate: Auf der obersten Stufe dieser Zertifizierungshierarchie befindet sich die qualifizierte Wurzel-CA (S-TRUST Qualified Root CA), die o die Zertifikate der qualifizierten Signatur-CAs (S-TRUST Qualified Signature CA), o die Zertifikate der OCSP-Responder für qualifizierte Zertifikate (S-TRUST Qualified OCSP-Responder) und o die ARL für die CA-Zertifikate (Qualified ARL) # 1 qualifiziert signiert. Auf der zweiten Hierarchiestufe befinden sich: die qualifizierten Signatur-CAs (S-TRUST Qualified Signature CA), welche die qualifizierten Personenzertifikate signieren, die OCSP-Responder für Zertifikatsabfragen für qualifizierte Zertifikate (S-TRUST Qualified Signature OCSP-Responder), die ARL mit der Sperrinformation für die CA-Zertifikate (Qualified ARL). Auf der dritten Hierarchiestufe befinden die qualifizierten Personenzertifikate. Diesen wurde die folgende OID zugewiesen: 1.3.6.1.4.1.19300.10.1 Aus gesetzlichen Gründen ist es erforderlich, jedes Jahr eine neues Wurzelzertifikat und davon signierte Ausstellerzertifikate für die Ausgabe qualifizierte Zertifikate zu erstellen. Damit die Generationen voneinander unterschieden werden können, ist der Common Name der Wurzelund der Ausstellerzertifikate daher um eine Jahreszahl (Ausstellungsjahr) und eine laufende Nummer ergänzt: Beispiel für das Jahr 2008: Wurzelzertifikat: CN = S-TRUST Qualified Root CA 2008-001:PN Ausstellerzertifikat: CN = S-TRUST Qualified Signature CA 2008-001:PN Die laufende Nummer ( -001 ) ist erforderlich um die Ausstellerzertifikate einer Generation unterscheiden zu können. Es werden aus technischen Gründen jeweils mehre Ausstellerzertifikate verwendet. # 1 Zertifikate die ab dem 01.07.2010 ausgestellt sind, enthalten keinen CDP mehr und stellen die Sperrangaben ausschließlich über OCSP-Abfrage zur Verfügung S-TRUST Network CPS Seite: 15 von 101

Zertifizierungshierarchie für Authentisierungs- und Verschlüsselungszertifikate (1): Auf der obersten Stufe dieser Zertifizierungshierarchie befindet sich die Wurzel-CA für Authentisierung und Verschlüsselung (S-TRUST Authentification und Encryption Root-CA), die o die Zertifikate des OCSP-Responders für Authentisierungs- und Verschlüsselungszertifikate (S-TRUST OCSP Responder for Authentication und Encryption Certificates), o o signiert. die Sperrlisten der Personenzertifikate (CRL for End Entity Certificates) und die Personenzertifikate für Authentisierung und Verschlüsselung Auf der zweiten Hierarchiestufe befinden sich: der OCSP-Responder für Authentisierungs- und Verschlüsselungszertifikate (S-TRUST Authentication and Encryption OCSP-Responder), die CRL mit der Sperrstatusinformation für alle von einer qualifizierten Signatur CA ( S- TRUST Qualified Signature CA... ) oder von der S-TRUST Authentication and Encryption Root CA 2005:PN ausgestellten Personenzertifikate (CRL for Qualified and Advanced End Entity Certificates) und die Personenzertifikate für Authentisierung und Verschlüsselung. Diesen wurde die folgende OID zugewiesen: 1.3.6.1.4.1.19300.10.2. Zertifizierungshierarchie für öffentliche Authentisierungs- und Verschlüsselungszertifikate (2): Auf der obersten Stufe dieser Zertifizierungshierarchie befindet sich die Wurzel-CA (S-TRUST Universal Root CA), die o die Zertifikate der Aussteller-CA (S-TRUST User Authentication und Encryption CA), o die ARL für die CA-Zertifikate signiert. Auf der zweiten Hierarchiestufe befinden sich: die Aussteller-CA (S-TRUST User Authentication und Encryption CA), welche die Personenzertifikate für Authentisierung und Verschlüsselung signiert die ARL mit der Sperrinformation für die CA-Zertifikate Auf der dritten Hierarchiestufe befinden sich: der OCSP-Responder für Authentisierungs- und Verschlüsselungszertifikate (S-TRUST Authentication and Encryption OCSP-Responder), die Personenzertifikate für Authentisierung und Verschlüsselung. Diesen wurde die folgende OID zugewiesen: 1.3.6.1.4.1.19300.10.5.1 S-TRUST Network CPS Seite: 16 von 101

2.1.2 Registrierungsstellen Teilnehmende Sparkassen, Landesbanken und weitere Organisationen übernehmen als Registrierungsstellen 1 die Aufgaben der Identifizierung der Zertifikatsbeantragenden ggf. die Antragsdatenerfassung und die Antragsübermittlung an den ZDA DSV. Mit diesen Registrierungsstellen hat der ZDA DSV vertragliche Vereinbarungen über die sorgfältige Ausführung der übertragenen Aufgaben getroffen. Darüber hinaus tritt der ZDA DSV auch selbst als Registrierungsstelle auf. 2.1.3 Endteilnehmer (Endkunde) Die Personenzertifikate werden nur auf natürliche Personen ausgestellt. Für die Zertifizierungsdienstleistungen des ZDA DSV gelten die AGB für die Nutzung von Zertifizierungsdiensten der Deutscher Sparkassen Verlag GmbH, die unter https://www.strust.de/repository veröffentlicht sind. 2.1.4 Vertrauende Dritte Die vom ZDA DSV ausgegebenen Zertifikate können in der Kommunikation mit beliebigen Personen und Parteien verwendet werden. Daher ist der Kreis der auf diese Zertifikate vertrauenden Parteien nicht eingeschränkt. Der Empfänger einer elektronischen Signatur oder eines Zertifikats entscheidet selbst, ob er der Signatur oder dem Zertifikat vertraut oder nicht. Der ZDA DSV empfiehlt dem Empfänger, zumindest im Zertifikatsverzeichnis (siehe Abschnitt 2.3.1) zu überprüfen, ob das Zertifikat gültig ist und ferner unter Verwendung des Zertifikats zu überprüfen, ob die elektronische Signatur während der Gültigkeitsdauer des Zertifikats mit dem dazugehörigen Signaturschlüssel erstellt und ob die elektronisch signierte Nachricht nachträglich verändert wurde. 2.1.5 Weitere Dienste und Teilnehmer Neben den oben genannten Beteiligten werden die Zertifizierungsdienste vom ZDA DSV wie folgt realisiert: Schlüsselgenerierung: Die Erzeugung des Signaturschlüsselpaares erfolgt direkt auf der Chipkarte beim Kartenhersteller. Das für die Verschlüsselung und Authentisierung notwendige Schlüsselpaar wird beim ZDA DSV erzeugt und anschließend dem Kartenhersteller übermittelt, der das Schlüsselpaar in der Chipkarte speichert. Dieses Schlüsselpaar ist dabei kryptographisch gesichert, so dass es nicht durch den Hersteller ausgelesen werden kann. Der ZDA DSV hat mit allen Kartenherstellern vertragliche Vereinbarungen über die sorgfältige Ausführung der übertragenen Aufgaben getroffen. Personalisierung: Bei der Personalisierung werden die Zertifikate ausgestellt und in der Chipkarte gespeichert. Die Personalisierung wird vom Karteninhaber vorgenommen (siehe Abschnitt 2.5.4.1). Verzeichnisdienste: Der ZDA DSV betreibt - einen OCSP-Dienst zur Statusabfrage von qualifizierten Zertifikaten. Der OCSP- Dienst erfüllt die Anforderungen des deutschen Signaturgesetzes. Seine 1 Autorisierte Registrierungsstellen sind auf www.s-trust.de aufgeführt. S-TRUST Network CPS Seite: 17 von 101

Konformität wurde von einer von der Bundesnetzagentur anerkannten Prüf- und Bestätigungsstelle geprüft und bestätigt. - einen OCSP-Dienst zur Statusabfrage von Authentisierungs- /Verschlüsselungszertifikaten. - einen LDAP-Verzeichnisdienst zum Abruf von Authentisierungs- /Verschlüsselungszertifikaten und entsprechenden Sperrlisten. Sperrdienst: Über den telefonischen Sperrdienst des ZDA DSV können autorisierte Personen die Sperrung von Zertifikaten veranlassen. Der Sperrdienst wird von einem externen Partner betrieben. Der ZDA DSV hat mit dem Sperrdienst vertragliche Vereinbarungen über die sorgfältige Ausführung der übertragenen Aufgaben getroffen. 2.2 Anwendbarkeit von Zertifikaten 2.2.1 Zulässige Anwendung von Zertifikaten Die vom ZDA DSV ausgegebenen qualifizierten Zertifikate und die entsprechenden Signaturschlüssel auf den signaturvorbereiteten Chipkarten erfüllen die Anforderungen des deutschen Signaturgesetzes für qualifizierte elektronische Signaturen. Die vom ZDA DSV ausgegebenen Authentisierungs-/ Verschlüsselungszertifikate und die zugeordneten Schlüssel dürfen nur zu Authentifizierungszwecken und zur Transportverschlüsselung eingesetzt werden. 2.2.2 Unzulässige Anwendung von Zertifikaten Es gelten folgende Nutzungsbeschränkungen und -verbote: Der Kunde/Zertifikatsinhaber hat sich über mögliche Nutzungsbeschränkungen und Verbote über die Ein- und Ausfuhr von Verschlüsselungstechniken und/oder Verschlüsselungsprodukten in Drittländern zu informieren und diese zu beachten. Ein Verstoß gegen geltenden Vorschriften kann strafbar sein. S-TRUST Personenzertifikate sind nicht zur Verwendung oder zum Weitervertrieb als Kontroll- oder Steuerungseinrichtung in gefährlichen Umgebungen oder für Verwendungszwecke, bei denen ein ausfallsicherer Betrieb erforderlich ist bzw. der Betrieb von nuklearen Einrichtungen, Flugzeugnavigations- oder - kommunikationssystemen, Luftverkehrs-Kontrollsystemen oder Waffenkontrollsystemen, wobei ein Ausfall direkt zum Tode, zu Personenschäden oder zu schweren Umweltschäden führen kann, vorgesehen oder darauf ausgelegt. Eine Verwendung zu solchen Zwecken wird ausdrücklich ausgeschlossen. Nach Ablauf der Gültigkeitsdauer oder Sperrung des Zertifikats dürfen die persönlichen Schlüssel nicht mehr zur Signierung verwendet werden. 2.3 Bekanntmachung und Verzeichnisdienst 2.3.1 Verzeichnisse Über einen OCSP-Dienst kann der Status von Zertifikaten abgerufen werden. Der OCSP-Dienst ist unter den folgenden Adressen zu erreichen: Qualifizierte Zertifikate: ocsp-q.s-trust.de Authentisierungs-/ Verschlüsselungszertifikate: S-TRUST Network CPS Seite: 18 von 101

ocsp.s-trust.de Die zur Veröffentlichung freigegebenen Zertifikate können über einen LDAP-Verzeichnisdienst abgerufen werden. Der LDAP-Verzeichnisdienst ist unter der folgenden Adresse zu erreichen: directory.s-trust.de 2.3.2 Veröffentlichung von Zertifikatsinformationen Zur gesetzeskonformen Online-Abfrage der Gültigkeit qualifizierter Zertifikate steht der Verzeichnisdienst zur Verfügung. Ferner erstellt der ZDA DSV Sperrlisten, in denen Sperrinformationen enthalten sind. Die Sperrlistenpfade sind in jedem S-TRUST Personenzertifikat kodiert und können zusätzlich über http://www.s-trust.de eingesehen werden. Die Sperrlisten vom ZDA DSV sind auch über eine LDAP-fähige Anwendung unter der Adresse directory.s-trust.de über Port 389 abrufbar. 2.3.3 Veröffentlichung von Geschäftsbedingungen Der ZDA DSV stellt seinen Teilnehmern sowie vertrauenden Dritten die allgemeinen Geschäftsbedingungen zur Verfügung, die unter http://www.s-trust.de/repository heruntergeladen werden können (siehe AGB für die Nutzung von Zertifizierungsdiensten der Deutscher Sparkassen Verlag GmbH ). Diese Bedingungen gelten für alle kartenbasierten Angebote und Leistungen von Zertifizierungsdiensten des ZDA DSV. Hierzu gehören insbesondere die Bereitstellung von Signaturschlüsseln, die dazugehörigen Signaturschlüssel- Zertifikate, die Teilnahme an den Verzeichnisdiensten für den Abruf, Prüfung und Nutzung von Zertifikaten sowie die Bereitstellung von Verschlüsselungs-Schlüsseln. Weiterhin stellt der ZDA DSV seinen Teilnehmern sowie vertrauenden Dritten Nutzungsbedingungen für den Verzeichnisdienst zur Verfügung (siehe Nutzungsbedingungen für die Nutzung von S-TRUST Verzeichnisdienst unter www.s-trust.de/repository). Diese Bedingungen gelten für jede Nutzung des Zertifikatsverzeichnisses bei Nachprüfung und Abruf von Zertifikaten des ZDA DSV. Im Rahmen der Beantragung eines qualifizierten Zertifikats erhalten Teilnehmer eine Unterrichtung nach 6 SigG. Die Unterrichtungsunterlagen sind zudem Teil des Zertifikatsantragsformulars. Durch die Unterrichtung soll der Antragsteller als künftiger Signaturschlüssel-Inhaber in die Lage versetzt werden, die seinerseits erforderlichen Maßnahmen zu treffen, um sichere elektronische Signaturen zu erzeugen, elektronische Signaturen zuverlässig zu prüfen und einen Missbrauch seines Signaturschlüssels durch Unbefugte sowie ein Signieren falscher Daten zu verhindern. Weitere geschäftliche und rechtliche Bestimmungen sind im vorhandenem CPS aufgeführt (siehe Kapitel 5). 2.3.4 Häufigkeit und Zyklen für Veröffentlichungen Die Veröffentlichung der Personenzertifikate erfolgt nach deren Download auf die Karte durch den Zertifikatsinhaber, wobei die Veröffentlichung der qualifizierten Zertifikate einer S-TRUST Network CPS Seite: 19 von 101

Zustimmung des Zertifikatsinhabers bedarf. Der Zertifikatsinhaber entscheidet selbst, ob sein Zertifikat abrufbar 2 oder nur nachprüfbar 3 im Verzeichnisdienst gehalten werden soll. Die Veröffentlichung der sonstigen, vom ZDA DSV ausgestellten CA-Zertifikate erfolgt nach ihrer Erstellung. Die Zyklen für die Veröffentlichung von Sperrlisten sind in Abschnitt 2.5.10.8 angegeben. Die Veröffentlichung des Certification Practice Statement erfolgt nach dessen Erstellung bzw. Aktualisierung. 2.3.5 Zugriffskontrolle auf Verzeichnisse Der Zugriff auf die Zertifikatsverzeichnisse vom ZDA DSV ist nicht beschränkt. 2.4 Identifizierung und Authentisierung 2.4.1 Namensgebung 2.4.1.1 Namensart Die vom ZDA DSV ausgestellten Zertifikate enthalten eindeutige Namen (DistinguishedName) in den Feldern issuer und subject nach X.501. Alle qualifizierten Zertifikate enthalten im Feld issuer die Attribute: CommonName Organization Locality Country der ausgebenden CA. Alle Zertifikate enthalten im Feld subject einen DistinguishedName nach X.501. Dabei werden die folgenden Attribute verwendet: CommonName Country Organization (optional) Bank Code (optional) Zertifikatsspezifische Attribute: SerialNumber Personenzertifikate ohne Pseudonym enthalten die Attribute GivenName und Surname. Personenzertifikate enthalten zusätzlich die E-Mail-Adresse als alternativen Namen in der Erweiterung Subject Alternative Name. 2 Abrufbar bedeutet, dass der Gesamtinhalt des Zertifikats an Verzeichnisdienstabfragende übermittelt wird. 3 Nachprüfbar bedeutet, dass nur der Gültigkeitsstatus des Zertifikats an Verzeichnisdienstabfragende übermittelt wird. S-TRUST Network CPS Seite: 20 von 101

2.4.1.2 Anonymität und Pseudonyme für Zertifikatseigentümer Anstelle des Namens ist die Verwendung eines Pseudonyms in Form von Benutzerpseudonym_Ftl.Nummer:PN im qualifizierten Personenzertifikat und im Authentisierungs- und Verschlüsselungszertifikat möglich. Das Pseudonym wird vom DSV vergeben. Das Pseudonym besteht aus dem Begriff Benutzerpseudonym, einer eindeutigen fortlaufenden Nummer und dem Kürzel PN. Es wird im Attribut Common Name anstelle des Namens, bzw. anstelle der Attribute GivenName und Surname eingetragen. 2.4.1.3 Eindeutigkeit von Namen und Pseudonymen Die Namen in den vom ZDA DSV ausgestellten Zertifikaten sind durch die eindeutige Nummer im Attribut serialnumber stets eindeutig. Die Pseudonyme in den vom ZDA ausgestellten Zertifikaten sind zusätzlich durch die eindeutige laufende Nummer im Benutzerpseudonym im Attribut CN stets eindeutig. 2.4.2 Erstmalige Identifizierung 2.4.2.1 Methode zum Besitznachweis des privaten Schlüssels Der Zertifikatsantragsteller muss nachweisen, dass er den privaten Schlüssel zu dem im Zertifikat zertifizierten öffentlichen Schlüssel rechtmäßig besitzt. Der Besitznachweis erfolgt durch die Erstellung von PKCS#10 Requests im Rahmen des Downloads der Zertifikate. 2.4.2.2 Methode zum Besitznachweis der im Zertifikatsantrag angegebenen E-Mail-Adresse Bevor der ZDA DSV ein Zertifikat für eine signaturvorbereitete Chipkarte ausstellt, muss der Antragssteller nachweisen, dass das E-Mail Konto (E-Mail Adresse) welches bei der Beantragung angegeben wurde unter seiner Kontrolle steht. Dieser Nachweis erfolgt mittels eines persönlichen Codes, der dem Antragssteller auf das betroffene E-Mail Konto durch den ZDA DSV gesendet wird. Der Download-Prozess also die Ausstellung der persönlichen Zertifikate kann nur unter Angabe dieses E-Mail-Verifikationscodes durchgeführt werden. 2.4.2.3 Identitätsprüfung Bei der Antragstellung für ein qualifiziertes Zertifikat muss sich der Antragsteller persönlich mit einem amtlichen gültigen Ausweisdokument 4 sowie durch eine Gegenprobe der im Ausweis abgebildeten Unterschrift identifizieren. 2.5 Anforderungen an den Lebenszyklus der Zertifikate 2.5.1 Antragstellung auf Zertifizierung Qualifizierte Personenzertifikate für den Download auf signaturvorbereitete Chipkarten können nur von natürlichen Personen beantragt werden. 2.5.2 Antragsbearbeitung 2.5.2.1 Durchführung der Identifikation und Authentifizierung Wenn die Identität des Antragstellers bereits überprüft und dokumentiert wurde (z.b. bei einer Kontoeröffnung), kann unter bestimmten Voraussetzungen auf vorhandene Unterlagen/Datensätze zurückgegriffen werden. Sofern dies nicht der Fall ist, muss der 4 Personalausweis oder Reisepass (inkl. Meldebestätigung, die nicht älter als drei Monate ist) S-TRUST Network CPS Seite: 21 von 101

Antragsteller einen Personalausweis oder einen Reisepass inkl. einer Meldebestätigung vorlegen, die nicht älter als drei Monate ist. Der Registrierungsmitarbeiter prüft anhand der vorhandenen Unterlagen bzw. der vorgelegten Dokumente die Identität des Antragstellers und die Übereinstimmung mit den Antragsdaten. 2.5.2.2 Aufnahme eines Firmen- oder Organisationsnamen ins Zertifikat Soll ein Firmen- oder Organisationsname ins Zertifikat aufgenommen werden, so muss diese Firmen- bzw. Organisationszugehörigkeit nachgewiesen werden. Hierfür ist die Einwilligungserklärung zur Aufnahme von Firmen- oder Organisationsangaben in das qualifizierte Personenzertifikat und fortgeschrittene Authentifizierungs- /Verschlüsselungszertifikat im Antragsformular auszufüllen und durch einen Vertretungsberechtigten (Geschäftsführer/Bevollmächtigter) zu bestätigen. Die Vertretungsberechtigung wird durch Unterschrift und Firmenstempel, bei juristischen Personen des öffentlichen Rechts (Kammern, Behörden) Unterschrift und Dienstsiegel bestätigt. Als Nachweis der Vertretungsberechtigung der Firma ist zusätzlich ein aktueller Handelsregisterauszug beizufügen. Sofern das Unternehmen nicht im Handelsregister eingetragen ist, muss das Unternehmen anhand von aktuellen Dokumenten (z.b. Auszug aus der Handwerksrolle, Nachweis der Kammermitgliedschaft / Gewerbeanmeldung, etc.) zuverlässig nachgewiesen werden. 2.5.2.3 Aufnahme einer Beschränkung mit Bezug zu einem Dritten Der ZDA DSV bietet die Möglichkeit an, das Attribut Restriction für Angaben über eine Beschränkung in das qualifizierte Personenzertifikat mit aufzunehmen. Soll eine Beschränkung mit Bezug zu einem Dritten ins Zertifikat aufgenommen werden, so muss diese Beschränkung durch einen Vertretungsberechtigten der Firma / Organisation bestätigt werden. Hierfür ist die Einwilligungserklärung zur Aufnahme einer Beschränkung in das qualifizierte Personenzertifikat im Antragsformular auszufüllen und durch einen Vertretungsberechtigten (z.b. Geschäftsführer/Bevollmächtigter) zu bestätigen. Die Vertretungsberechtigung wird durch Unterschrift und Firmenstempel, bei juristischen Personen des öffentlichen Rechts (Kammern, Behörden) Unterschrift und Dienstsiegel bestätigt. Als Nachweis der Vertretungsberechtigung der Firma ist zusätzlich ein aktueller Handelsregisterauszug beizufügen. Sofern das Unternehmen nicht im Handelsregister eingetragen ist, muss das Unternehmen anhand von aktuellen Dokumenten (z.b. Auszug aus der Handwerksrolle, Nachweis der Kammermitgliedschaft / Gewerbeanmeldung, etc.) zuverlässig nachgewiesen werden. Angaben zu einer Beschränkung im qualifizierten Personenzertifikat ohne Bezug zu einem Dritten bedürfen keiner gesonderten Genehmigung. 2.5.2.4 Aufnahme einer berufsbezogenen Angabe bei zulassungspflichtigen Berufsgruppen Der ZDA DSV bietet die Möglichkeit an, das Attribut Admission für Angaben zulassungspflichtiger Berufsgruppen in das qualifizierte Personenzertifikat mit aufzunehmen Soll eine berufsbezogene Angabe ins Zertifikat aufgenommen werden, so muss diese Angabe durch eine zuständige Stelle bestätigt werden. Hierfür ist die Einwilligungserklärung zur S-TRUST Network CPS Seite: 22 von 101

Aufnahme einer berufsbezogenen Angabe bei zulassungspflichtigen Berufsgruppen in das qualifizierte Personenzertifikat im Antrag auszufüllen und durch einen Vertretungsberechtigten der zuständigen Stelle zu bestätigen. Die Vertretungsberechtigung der zuständigen Stelle muss durch Unterschrift und Dienstsiegel bestätigt werden. 2.5.2.5 Annahme bzw. Ablehnung des Antrags Zur Beantragung eines qualifizierten Zertifikats füllt der Antragsteller das Antragsformular qualifiziertes S-TRUST Personenzertifikat aus und legt es persönlich einem Registrierungsmitarbeiter vor. Mindestvoraussetzung für die Annahme des Zertifikatsantrags durch den ZDA DSV ist, dass die Identifizierung und Authentifizierung aller erforderlichen Endteilnehmer-Informationen erfolgreich war. Der ZDA DSV lehnt unbeachtet etwaiger weiterer Ablehnungsgründe in folgenden Fällen den Zertifikatsantrag ab: Der Antragsteller kann nicht zweifelsfrei identifiziert werden, Der Ausweis ist nicht mehr gültig, Es bestehen Zweifel an der Echtheit der Unterschrift des Antragsteller im Antragsformular, Bei Angaben, die durch die zuständige Stelle bestätigt werden müssen: o Es bestehen Zweifel an der Echtheit der Unterschrift des Vertretungsberechtigten der bestätigten Stelle oder des Handelsregisterauszugs bzw. Dokument zur Bestätigung der Unternehmensexistenz. 2.5.3 Zertifikatsausstellung 2.5.3.1 Benachrichtigung des Zertifikatsinhabers Nach erfolgreicher Prüfung des Zertifikatsantrages und elektronischer Antragserfassung erhält der Zertifikatsinhaber eine personalisierte und signierte E-Mail darüber, dass der Download des Zertifikats durchgeführt werden kann. 2.5.3.2 CA-Tätigkeiten Nachdem der Antragsteller eine signaturvorbereitete Chipkarte bekommen hat, kann er damit nach erfolgreicher Registrierung die Zertifikatserzeugung anstoßen. Über eine verschlüsselte Verbindung zwischen dem Rechner des Antragstellers und dem Zertifikatsverwaltungssystem (ZVS) des ZDA DSV wird der öffentliche Schlüssel aus der Chipkarte ausgelesen und über das ZVS wird eine Zertifizierungsanfrage (Certificate Request) zum Processing Center des ZDA DSV geleitet. Dieses erzeugt die Zertifikate und sendet sie an das ZVS, so dass die Zertifikate über die gleiche Verbindung in die Chipkarte geladen werden. 2.5.4 Zertifikatsübergabe und -annahme 2.5.4.1 Verfahren der Zertifikatsanerkennung Der Antragsteller lädt die Zertifikate selbst herunter und speichert diese auf der Chipkarte, die er bei der Registrierung oder im Vorfeld erhalten hat. Damit der Antragsteller sein Zertifikat abholen kann, authentifiziert er sich gegenüber dem ZVS über die Eingabe seines persönlichen E-Mail-Verifikationscodes und der Referenznummer des Einmalpasswortbriefes, welche er im S-TRUST Network CPS Seite: 23 von 101

Rahmen der Registrierung erhalten hat. Zusätzlich werden im Verlauf des Download-Prozesses der Besitz der im Antrag angegebenen Chipkarte und das Einmalpasswort überprüft. 2.5.4.2 Veröffentlichung der Zertifikate Falls der Zertifikatsinhaber im Rahmen der Registrierung die Abrufbarkeit des qualifizierten Zertifikats zugestimmt hat, wird das qualifizierte Zertifikat und das Verschlüsselungs- und Authentisierungszertifikate im Verzeichnisdienst veröffentlicht (siehe Abschnitt 2.3). 2.5.4.3 Benachrichtigung der zuständigen Stelle Nach der Ausstellung von Zertifikaten mit Angaben, die zuvor durch eine zuständige Stelle bestätigt wurden (z.b. Firmenzugehörigkeit, Berechtigung zum Führen einer Berufsbezeichnung, Beschränkung mit Bezug zur Organisation, etc.) wird die zuständige Stelle von der Ausstellung der Zertifikate schriftlich benachrichtigt. Die Unterrichtung enthält: alle Angaben über den Inhalt des qualifizierten Zertifikats einen Hinweis für Sperrmöglichkeiten ein Sperrpasswort für die zuständige Stelle 2.5.5 Nutzung der Schlüsselpaare und der Zertifikate 2.5.5.1 Nutzung der privaten Schlüssel durch den Eigentümer Die Nutzung eines privaten Schlüssels ist erst möglich, nachdem der Antragsteller das zugehörige Zertifikat erfolgreich in seine Karte geladen hat. Das Zertifikat darf nur rechtmäßig gemäß den gesetzlichen Bestimmungen sowie den AGB für die Nutzung von Zertifizierungsdiensten der Deutscher Sparkassen Verlag GmbH (siehe https://www.strust.de/repository) und dem vorliegenden CPS verwendet werden (siehe dazu Abschnitt 2.2). 2.5.5.2 Vertrauen auf Zertifikate durch Dritte Dritte haben selbst zu entscheiden, ob einem Zertifikat vertraut werden darf oder nicht. Dazu kann diese CPS hilfreiche Informationen liefern. Vor einem Vertrauen auf ein Zertifikat hat der Dritte zumindest folgendes jeweils einzeln, unabhängig zu prüfen: die Eignung der Nutzung eines Zertifikats für einen bestimmten Zweck, der durch das vorliegende CPS nicht verboten oder anderweitig beschränkt ist, dass die Nutzung des Zertifikats den im Zertifikat enthaltenen KeyUsage-Erweiterungen entspricht, den Status des Personenzertifikats und aller darüber liegenden CA-Zertifikate der Zertifizierungskette. Falls eines der Zertifikate in der Zertifikatskette gesperrt oder dessen Gültigkeit abgelaufen ist, darf der Dritte auf das Personenzertifikat oder ein anderes gesperrtes Zertifikat in der Zertifikatskette nicht vertrauen. ob die übermittelten Daten verändert wurden ob das Zertifikat (Nutzungs-)Beschränkungen oder sonstige Attribute enthält, die im Zusammenhang mit den signierten Daten von Bedeutung sein könnten. Der ZDA DSV empfiehlt, die Gültigkeit der Signatur und des Zertifikats online im Verzeichnisdienst zu überprüfen. Eine Verifikation der Gültigkeit des verwendeten Zertifikats sollte sowohl auf den Zeitpunkt der Erstellung der Signatur als auch auf den Empfangszeitpunkt der signierten Daten vorgenommen werden. S-TRUST Network CPS Seite: 24 von 101