Erklärung zum Zertifizierungsbetrieb der FH Lübeck CA in der DFN-PKI - Sicherheitsniveau: Global - Fachhochschule Lübeck CPS der FH Lübeck CA V2.1 26. Juli 2011
1. Einleitung Die FH Lübeck CA ist eine Zertifizierungsstelle des DFN-Anwenders Fachhochschule Lübeck innerhalb der DFN-PKI. In der DFN-PKI wird eine Zertifizierungshierarchie verwendet, bei der das Zertifikat der FH Lübeck CA von der DFN-PCA ausgestellt wird. Für den Betrieb der FH Lübeck CA gelten die folgenden Dokumente: CP der DFN-PKI: "Zertifizierungsrichtlinie der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.2, April 2009, OID 1.3.6.1.4.1.22177.300.1.1.5.2.2 CPS der DFN-PCA: "Erklärung zum Zertifizierungsbetrieb der obersten Zertifizierungsstelle der DFN-PKI Sicherheitsniveaus: Global, Classic und Basic -", Version 2.1, Dezember 2006, OID 1.3.6.1.4.1.22177.300.2.1.5.2.1 Die vom CPS der DFN-PCA abweichenden Regelungen für die FH Lübeck CA sind in Kapitel 3 dieses Dokuments beschrieben. Die FH Lübeck CA stellt ausschließlich Zertifikate im Sicherheitsniveau "Global" aus. 2. Identifikation des Dokuments Titel: "Erklärung zum Zertifizierungsbetrieb der FH Lübeck CA in der DFN-PKI" Version: 2.1 3. Abweichungen vom CPS der DFN-PCA Nachfolgend sind die Abschnitte des CPS der DFN-PCA aufgeführt, in denen für die FH Lübeck CA abweichende Regelungen getroffen werden. Zu CPS der DFN-PCA: "1.3.1 Zertifizierungsstellen" Die Anschrift der FH Lübeck CA lautet: Fachhochschule Lübeck Telefon: +49 451 300 5450 Rechenzentrum Telefax: +49 451 300 5451 FH Lübeck CA Mönkhofer Weg 239 E-Mail: ca@fh-luebeck.de WWW: www.fh-luebeck.de 23562 Lübeck Zu CPS der DFN-PCA: "1.3.2 Registrierungsstellen" Die ausgezeichneten Registrierungsstellen für die zuvor genannten Zertifizierungsstellen befinden sich in den Räumen der FH Lübeck CA. Darüber hinaus sind keine weiteren Registrierungsstellen verfügbar. Zu CPS der DFN-PCA: "1.5.1 Organisation" Die Verwaltung dieses CPS erfolgt durch die in Abschnitt 1.3.1 genannte Einrichtung. Der Betrieb der FH Lübeck CA erfolgt durch: DFN-Verein Telefon: +49 30 884299 955 Alexanderplatz 1 Telefax: +49 30 884299 70 10178 Berlin E-Mail: pki@dfn.de WWW: www.pki.dfn.de CPS der FH Lübeck CA Seite 2/5 V2.1
Zu CPS der DFN-PCA: "1.5.2 Kontaktperson" Die verantwortliche Person für das CPS der FH Lübeck CA ist: Fachhochschule Lübeck Rechenzentrum Andreas Petersen FH Lübeck CA Telefon: +49 451 300 5450 Mönkhofer Weg 239 Telefax: +49 451 300 5451 23562 Lübeck E-Mail: petersen@fh-luebeck.de Zu CPS der DFN-PCA: "2.2 Veröffentlichung von Informationen" Alle gemäß CP, Abschnitt 2.2, erforderlichen Informationen werden bereitgestellt unter: http://www.pki.dfn.de/teilnehmer Zu CPS der DFN-PCA: "3.1.1 Namensform" Die DNs aller Zertifikatnehmer unterhalb der FH Lübeck CA enthalten die Attribute "C=DE" und "O=Fachhochschule Luebeck". Wenn das optionale Attribut "ST=Schleswig-Holstein" aufgenommen wird, dann muss auch das Attribut "L=Luebeck" aufgenommen werden. Das optionale Attribut "OU=<Organisationseinheit>" kann mehrfach angegeben werden. Wenn eine E-Mail Adresse angegeben wird, so kann diese über das Attribut "emailaddress" in den Namen aufgenommen werden. Die E-Mail Adresse sollte allerdings bevorzugt in der Zertifikaterweiterung "subjectalternativename" aufgenommen werden. Damit entspricht der Name jedes Zertifikatnehmers dem folgenden Schema: C=DE [ ST=Schleswig-Holstein L=Luebeck ] O=Fachhochschule Luebeck [ OU=<Organisationseinheit> ] CN=<Eindeutiger Name> [ emailaddress=<e-mail Adresse> ] Zu CPS der DFN-PCA: "4.1.1 Wer kann ein Zertifikat beantragen" Die FH Lübeck CA bietet ihre Dienstleistungen allen Angehörigen und Mitarbeitern des DFN- Anwenders Fachhochschule Lübeck an. Anträge auf Zertifikate für einen besonderen Nutzungszweck können auf bestimmte Nutzergruppen eingeschränkt werden und weiteren Regelungen unterliegen. Die FH Lübeck CA behält sich vor, die Annahme von Zertifizierungsanträgen abzulehnen. Niemand kann einen Anspruch auf Zertifizierung aus diesem Dokument ableiten. Zu CPS der DFN-PCA: "4.12.1 Richtlinien und Praktiken zu Schlüsselhinterlegung und wiederherstellung" Die FH Lübeck CA bietet eine Schlüsselhinterlegung von privaten Schlüsseln an, wenn die privaten Schlüssel bei ihr erzeugt und auf einem Krypto-Gerät ausgehändigt wurden. Die Sicherung von privaten Schlüsseln von Server-Zertifikaten und nicht auf einem Krypto- Gerät gespeicherten Nutzerzertifikaten liegt beim Antragsteller bzw. der Antragstellerin. Im Rahmen der Zertifikatbeantragung für Nutzerzertifikate auf Krypto-Geräten in der Registrierungsstelle der FH Lübeck CA wird ein verschlüsseltes Backup der Verschlüsselungsschlüssel erzeugt und in einer Datenbank gespeichert, die sich auf Servern in einbruchssicheren Räumen der RA befindet. Der Schlüssel für dieses Backup wird als eine mit einer Passphrase geschützten Datei erzeugt und auf ein mit PIN geschütztes Krypto-Gerät CPS der FH Lübeck CA Seite 3/5 V2.1
übertragen. Die Datei und das Krypto-Gerät verbleiben in den Räumen der RA. Die PIN ist zwei Personen außerhalb der RA bekannt. Für dieses Krypto-Gerät ist kein PIN-Recovery möglich. Die Nutzung des Backup-Schlüssels durch eine einzelne Person ist damit ausgeschlossen. Die Herausgabe von hinterlegten privaten Verschlüsselungsschlüsseln wird protokolliert und erfolgt grundsätzlich nur an den jeweiligen Zertifikatnehmer und in jedem Fall auf einem Krypto- Gerät. Folgende Regelungen gelten dabei: a) Im Falle des Defektes eines Krypto-Gerätes werden hinterlegte private Verschlüsselungsschlüssel des betroffenen Zertifikatnehmers von der RA auf ein neues Gerät gespeichert, welches dem Zertifikatnehmer ausgehändigt wird. Das defekte Krypto- Gerät muss vorher der RA ausgehändigt werden und wird danach durch die RA unverzüglich vernichtet oder, falls ein Softwareproblem vorlag, neu initialisiert. b) Bei Verlust oder Diebstahl des privaten Verschlüsselungsschlüssels (durch Verlust oder Diebstahl des Krypto-Geräts) wird der hinterlegte Schlüssel auf einem neuen Krypto- Gerät an den betreffenden Zertifikatnehmer ausgehändigt. Das Verschlüsselungszertifikat sowie alle anderen Zertifikate, die sich auf dem Krypto-Gerät befanden, werden davon unabhängig unverzüglich gesperrt. Falls Zertifikate von Personengruppen betroffen sind, werden alle betroffenen Zertifikatnehmer informiert. c) Verschlüsselungsschlüssel werden ansonsten über die Gültigkeit von Verschlüsselungszertifikaten hinaus unbefristet aufbewahrt. d) Im Falle des Ausscheidens eines Zertifikatnehmers aus der Fachhochschule Lübeck, länger andauernder Krankheit, Tod oder zum Zweck der Beweissicherung bei Verdacht auf strafrechtliche Handlungen können Mitarbeiter der RA nach Genehmigung durch den Datenschutzbeauftragten der Fachhochschule Lübeck den oder die privaten Verschlüsselungsschlüssel des betreffenden Mitarbeiters zur Sicherstellung verschlüsselter Daten verwenden. Noch gültige Verschlüsselungszertifikate sowie alle anderen Zertifikate, die sich im Besitz des Mitarbeiters befanden, werden davon unabhängig unverzüglich gesperrt. Davon ausgenommen sind Zertifikate von Personengruppen, sofern das Krypto-Gerät dieses Zertifikatnehmers der RA übergeben wurde. Zu CPS der DFN-PCA: "5 Infrastrukturelle, organisatorische und personelle Sicherheitsmaßnahmen" und "6 Technische Sicherheitsmaßnahmen" Die FH Lübeck CA wird durch den DFN-Verein im Auftrag des DFN-Anwenders Fachhochschule Lübeck bei der DFN-PCA betrieben. Daher sind für die FH Lübeck CA dieselben infrastrukturellen, organisatorischen, personellen und technischen Sicherheitsmaßnahmen umgesetzt, wie für die DFN-PCA (siehe CPS der DFN-PCA). Zu CPS der DFN-PCA: "6.1.2 Übermittlung des privaten Schlüssels an den Zertifikatnehmer" Die Übermittlung von privaten Schlüsseln an Zertifikatnehmer erfolgt auf Krypto-Geräten, die mit einer PIN gesichert sind. Die Übermittlung der PIN erfolgt durch Aushändigung bzw. Versand eines PIN-Briefes. Die Übergabe des Krypto-Gerätes erfolgt persönlich (Übergabe an Zertifikatnehmer) oder durch einen vom PIN-Brief getrennten Versand an den Zertifikatnehmer. Der Empfang des Krypto-Gerätes sowie des PIN-Briefes ist vom Zertifikatnehmer zu bestätigen. Auf ein Krypto-Gerät können weitere Zertifikate der FH Lübeck CA übertragen werden. Dazu muss der Zertifikatnehmer die PIN (vor Einblicken o.ä.) geschützt eingeben. Ansonsten wird das Krypto-Gerät in den Räumen der RA mit denselben Geräten und Programmen wie beim ersten Zertifikat behandelt. Es wird gewährleistet, dass Mitarbeiter der RA keine Kenntnis der jeweiligen PIN erlangen. Die PIN wird bei der initialen Ausgabe des Krypto-Gerätes auf ein sichtgeschütztes Feld eines PIN- Briefes gedruckt, das erst nach einer nachweisbaren Manipulation sichtbar wird. CPS der FH Lübeck CA Seite 4/5 V2.1
Zu CPS der DFN-PCA: "6.2.4 Backup der privaten Schlüssel" Die FH Lübeck CA fordert von den Zertifikatnehmern den Backup der privaten Schlüssel, welche zur Verschlüsselung zertifiziert sind, bei der RA entsprechend Abschnitt 4.12.1. Ein Backup von privaten Schlüsseln durch die RA erfolgt nur, wenn die Schlüssel bei der FH Lübeck CA im Rahmen der Ausstellung von Nutzerzertifikaten auf Krypto-Geräten erzeugt wurden. Zu CPS der DFN-PCA: "6.3.2 Gültigkeit von Zertifikaten und Schlüsselpaaren" Die durch die FH Lübeck CA ausgestellten Server-Zertifikate haben standardmäßig eine Laufzeit von fünf Jahren, die Nutzerzertifikate von drei Jahren. CPS der FH Lübeck CA Seite 5/5 V2.1