Certificate Policy (CP)



Ähnliche Dokumente
Sicherheits- und Zertifizierungskonzept Certificate Policy

Certificate Policy (CP) Verwaltungs- und gewöhnliche Signatur Zertifikat. (Titel) (Inhalt) (Beschreibung) V0.91 (Version)

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Trustcenter der Deutschen Rentenversicherung

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Verordnung über die elektronische öffentliche Beurkundung

Verordnung über die elektronische öffentliche Beurkundung

Qualifizierte und Wiederholungsidentifikation

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Erklärung zum Zertifizierungsbetrieb der TU Darmstadt Classic CA in der DFN-PKI. - Sicherheitsniveau: Classic -

Gesetz zur digitalen Signatur (Signaturgesetz - SigG) *) 1 Zweck und Anwendungsbereich

der DFN-CERT Services CA in der

Erklärung zum Zertifizierungsbetrieb der DBTG-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der HU-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Problemfelder der elektronischen Signatur

Erklärung zum Zertifizierungsbetrieb der TU Ilmenau CA in der DFN-PKI

Trustcenter der Deutschen Rentenversicherung

Erklärung zum Zertifizierungsbetrieb der HU-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der UniBwM CA in der DFN-PKI. - Sicherheitsniveau: Global -

Die digitale Signatur von s.

Erklärung zum Zertifizierungsbetrieb der FHDO-Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

E-Government-Grundlagen Medienbaustein II. Elektronische Signaturen

Erklärung zum Zertifizierungsbetrieb der Uni Halle Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

Die digitale Signatur im Krankenhaus - Stand und Chancen einer Integration in elektronische Patientenakten und digitale Archive

der Charité - Universitätsmedizin Berlin CPS V1.0, Juni 2006

Erklärung zum Zertifizierungsbetrieb der HCUHH CA in der DFN-PKI

der CAU CA Christian-Albrechts-Universität zu Kiel CPS V1.1,

VOLKSVERSCHLÜSSELUNGS-PKI FÜR X.509-ZERTIFIKATE

Modul 6. Handy-Signatur: Anwendung. Anwendungsbereiche der Handy-Signatur

- Zertifizierungsrichtlinien für das S-TRUST Netzwerk -

Erklärung zum Zertifizierungsbetrieb der RUB-Chipcard CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der FHWF-CA in der DFN-PKI. - Sicherheitsniveau: Global -

der HTW-Dresden CA in der DFN-PKI - Sicherheitsniveau: Global -

Dr. Otto Müller Consulting Alte Landstrasse Rüschlikon 7. August 2006

Certification Practice Statement (CPS) Verwaltungs- und gewöhnliche Signatur Zertifikat. (Titel) (Inhalt) (Beschreibung) V0.

Das neue Recht der elektronischen Signaturen. Prof. Dr. Bernd Holznagel, LL.M. / Stephanie Kussel, ITM Öffentlich-rechtliche Abteilung Folie 1

Bescheinigungen der Bestätigungsstelle gemäß 18 Abs. 5 Signaturgesetz (SigG)

Digitale Signaturen in Theorie und Praxis

Richtlinien bezüglich des Verfahrens bei Einstellung der Geschäftstätigkeit einer anerkannten CSP

Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur

Erklärung zum Zertifizierungsbetrieb der FAU-CA in der DFN-PKI. - Sicherheitsniveau: Global -

SCESm-Verzeichnis Akkreditierungsnummer: SCESm 0071

Vertrauensdiensteanbieter:

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der TÜV NORD Gruppe - Zertifizierungsstelle Langemarckstraße Essen

Verordnung über Dienste der elektronischen Zertifizierung

Erklärung zum Zertifizierungsbetrieb der FHB-CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der HAW-Landshut-Basic-CA in der DFN-PKI. - Sicherheitsniveau: Basic -

X.509v3 Zertifizierungsinstanz der Universität Würzburg

HS-WGT-CA in der DFN-PKI

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

- Sicherheitsniveau: Global -

Allgemeine Zertifikate und Thunderbird

Erklärung zum Zertifizierungsbetrieb der FH-SWF-Basic CA in der DFN-PKI. - Sicherheitsniveau: Basic -

der Uni Marburg CA in der DFN-PKI - Sicherheitsniveau: Global -

Brainloop Secure Courier - Kurzanleitung

Bibliotheksservice-Zentrum Baden-Württemberg (BSZ) CP & CPS V1.1,

der BAW CA in der DFN-PKI - Sicherheitsniveau: Global -

- Sicherheitsniveau: Global -

- Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der FH Lübeck CA in der DFN-PKI. - Sicherheitsniveau: Global -

Erklärung zum Zertifizierungsbetrieb der UH-CA in der DFN-PKI. - Sicherheitsniveau: Global -

- Sicherheitsniveau: Global -

Richtlinien bezüglich des Verfahrens bei Einstellung der Geschäftstätigkeit einer anerkannten CSP

der DESY CA in der DFN-PKI - Sicherheitsniveau: Global -

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Erklärung zum Zertifizierungsbetrieb der FHWS CA 3 CA in der DFN-PKI. - Sicherheitsniveau: Global -

Projekt e-tfs NL / DE ILT Niederlande / NGS Niedersachsen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

der HSMd CA in der DFN-PKI - Sicherheitsniveau: Global -

ELEKTRONISCHER PERSONALAUSWEIS. Elektronische Zertifikate zur Online- Authentifizierung und zum Signieren von Dokumenten ohne Sicherheitsrisiken

Erklärung zum Zertifizierungsbetrieb der DWD CA in der DFN-PKI. - Sicherheitsniveau: Global -

die digitale Signatur

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Erklärung zum Zertifizierungsbetrieb der LMU CA in der DFN-PKI. - Sicherheitsniveau: Global -

Digitale Signaturen. Kapitel 10 p. 178

Datenschutz Mitbestimmungsrechte Finanzbuchhaltung bei Einsatz der IT Rechtsgrundlagen der Telekommunikation Signaturgesetz

Certificate Policy (CP) VR-Ident Zertifikate (WebTrust)

im Deutschen Forschungsnetz - Classic -

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

TeleTrusT Bundesverband IT-Sicherheit e.v. Der IT-Sicherheitsverband. Selbsterklärung. zur Teilnahme an der TeleTrusT European Bridge CA

Zertifikate und Trust-Center

Die digitale Signatur Die elektronische Ausstellung von Ursprungszeugnissen

!" == TeleSec. Digitale Signatur / PKI =====!" Informationsveranstaltung Detmold, Leopoldstr

Die VDV-Kernapplikation. Eigenschaften

Anleitung zur Benutzung der. Wohnheimdatenbank. Rechenzentrum der Universität des Saarlandes

Transkript:

Fr eigegeben Certificate Policy (CP) SV-Signatur Zertifikate Version 2.0 Wien, am 24. November 2009

Informationen zum Dokument Sicherheitskennzeichnung Verfasser Name Walter Hammerschmid Tel.: 050 124 714 4143 Prüfer Name Kaveh Mahdjoobian Tel.: 050 124 714 4249 Datum 11.02.2009 Freigegeben Name Thomas Koch Tel.: 050 124 714 4146 Datum 11.02.2009 Status Freigegeben Certificate_Policy_SV-Signatur_Zertifikate Seite 2 von 12

Inhaltsverzeichnis 1 Einleitung... 4 1.1 Überblick... 4 1.2 Identifikation... 4 1.3 Teilnehmer und Instanzen... 5 1.3.1 Zertifizierungsstellen... 5 1.3.2 Registrierungsstellen... 5 1.3.3 Zertifikatswerber und Zertifikatsinhaber... 5 1.3.4 Vertrauende Parteien... 6 1.4 Anwendbarkeit der Zertifikate... 6 1.4.1 Zulässige Anwendung der Zertifikate... 6 1.4.2 Unzulässige Anwendung der Zertifikate... 6 1.5 Policy-Verwaltung... 7 1.5.1 Organisation für die Verwaltung dieses Dokuments... 7 1.5.2 Kontaktperson... 7 1.6 Definitionen und Abkürzungen... 7 2 Verhältnis zum Standard ETSI TS 102 042... 11 2.1 Grundsätzliche Erfüllung des Standards... 11 2.2 Abweichungen von NCP+... 11 2.3 Nicht anwendbare Punkte von NCP+... 12 Certificate_Policy_SV-Signatur_Zertifikate Seite 3 von 12

1 Einleitung 1.1 Überblick Der Hauptverband der österreichischen Sozialversicherungsträger (HVB) betreibt im Rahmen des e-card Systems ( 31a ff. ASVG) eine Zertifizierungsstelle für die Erzeugung, Ausgabe und Verwaltung der e-card und Ordinationskarten bzw. der darauf gespeicherten Zertifikate. Dabei ist unter anderem auf allen e-cards und Ordinationskarten je ein Signaturschlüsselpaar für die SV-Signatur und ein entsprechendes SV-Signatur Zertifikat gespeichert. Das vorliegende Dokument enthält die für die SV-Signatur Zertifikate. Der Begriff Certificate Policy steht für die Gesamtheit der Regeln und Vorgaben, welche die Anwendbarkeit eines Zertifikatstyps festlegen. Die Zielsetzung einer Certificate Policy ist im RFC 3647 ( Certificate Policy and Certification Practices Framework ) ausführlich dargestellt. Insbesondere legt die Certificate Policy dar, welche technischen und organisatorischen Anforderungen die bei der Ausstellung der Zertifikate eingesetzten Systeme und Prozesse erfüllen, welche Vorgaben für die Anwendung der Zertifikate sowie im Umgang mit den zugehörigen Schlüsseln und Signaturerstellungseinheiten (z.b. Chipkarten) gelten, welche Bedeutung den Zertifikaten und ihrer Anwendung zukommt, d.h. welche Sicherheit, Beweiskraft, oder rechtliche Relevanz die mit ihnen erzeugten Kryptogramme bzw. Signaturen besitzen. Diese Certificate Policy basiert auf dem Standard TS 102 042 Policy requirements for certification authorities issuing public key certificates, Version 1.1.1 des European Telecommunications Standards Institute (ETSI). Das Verhältnis dieser Certificate Policy zum genannten Standard wird in Abschnitt 2 genauer beschrieben. Details zur Umsetzung der durch dieses Dokument definierten Vorgaben finden sich im Certification Practice Statement (CPS) für SV-Signatur Zertifikate. Das CPS wird ebenfalls vom HVB herausgegeben und veröffentlicht. 1.2 Identifikation Bezeichnung des Dokuments: für SV-Signatur Zertifikate, Version V2.0 vom 11.02.2009. Certificate_Policy_SV-Signatur_Zertifikate Seite 4 von 12

Der ASN.1 Object Identifier (OID) für dieses Dokument ist 1.2.40.0.10.1.4.1.100.2. Die letzte Ziffer steht dabei für die volle Stelle (vor dem Punkt) der Versionsnummer. Der Object Identifier des Standards ETSI TS 102 042 wird nicht verwendet, da die vorliegende Certificate Policy abweichende und darüber hinaus gehende Regelungen enthält (siehe Abschnitt 2). 1.3 Teilnehmer und Instanzen 1.3.1 Zertifizierungsstellen Die Zertifizierungsstelle im Sinne dieser Certificate Policy sind die technischen Einrichtungen und organisatorischen Einheiten, mit denen der HVB die Zertifikate für die e-card und Ordinationskarten ausstellt. Die Zertifizierungsstelle verwendet für die Erstellung der verschiedenen Zertifikatstypen jeweils eine Zertifizierungsinstanz eine logische Einheit, die jeweils einem oder mehreren Schlüsselpaaren zur Signierung der Zertifikate zugeordnet ist. Die Zertifizierungsinstanz, welche die SV-Signatur Zertifikate ausstellt, erhält die Zertifikate zu ihren Signaturschlüsseln wiederum von jeweils zwei übergeordneten Zertifizierungsinstanzen: Von einer Root-CA des e-card Systems. Diese Root-CA wird als Vertrauensanker der zulässigen Anwendung der SV-Signatur Zertifikate (siehe Abschnitt 1.4.1) verwendet. Die Zertifizierungshierarchie der Zertifizierungsstelle, die durch ihre Zertifizierungsinstanzen und die von ihnen ausgestellten Zertifikate definiert wird, ist in der CPS dargelegt. 1.3.2 Registrierungsstellen Die Registrierungsinstanzen im Sinne dieser Certificate Policy sind Instanzen, welche die Zertifikatwerber und Zertifikatsinhaber erfassen und identifizieren. Die für die SV-Signatur Zertifikate eingesetzten Registrierungsinstanzen sind im CPS für die SV-Signatur Zertifikate identifiziert. 1.3.3 Zertifikatswerber und Zertifikatsinhaber Die SV-Signatur Zertifikate werden automatisch an alle Inhaber einer e-card oder einer Ordinationskarte ausgegeben. Diese stellen auch gleichzeitig die Inhaber des jeweiligen SV-Signatur-Schlüsselpaares dar. Für welche Personen e-cards bzw. Ordinationskarten ausgestellt werden, ergibt sich Certificate_Policy_SV-Signatur_Zertifikate Seite 5 von 12

für die e-card aus den einschlägigen gesetzlichen Vorschriften (vgl. 31b Abs. 3 ASVG) und deren Durchführungsregeln, insbesondere den Krankenordnungen der gesetzlichen Krankenversicherungsträger (vgl. 23 ASVG u. a.), welche ihrerseits auf der Musterkrankenordnung nach 456 ASVG beruhen für die Ordinationskarte aus den Vereinbarungen mit den Vertragspartnern nach dem 6. Teil des ASVG ( 338 ff. ASVG) oder (Krankenanstalten) nach den 148 ff. ASVG 1.3.4 Vertrauende Parteien Vertrauende Parteien im Sinne der vorliegenden Certificate Policy sind interne Stellen der Sozialversicherungsträger, die mit Hilfe von SV-Signatur Zertifikaten Konsultationsrequests prüfen. 1.4 Anwendbarkeit der Zertifikate 1.4.1 Zulässige Anwendung der Zertifikate Die SV-Signaturen werden für SV-interne Anwendungen eingesetzt. Insbesondere dienen sie der Absicherung der Transaktionen in der Applikation Krankenscheinersatz im e-card System. Mit ihnen wird gegenüber dem Zentralsystem die Authentizität der Karte nachgewiesen und sie schützen die in der Anwendung Krankenscheinersatz ausgetauschten Informationen vor Manipulation und Fälschung. Der private Schlüssel der SV-Signatur darf nur zur Erzeugung digitaler Signaturen verwendet werden. 1.4.2 Unzulässige Anwendung der Zertifikate Prinzipiell sollte die SV-Signatur nur für den unter 1.4.1 dargelegten Zweck eingesetzt werden. Für sonstige Anwendungen sind auf der e-card weitere Signaturschlüsselpaare gespeichert, die nach Erstellung eines entsprechenden Zertifikates genutzt werden können. Details dazu finden sich im CPS. Insbesondere sollte die SV-Signatur nicht für Anwendungen mit hohem Sicherheitsbedarf genutzt werden, da sie diesem Bedarf nicht gerecht wird. Weiterhin stellen die SV-Signatur Zertifikate keine qualifizierten Zertifikate im Sinne der österreichischen und europäischen Signaturgesetzgebung dar. Die SV-Signaturen sind daher aus rechtlicher Sicht handgeschriebenen Unterschriften keineswegs gleichgestellt. Certificate_Policy_SV-Signatur_Zertifikate Seite 6 von 12

1.5 Policy-Verwaltung 1.5.1 Organisation für die Verwaltung dieses Dokuments Für die Verwaltung dieser Certificate Policy ist der Hauptverband der österreichischen Sozialversicherungsträger zuständig. 1.5.2 Kontaktperson Kontaktinformationen erhält man Schriftlich bei: Hauptverband der österreichischen Sozialversicherungsträger Kundmanngasse 21 A-1030 Wien Telefonisch im e-card Call Center: 05 0124 3311 (österreichweit) Per e-mail: info@chipkarte.at Im Internet: http://www.sozialversicherung.at/e-card 1.6 Definitionen und Abkürzungen Asymmetrische Kryptografieverfahren Authentifizierung CA Methoden, die auf zwei verschiedenen Schlüsseln basieren, wobei einer öffentlich und einer privat (geheim) ist. Dadurch ist es möglich, dass jemand mit dem öffentlichen Schlüssel eine Nachricht verschlüsselt, die nur der Besitzer des geheimen Schlüssels wieder entschlüsseln kann. Damit ist das Problem des Austausches und des Verteilens von geheimen symmetrischen Schlüsseln beseitigt, und es sind Verfahren wie die digitale Signatur möglich. Vorgang des Nachweises der Echtheit einer Instanz (z.b. einer Chipkarte) durch kryptografische Verfahren. Durch ein festgelegtes Verfahren wird festgestellt, ob jemand wirklich derjenige ist, der er vorgibt zu sein. Certification authority - Zertifizierungsstelle Certificate_Policy_SV-Signatur_Zertifikate Seite 7 von 12

Certificate Policy Certification Practice Statement CP CPS Elektronische Signatur Hash-Algorithmus HVB LCP Lightweight Certificate Policy Modifizierung eines Zertifikates NCP NCP+ Normalized Certificate Policy Öffentlicher Schlüssel Privater Schlüssel Gesamtheit der Regeln und Vorgaben, die die Anwendbarkeit eines Zertifikates für eine bestimmte Gemeinschaft oder Klasse von Anwendungen festlegen, siehe auch Abschnitt 1.1 Darlegung der Praktiken, die eine Zertifizierungsstelle bei der Ausgabe der Zertifikate anwendet. Certificate Policy Certification Practice Statement Daten, die mit anderen elektronischen Daten logisch verknüpft sind, und mit denen sich deren Authentizität und Integrität prüfen lassen. D.h., mittels einer elektronischen Signatur kann sowohl die Unverfälschtheit einer Nachricht als auch der Unterzeichner eines elektronischen Dokumentes verifiziert werden. Die sicherste bekannte Ausprägung einer elektronischen Signatur ist die digitale Signatur. Verfahren zur Berechnung von Prüfsummen konstanter Länge. Für digitale Signaturen werden Hash-Funktionen verwendet, die kollisionsresistent sind, d.h. zu denen sich nach heutigem Kenntnisstand keine 2 Eingaben ermitteln lassen, deren Funktionswert gleich ist. Hauptverband der österreichischen Sozialversicherungsträger Lightweight Certificate Policy Diese Certificate Policy bietet eine Qualität des Dienstes, die einfacher umzusetzen ist, als die in TS 101 456 definierte Qualified Certificate Policy. Die Ersetzung eines Zertifikates durch ein Zertifikat mit veränderten Inhaltsdaten und für einen neuen öffentlichen Schlüssel. In Englischen als certificate update bezeichnet. Normalized Certificate Policy Normalized Certificate Policy, die die Verwendung eines sicheren Benutzergeräts erfordert Diese Certificate Policy bietet eine Qualität des Dienstes, die der in TS 101 456 definierten Qualified Certificate Policy entspricht. Nicht-geheimer Teil eines Schlüsselpaares bei asymmetrischen Schlüsselpaaren. Geheimer Teil eines Schlüsselpaares bei asymmetrischen Certificate_Policy_SV-Signatur_Zertifikate Seite 8 von 12

Schlüsselpaaren. Qualifiziertes Zertifikat Im Signaturgesetz definierte Klasse von Zertifikaten, mit spezifischen Anforderungen an den Inhalt und den Aussteller des Zertifikates. PIN Personal Identification Number Geheimzahl zur Authentisierung eines Individuums z.b. gegenüber einer Chipkarte Registrierung Prozess eines Zertifizierungsdienstes, bei dem die Zertifikatswerber und Zertifikatsinhaber erfasst und identifiziert, sowie die Anträge auf Ausstellung der Zertifikate entgegengenommen und an die Zertifizierungsstelle weitergeleitet. werden Root-CA Oberste Instanz in einer Zertifizierungshierarchie Signaturgesetz Bundesgesetz über elektronische Signaturen (Signaturgesetz SigG) Schlüsselerneuerung Sicheres Benutzergerät Sperrliste Sperrstatus Sperrung eines Zertifikates Suspendierung Die Ersetzung eines Zertifikates durch ein Zertifikat mit neuer Gültigkeitsdauer und für einen neuen öffentlichen Schlüssel aber sonst unveränderten Inhaltsdaten. Im Englischen als certificate re-key bezeichnet. Gerät, das den privaten Schlüssel des Benutzers enthält, diesen vor Kompromittierung schützt und Signier- oder Entschlüsselungsfunktionen für den Benutzer übernimmt. Liste, in der eine Zertifizierungsstelle die von ihr ausgestellten Zertifikate, die gesperrt aber noch nicht abgelaufenen sind, veröffentlicht. Status eines Zertifikates bzgl. Sperrung oder Suspendierung. Akt, durch den ein Zertifikat vorzeitig (d.h. vor Ablauf seiner angegebenen Gültigkeitsdauer) ungültig wird. Eine Sperrung kann z.b. durch Veränderung der im Zertifikat enthaltenen Daten oder durch die Kompromittierung des zugehörigen privaten Schlüssels begründet sein. Sperrung eines Zertifikates mit der Möglichkeit diese Sperre wieder aufzuheben. SV-Signatur Die SV-Signatur als SV-interne Anwendung (für die Transaktionsabsicherung) hat keine besondere gesetzliche Certificate_Policy_SV-Signatur_Zertifikate Seite 9 von 12

Grundlage. Die Personenbindung erfolgt über die Versichertennummer bzw. über die Vertragspartnernummer; sie ist ohne PIN anwendbar SV-Signatur Zertifikat Vertrauende Partei Zertifikat zum SV-Signaturschlüssel Empfänger eines Zertifikats, der diesem Zertifikat oder mit diesem Zertifikat überprüften digitalen Signaturen vertraut. Im Englischen als Relying Party bezeichnet. Zertifikat Öffentlicher Schlüssel eines Benutzers sowie weitere Informationen, die mit Hilfe des privaten Schlüssels der Zertifizierungsstelle, die ihn ausgegeben hat, fälschungssicher digital signiert werden. Zertifikatsinhaber Zertifikatserneuerung Zertifikatswerber Entität (z.b. eine Person, eine Stelle oder ein System), für die das Zertifikat ausgestellt wird. Der Zertifikatsinhaber ist im Zertifikat als Subject eingetragen und muss nicht notwendigerweise (kann aber) identisch mit dem Zertifikatswerber sein. Die Ersetzung eines Zertifikates durch ein Zertifikat mit neuer Gültigkeitsdauer, aber für den gleichen öffentlichen Schlüssel und sonst unveränderten Inhaltsdaten. In Englischen als certificate renewal bezeichnet. Person, die für sich oder einen anderen ein Zertifikat beantragt. Im Englischen als Subscriber bezeichnet. Zertifizierungshierarchie Zertifikate können auch an andere Zertifizierungsstellen ausgestellt werden, die ihrerseits weitere Zertifikate ausstellen. Auf diese Weise wird eine Hierarchie gebildet. Zertifizierungsstelle Stelle, die von einem oder mehreren Benutzern mit dem Erstellen und Zuordnen von Zertifikaten beauftragt wird. Im Englischen als Certification Authority bezeichnet Certificate_Policy_SV-Signatur_Zertifikate Seite 10 von 12

2 Verhältnis zum Standard ETSI TS 102 042 2.1 Grundsätzliche Erfüllung des Standards Diese Certificate Policy basiert auf der extended Normalized Certificate Policy (NCP+) des Standards TS 102 042 Policy requirements for certification authorities issuing public key certificates, Version 1.1.1, des European Telecommunications Standards Institute (ETSI). Eine Übersetzung der relevanten Kapitel 6 und 7 findet sich im Dokument Teilübersetzung von ETSI TS 102 042. Die dort definierten Anforderungen der NCP+ sind grundsätzlich für die SV-Signatur anwendbar eingeschränkt nur durch die in Abschnitt 2.2 genannten Abweichungen. Insbesondere erfüllt die Zertifizierungsstelle im Rahmen der Ausstellung der SV- Signatur Zertifikate die im Dokument Teilübersetzung von ETSI TS 102 042 aufgeführten Anforderungen an ihre Praktiken mit den in Abschnitt 2.2 genannten Einschränkungen. Details zu den Praktiken der Zertifizierungsstelle finden sich im Certification Practice Statement (CPS) für SV-Signatur Zertifikate. Hinweis: Es handelt sich nicht um eine offizielle (d.h. von ETSI anerkannte) oder im rechtlichen Sinne anerkannte (z.b. beglaubigte) Übersetzung. 2.2 Abweichungen von NCP+ Identifizierung der Zertifikatsinhaber: Die Registrierung der Inhaber der SV-Signatur Zertifikate erfolgt gegen die Datenbestände der Sozialversicherungsträger. Diese sind zwar sehr zuverlässig, es wird aber nicht der Anspruch erhoben, dass wie in Absatz 7.3.1 e) gefordert die Prüfung der Identität anhand dieser Daten zu einer persönlichen Überprüfung gleichwertige Gewissheit bietet. Allgemeinen Geschäftsbedingungen: Das Verhältnis der Zertifizierungsstelle zu den Inhabern der SV-Signatur Zertifikate ist nicht durch Verträge, sondern durch Rechtsnormen definiert. Es gibt daher z.b. keine allgemeinen Geschäftsbedingungen oder Entgeltbestimmungen, weshalb diese dem Zertifikatswerber auch nicht im Sinne von Absatz 7.3.1 c) auf einem dauerhaften Datenträger ausgehändigt und nicht entsprechend Absatz 7.3.4 veröffentlicht werden. Anstelle dessen wird der Zertifikatswerber in einem Anschreiben auf die rechtlichen Grundlagen hingewiesen. Einverständniserklärung: Der Zertifikatswerber für ein SV-Signatur Zertifikat unterschreibt keine Einverständniserklärung. Die Anforderungen von Absatz 7.3.1 l) bzgl. der Aufbewahrung der Einverständniserklärungen und von Absatz 7.3.5 b) bzgl. der Zustimmung des Inhabers zur Veröffentlichung seiner Zertifikate werden daher nicht erfüllt. Certificate_Policy_SV-Signatur_Zertifikate Seite 11 von 12

Sperrmanagement und Sperrstatus: In Abweichung von Absatz 7.3.6 können SV-Signatur Zertifikate nicht gesperrt werden. Die entsprechenden Anforderungen werden daher nicht umgesetzt. Sichere Auslieferung der Benutzergeräte: Da die SV-Signatur nicht durch eine PIN geschützt ist und die e-card ihrem Inhaber über eine normale Briefsendung zugesendet wird, wird die Anforderung aus Absatz 7.3.3 c) nach einer sicheren Auslieferung des Benutzergerätes in Hinsicht auf das SV-Signatur Zertifikat nicht erfüllt. Sicherheitszertifizierung kryptographischer Geräte: Die kryptographischen Geräte, in denen die privaten Schlüssel zur Erstellung der SV-Signatur Zertifikate erzeugt, gespeichert und angewendet werden, genügen dem Anforderungen von FIPS 140-2 Level 3. Dieser Standard ist der Nachfolger des in den Absätzen 7.2.1 b) und 7.2.2 a) geforderten FIPS 140-1 und definiert nach allgemeinem Verständnis bei gleichem Level zu FIPS 140-1 vergleichbare Sicherheitsanforderungen. Die Anforderungen dieser Absätze werden daher nur sinngemäß erfüllt. 2.3 Nicht anwendbare Punkte von NCP+ Erzeugung der Schlüssel der Zertifikatsinhaber: Die SV-Signatur-Schlüssel werden durch die Zertifizierungsstelle generiert. Die Anforderungen der Absätze 6.2 d), e), g) und 7.3.1 n) sind daher nicht anwendbar. Backup der privaten Schlüssel: Ein Backup der für die Erstellung von SV-Signatur Zertifikaten verwendeten privaten Schlüssel wird nicht durchgeführt. Absatz 7.2.2 ist daher soweit Backup und Wiederherstellung betroffen sind nicht anwendbar. Treuhänderische Schlüsselhinterlegung: Eine treuhänderische Hinterlegung der SV-Signatur-Schlüssel wird durch die Zertifizierungsstelle nicht durchgeführt. Die Anforderungen von Absatz 7.2.4 sind daher nicht anwendbar. Certificate_Policy_SV-Signatur_Zertifikate Seite 12 von 12

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback