Certificate Policy und Certification Practice Statement für qualifizierte Zertifikate der Bundesagentur für Arbeit - Vertrauensdiensteanbieter der ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Vertrauensdiensteanbieter der Bundesagentur für Arbeit | 23.04.2021 Certificate Policy und Certification Practice Statement für qualifizierte Zertifikate der Bundesagentur für Arbeit
Dokumenteninformation
Name Bemer kung
Autor: Vertrauensdiensteanbieter der Bundesagentur für Arbeit
Regensburger Straße 104
D-90478 Nürnberg
Dokumenten-ID: PKI.850.5
Version: 4.2
Datum: 23.04.2021
Klassi fizierung: nur für den Dienstg ebr auc h
Freigabe D okumenten- management 09.03.2021- Geis
Datum - N amensz eichnung ( Versi on)
Freigabe TC- Lei tung 09.03.2021 - Scheetz
Datum - N amensz eichnung ( Versi on)
Freigabe IT-Sic her heit Fehler ! Unb ekannt er N am e für Do kum ent-Eig en sch aft. - F ehler ! Un bekannter Name für Do kum ent-Eigen schaft.
Datum - N amensz eichnung ( Versi on)
Freigabe VDA- Lei tung 08.12.2020 - Stein
Datum - N amensz eichnung ( Versi on)
Freigabe D atenschutzbeauftragter und Fehler ! Unb ekannt er N am e für Do kum ent-Eig en sch aft. - F ehler ! Un bekannter Name für Do kum ent-Eigen schaft.
Rechts ber ater
Datum - Namenszeichnung (Version)
Tabelle 1 - Dokumenteninformation
CP_CPS der BA Signatur_de.docx Seite 2 von 63Inhaltsverzeichnis Dokumenteninformation ...........................................................................................2 Inhaltsverzeichnis .....................................................................................................3 1 Einleitung ................................................................................................ 10 1.1 Überblick...........................................................................................................10 1.2 Dokumentidentifikation ...................................................................................12 1.3 Teilnehmer des Dienstes .................................................................................12 1.3.1 Zertifizierungsstellen (CA) und Zertifikatshierarchie .................................................. 12 1.3.2 Registrierungsinstanzen ................................................................................................ 12 1.3.3 Antragsteller .................................................................................................................... 13 1.3.3.1 Besteller (Subscriber)........................................................................................................ 13 1.3.3.2 Zertifikatsinhaber ............................................................................................................... 13 1.3.4 Vertrauende Dritte (Relying Parties) ............................................................................. 13 1.3.5 Weitere Teilnehmer ......................................................................................................... 13 1.4 Anwendung von Zertifikaten ...........................................................................13 1.4.1 Zulässige Anwendung von Zertifikaten ........................................................................ 13 1.4.2 Unzulässige Anwendung von Zertifikaten ................................................................... 13 1.5 Policy-Verwaltung ............................................................................................14 1.5.1 Organisation für die Verwaltung dieses Dokuments .................................................. 14 1.5.2 Kontaktperson ................................................................................................................. 14 1.5.3 Zuständigkeit für die Abnahme der CP......................................................................... 14 1.5.4 Abnahmeverfahren der CP ............................................................................................. 14 1.6 Definitionen und Abkürzungen .......................................................................14 2 Veröffentlichung und Verzeichnisdienst .............................................. 15 2.1 Verzeichnisdienste ...........................................................................................15 2.2 Veröffentlichung von Zertifikatsinformationen ..............................................15 2.3 Häufigkeit und Zyklen für Veröffentlichungen ...............................................16 2.4 Zugriffskontrolle auf Verzeichnisse ................................................................16 3 Identifizierung und Authentisierung ..................................................... 17 3.1 Namensgebung ................................................................................................17 3.1.1 Namenstypen................................................................................................................... 17 3.1.2 Anforderungen an die Bedeutung von Namen ............................................................ 17 3.1.3 Anonymität und Pseudonyme für Zertifikatsinhaber .................................................. 17 3.1.4 Regeln zur Interpretation verschiedener Namensformen........................................... 17 3.1.5 Eindeutigkeit von Namen ............................................................................................... 18 3.1.6 Erkennung, Authentisierung und Rolle von geschützten Namen ............................. 18 3.2 Erstmalige Identitätsprüfung ...........................................................................18 3.2.1 Methode zum Besitznachweis des privaten Schlüssels ............................................. 18 3.2.2 Authentifizierung von Organisationen.......................................................................... 18 3.2.3 Authentifizierung natürlicher Personen ....................................................................... 18 3.2.4 Nicht verifizierte Teilnehmerinformationen .................................................................. 18 3.2.5 Überprüfung der Handlungsvollmacht ......................................................................... 18 CP_CPS der BA Signatur_de.docx Seite 3 von 63
3.2.6 Kriterien für Zusammenwirkung.................................................................................... 18
3.3 Identifizierung und Authentifizierung bei Schlüsselerneuerung .................. 18
3.3.1 Identifizierung und Authentifizierung bei Routine-Schlüsselerneuerung ................ 18
3.3.2 Identifizierung und Authentifizierung bei Schlüsselerneuerung nach Sperrung .... 19
3.4 Identifizierung und Authentifizierung beim Sperrantrag ............................... 19
3.5 Identifizierung und Authentifizierung beim Antrag auf
Schlüsselwiederherstellung ............................................................................19
4 Anforderungen an den Lebenszyklus des Zertifikats .......................... 20
4.1 Antragstellung für Zertifikate ..........................................................................20
4.1.1 Wer kann ein Zertifikat beantragen ............................................................................... 20
4.1.2 Antragsprozess und Verantwortlichkeiten ................................................................... 20
4.2 Antragsbearbeitung .........................................................................................21
4.2.1 Durchführung der Identifikation und Authentifizierung.............................................. 21
4.2.2 Annahme bzw. Ablehnung des Antrags ....................................................................... 21
4.2.3 Bei MSK oder Mandanten-MSK trägt der LRA-Registrar zusätzlich das auf dem
Antragsformular notierte Pseudonym ein. Fristen für die Antragsbearbeitung ...... 21
4.3 Zertifikatserstellung .........................................................................................22
4.3.1 CA- Prozesse während der Zertifikatserstellung ......................................................... 22
4.3.2 Benachrichtigung des Zertifikatsinhabers über die Zertifikatserstellung ................ 22
4.4 Zertifikatsannahme ..........................................................................................22
4.4.1 Verfahren der Zertifikatsannahme................................................................................. 22
4.4.2 Veröffentlichung der Zertifikate durch den Zertifizierungsdienst ............................. 22
4.4.3 Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst .................... 22
4.5 Nutzung des Schlüsselpaares und des Zertifikats ........................................ 22
4.5.1 Nutzung durch den Zertifikatsinhaber .......................................................................... 22
4.5.2 Nutzung durch vertrauende Dritte................................................................................. 23
4.6 Zertifikatserneuerung unter Beibehaltung des alten Schlüssels (Re-
Zertifizierung) ...................................................................................................23
4.6.1 Gründe für eine Zertifikatserneuerung ......................................................................... 23
4.6.2 Wer kann eine Zertifikatserneuerung beantragen ....................................................... 23
4.6.3 Ablauf der Zertifikatserneuerung .................................................................................. 23
4.6.4 Benachrichtigung des Zertifikatsinhabers nach Zertifikatserneuerung ................... 24
4.6.5 Annahme einer Zertifikatserneuerung .......................................................................... 24
4.6.6 Veröffentlichung einer Zertifikatserneuerung durch den Zertifizierungsdienst ...... 24
4.6.7 Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst .................... 24
4.7 Schlüssel- und Zertifikatserneuerung (Re-Key) ............................................. 24
4.7.1 Gründe für eine Schlüssel- und Zertifikatserneuerung .............................................. 24
4.7.2 Wer kann eine Schlüssel- und Zertifikatserneuerung beantragen ............................ 24
4.7.3 Ablauf der Schlüssel- und Zertifikatserneuerung ....................................................... 24
4.7.4 Benachrichtigung des Zertifikatsinhabers nach Schlüssel- und
Zertifikatserneuerung ..................................................................................................... 25
4.7.5 Annahme der Schlüssel- und Zertifikatserneuerung .................................................. 25
4.7.6 Veröffentlichung einer Zertifikatserneuerung durch den Zertifizierungsdienst ...... 25
4.7.7 Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst .................... 25
4.8 Zertifikatsmodifizierung ...................................................................................25
CP_CPS der BA Signatur_de.docx Seite 4 von 634.8.1 Gründe für eine Zertifikatsmodifizierung ..................................................................... 25
4.8.2 Wer kann eine Zertifikatsmodifizierung beantragen ................................................... 25
4.8.3 Ablauf der Zertifikatsmodifizierung .............................................................................. 25
4.8.4 Benachrichtigung des Zertifikatsinhabers nach der Zertifikatsmodifizierung ......... 26
4.8.5 Annahme der Zertifikatsmodifizierung ......................................................................... 26
4.8.6 Veröffentlichung einer Zertifikatsmodifizierung durch den Zertifizierungsdienst ... 26
4.8.7 Benachrichtigung weiterer Instanzen durch den Zertifizierungsdienst .................... 26
4.9 Sperrung und Suspendierungen von Zertifikaten.......................................... 26
4.9.1 Gründe für eine Sperrung .............................................................................................. 26
4.9.2 Sperrberechtigte ............................................................................................................. 26
4.9.3 Verfahren zur Sperrung .................................................................................................. 27
4.9.4 Fristen für die Beantragung einer Sperrung ................................................................ 27
4.9.5 Bearbeitungszeit für Anträge auf Sperrung ................................................................. 27
4.9.6 Prüfung des Zertifikatsstatus durch Dritte ................................................................... 27
4.9.7 Periode für die Erstellung der Sperrlisten .................................................................... 27
4.9.8 Maximale Latenz der Sperrlisten ................................................................................... 28
4.9.9 Verfügbarkeit von Online-Sperrinformationen ............................................................ 28
4.9.10 Nutzung der Online-Sperrinformationen durch Dritte................................................. 28
4.9.11 Andere verfügbare Formen der Bekanntmachung von Sperrinformationen ............ 28
4.9.12 Spezielle Anforderungen bei Kompromittierung privater Schlüssel ......................... 28
4.9.13 Gründe für die Suspendierung ...................................................................................... 28
4.9.14 Wer kann eine Suspendierung beantragen .................................................................. 28
4.9.15 Verfahren zur Suspendierung........................................................................................ 28
4.9.16 Maximale Sperrdauer bei Suspendierung .................................................................... 28
4.10 Auskunftsdienste über den Zertifikatsstatus .................................................28
4.10.1 Betriebseigenschaften ................................................................................................... 28
4.10.2 Verfügbarkeit ................................................................................................................... 29
4.10.3 Optionale Funktionen ..................................................................................................... 29
4.11 Ende der Nutzung (End of subscription) ........................................................29
4.12 Schlüsselhinterlegung und -wiederherstellung (Key Escrow und
Recovery) ..........................................................................................................29
4.12.1 Richtlinien und Praktiken zur Schlüsselhinterlegung und -wiederherstellung ........ 29
4.12.2 Richtlinien und Praktiken zum Schutz und Wiederherstellung von
Sitzungsschlüsseln......................................................................................................... 30
5 Infrastrukturelle, organisatorische und personelle
Sicherheitsmaßnahmen ......................................................................... 31
5.1 Infrastrukturelle Sicherheitsmaßnahmen .......................................................31
5.1.1 Lage und Konstruktion des Standortes........................................................................ 31
5.1.2 Zutrittskontrolle............................................................................................................... 31
5.1.3 Stromversorgung und Klimakontrolle .......................................................................... 31
5.1.4 Schutz vor Wasserschäden ........................................................................................... 32
5.1.5 Brandschutz .................................................................................................................... 32
5.1.6 Lagerung von Datenträgern ........................................................................................... 32
5.1.7 Entsorgung von Datenträgern ....................................................................................... 32
5.1.8 Ausgelagertes Backup ................................................................................................... 32
CP_CPS der BA Signatur_de.docx Seite 5 von 635.2 Organisatorische Sicherheitsmaßnahmen .....................................................32 5.2.1 Sicherheitskritische Rollen ............................................................................................ 32 5.2.2 Anzahl benötigter Personen bei sicherheitskritischen Aufgaben ............................. 32 5.2.3 Identifikation und Authentisierung von Rollen ............................................................ 33 5.2.4 Trennung von Rollen und Aufgaben ............................................................................. 33 5.3 Personelle Sicherheitsmaßnahmen ................................................................33 5.3.1 Anforderungen an die Fachkunde und Erfahrung ....................................................... 33 5.3.2 Anforderungen an die Zuverlässigkeit ......................................................................... 33 5.3.3 Anforderungen an die Schulung ................................................................................... 33 5.3.4 Wiederholungen der Schulungen.................................................................................. 33 5.3.5 Häufigkeit und Abfolge von Rollenwechsel ................................................................. 34 5.3.6 Sanktionen bei unzulässigen Handlungen ................................................................... 34 5.3.7 Vertragsbedingungen mit dem Personal beauftragter Dritter .................................... 34 5.3.8 An das Personal ausgehändigte Dokumente ............................................................... 34 5.4 Protokollierung sicherheitskritischer Ereignisse .......................................... 34 5.4.1 Protokollierte Ereignisse ................................................................................................ 34 5.4.2 Auswertung von Protokolldaten.................................................................................... 35 5.4.3 Aufbewahrungsfristen für Protokolldaten .................................................................... 35 5.4.4 Schutz der Protokolldaten ............................................................................................. 35 5.4.5 Sicherungsverfahren für Protokolldaten ...................................................................... 35 5.4.6 Internes/externes Protokollierungssystem .................................................................. 35 5.4.7 Benachrichtigung des Auslösers eines Ereignisses .................................................. 35 5.4.8 Schwachstellenbewertung ............................................................................................. 35 5.5 Archivierung von Protokolldaten ....................................................................36 5.5.1 Arten von zu archivierenden Daten............................................................................... 36 5.5.2 Archivierungsfristen ....................................................................................................... 36 5.5.3 Schutzvorkehrungen für das Archiv ............................................................................. 36 5.5.4 Sicherungsverfahren für das Archiv ............................................................................. 36 5.5.5 Anforderungen an den Zeitstempel der archivierten Daten ....................................... 36 5.5.6 Internes oder externes Archivierungssystem .............................................................. 36 5.5.7 Verfahren zur Beschaffung und Verifizierung von Archivdaten ................................ 36 5.6 Schlüsselwechsel der Zertifizierungsinstanzen............................................. 36 5.7 Kompromittierung und Wiederherstellung (Disaster Recovery) ................... 37 5.7.1 Prozeduren bei Sicherheitsvorfällen............................................................................. 37 5.7.2 Wiederherstellung nach Kompromittierung von Ressourcen ................................... 37 5.7.3 Wiederherstellung nach Schlüsselkompromittierung ................................................ 37 5.7.4 Aufrechterhaltung des Betriebs im Notfall ................................................................... 37 5.8 Einstellung der Tätigkeit ..................................................................................37 6 Technische Sicherheitsmaßnahmen..................................................... 39 6.1 Erzeugung und Installation von Schlüsselpaaren ......................................... 39 6.1.1 Erzeugung von Schlüsselpaaren .................................................................................. 39 6.1.2 Übergabe privater Schlüssel an den Zertifikatsinhaber ............................................. 39 6.1.3 Übergabe öffentlicher Schlüssel an den Zertifizierungsdiensteanbieter.................. 39 6.1.4 Übergabe öffentlicher CA Schlüssel an Dritte (Relying Parties) ............................... 39 CP_CPS der BA Signatur_de.docx Seite 6 von 63
6.1.5 Schlüssellängen .............................................................................................................. 39
6.1.6 Erzeugung und Prüfung der Schlüsselparameter ....................................................... 39
6.1.7 Verwendungszweck der Schlüssel ............................................................................... 39
6.2 Schutz der privaten Schlüssel und der kryptographischen Module............. 40
6.2.1 Standards für Schutzmechanismen und Bewertung der kryptographischen
Module .............................................................................................................................. 40
6.2.2 Aufteilung der Kontrolle privater Schlüssel auf mehrere Personen ......................... 40
6.2.3 Treuhänderische Hinterlegung privater Schlüssel...................................................... 40
6.2.4 Sicherung und Wiederherstellung privater Schlüssel ................................................ 40
6.2.5 Archivierung privater Schlüssel .................................................................................... 40
6.2.6 Transfer privater Schlüssel ............................................................................................ 40
6.2.7 Speicherung privater Schlüssel .................................................................................... 40
6.2.8 Methoden zur Aktivierung privater Schlüssel .............................................................. 40
6.2.9 Methoden zur Deaktivierung privater Schlüssel .......................................................... 40
6.2.10 Methoden zur Vernichtung privater Schlüssel ............................................................ 41
6.2.11 Bewertung kryptographischer Module ......................................................................... 41
6.3 Weitere Aspekte des Schlüsselmanagements ...............................................41
6.3.1 Archivierung öffentlicher Schlüssel ............................................................................. 41
6.3.2 Verwendungsdauern von Zertifikaten und Schlüsselpaaren ..................................... 41
6.4 Aktivierungsdaten ............................................................................................41
6.4.1 Erzeugung und Installation von Aktivierungsdaten .................................................... 41
6.4.2 Schutzmaßnahmen für Aktivierungsdaten ................................................................... 41
6.4.3 Weitere Aspekte zu Aktivierungsdaten......................................................................... 42
6.5 Sicherheitsbestimmungen für Computer .......................................................42
6.5.1 Spezifische Sicherheitsanforderungen für Computer ................................................ 42
6.5.2 Bewertung der Computersicherheit .............................................................................. 42
6.6 Technische Kontrollen des Software-Lebenszyklus ..................................... 42
6.6.1 Systementwicklungsmaßnahmen ................................................................................. 43
6.6.2 Sicherheitsmanagement ................................................................................................ 43
6.6.3 Bewertung der Maßnahmen zur Kontrolle des Lebenszyklus ................................... 43
6.7 Maßnahmen zur Netzwerksicherheit ...............................................................43
6.8 Zeitstempel .......................................................................................................43
7 Profile ...................................................................................................... 44
7.1 Zertifikatsprofile ...............................................................................................44
7.1.1 Versionsnummer(n) ........................................................................................................ 44
7.1.2 Zertifikatserweiterungen ................................................................................................ 44
7.1.3 Algorithmenbezeichner (OID) ........................................................................................ 44
7.1.4 Namensformen ................................................................................................................ 44
7.1.5 Nutzung von Erweiterungen zu Namensbeschränkungen ......................................... 45
7.1.6 Bezeichner für Zertifizierungsrichtlinien (OID) ............................................................ 45
7.1.7 Nutzung von Erweiterungen zur Richtlinienbeschränkungen (Policy-Constraints) 45
7.1.8 Syntax und Semantik von Policy Qualifiern ................................................................. 45
7.1.9 Verarbeitung von kritischen Erweiterungen für Zertifizierungsrichtlinien (Certificate
Policies) ........................................................................................................................... 45
7.2 Profil der Sperrlisten ........................................................................................45
CP_CPS der BA Signatur_de.docx Seite 7 von 637.2.1 Versionsnummer(n) ........................................................................................................ 45 7.2.2 Erweiterungen der Sperrlisten....................................................................................... 45 7.3 OCSP-Profile.....................................................................................................45 7.3.1 Versionsnummer(n) ........................................................................................................ 45 7.3.2 OCSP-Erweiterungen ...................................................................................................... 45 8 Revisionen und andere Bewertungen ................................................... 47 8.1 Häufigkeiten von Revisionen ..........................................................................47 8.2 Identität und Qualifikation des Auditors.........................................................47 8.3 Beziehungen zwischen Auditor und zu untersuchender Partei .................... 47 8.4 Umfang der Prüfungen ....................................................................................47 8.5 Maßnahmen bei Mängeln .................................................................................48 8.6 Veröffentlichung der Ergebnisse ....................................................................48 9 Weitere geschäftliche und rechtliche Regelungen .............................. 49 9.1 Gebühren ..........................................................................................................49 9.1.1 Gebühren für die Ausstellung oder Erneuerung von Zertifikaten ............................. 49 9.1.2 Gebühren für den Abruf von Zertifikaten ..................................................................... 49 9.1.3 Gebühren für die Abfrage von Zertifikatsstatusinformationen .................................. 49 9.1.4 Gebühren für andere Dienstleistungen ........................................................................ 49 9.1.5 Rückerstattungen............................................................................................................ 49 9.2 Finanzielle Verantwortung ...............................................................................49 9.2.1 Deckungsvorsorge.......................................................................................................... 49 9.2.2 Weitere Vermögenswerte ............................................................................................... 49 9.2.3 Erweiterte Versicherung oder Garantie ........................................................................ 49 9.3 Vertraulichkeit betrieblicher Informationen....................................................49 9.3.1 Art der geheim zuhaltenden Information ...................................................................... 49 9.3.2 Öffentliche Informationen .............................................................................................. 50 9.3.3 Verantwortlichkeit für den Schutz von geheim zuhaltenden Information ................. 50 9.4 Schutz personenbezogener Daten ..................................................................50 9.4.1 Geheimhaltung ................................................................................................................ 50 9.4.2 Vertraulich zu behandelnde Daten ................................................................................ 50 9.4.3 Nicht vertraulich zu behandelnde Daten ...................................................................... 50 9.4.4 Verantwortlichkeit für den Schutz privater Informationen ......................................... 50 9.4.5 Einverständniserklärung zur Nutzung privater Informationen .................................. 50 9.4.6 Weitergabe von Informationen an Ermittlungsinstanzen oder Behörden ................ 50 9.4.7 Sonstige Offenlegungsgründe ...................................................................................... 51 9.5 Geistiges Eigentum und dessen Rechte ........................................................51 9.6 Gewährleistung, Sorgfalts- und Mitwirkungspflichten .................................. 51 9.6.1 Verpflichtung der Zertifizierungsstelle ......................................................................... 51 9.6.2 Verpflichtung der Registrierungsstelle......................................................................... 51 9.6.3 Verpflichtung des Antragstellers .................................................................................. 51 9.6.4 Verpflichtung vertrauender Dritte ................................................................................. 51 9.6.5 Verpflichtung weiterer Teilnehmer ................................................................................ 51 9.7 Haftungsausschluss ........................................................................................51 9.8 Haftungsbegrenzungen ...................................................................................52 CP_CPS der BA Signatur_de.docx Seite 8 von 63
9.9 Schadensersatz ................................................................................................52 9.10 Gültigkeit der CP ..............................................................................................52 9.10.1 Gültigkeitszeitraum ......................................................................................................... 52 9.10.2 Vorzeitiger Ablauf der Gültigkeit ................................................................................... 52 9.10.3 Konsequenzen des Ablaufs dieses Dokumentes ........................................................ 52 9.11 Individuelle Mitteilungen und Absprachen mit den Teilnehmern ................. 52 9.12 Änderungen der Richtlinie...............................................................................52 9.12.1 Verfahren für die Änderung ........................................................................................... 52 9.12.2 Benachrichtigungsverfahren und Veröffentlichungsperioden .................................. 52 9.12.3 Bedingungen für Änderungen der Objekt-Kennung (OID) ......................................... 52 9.13 Schiedsverfahren .............................................................................................53 9.14 Geltende Gesetze .............................................................................................53 9.15 Konformität mit anwendbarem Recht .............................................................53 9.16 Sonstige Bestimmungen .................................................................................53 9.16.1 Vollständigkeitsklausel .................................................................................................. 53 9.16.2 Abtretung der Rechte ..................................................................................................... 53 9.16.3 Salvatorische Klausel ..................................................................................................... 53 9.16.4 Vollstreckung (Anwaltskosten und Rechtsverzicht) ................................................... 53 9.16.5 Höhere Gewalt (Force Majeure) ..................................................................................... 53 9.17 Andere Regelungen .........................................................................................53 9.17.1 Organisatorisch............................................................................................................... 53 9.17.2 Testmöglichkeiten........................................................................................................... 53 9.17.3 Menschen mit Behinderung ........................................................................................... 54 Abbildungsverzeichnis ........................................................................................... 55 Tabellenverzeichnis................................................................................................. 56 Referenzen ............................................................................................................... 57 Definitionen und Abkürzungen .............................................................................. 59 CP_CPS der BA Signatur_de.docx Seite 9 von 63
1 Einleitung
1.1 Überblick
Die Bundesagentur für Arbeit (BA) hat seit dem 13.07.2017 für die Erstellung von qualifizierten
Zertifikaten für elektronische Signaturen den Status eines qualifizierten Vertrauensdiensteanbieters im
Sinne der [eIDAS].
Im Rahmen seiner Zertifizierungstätigkeit erstellt und verwaltet der qualifizierte
Vertrauensdiensteanbieter der BA (VDA der BA) qualifizierte Zertifikate.
Der VDA der BA führt zu diesem Zweck folgende Prozesse durch:
• Registrierung natürlicher Personen
• Zertifikatserstellung
• Personalisierung, Ausgabe und Sperrung von Signaturkarten
• Veröffentlichung von Zertifikaten
• Sperrung von Zertifikaten einschließlich Bereitstellung des Sperrstatus.
Die qualifizierten Zertifikate sind in folgender Zertifizierungshierarchie angeordnet:
Qualifizierte
Wurzel-CA
TSP-R Qualifizierte OCSP-R
Signatur-CA
Signatur- Massensigna
zertifikat turzertifikat
Abbildung 1 - qualifizierte Zertifikate in der Zertifizierungshierarchie
Die beiden oberen Ebenen zeigen qualifizierte Zertifikate, die im Betrieb des Trustcenters (TCs)
eingesetzt werden. Diese Zertifikate werden Dienstezertifikate genannt.
Qualifizierte Zertifikate werden auch für Benutzer, z. B. Mitarbeiter der BA, ausgestellt. Diese Zertifikate
werden, je nach Ausprägung, Signaturzertifikate oder Massensignaturzertifikate genannt.
In jedem Fall wird das zugehörige Signaturschlüsselpaar für die Erstellung und Prüfung einer
qualifizierten elektronischen Signatur in der sicheren Umgebung des VDA der BA erzeugt.
Ein qualifiziertes Zertifikat wird zusammen mit dem zugehörigen Signaturschlüsselpaar auf einer
Chipkarte an den Zertifikatsinhaber ausgeliefert. Der Zertifikatsinhaber ist also gleichzeitig
Signaturschlüsselinhaber. Bei dieser Chipkarte handelt es sich um eine qualifizierte elektronische
Signaturerstellungseinheit (QSCD) im Sinne der [eIDAS].
Chipkarten werden in folgenden technischen Ausprägungen vom VDA der BA erstellt und verwaltet:
• Dienstekarte: Sie enthält ein Dienstezertifikat und wird ausschließlich im Betrieb des
Trustcenters verwendet.
CP_CPS der BA Signatur_de.docx Seite 10 von 63• Einzelsignaturkarte: Sie enthält ein Signaturzertifikat und wird abhängig vom
Benutzerkreis als digitale Dienstkarte (dDk) oder Mandanten-Signaturkarte bezeichnet.
Digitale Dienstkarten werden an Mitarbeiter der BA sowie an Mitarbeiter der
gemeinsamen Einrichtung nach dem Sozialgesetzbuch II (SGB II) ausgegeben. Die
Ausgabe an Mitarbeiter einer gemeinsamen Einrichtung impliziert einen vorausgehenden
Einkauf der entsprechenden Dienstleistung durch die gemeinsame Einrichtung bei der
BA.
Mandanten-Signaturkarten werden an Mitarbeiter von Institutionen (Mandanten)
ausgegeben, die Signaturkarten für ihre Mitarbeiter beantragen. Dies impliziert eine
vorausgehende vertragliche Vereinbarung zwischen der BA und der Institution.
• Massensignaturkarte: Sie enthält ein Massensignaturzertifikat und wird abhängig vom
Benutzerkreis schlicht als Massensignaturkarte (für Mitarbeiter der BA im SGB III) oder
Mandanten-Massensignaturkarte bezeichnet. Massensignaturkarten ermöglichen die
Erstellung mehrerer qualifizierter Signaturen nach einmaliger Aktivierung des privaten
Schlüssels im Sinne von Abschnitt 6.2.8. Für die Mandanten-Massensignaturkarte ist
eine vorherige vertragliche Vereinbarung zwischen der BA und der Institution erforderlich.
Dienstekarten und –zertifikate werden im Folgenden nur noch betrachtet, wenn sie in ihrer Funktion
relevant sind. Beantragung, Erstellung usw. werden hier nicht beschrieben.
Einzelsignaturkarten enthalten zusätzlich die folgenden Schlüsselpaare und nicht qualifizierten
Zertifikate:
• Authentisierung: Ein Schlüsselpaar sowie ein zugehöriges Zertifikat
(Authentisierungszertifikat) für die Durchführung zertifikatsbasierter Authentisierung
(z. B. Login an Systemen). Dieses Zertifikat ermöglicht zudem die fortgeschrittene
Signatur.
• Verschlüsselung: Ein Schlüsselpaar sowie ein zugehöriges Zertifikat
(Verschlüsselungszertifikat) für die Ver- und Entschlüsselung von Daten.
Massensignaturkarten enthalten zusätzlich ein Schlüsselpaar und ein zugehöriges nicht qualifiziertes
Zertifikat (Authentisierungszertifikat), das ausschließlich für die Freischaltung der Massensignaturkarte
im Sinne des Abschnittes 4.4.1 genutzt wird.
Die genannten nicht qualifizierten Zertifikate erstellt und verwaltet der VDA der BA in folgender
Zertifizierungshierarchie:
Wurzel-CA
ARL
Authentisierungs- Verschlüsselungs-
CA CA
CRL
CRL
Authentisierungs- Verschlüsselungs-
zertifikat zertifikat
Abbildung 2 - nicht qualifizierte Zertifikate in der Zertifizierungshierarchie
CP_CPS der BA Signatur_de.docx Seite 11 von 63Das vorliegende Dokument „Certificate Policy und Certification Practice Statement für qualifizierte
Zertifikate der Bundesagentur für Arbeit“ erweitert substanziell die vormals separat veröffentlichte
Certificate Policy der qualifizierten Signatur-CA der BA, Version: 3.2, Datum 06.05.2019,
referenziert durch den Object Identifier 1.3.6.1.4.1.21679.1.1.5.
um die relevanten Inhalte des
Certification Practice Statement der Bundesagentur für Arbeit, Version: 3.3, Datum 20.05.2019.
referenziert durch den Object Identifier 1.3.6.1.4.1.21679.1.1.4.
Der Einfachheit halber wird vorliegendes Dokument als Certificate Policy (CP) bezeichnet, auch wenn
es streng genommen die Kombination von Certificate Policy und Certification Practice Statement (CPS)
für qualifizierte Zertifikate des VDA der BA ist. Die Dokumentstruktur orientiert sich am [RFC3647].
Die Zielsetzung einer Certificate Policy ist im [RFC3647] "Certificate Policy and Certification Practices
Framework" ausführlich dargestellt. Inhaltlich basiert die Certificate Policy des VDA der BA zudem auf
der ETSI-Policy [QCP-n-qscd], definiert aber z.T. schärfere Vorgaben. Die schärferen Vorgaben werden
im vorliegenden Dokument an den relevanten Stellen explizit genannt.
Entsprechend den Vorgaben des [RFC3647] legt das Certification Practice Statement die Praktiken dar,
die der VDA der BA bei der Beantragung, Generierung, Auslieferung und Verwaltung der Zertifikate
anwendet. Das vorliegende Dokument ermöglicht somit ebenfalls eine qualitative Einschätzung der
Zertifizierungstätigkeit des VDA der BA.
Neben der Zertifizierungstätigkeit stellt der Vertrauensdiensteanbieter der BA auch qualifizierte
Zeitstempel bereit. Sofern es nur seine Zertifizierungstätigkeit betrifft, wird der VDA der BA im
vorliegenden Dokument auch als Zertifizierungsdiensteanbieter bezeichnet.
1.2 Dokumentidentifikation
Die Dokumentenbezeichnung lautet:
Certificate Policy und Certification Practice Statement für qualifizierte Zertifikate der Bundesagentur für
Arbeit, Version: 4.2, Datum 20.05.2019
Das Dokument wird über folgenden Object Identifier (OID) referenziert: 1.3.6.1.4.1.21679.1.1.5.
Für die Referenzierung der Policy im qualifizierten Zertifikat wird der obige Object Identifier im Zertifikat
verwendet.
Bemerkung: Da es sich beim vorliegenden Dokument um eine Erweiterung der bisher unter dieser OID
geführten „Certificate Policy der qualifizierten Signatur-CA der BA“ handelt, wurde der OID beibehalten.
1.3 Teilnehmer des Dienstes
1.3.1 Zertifizierungs s tellen (C A) und Zertifikats hierarc hie
Die Zertifizierungsstellen (CA) werden durch den VDA der BA betrieben. Sie erstellen die qualifizierten
Zertifikate mithilfe eines oder mehrerer Signaturschlüsselpaare. Außerdem betreibt der VDA der BA
einen Dienst zur sicheren Online-Abfrage von Informationen zum Sperrstatus dieser qualifizierten
Zertifikate.
Zur Zertifizierungshierarchie vgl. Abschnitt 1.1.
1.3.2 R egis trierungs ins tanzen
Die Registrierung für Einzel- oder Massensignaturkarten wird in lokalen Registrierungsinstanzen (engl.
Local Registration Authority, LRA) durchgeführt. Dort identifizieren die LRA-Registrare die Mitarbeiter,
registrieren diese (Erfassung der notwendigen Daten) und beauftragen die Ausstellung entsprechender
Zertifikate und Smartcards. Die LRA-Kartenausgeber händigen den Mitarbeitern (nach erneuter
Identifizierung) gegen Unterschrift die Smartcard aus und veranlassen die Archivierung der
entsprechenden Unterlagen.
CP_CPS der BA Signatur_de.docx Seite 12 von 631.3.3 Antrags teller
1.3.3.1 Besteller (Subscriber)
Abweichend von [QCP-n-qscd] können Besteller nur natürliche Personen sein. Sie sind nur in den
folgenden Fällen vom späteren Zertifikatsinhaber verschieden:
• Antragsteller für eine Massensignaturkarte ist ein zeichnungsbefugter Mitarbeiter, der
von der Fachabteilung benannt wird, die für die Massensignaturanwendung zuständig ist.
• Mandanten-Signaturkarten bzw. -MSK werden von berechtigten Mitarbeitern des
Mandanten beantragt.
1.3.3.2 Zertifikatsinhaber
Abweichend von [QCP-n-qscd] können Zertifikatsinhaber nur natürliche Personen sein. Es handelt sich
um Mitarbeiter der BA, einer gemeinsamen Einrichtung nach SGB II, die im Vorfeld die entsprechende
Dienstleistung bei der BA eingekauft hat, oder des Mandanten.
1.3.4 V ertrauende Dritte (R elying P arties )
Empfänger qualifiziert elektronisch signierter Dokumente.
1.3.5 Weitere T eilnehmer
Keine.
1.4 Anwendung von Zertifikaten
1.4.1 Zuläs s ige Anwendung von Zertifikaten
Die von der BA ausgegebenen qualifizierten Zertifikate und die entsprechenden Signaturschlüssel auf
der dDk, MSK, Mandanten-Signaturkarte oder –MSK erfüllen die Anforderungen der [eIDAS] an
qualifizierte Zertifikate für elektronische Signaturen, deren Signaturerstellungsdaten sich in einer
qualifizierten elektronischen Signaturerstellungseinheit befinden. Die qualifizierten Zertifikate sind zur
Nutzung wie in [QCP-n-qscd] beschrieben vorgesehen.
Das qualifizierte Signaturzertifikat einer dDk darf dabei ausschließlich für dienstliche Zwecke oder in der
Kommunikation mit Behörden verwendet werden.
Die Anwendung des Signaturzertifikates einer MSK wird im Einsatzkonzept geregelt.
Für die Einschränkung der Anwendung von Signaturzertifikaten einer Mandanten-Signaturkarte oder –
MSK gegenüber [QCP-n-qscd] ist der Mandant verantwortlich.
Bei der Nutzung der Zertifikate und Schlüsselpaare muss der Zertifikatsinhaber seine in der jeweiligen
CP definierten Pflichten erfüllen.
Weitergehende Einschränkungen können sich aus mitgeltenden Dokumenten ergeben. In Frage
kommen hier BA-interne Weisungen oder vertragliche Vereinbarungen, Gesamtkatalog der BA für
gemeinsame Einrichtungen, Verwaltungsvereinbarung mit Mandanten.
1.4.2 Unzuläs s ige Anwendung von Zertifikaten
Insbesondere gelten folgende Nutzungsbeschränkungen und -verbote:
• Mitarbeiterzertifikate und Mandanten-Zertifikate sind nicht zur Verwendung oder zum
Weitervertrieb als Kontroll- oder Steuerungseinrichtung in gefährlichen Umgebungen
oder für Verwendungszwecke, bei denen ein ausfallsicherer Betrieb erforderlich ist bzw.
der Betrieb von nuklearen Einrichtungen, Flugzeugnavigations- oder
Kommunikationssystemen, Luftverkehrs-Kontrollsystemen oder
Waffenkontrollsystemen, wobei ein Ausfall direkt zum Tode, zu Personenschäden oder
zu schweren Umweltschäden führen kann, vorgesehen oder darauf ausgelegt. Eine
Verwendung zu solchen Zwecken wird ausdrücklich ausgeschlossen.
CP_CPS der BA Signatur_de.docx Seite 13 von 63• Nach Ablauf der Gültigkeitsdauer oder Sperrung des Zertifikats dürfen die persönlichen
Schlüssel nicht mehr zur Signierung verwendet werden.
1.5 Policy-Verwaltung
1.5.1 Organis ation für die V erwaltung dies es Dokuments
Die Verwaltung des Dokuments erfolgt durch den VDA der BA. Informationen zur Änderung der
Richtlinie finden Sie in Abschnitt 9.12. Für Kontaktinformationen zum VDA der BA siehe Abschnitt 1.5.2.
1.5.2 K ontaktpers on
Die Revision und Freigabe des vorliegenden Dokuments unterliegt der ausschließlichen Verantwortung
des VDA der BA.
Ansprechpartner für Fragen bezüglich dieser CP ist:
Bundesagentur für Arbeit
IT-Systemhaus
Vertrauensdiensteanbieter
Regensburger Straße 104
90478 Nürnberg
Internet: https://www.pki.arbeitsagentur.de
E-Mail: IT-Systemhaus.Vertrauensdienste@arbeitsagentur.de
1.5.3 Zus tändigkeit für die Abnahme der C P
Für die Verabschiedung dieser CP ist die VDA-Leitung zuständig. Zur Gültigkeit der CP siehe Abschnitt
9.10.
1.5.4 Abnahmeverfahren der C P
Die CP wird bei Bedarf durch den VDA der BA fortgeschrieben, vgl. Abschnitt 9.12. Nach einer
Eignungsprüfung durch den Datenschutzbeauftragten und den Rechtsberater wird sie von der VDA-
Leitung abgenommen.
1.6 Definitionen und Abkürzungen
Definitionen und Abkürzungen stehen am Ende des Dokumentes.
CP_CPS der BA Signatur_de.docx Seite 14 von 632 Veröffentlichung und Verzeichnisdienst
2.1 Verzeichnisdienste
Der VDA der BA betreibt die folgenden Verzeichnisdienste:
• Auf einer Webseite des VDA der BA werden Informationen des VDA wie
Kontaktinformationen, CP und die Dienstezertifikate veröffentlicht. Die Webseite ist unter
der URL
https://www.pki.arbeitsagentur.de
erreichbar.
• Über einen OCSP-Verzeichnisdienst kann der Status von qualifizierten Zertifikaten
abgerufen werden. Sofern der Zertifikatsinhaber zugestimmt hat, kann über den OCSP-
Verzeichnisdienst auch das qualifizierte Zertifikat abgerufen werden. Die
Verbindungsparameter des OCSP-Verzeichnisdienstes werden auf oben genannter
Webseite veröffentlicht. Weitere Informationen zum OCSP-Verzeichnisdienst finden sich
in Abschnitt 4.10.
2.2 Veröffentlichung von Zertifikatsinformationen
Die BA veröffentlicht im Zusammenhang mit der Ausstellung von qualifizierten Zertifikaten die folgenden
Informationen zu ihrem Zertifizierungsdienst:
• Qualifizierte Zertifikate
• Sperrstatusinformationen für qualifizierte Zertifikate
• Zertifikat und Hashwert (Fingerprint) der CA
• Zertifikat und Hashwert (Fingerprint) des OCSP-Reponders
• Zertifikat und Hashwert (Fingerprint) des TSP-Responders (Zeitstempeldienst)
• CP für qualifizierte Zertifikate (vorliegendes Dokument)
• TSAPS der BA.
Die folgende Tabelle gibt einen Überblick über die durch den VDA der BA im Zusammenhang mit der
Ausstellung von qualifizierten Zertifikaten veröffentlichten Informationen sowie deren
Veröffentlichungsort.
Zertifikatstyp veröffentlicht in Link
Qualifizierte Zertifikate OCSP- http://ocsp.pki.arbeitsagentur.de/
Verzeichnis
Sperrstatusinformationen für OCSP- http://ocsp.pki.arbeitsagentur.de/
qualifizierte Zertifikate Verzeichnis
CA-Zertifikate und ihr Hashwert Web-Verzeichnis https://www.pki.arbeitsagentur.de/
(Fingerprint)
Zertifikat und Hashwert Web-Verzeichnis https://www.pki.arbeitsagentur.de/
(Fingerprint) des OCSP-
Responders
Zertifikat und Hashwert Web-Verzeichnis https://www.pki.arbeitsagentur.de/
(Fingerprint) des
Zeitstempeldienstes TSP
CP für qualifizierte Zertifikate Web-Verzeichnis https://www.pki.arbeitsagentur.de/
TSAPS Web-Verzeichnis https://www.pki.arbeitsagentur.de/
Tabelle 2 - Veröffentlichte Informationen
CP_CPS der BA Signatur_de.docx Seite 15 von 63Das Sicherheitskonzept des VDA der BA sowie die technischen Spezifikationen, Betriebskonzepte und Arbeitsanweisungen enthalten vertrauliche Informationen und werden daher weder im Intranet noch im Internet veröffentlicht. 2.3 Häufigkeit und Zyklen für Veröffentlichungen Vor der Verwendung des Signaturschlüsselpaares muss der Zertifikatsinhaber sein qualifiziertes Signaturzertifikat veröffentlichen. Die Veröffentlichung eines qualifizierten Signaturzertifikates wird vom Zertifikatsinhaber durch Aktivierung der übergebenen Smartcard ausgelöst. Das gilt auch für die qualifizierten Zertifikate der CA, des OCSP-Responders und des TSP-Responders, vgl. dazu Abschnitt 4.4. Bei Sperrung eines qualifizierten Zertifikates wird dessen Sperrstatusinformation unverzüglich im OCSP-Verzeichnisdienst aktualisiert. Die Veröffentlichung der CP für qualifizierte Zertifikate erfolgt jeweils nach der Freigabe der aktualisierten Version. Aktualisierungen der CP werden gemäß Kap. 9.12 veröffentlicht. 2.4 Zugriffskontrolle auf Verzeichnisse Die im Internet veröffentlichte Information ist öffentlich zugänglich. Der Lesezugriff auf den Verzeichnisdienst ist also nicht beschränkt. Dagegen haben nur berechtigte Rollenträger oder Systeme Änderungsrechte für den Verzeichnisdienst. Die BA hat entsprechende Sicherheitsmaßnahmen implementiert, um ein unbefugtes Ändern von Einträgen in den Verzeichnisdiensten zu verhindern. CP_CPS der BA Signatur_de.docx Seite 16 von 63
3 Identifizierung und Authentisierung
3.1 Namensgebung
Es gelten die Regelungen des Standard [X509] bzw. seiner Profilierung in [RFC5280] bzw. dessen
Profilierung in [COMPKI]. Aufgrund der Berücksichtigung von [COMPKI] sind die Anforderungen höher
als in [QCP-n-qscd] beschrieben.
3.1.1 Namens typen
Es gelten die Regelungen des Standard [X509] bzw. seiner Profilierung in [RFC5280] bzw. dessen
Profilierung in [COMPKI]. Zertifikatsprofile finden sich in Abschnitt 7.1.
3.1.2 Anforderungen an die B edeutung von Namen
Für das Feld Subject gelten zusätzlich folgende Festlegungen:
• Attribut CountryName:
• Attribut Organization:
• Attribut Surname: für natürliche Personen. Der Doktorgrad ist optional und wird nur
verwendet, wenn er im amtlichen Ausweisdokument vermerkt ist.
• Attribut GivenName: für
natürliche Personen.
• Attribut CommonName (CN): , wobei Vorname identisch sein
muss mit dem Attribut GivenName und Nachname identisch sein muss mit dem Attribut
Surname (inkl. optionalem Doktorgrad). Ist ein cn in der oben genannten Form zu lang,
so wird er auf die maximal zulässige Länge (64 Zeichen) gekürzt. Dabei werden zuerst
die Titel und Vornamen gekürzt.
Bei Massensignaturkarten oder Mandanten-Massensignaturkarten wird der CN im
Einsatzkonzept der Massensignaturkarte bzw. durch den Mandanten festgelegt. Er enthält in
jedem Fall ein Pseudonym, vgl. Abschnitt 3.1.3.
• Attribut SerialNumber: Der Wert wird vom VDA der BA generiert und bezeichnet den
Zertifikatsinhaber eindeutig. Zu seiner Bestimmung werden Vorname, zweiter Vorname,
Geburtsname, Geburtsort, Geburtsdatum des Zertifikatsinhabers benutzt.
3.1.3 Anonymität und P s eudonyme für Zertifikats inhaber
Die Verwendung von Pseudonymen in Signaturzertifikaten wird nicht unterstützt. Der
Pseudonymverzicht wird durch Unterschrift des Zertifikatsinhabers im Registrierungsprozess bestätigt.
Die für den Vertrauensdienst benötigten qualifizierten Zertifikate der CA sowie des OCSP-Responder
und des Zeitstempeldienstes (Dienstezertifikate) sind auf Mitarbeiter des Zertifizierungsdienstes (Rolle
Sicherheitsoffizier) ausgestellt. Die Sicherheitsoffiziere können anhand des Attributes SerialNumber
im Feld Subject des Dienstezertifikates identifiziert werden. Dienstezertifikate tragen ein Pseudonym
im Attribut CommonName des Subject, das mit dem Suffix „:PN“ gekennzeichnet ist.
Der Inhaber eines Massensignaturzertifikates kann anhand des Attributes SerialNumber im Feld
Subject dieses Zertifikates identifiziert werden. Massensignaturzertifikate tragen ebenfalls ein
Pseudonym im Attribut CommonName des Subject, das mit dem Suffix „:PN“ gekennzeichnet ist.
3.1.4 R egeln zur Interpretation vers c hiedener Namens formen
Es gelten die Regelungen des Standard [X509] bzw. seiner Profilierung in [RFC5280] bzw. dessen
Profilierung in [COMPKI]. Aufgrund der Berücksichtigung von [COMPKI] sind die Anforderungen höher
als in [QCP-n-qscd] beschrieben.
CP_CPS der BA Signatur_de.docx Seite 17 von 63Sie können auch lesen
