T-Systems PKI - Certificate Practice Statement (CPS)
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
T-Systems PKI – Certificate Practice Statement (CPS) Erklärung zum Zertifizierungsbetrieb (CPS) für die T-Systems Trust Center Public Key Infrastruktur T-Systems International GmbH Telekom Security Öffentlich Version: 11.00 Gültig ab: 13.03.2020 Status: Freigabe Letztes Review: 03.03.2020 _________________________________________________________________________________ T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 1
IMPRESSUM
Tabelle 1 - Dokumenteneigenschaften
Eigenschaft Wert
Herausgeber Telekom Security
Trust Center & ID-Solutions
Untere Industriestraße 20, 57250 Netphen, Deutschland
Dateiname T-Systems-PKI-CPS-DE-v11.00-20200313.docx
Gültig ab 13.03.2020
Titel T-Systems PKI – Certificate Practice Statement (CPS)
Erklärung zum Zertifizierungsbetrieb (CPS) für die T-
Systems Trust Center Public Key Infrastruktur
Version 11.00
Letztes Review 03.03.2020
Status Freigabe
Autor Telekom Security
Inhaltlich geprüft von Telekom Security
Freigegeben von Telekom Security
Beteiligte Organisationseinheit Telekom Security
Trust Center & ID-Solutions
Ansprechpartner Telekom Security
Leiter Trust Center Betrieb
Kurzbeschreibung Erklärung zum Zertifizierungsbetrieb der T-Systems PKI
Copyright © 2020 by T-Systems International GmbH, Frankfurt am Main
Alle Rechte, auch die des auszugsweisen Nachdrucks, der fotomechanischen Wiedergabe
(einschließlich Mikrokopie) sowie der Auswertung durch Datenbanken oder ähnliche
Einrichtungen, vorbehalten.
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 2ÄNDERUNGSHISTORIE
Tabelle 2 – Änderungshistorie
Version Stand Bearbeiter Änderungen / Kommentar
8.0 15.05.2018 T-Systems Initialversion nach RFC 3647 Struktur und
Auftrennung zwischen CP und CPS. Aus diesem
Grund wurde eine neue Änderungshistorie begonnen.
Ältere Versionen des CP/CPS basieren auf einer
abweichenden Struktur.
9.0 12.10.2018 T-Systems Einarbeitung Änderungen in Kapitel 1.5.2, 4.9 und 5
10.0 10.10.2019 T-Systems Einarbeitung BR-Änderungen gemäß BR 1.5.7 bis
1.6.6
Einarbeitung EV-Änderungen gemäß EV 1.6.9 bis
1.7.0
10.1 04.02.2020 T-Systems - Änderung Dokumentenvorlage auf Barrierefreiheit
10.2 - Einarbeitung Mozilla 2.7 Anforderungen
10.3 - Einarbeitung BR-Änderungen gemäß BR 1.6.7
- Einarbeitung EV-Änderungen gemäß EV 1.7.1
10.3 04.02.2020 T-Systems Bereitstellung zur Prüfung
10.4 03.03.2020 T-Systems Einarbeitung Anpassungen
11.00 13.03.2020 T-Systems Freigabe
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 3INHALTSVERZEICHNIS
Impressum ............................................................................................................................ 2
Änderungshistorie ................................................................................................................. 3
Inhaltsverzeichnis .................................................................................................................. 4
Tabellenverzeichnis ..............................................................................................................12
Abbildungsverzeichnis ..........................................................................................................13
1 Einleitung ......................................................................................................................14
1.1 Überblick ................................................................................................................14
1.2 Dokumentenidentifikation .......................................................................................14
1.2.1 Revisionen ......................................................................................................14
1.2.2 Relevante Daten .............................................................................................14
1.3 PKI Beteiligte..........................................................................................................14
1.3.1 Zertifizierungsstellen (CA) ...............................................................................14
1.3.2 Registrierungsstellen (RA)...............................................................................16
1.3.3 Zertifikatsnehmer (Subscriber) ........................................................................16
1.3.4 Vertrauender Dritter (Relying parties) ..............................................................16
1.3.5 Andere Teilnehmer ..........................................................................................16
1.4 Zertifikatsverwendung ............................................................................................16
1.4.1 Zulässige Verwendung von Zertifikaten ...........................................................16
1.4.2 Unzulässige Verwendung von Zertifikaten.......................................................16
1.5 Verwaltung des Dokuments....................................................................................17
1.5.1 Organisatorische Zuständigkeit für dieses Dokument ......................................17
1.5.2 Kontaktinformationen ......................................................................................17
1.5.3 Pflege der Richtlinie und Konformität des CPS................................................17
1.5.4 Genehmigungsverfahren dieses Dokument (CP) ............................................17
1.6 Definitionen und Abkürzungen ...............................................................................18
1.6.1 Glossar............................................................................................................18
1.6.2 Abkürzungsverzeichnis ...................................................................................26
1.6.3 Referenzen .....................................................................................................27
1.6.4 Konventionen / Vorgaben ................................................................................28
2 Veröffentlichung und Verantwortlichkeit für Informationen (Repositories) ......................29
2.1 Informationsdienste (Repositories) .........................................................................29
2.2 Veröffentlichung von Zertifikaten und zugehörigen Informationen ..........................29
2.3 Zeitpunkt oder Intervall der Veröffentlichung ..........................................................30
2.4 Zugang zu den Informationsdiensten .....................................................................30
3 Identifizierung und Authentifizierung ..............................................................................31
3.1 Namensregeln ........................................................................................................31
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 43.1.1 Namensformen................................................................................................31
3.1.2 Aussagekraft von Namen ................................................................................31
3.1.3 Anonymität bzw. Pseudonyme der Zertifikatsnehmer ......................................31
3.1.4 Regeln zur Interpretation verschiedener Namensformen.................................31
3.1.5 Eindeutigkeit von Namen ................................................................................31
3.1.6 Erkennung, Authentifizierung und Rolle von Markennamen ............................31
3.2 Identitätsprüfungen bei Erstbeauftragung ...............................................................31
3.2.1 Methoden zur Überprüfung des Besitzes des privaten Schlüssels...................31
3.2.2 Prüfung der Organisations- und Domain-Identität............................................32
3.2.3 Authentifizierung einer natürlichen Person ......................................................34
3.2.4 Nicht verifizierte Teilnehmerinformationen .......................................................34
3.2.5 Überprüfung der Berechtigung ........................................................................34
3.2.6 Kriterien für Interoperabilität ............................................................................34
3.3 Identitätsprüfung und Authentifizierung bei einer Schlüsselerneuerung ..................34
3.3.1 Identifizierung und Authentifizierung für routinemäßige Schlüsselerneuerung .34
3.3.2 Identitätsprüfung bei Schlüsselerneuerung nach Zertifikatssperrung ...............34
3.4 Identifizierung und Authentifizierung bei Sperranträgen .........................................34
4 Betriebliche Anforderungen im Lebenszyklus von Zertifikaten .......................................36
4.1 Zertifikatsbeauftragung...........................................................................................36
4.1.1 Wer kann ein Zertifikat beauftragen?...............................................................36
4.1.2 Beauftragungsprozess und Zuständigkeiten....................................................36
4.2 Bearbeitung des Zertifikatsauftrags ........................................................................37
4.2.1 Durchführung der Identifikation und Authentifizierung .....................................37
4.2.2 Annahme oder Abweisung von Zertifikatsanträgen .........................................37
4.2.3 Bearbeitungsdauer ..........................................................................................37
4.3 Ausstellung von Zertifikaten ...................................................................................37
4.3.1 CA-Tätigkeiten während der Ausstellung von Zertifikaten ...............................37
4.3.2 Benachrichtigung des Zertifikatsnehmers über die Ausstellung von Zertifikaten
38
4.4 Zertifikatsannahme .................................................................................................38
4.4.1 Akzeptanz durch den Zertifikatsnehmer ..........................................................38
4.4.2 Veröffentlichung des Zertifikats durch die CA ..................................................38
4.4.3 Benachrichtigung weiterer Instanzen durch die CA .........................................38
4.5 Verwendung von Schlüsselpaar und Zertifikat ........................................................38
4.5.1 Nutzung des privaten Schlüssels und des Zertifikats durch den Zertifikatsnehmer
38
4.5.2 Nutzung von öffentlichen Schlüsseln und Zertifikaten durch Relying Parties ...38
4.6 Zertifikatserneuerung (Re-Zertifizierung) ................................................................38
4.6.1 Bedingungen für eine Zertifikatserneuerung ....................................................39
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 54.6.2 Wer darf eine Zertifikatserneuerung beauftragen? ..........................................39
4.6.3 Ablauf der Zertifikatserneuerung .....................................................................39
4.6.4 Benachrichtigung des Zertifikatsnehmers ........................................................39
4.6.5 Annahme einer Zertifikatserneuerung .............................................................39
4.6.6 Veröffentlichung einer Zertifikatserneuerung durch die CA ..............................39
4.6.7 Benachrichtigung weiterer Instanzen über eine Zertifikatserneuerung durch die
CA 39
4.7 Schlüsselerneuerung von Zertifikaten (Re-Key) .....................................................39
4.7.1 Bedingungen für eine Schlüsselerneuerung ....................................................39
4.7.2 Wer darf eine Zertifizierung eines neuen öffentlichen Schlüssels beauftragen?
39
4.7.3 Ablauf der Schlüsselerneuerung......................................................................39
4.7.4 Benachrichtigung eines Zertifikatsauftraggers über das neue Zertifikat ...........39
4.7.5 Annahme eines neuen Zertifikats ....................................................................39
4.7.6 Veröffentlichung des neuen Zertifikats durch die CA .......................................40
4.7.7 Benachrichtigung weiterer Instanzen über eine Schlüsselerneuerung .............40
4.8 Änderung von Zertifikatsdaten ................................................................................40
4.8.1 Bedingungen für eine Zertifikatsdatenänderung ..............................................40
4.8.2 Wer darf eine Änderung der Zertifikatsdaten beauftragen? .............................40
4.8.3 Ablauf der Änderung von Zertifikatsdaten........................................................40
4.8.4 Benachrichtigung eines Zertifikatsauftraggebers über Ausgabe eines neuen
Zertifikats.......................................................................................................................40
4.8.5 Annahme des geänderten Zertifikats ...............................................................40
4.8.6 Veröffentlichung einer Schlüsselerneuerung ...................................................40
4.8.7 Benachrichtigung weiterer Instanzen über das geänderte Zertifikat.................40
4.9 Zertifikatssperrung und Suspendierung ..................................................................40
4.9.1 Sperrgründe ....................................................................................................40
4.9.2 Wer kann eine Sperrung beauftragen? ............................................................41
4.9.3 Ablauf einer Sperrung .....................................................................................41
4.9.4 Fristen für einen Sperrauftrag..........................................................................42
4.9.5 Fristen für Verarbeitung durch die Zertifizierungsstelle ....................................42
4.9.6 Methoden zur Prüfung von Sperrinformationen durch Relying Parties .............42
4.9.7 Frequenz der Veröffentlichung von Sperrinformationen ...................................42
4.9.8 Maximale Latenzzeit von Sperrlisten ...............................................................43
4.9.9 Verfügbarkeit von Online-Sperr-/Statusinformationen......................................43
4.9.10 Anforderungen an Online Überprüfungsverfahren ...........................................43
4.9.11 Andere verfügbare Formen der Bekanntmachung von Sperrinformationen .....43
4.9.12 Gesonderte Bedingungen bei Kompromittierung privater Schlüssel ................43
4.9.13 Suspendierung von Zertifikaten .......................................................................43
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 64.9.14 Wer kann eine Suspendierung beantragen .....................................................44
4.9.15 Ablauf einer Suspendierung ............................................................................44
4.9.16 Begrenzung der Suspendierungsperiode ........................................................44
4.10 Statusauskunftsdienste für Zertifikate .....................................................................44
4.10.1 Betriebliche Vorgaben .....................................................................................44
4.10.2 Verfügbarkeit ...................................................................................................44
4.10.3 Optionale Merkmale ........................................................................................44
4.11 Kündigung durch den Zertifikatsnehmer .................................................................44
4.12 Schlüsselhinterlegung und Wiederherstellung ........................................................44
4.12.1 Richtlinien für Schlüsselhinterlegung und -wiederherstellung. .........................44
4.12.2 Sitzungsschlüsselkapselung und Richtlinien für die Wiederherstellung. ..........44
5 Bauliche, organisatorische und Betriebliche Maßnahmen .............................................45
5.1 Trust Center Sicherheitsmaßnahmen (Physikalische Kontrollen) ...........................45
5.1.1 Standort und bauliche Maßnahmen.................................................................45
5.1.2 Physikalischer Zutritt .......................................................................................45
5.1.3 Stromversorgung und Klimatisierung...............................................................46
5.1.4 Wasserschäden ..............................................................................................46
5.1.5 Brandschutz ....................................................................................................46
5.1.6 Aufbewahrung von Datenträgern .....................................................................47
5.1.7 Entsorgung......................................................................................................47
5.1.8 Externe Sicherung ...........................................................................................47
5.2 Organisatorische Maßnahmen ...............................................................................47
5.2.1 Vertrauenswürdige Rollen ...............................................................................47
5.2.2 Anzahl der für eine Aufgabe erforderlichen Personen .....................................47
5.2.3 Identifizierung und Authentifizierung für jede Rolle ..........................................47
5.2.4 Rollen, die eine Aufgabentrennung erfordern ..................................................48
5.3 Personelle Maßnahmen .........................................................................................48
5.3.1 Anforderungen an Qualifikation, Erfahrung und Sicherheitsüberprüfung .........48
5.3.2 Sicherheitsüberprüfung ...................................................................................48
5.3.3 Schulungs- und Fortbildungsanforderungen ....................................................49
5.3.4 Nachschulungsintervalle und -anforderungen..................................................49
5.3.5 Häufigkeit und Abfolge der Arbeitsplatzrotation ...............................................49
5.3.6 Sanktionen bei unbefugten Handlungen ..........................................................49
5.3.7 Anforderungen an unabhängige Auftragnehmer ..............................................49
5.3.8 Dokumentation für das Personal .....................................................................50
5.4 Protokollereignisse .................................................................................................50
5.4.1 Art der aufgezeichneten Ereignisse .................................................................50
5.4.2 Bearbeitungs- und Archivierungsintervall für Audit-Protokolle (Logs) ..............50
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 75.4.3 Aufbewahrungszeitraum für Audit-Protokolle ...................................................51
5.4.4 Schutz der Audit-Protokolle .............................................................................51
5.4.5 Sicherungsverfahren für Audit-Protokolle ........................................................51
5.4.6 Audit-Protokolle-Erfassungssystem (intern vs. extern) ....................................51
5.4.7 Benachrichtigung des Ereignisauslösenden Subjekts......................................51
5.4.8 Schwachstellenprüfung ...................................................................................51
5.5 Datenarchivierung ..................................................................................................51
5.5.1 Art der archivierten Datensätze .......................................................................51
5.5.2 Aufbewahrungszeitraum für archivierte Daten .................................................51
5.5.3 Schutz von Archiven........................................................................................52
5.5.4 Sicherungsverfahren für Archive .....................................................................52
5.5.5 Anforderungen an Zeitstempel von Datensätzen .............................................52
5.5.6 Archiverfassungssystem (intern oder extern) ..................................................52
5.5.7 Verfahren zur Beschaffung und Überprüfung von Archivinformationen ...........52
5.6 Schlüsselwechsel ...................................................................................................52
5.7 Kompromittierung und Wiederherstellung der Dienstleistung .................................52
5.7.1 Umgang mit Störungen und Kompromittierungen ............................................53
5.7.2 Wiederherstellung bei Beschädigung von EDV-Geräten, Software und/oder
Daten 53
5.7.3 Verfahren bei Kompromittierung von privaten Schlüsseln ...............................53
5.7.4 Geschäftskontinuität nach einem Notfall..........................................................53
5.8 Einstellung des CA oder RA Betriebes ...................................................................54
6 Technische Sicherheitsmaßnahmen..............................................................................55
6.1 Generierung und Installation von Schlüsselpaaren .................................................55
6.1.1 Generierung von Schlüsselpaaren ..................................................................55
6.1.2 Bereitstellung des privaten Schlüssels an Zertifikatsnehmer ...........................55
6.1.3 Bereitstellung des öffentlichen Schlüssels an die Zertifizierungsstelle .............55
6.1.4 Bereitstellung des öffentlichen CA-Schlüssels .................................................55
6.1.5 Algorithmen und Schlüssellängen ...................................................................56
6.1.6 Parameter der Generierung öffentlicher Schlüsselparameter und
Qualitätskontrolle...........................................................................................................56
6.1.7 Schlüsselverwendung .....................................................................................56
6.2 Schutz privater Schlüssel und technische Kontrollen kryptografischer Module .......56
6.2.1 Standards und Kontrollen für kryptografische Module .....................................56
6.2.2 Mehrpersonenkontrolle (n aus m) bei privaten Schlüsseln...............................57
6.2.3 Hinterlegung von privaten Schlüsseln .............................................................57
6.2.4 Sicherung (Key Backup) von privaten Schlüsseln ...........................................57
6.2.5 Archivierung von privaten Schlüsseln ..............................................................57
6.2.6 Übertragung privater Schlüssel in oder von einem kryptografischen Modul .....57
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 86.2.7 Speicherung privater Schlüssel auf kryptografischen Modulen ........................57
6.2.8 Methode zur Aktivierung privater Schlüssels ...................................................57
6.2.9 Methode zur Deaktivierung privater Schlüssel .................................................58
6.2.10 Methode zur Vernichtung privater Schlüssel ...................................................58
6.2.11 Methode zur Beurteilung kryptographischer Module ........................................58
6.3 Andere Aspekte zur Verwaltung von Schlüsselpaaren ...........................................58
6.3.1 Archivierung von öffentlichen Schlüsseln ........................................................58
6.3.2 Gültigkeitsperioden von Zertifikaten und Schlüsselpaaren ..............................58
6.4 Aktivierungsdaten ...................................................................................................58
6.4.1 Generierung und Installation von Aktivierungsdaten ........................................58
6.4.2 Schutz von Aktivierungsdaten .........................................................................59
6.4.3 Weitere Aspekte von Aktivierungsdaten ..........................................................59
6.5 Computer-Sicherheitskontrollen .............................................................................59
6.5.1 Spezifische technische Anforderungen an die Computersicherheit .................59
6.5.2 Bewertung der Computersicherheit .................................................................59
6.6 Technische Kontrollen des Lebenszyklus ...............................................................59
6.6.1 Kontrollen der Systementwicklung...................................................................59
6.6.2 Kontrollen des Sicherheitsmanagements ........................................................59
6.6.3 Sicherheitskontrollen des Lebenszyklus ..........................................................59
6.7 Netzwerk-Sicherheitskontrollen ..............................................................................59
6.8 Zeitstempel ............................................................................................................60
7 Zertifikats-, Sperrlisten- und OCSP-Profile ....................................................................61
7.1 Zertifikatsprofile ......................................................................................................61
7.1.1 Versionsnummer(n) .........................................................................................61
7.1.2 Zertifikatsinhalte und -erweiterungen nach RFC 5280 .....................................61
7.1.3 Objekt-Kennungen von Algorithmen ................................................................61
7.1.4 Namensformen................................................................................................62
7.1.5 Namensbeschränkungen ................................................................................62
7.1.6 Objekt-Identifikatoren für Zertifizierungsrichtlinien ...........................................62
7.1.7 Verwendung der Erweiterung Policy Constraints .............................................62
7.1.8 Syntax und Semantik von Policy Qualifiers .....................................................63
7.1.9 Verarbeitung der Semantik der kritischen Erweiterung: Certificate Policies .....63
7.2 Sperrlistenprofile ....................................................................................................63
7.2.1 Versionsnummer(n) .........................................................................................63
7.2.2 Sperrlisten- und Sperrlisteneintragserweiterungen ..........................................63
7.3 OCSP-Profil............................................................................................................63
7.3.1 Versionsnummer(n) .........................................................................................63
7.3.2 OCSP-Erweiterungen ......................................................................................63
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 98 Audits und andere Bewertungskriterien .........................................................................64
8.1 Häufigkeit und Art der Prüfungen ...........................................................................64
8.2 Identität/Qualifikation des Prüfers ...........................................................................64
8.3 Beziehung des Prüfers zur prüfenden Stelle ..........................................................64
8.4 Abgedeckte Bereiche der Prüfung ..........................................................................64
8.5 Maßnahmen zur Beseitigung von Mängeln oder Defiziten ......................................64
8.6 Mitteilung der Ergebnisse .......................................................................................65
8.7 Selbst-Auditierung ..................................................................................................65
9 Sonstige geschäftliche und rechtliche Be-stimmungen ..................................................66
9.1 Entgelte ..................................................................................................................66
9.1.1 Entgelte für die Ausstellung oder Erneuerung von Zertifikaten ........................66
9.1.2 Entgelte für den Zugriff auf Zertifikate .............................................................66
9.1.3 Entgelte für den Zugriff auf Sperr- oder Statusinformationen ...........................66
9.1.4 Entgelte für andere Leistungen .......................................................................66
9.1.5 Erstattung von Entgelten .................................................................................66
9.2 Finanzielle Verantwortlichkeiten .............................................................................66
9.2.1 Versicherungsschutz .......................................................................................66
9.2.2 Sonstige finanzielle Mittel ................................................................................67
9.2.3 Versicherungs- oder Gewährleistungsschutz für Endteilnehmer ......................67
9.3 Vertraulichkeit von Geschäftsinformationen ...........................................................67
9.3.1 Umfang von vertraulichen Informationen .........................................................67
9.3.2 Umfang von nicht vertraulichen Informationen.................................................67
9.3.3 Verantwortung zum Schutz vertraulicher Informationen ..................................67
9.4 Schutz von personenbezogenen Daten (Datenschutz) ...........................................67
9.4.1 Datenschutzkonzept ........................................................................................67
9.4.2 Vertraulich zu behandelnde Daten ..................................................................67
9.4.3 Nicht vertraulich zu behandelnde Daten ..........................................................68
9.4.4 Verantwortung für den Schutz vertraulicher Daten ..........................................68
9.4.5 Mitteilung und Zustimmung zur Nutzung vertraulicher Daten...........................68
9.4.6 Offenlegung gemäß gerichtlicher oder verwaltungsmäßiger Prozesse ............68
9.4.7 Andere Umstände zur Offenlegung von Daten ................................................68
9.5 Urheberrecht ..........................................................................................................68
9.6 Zusicherungen und Gewährleistung .......................................................................68
9.6.1 Zusicherungen und Gewährleistungen der Zertifizierungsstelle (CA) ..............68
9.6.2 Zusicherungen und Gewährleistungen der Registrierungsstelle (RA) ..............69
9.6.3 Zusicherungen und Gewährleistungen des Endteilnehmers ............................70
9.6.4 Zusicherungen und Gewährleistungen von Vertrauenden Dritten ....................70
9.6.5 Zusicherungen und Gewährleistungen anderer Teilnehmer ............................70
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 109.7 Haftungsausschluss ...............................................................................................70
9.8 Haftungsbeschränkungen.......................................................................................70
9.9 Schadensersatz .....................................................................................................70
9.9.1 Schadenersatz durch die CAs .........................................................................70
9.9.2 Schadenersatz durch die Endteilnehmer .........................................................70
9.9.3 Schadenersatz durch beteiligte Parteien .........................................................70
9.10 Laufzeit und Beendigung ........................................................................................71
9.10.1 Laufzeit ...........................................................................................................71
9.10.2 Beendigung .....................................................................................................71
9.10.3 Wirkung der Beendigung und Fortbestand ......................................................71
9.11 Individuelle Mitteilungen und Kommunikation mit Teilnehmern ...............................71
9.12 Änderungen des CPS.............................................................................................71
9.12.1 Verfahren für Änderungen ...............................................................................71
9.12.2 Benachrichtigungen über Änderungen ............................................................71
9.12.3 Gründe zur Vergabe einer neuen OID .............................................................72
9.13 Bestimmungen zur Beilegung von Streitigkeiten.....................................................72
9.14 Geltendes Recht ....................................................................................................72
9.15 Einhaltung geltenden Rechts..................................................................................72
9.16 Verschiedene Bestimmungen .................................................................................72
9.16.1 Vollständiger Vertrag .......................................................................................72
9.16.2 Abtretung ........................................................................................................72
9.16.3 Salvatorische Klausel ......................................................................................72
9.16.4 Vollstreckung (Rechtsanwaltsgebühren und Rechtsverzicht) ..........................72
9.16.5 Höhere Gewalt ................................................................................................72
9.17 Sonstige Bestimmungen ........................................................................................72
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 11TABELLENVERZEICHNIS Tabelle 1 - Dokumenteneigenschaften .................................................................................. 2 Tabelle 2 – Änderungshistorie ............................................................................................... 3 Tabelle 3 - Dokumenteneigenschaften .................................................................................14 Tabelle 4 – Glossar ..............................................................................................................18 Tabelle 5 – Abkürzungsverzeichnis ......................................................................................26 Tabelle 6 - Referenzen .........................................................................................................27 _________________________________________________________________________________ T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 12
ABBILDUNGSVERZEICHNIS Es konnten keine Einträge für ein Abbildungsverzeichnis gefunden werden. _________________________________________________________________________________ T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 13
1 EINLEITUNG
1.1 Überblick
Die T-Systems Trust Center Public Key Infrastruktur (PKI) wird durch die Konzerneinheit T
Systems International GmbH in der Deutschen Telekom AG im T-Systems Trust Center
betrieben. Das T-Systems Trust Center unter-hält eine Reihe unterschiedlicher
Zertifizierungsstellen unter verschiedenen Stammzertifizierungsstellen (Root-CAs).
Bei dem vorliegenden Dokument handelt es sich um die Erklärung zum Zertifizierungsbetrieb
(engl. Certification Practise Statement, kurz CPS) für alle innerhalb der T-Systems PKI
betriebenen Zertifizierungsstellen, wobei der Fokus auf der Root-CA liegt. Es orientiert sich an
dem internationalen Standard für Zertifizierungsrichtlinien RFC 3647 (Internet X.509 Public
Key Infrastructure Certificate Policy and Certification Practices Framework) der Internet
Engineering Task Force (IETF).
Das T-Systems Trust Center sichert weiterhin zu, dass alle Zertifizierungsstellen innerhalb der
T-Systems PKI alle Anforderungen und Regelungen der jeweils aktuellen veröffentlichten
Version der [CAB-BR] (http://www.cabforum.org/documents.html) erfüllen und einhalten. Im
Falle eines Widerspruchs zwischen dem vorliegenden Dokument und den [CAB-BR], haben
die Regelungen aus den [CAB-BR] Vorrang.
1.2 Dokumentenidentifikation
Tabelle 3 - Dokumenteneigenschaften
Name Version Datum Objektbezeichnung
(Object Identifier)
T-Systems PKI – Certificate Practice 11.00 13.03.2020 1.3.6.1.4.1.7879.13.39
Statement (CPS)
1.2.1 Revisionen
Siehe Änderungshistorie zu Anfang des Dokuments.
1.2.2 Relevante Daten
Siehe Änderungshistorie zu Anfang des Dokuments.
1.3 PKI Beteiligte
1.3.1 Zertifizierungsstellen (CA)
Neben dem Betrieb von Zertifizierungsstellen für eigene interne Produkte und Dienstleistungen
stellt das T-Systems Trust Center CA-Zertifikate für Zertifizierungsstellen anderer Betreiber
aus, die unter den folgenden öffentlichen Stammzertifizierungsstellen (Root-CAs) betrieben
werden:
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 14Deutsche Telekom Root CA 2 Key: RSA 2048, SHA-1 Serial#: 26 Thumbprint: 85:a4:08:c0:9c:19:3e:5d:51:58:7d:cd:d6:13:30:fd:8c:de:37:bf Valid until: 10. Juli 2019 T-TeleSec GlobalRoot Class 2 Key: RSA 2048, SHA-256 Serial#: 01 Thumbprint: 59:0d:2d:7d:88:4f:40:2e:61:7e:a5:62:32:17:65:cf:17:d8:94:e9 Valid until: 2. Oktober 2033 T-TeleSec GlobalRoot Class 3 Key: RSA 2048, SHA-1 Serial#: 01 Thumbprint: 55:a6:72:3e:cb:f2:ec:cd:c3:23:74:70:19:9d:2a:be:11:e3:81:d1 Valid until: 2. Oktober 2033 TeleSec GlobalRoot Class 1 G3 Key: ECDSA_P384, sha384ECDSA Serial#: 1a:f8:94:c5:45:27:c2:c5:68:25:b8:a9:31:5c:bf:da Thumbprint: 52 7f 0d 83 1b 02 bd 85 a6 8b f6 db 23 f6 e7 0d e2 f8 a0 20 Valid until: 10. April 2044 TeleSec GlobalRoot Class 2 G3 Key: ECDSA_P384, sha384ECDSA Serial#: 08:22:70:67:e1:16:f6:90:56:ef:0b:fe:fb:bd:d9:91 Thumbprint: 63 2e 29 d7 8a 73 ab 29 5f 50 84 35 a5 f0 6a 7e f6 55 d9 81 Valid until: 10. April 2044 TeleSec GlobalRoot Class 3 G3 Key: ECDSA_P384, sha384ECDSA Serial#: 2b:d4:0e:3e:f9:1f:9a:c5:f9:19:af:04:24:6c:7e:fb _________________________________________________________________________________ T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 15
Thumbprint: 46 3c 28 b0 b9 41 91 a6 23 38 aa dc db 79 b4 46 ca 97 a9 e9
Valid until: 10. April 2044
Die Root-CA Zertifikate sind vom T-Systems Trust Center selbst-signiert und werden durch T-
Systems veröffentlicht. Die Veröffentlichung erlaubt eine lückenlose Gültigkeitsüberprüfung
aller in dieser Hierarchie ausgestellten Zertifikate. Es werden ausschließlich Zertifikate von
unmittelbar nachgeordneten Zertifizierungsstellen (Sub-CAs) ausgestellt. Zertifikate für
Endteilnehmer (Subscriber Zertifikate) werden nicht ausgegeben. Regelungen bzgl.
Endteilnehmer-Zertifikaten werden in separaten CPS weiterer T-System Zertifikatslösungen
beschrieben.
1.3.2 Registrierungsstellen (RA)
Registrierungen und alle damit zusammenhängenden Aktivitäten für die in diesem CPS
aufgeführten Root-CAs werden durch eine zentrale interne Registrierungsstelle der T-Systems
bearbeitet. Es werden weder weitere externe noch interne Registrierungsstellen (RA)
hinzugezogen.
1.3.3 Zertifikatsnehmer (Subscriber)
Zertifikatsnehmer der Root-CAs sind ausschließlich unmittelbar nachgeordnete
Zertifizierungsstellen. Es werden keine Endteilnehmer Zertifikate ausgestellt.
Der Zertifikatsnehmer:
▪ beantragt das Zertifikat (vertreten durch eine berechtigte natürliche Person)
▪ wird im Rahmen der Registrierung von der zuständigen CA authentifiziert
▪ wird durch das Zertifikat identifiziert, d.h. es wird bestätigt, dass der im Zertifikat
enthaltene öffentliche Schlüssel dem Zertifikatsnehmer gehört
▪ ist im Besitz des privaten Schlüssels, der zum öffentlichen Schlüssel im Zertifikat gehört
1.3.4 Vertrauender Dritter (Relying parties)
Zertifikatsnutzer sind juristischen Personen bzw. Organisationseinheiten, die auf die Integrität
und Qualität eines ausgestellten Endteilnehmer Zertifikates vertrauen.
1.3.5 Andere Teilnehmer
Nicht anwendbar.
1.4 Zertifikatsverwendung
1.4.1 Zulässige Verwendung von Zertifikaten
Siehe CP, Kapitel 1.4.1
1.4.2 Unzulässige Verwendung von Zertifikaten
Siehe CP, Kapitel 1.4.2
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 161.5 Verwaltung des Dokuments 1.5.1 Organisatorische Zuständigkeit für dieses Dokument Dieses Dokument (CP) wird herausgegeben von T-Systems International GmbH, Telekom Security, Trust Center & ID-Solutions. 1.5.2 Kontaktinformationen Adresse: T-Systems International GmbH Telekom Security Trust Center & ID Solutions Leiter Trust Center Betrieb Untere Industriestraße 20 57250 Netphen, Deutschland Telefon: +49 (0) 1805 268 204 (Festnetz 0,14 EUR/Minute, Mobilfunknetze max. 0,42 EUR/Minute) WWW: https://www.telesec.de E-Mail: telesec_support@t-systems.com Die Meldung von Missbrauch, Kompromittierung von Zertifikaten und Schlüsseln des T- Systems Trust Center können unter der URL https://www.telesec.de/de/kontakt-de 7x24h abgesetzt werden. Die Priorisierung erfolgt über Auswahl „Zertifikats-Missbrauchsverdacht melden“ im Kontaktformularfeld „Betreff“. Eine möglichst präzise und umfangreiche Darstellung sollte im Feld „Text“ erfolgen, so dass eine Bewertung durch T-Systems frühzeitig erfolgen kann und adäquate Maßnahmen eingeleitet werden können. T-Systems meldet sich in der Regel innerhalb von 24h mit einer ersten Einschätzung über die angegebenen Kommunikationskanäle. T-Systems wird ggf. Strafverfolgungsbehörden und Aufsichtsbehörden einschalten. Die Eingabe der Meldung wird als Einverständnis gewertet, dass Daten ohne weitere Einwilligung in einem solchen Fall an Behörden weitergegeben werden können. 1.5.3 Pflege der Richtlinie und Konformität des CPS Dieses Dokument (CPS) behält seine Gültigkeit, solange es nicht vom Herausgeber (siehe Kapitel 1.5.1) widerrufen wird. Es wird bei Bedarf (jedoch mindestens einmal im Jahr) fortgeschrieben und erhält dann jeweils eine neue aufsteigende Versionsnummer (siehe auch Kapitel 9.12.1 und 9.12.2). Das CPS ist konform zur vorliegenden CP zu erstellen. 1.5.4 Genehmigungsverfahren dieses Dokument (CP) Der in Kapitel 1.5.1 benannte Herausgeber ist für dieses Dokument (CPS) verantwortlich. Die Genehmigung erfolgt durch das Change Advisory Board. _________________________________________________________________________________ T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 17
Die vorliegende CPS wird unabhängig von weiteren Änderungen einem jährlichen Review
unterzogen. Verantwortlich für die Durchführung bzw. die Koordination des Reviews ist die in
Kapitel 1.5.1 benannte Stelle.
Das jährliche Review ist in der Änderungshistorie des CPS zu vermerken. Dies gilt auch für
den Fall, dass keine inhaltlichen Änderungen vorgenommen werden.
1.6 Definitionen und Abkürzungen
1.6.1 Glossar
Tabelle 4 – Glossar
Begriff Erläuterung
Antrag auf ein Ein Antrag, für den die CA eine Zusatzprüfung im Hinblick auf interne
Zertifikat mit Kriterien und Datenbanken vorsieht, die von der CA geführt werden. Dies
erhöhtem Risiko kann Namen betreffen, die in Bezug auf Phishing oder eine andere
betrügerische Nutzung einem höheren Risiko ausgesetzt sind, Namen, die in
zuvor abgelehnten Zertifikatsanträgen oder widerrufenen (gesperrten)
Zertifikaten enthalten sind, Namen, die auf der MillerSmiles-Phishing-Liste
oder auf der Safe-Browsing-Liste von Google stehen bzw. Namen, die die
CA anhand ihrer eigenen Risikominderungskriterien identifiziert.
Antragsteller Die natürliche oder juristische Person, die ein Zertifikat (oder dessen
Erneuerung) beantragt. Ist das Zertifikat einmal ausgestellt, wird der
Antragsteller als Zertifikatnehmer bezeichnet. Bei für Geräte ausgestellten
Zertifikaten ist der Antragsteller die Organisation, die über das in dem
Zertifikat genannte Gerät Kontrolle ausübt bzw. es betreibt, auch wenn das
Gerät den eigentlichen Antrag auf das Zertifikat sendet.
Anwendungssoftwa Ein Anbieter von Internetbrowser-Software oder anderer
reanbieter Anwendungssoftware der vertrauenden Seite, die Zertifikate anzeigt oder
verwendet und Stammzertifikate (Root) beinhaltet.
Ausstellende Die Zertifizierungsstelle (CA), die ein bestimmtes Zertifikat ausgestellt hat.
Zertifizierungsstelle Dabei kann es sich um eine Stammzertifizierungsstelle (Root-CA) oder eine
(CA) untergeordnete Zertifizierungsstelle (Sub-CA) handeln.
Authentifizierung Prüfung einer Identität an Hand behaupteter Merkmale.
Authority Liste, in der gesperrte digitale Zertifikate von Zertifizierungsstellen (außer
Revocation List Root-CA) aufgeführt sind. Vor der Verwendung eines digitalen Zertifikats
(ARL) einer Zertifizierungsstelle sollte anhand der ARL überprüft werden, ob dieses
noch verwendet werden darf.
Beauftragte Eine natürliche oder juristische Person, die nicht identisch mit der
Drittpartei Zertifizierungsstelle (CA) ist, jedoch von dieser bevollmächtigt ist, den
Zertifikatsverwaltungsprozess zu unterstützen, indem sie Aufgaben zur
Erfüllung einer oder mehrerer Anforderungen erfüllt. Dies kann z.B. eine
externe Registrierungsstelle oder auch eine interne enterprise
Registrierungsstelle sein.
Berechtigungsdoku Die Dokumentation, die die Berechtigung eines Antragstellers belegt, ein
ment oder mehrere Zertifikat(e) für eine bestimmte natürliche Person, Personen-
und Funktionsgruppen, juristische Personen oder Gerät zu beantragen. Es
kann sich auch um ein Dokument der Zertifizierungsstelle über eine
Kommunikation mit der betreffenden Person oder Organisation handeln.
Bezugsvertrag Eine Vereinbarung zwischen der Zertifizierungsstelle (CA) und dem
(Subscriber Antragsteller/Zertifikatnehmer, in der die Rechte und Verpflichtungen der
Agreement) Parteien festlegt werden.
Bulk Funktion einer CA mit der der Sub-Registrator Soft-PSE per
Massengenerierung erzeugen kann.
Certificate Das Zertifikat-Verwaltungsprotokoll, ist ein von der IETF entwickeltes
Management Protokoll, zur Verwaltung von X.509-Zertifikaten innerhalb einer Public-Key-
Protocol (CMP) Infrastruktur (PKI).
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 18Begriff Erläuterung
Certificate Policy Legt die Richtlinien für die Generierung und Verwaltung von Zertifikaten
(CP) eines bestimmten Typs fest.
Certificate Signing Von einem Gerät (z.B. Server) elektronisch erstellt und mit dem privaten
Request (CSR) Schlüssel signierter Zertifikatsantrag, der in kodierter Form den öffentlichen
[TC] Schlüssel und die Zertifikatsdaten enthält. Die Syntax wird durch den
Standard PKCS#11 beschrieben.
Certificate Siehe Sperrliste
Revocation List
(CRL)
Certification Siehe Zertifizierungsstelle.
Authority (CA)
Certification Erklärungen für den Betrieb einer Zertifizierungsstelle. Insbesondere setzt
Practice Statement das CPS die Vorgaben und Richtlinien der CP einer Zertifizierungsstelle um.
(CPS)
Chipkarte Plastikkarte mit integriertem Computerchip. Telefonkarten sind ein Beispiel
dafür. Ist der Computerchip dazu in der Lage, Berechnungen durchzuführen,
so spricht man auch von einer Smartcard. Smartcards können auch für
kryptografische Anwendungen eingesetzt werden.
Dezentrales Der Benutzer stellt über die Benutzer-Webseite oder per Mail-Request oder
Registrierungsmod das Gerät stellt über seine SCEP-Schnittstelle den Zertifikatsantrag, den der
ell Sub-Registrator bearbeitet (Genehmigung, Ablehnung oder Zurückstellung
(Wiedervorlage)).
Digitale Signatur Mit einem speziellen mathematischen Verfahren erstellte Prüfsumme.
Sichert die Authentizität des Signierenden und die Integrität der Daten.
Distinguished Format, mit dem gemäß dem X.500-Standard eindeutige Namen angegeben
Name werden können. In einem digitalen Zertifikat muss ein DN enthalten sein.
Domain- Die Dokumentation, die von der Domain-Namen-Registrierungsstelle
Berechtigungs- (Domain Name Registrar), einem registrierten Domain-Inhaber (Domain
dokument Name Registrant) oder der Person bzw. Organisation bereitgestellt wird, die
in WHOIS als registrierter Domain-Inhaber aufgeführt ist (einschließlich aller
privaten, anonymen oder Proxy-Registrierungsservices), und die
Berechtigung eines Antragstellers belegt, ein Zertifikat für einen bestimmten
Domain-Namensraum zu beantragen. Es kann sich auch um ein Dokument
der Zertifizierungsstelle über eine Kommunikation mit der betreffenden
Person oder Organisation handeln.
Domain-Name Die Bezeichnung, die einem Knoten im Domain Name System (DNS)
zugeordnet ist.
Dual-Key-Zertifikat Variante, bei der für Verschlüsselung und Signatur getrennte Schlüsselpaare
verwendet werden. D.h. ein Benutzer besitzt zwei korrespondierende
Zertifikate.
Endteilnehmer Siehe auch Zertifikatnehmer. Der Begriff Endteilnehmer wird überwiegend im
Umfeld X.509 verwendet.
Endteilnehmer- Ein Zertifikat, welches nicht die Basiseinschränkung (basic constraints)
Zertifikat „Zertifizierungsstelle“ verwendet, daher selber keine Zertifikate signieren
kann.
Erklärung zum Eines von mehreren Dokumenten, die allgemeine und spezifische
Zertifizierungsbetri Rahmenbedingungen vorgibt. Das beninhaltet insbesondere eine
eb (CPS) Beschreibung der Verfahrensweise, wie die Zertifizierungsstelle (CA)
Zertifikate ausstellt, verwaltet, sperrt und erneuert.
Erlaubte Internet- Ein Domänenname, der aus der Top-Level-Domain und weiteren Sub-
Domänen Domains besteht, und nach erfolgreicher Prüfung durch die interne
Registrierungsstelle als „erlaubte Internet-Domäne“ in die PKI-Konfiguration
des Mandanten (Master-Domäne) aufgenommen wird.
ETSI-Zertifizierung Überprüfung und Bestätigung für Zertifizierungsstellen durch einen
unabhängigen Gutachter, das die PKI nach den ETSI-Kriterien „ETSI TS 102
042“ betrieben werden. Ziel der ETSI-Prüfungen ist es, das Vertrauen der
Nachfrageseite in den elektronischen Geschäftsverkehr zu stärken.
_________________________________________________________________________________
T-Systems PKI – Certificate Practice Statement (CPS) Version 11.00, Gültig ab: 13.03.2020, Seite 19Sie können auch lesen
