Navigation und Service

Inhalt

Public Key Infrastruktur der Verwaltung (V-PKI)

Die Public Key Infrastruktur der Verwaltung mit dem offiziellen Namen "PKI-1-Verwaltung" (im Folgenden als Verwaltungs-PKI bezeichnet oder als V-PKI abgekürzt) stellt für Bundes- und Landesbehörden, Kommunen sowie öffentliche Institutionen die Basistechnologie für zertifikatsbasierte Sicherheitsdienstleistungen bereit. Auf dieser Grundlage können Integrität und Vertraulichkeit der Daten sowie eine aussagekräftige Authentizität (Identifikation und Unabstreitbarkeit) in der Kommunikation innerhalb elektronischer Verwaltungs- und Geschäftsprozesse erreicht werden.

Ziel der Verwaltungs-PKI ist es, den elektronischen Geschäftsverkehr zwischen Verwaltung, Wirtschaft und Bürgern mindestens auf dem IT-Grundschutz-Niveau zu ermöglichen, wie es im Beschluss der Bundesregierung vom 16. Januar 2002 "Sicherheit im elektronischen Rechts- und Geschäftsverkehr mit der Bundesverwaltung" gefordert wurde.

Sie besteht aus den drei Bestandteilen

  • Wurzelzertifizierungsstelle,
  • Zertifizierungshierarchie und
  • Verzeichnisdienst.

Der Verzeichnisdienst des IVBB stellt die Zertifikate und Sperrlisten der Wurzel- und der IVBB-Certification Authority (IVBB-CA) zur Verfügung. Andere V-PKI-CAs haben andere Verzeichnisdienste. Die Architektur ist in der Abbildung A-12 dargestellt. Die Wurzelzertifizierungsstelle (Policy Certification AuthorityPCA) erstellt als oberste Zertifizierungsstelle der Hierarchie ein selbst signiertes Wurzelzertifikat und signiert die Zertifikate der angeschlossenen Zertifizierungsstellen.

Foto – Aufbau der Verwaltungs-PKIBild vergrößern Abbildung A 12 (SAGA 3.0)

Die von der Wurzelzertifizierungsstelle zertifizierten Zertifizierungsstellen (Certification AuthorityCA) bilden die zweite Stufe der PKI-Hierarchie. Die Teilnehmer (TN) wiederum werden durch die ihnen zugeordnete Zertifizierungsstelle eingebunden und bilden die unterste Stufe der Zertifizierungshierarchie.

Teilnehmer sind Personen, Personengruppen, Funktionen oder Dienste (IT-Prozesse), die im Rahmen der PKI-1-Verwaltung Schlüssel und Zertifikate erhalten und aus dem Verzeichnisdienst PKI-Informationen von CAs oder Teilnehmer abrufen. Auch Anwender ohne Zertifikat der V-PKI können PKI-Informationen vom Verzeichnisdienst abrufen. Für natürliche Personen werden Pseudonyme zugelassen.

Die Zertifizierungsstelle kann entweder durch die jeweilige Institution in Eigenverantwortung betrieben werden oder die PKI-Dienstleistungen durch kommerzielle CA-Dienstleister erbringen lassen.

Darüber hinaus steht es jeder Zertifizierungsstelle frei, weitere nachgeordnete Zertifizierungsstellen (Sub-CA) zu zertifizieren. Um eine praktikable Architektur mit überprüfbaren Sicherheitsleitlinien zu gewährleisten, wird eine maximal fünfstufige PKI-Hierarchie vorgegeben. Sollten besondere Umstände gegen diese Beschränkung sprechen, so ist dies bei der Antragstellung zu begründen und die Genehmigung der PCA der Verwaltung einzuholen.

Die Wurzelzertifizierungsstelle stellt die von ihr ausgestellten Zertifikate und Sperrlisten in den öffentlich zugänglichen Teil des X.500-Verzeichnisses des IVBB (Informationsverbund Berlin-Bonn) ein. Die Verfügbarkeit dieses Verzeichnisses erfüllt die hohen Verfügbarkeitsanforderungen des IVBB. Detaillierte Informationen über Aufbau und Zugriff sind dem Verzeichnisdienstkonzept der PCA der Verwaltung zu entnehmen.

Um die Nutzung der PKI jedoch nicht gegenüber bestehenden Kommunikationsbeziehungen zu anderen Regierungen, Wirtschaftsunternehmen und Bürgern abzugrenzen, bietet die European Bridge CA (EB-CA) unter der Leitung des TeleTrusT Deutschland e.V. eine organisationsübergreifende Lösung an. Sie verbindet die PKIs von Wirtschaft und Verwaltung miteinander und ist auf maximale Interoperabilität und Flexibilität ausgerichtet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) vertritt als Betreiber der Wurzelzertifizierungsstelle der Verwaltungs-PKI die öffentliche Verwaltung der Bundesrepublik Deutschland innerhalb der EB-CA.

Beschreibung der Funktionalität

Technische Leistungsbeschreibung

Die vom BSI betriebene Wurzelzertifizierungsstelle erstellt auf Antrag Zertifikate für alle Zertifizierungsstellen aus dem Bereich der öffentlichen Verwaltung (Bund, Länder, Kommunen).

Da für eine PKI die Einschätzung der Vertrauenswürdigkeit der ausgestellten Zertifikate von entscheidender Bedeutung ist, werden die für die Zertifikatsstellen verbindlichen Sicherheitsleitlinien (Policy) in einem Dokument beschrieben. Der Aufbau dieses Dokuments lehnt sich an die Empfehlungen des RFC 2527 an, womit es inhaltlich sowohl Elemente einer Policy, als auch des mehr technisch-organisatorisch orientierten Certificate Practice Statements (CPS) vereinigt.

Zertifikate können von Zertifizierungsstellen als personenbezogene Zertifikate oder als Gruppenzertifikate ausgestellt werden. Gruppenzertifikate können ausgestellt werden für:

  • Personengruppen (z. B. Projektgruppe PKI)
  • Funktionen (z. B. Poststelle; Funktion, die durch einen Mitarbeiter ausgefüllt wird)
  • Automatisierte IT-Prozesse (z. B. elektronischer Stempel, Server-Prozesse mit Signatur, SSL-Server)

Der Anwendungsbereich der Zertifikate der PKI der Verwaltung erstreckt sich im Rahmen dieser Policy auf die Verschlüsselung und Authentisierung sowie die fortgeschrittene elektronische Signatur im Sinne des Signaturgesetzes (SigG).

Im Rahmen der Infrastruktur V-PKI übernimmt die Wurzelzertifizierungsstelle folgende Verpflichtungen:

  • Erzeugung eines kryptografisch geeigneten Schlüsselpaares in einer gesicherten Umgebung
  • Erzeugung ihres selbst signierten Zertifikats
  • Integere und authentische Veröffentlichung:

    • ihres Zertifikats einschließlich des dazugehörigen Fingerabdrucks
    • der von ihr ausgestellten Zertifikate
    • von Sperrlisten der Zertifizierungsstellen
  • Einhaltung der Policy
  • Bereitstellung eines Sperrdienstes

Über diese Leistungen hinaus wird die V-PKI über die European Bridge-CA in die deutsche Wirtschaft integriert, wobei die Wurzelzertifizierungsstelle den Nutzerkreis der öffentlichen Verwaltung repräsentiert. Zudem werden anlassbezogene Interoperabilitätstests zu PKI-Produkten durchgeführt und die Ergebnisse mit einer Empfehlung geeigneter Produkte veröffentlicht.

Geschäftsvorfälle

Verschlüsselte Kommunikation per E-Mail

Ein Teilnehmer wünscht eine vertrauliche Kommunikation per E-Mail. Dazu kann entweder die gesamte E-Mail verschlüsselt werden oder lediglich eine Datei, die der Mail als Anhang beigefügt wird. Die Verschlüsselung erfolgt über das so genannte Public-Key-Verfahren. Über eine Zertifikatsstelle innerhalb der V-PKI erhält der Teilnehmer dazu einen privaten und einen öffentlichen Schlüssel. Die verlässliche Zuordnung des öffentlichen Schlüssels zum Teilnehmer erfolgt über elektronische Zertifikate. Das Zertifikat und der öffentliche Schlüssel werden dazu im Verzeichnisdienst X.500 des IVBB öffentlich zur Verfügung gestellt.

Signierte Kommunikation per E-Mail

Ein Teilnehmer möchte die Verbindlichkeit seiner E-Mail, also seine Authentizität sowie die Integrität der Daten, gewährleisten. Dazu nutzt er wie vorstehend beschrieben seinen privaten Schlüssel des Public-Key-Verfahrens und erstellt eine Signatur. Dabei handelt es sich um einen kurzen fälschungssicheren Wert, der an die ursprünglichen Daten angehängt und vom Empfänger über den öffentlichen Schlüssel überprüft werden kann.

Verschlüsselte Kommunikation per Web

Eine Behörde möchte ein (interaktives) Angebot ihrer Website über einen gesicherten Kanal an den Benutzer übertragen. Um eine SSL-Verschlüsselung und somit eine vertrauliche Übermittlung der Daten zwischen Web-Server und Browser zu erreichen, wird ein Server-Zertifikat einer Zertifizierungsstelle der V-PKI genutzt.

Schnittstellen

Die flächendeckende Nutzung der eingesetzten Dienste und Systeme innerhalb einer PKI ist nur durch eine übergreifende Interoperabilität möglich, die den Austausch der PKI-Informationen (Teilnehmer-Zertifikate, CA-Zertifikate und Sperrlisten) sicherstellt. Die hierzu von der Wurzelzertifizierungsstelle und allen anderen Teilnehmer verwendeten Standards (ISIS-MTT) werden durch die Sicherheitsleitlinie für die gesamte PKI verbindlich.
Die Verwaltungs-PKI basiert auf der MailTrusT-Spezifikation des TeleTrusT Deutschland e.V. in der Version 2 (MTT v2). Damit wird die Interoperabilität zu international verbreiteten Standards wie z. B. S/MIME, X.509 und LDAP sichergestellt. Eine zukünftige Migration zu übergreifenden Standards wie ISIS-MTT wird entsprechend dem Stand der Entwicklung mitvollzogen.

Betrieb

Informationen zu den Leistungsmerkmalen sind in den jeweiligen Policies der CAs / PCA definiert.

Teilnehmer und Zugangsbedingungen

Alle Institutionen öffentlichen Rechts in Bund, Ländern und Kommunen können mit einer CA an der V-PKI teilnehmen, wenn die Policy-Anforderungen erfüllt werden.
(End-)Teilnehmer erhalten Zertifikate von ihrer "zuständigen" CA.
Dies gilt für Mitarbeiter des Öffentlichen Dienstes und ausnahmsweise Mitarbeiter von Unternehmen beziehungsweise Dienstleistern, wenn aus Sicht des Öffentlichen Dienstes Interesse besteht. Privatpersonen werden bisher noch nicht berücksichtigt.

Angeschlossene Teilnehmer

Bisher sind Mitarbeiter des Öffentlichen Dienstes und Unternehmensmitarbeiter angeschlossen. Alle teilnehmenden CAs sind mit ihren CA-Zertifikaten im IVBB-Verzeichnis aufgeführt. Aus Datenschutzgründen hat das BSI keine Kenntnis und keinen Zugriff über die von den CAs ausgestellten (End-)Teilnehmerzertifikate.

Ausblick

Die V-PKI-Policy (mit den dazugehörigen Dokumenten) wird umfangreich überarbeitet.

Zu nennende Highlights sind:

  • Auftrennung der Root-Policy in zwei Dokumente (RFC-3647-konform): PCA-Policy und Policy-Anforderungen für teilnehmende CAs
  • Grundlage ist nicht mehr MailTrust, sondern Common PKI
  • längere Zertifikatslaufzeiten für PCA und CAs
  • Teilnehmer-Schlüssel ist rezertifizierbar, wenn auf SigG-konformer Chipkarte mit 2048 Bit Schlüssellänge

Zusatzinformationen

Seitenübersicht

Themen

Nachrichten

Mediathek

© 2017 Der Beauftragte der Bundesregierung für Informationstechnik