Individual Network e.V.: Certification Policy

Letzte Änderung: 10.03.1997

Dies ist die verabschiedete Policy der Individual Network e.V. Zertifikationshierarchie (kurz IN-CH). Sie wurde am 09. März 1997 von der Mitgliederversammlung des Individual Network e.V. in Ilsenburg beschlossen.

Dieses Dokument basiert auf der Arbeit der DFN-PCA-Arbeitsgruppe.

Vor Rückfragen an die Arbeitsgruppe des IN-CH des Individual Network e.V. unter in-ak-ca@individual.net bitte erst die FAQ lesen. Danke.

Inhalt

  1. Einleitung
  2. Gültigkeit dieses Dokumentes
  3. Zuständigkeitsbereich der IN-CH
  4. Rechtliche Bedeutung
  5. Die IN-Zertifizierungshierarchie (IN-CH)
    1. Regionale Zertifizierungsinstanzen (IN-CA)
    2. Regionale Registrierungsinstanzen (IN-RA)
  6. Sicherheit der IN-CA-Ausstattung
    1. Sicherheitsanforderungen an die IN-Root-CA
    2. Sicherheitsanforderungen an Regionale IN-CAs
    3. Sicherheitsanforderungen an IN-RAs
    4. Sicherheitsanforderungen an Benutzer
  7. Zertifizierungsregeln
    1. Regeln für die Zertifizierung von CAs
    2. Regeln für die Zertifizierung von IN-RAs
    3. Regeln für die Zertifizierung von Benutzern
    4. Regeln für die Cross-Zertifizierung zweier CAs
  8. Management von Zertifikaten
  9. Widerruf von Zertifikaten
  10. Regeln für die Namensgebung
    1. Wahl eines Namens für IN-CAs
    2. Wahl eines Namens für IN-RAs und Benutzer
    3. Wahl eines Gruppennamens
  11. Verschiedenes
    1. Erklärungen der Teilnehmer
    2. Vereinbarungen zwischen IN-Root-CA und IN-CA
    3. Vereinbarungen zwischen IN-CA und IN-RA
    4. Gebühren
    5. Eingesetzte Software

1 Einleitung

Dieses Dokument enthält die Zertifizierungsrichtlinien (die sog. "Policy") der obersten Zertifizierungsinstanz des Individual Network e.V..

Der Sinn dieses Dokumentes ist es, Benutzern im Netzwerk eine Einschätzung der durch IN-CAs ausgestellten Zertifikate zu ermöglichen sowie die Mindestanforderungen an den Betrieb der regionalen Zertifizierungsinstanzen (IN-CAs) zu geben, die durch die IN-Root-CA zertifiziert werden.

Die in diesem Dokument getroffenen Aussagen sind für die Arbeit der IN-Root-CA und der durch die IN-Root-CA zertifizierten IN-CAs bindend, soweit sie nicht gesetzlichen Regelungen widersprechen. Jede IN-CA zertifiziert ausschließlich nach den Richtlinien dieser Policy. Um die internationale Zusammenarbeit mit anderen CAs zu ermöglichen, wird ferner eine englische Übersetzung dieses Dokumentes veröffentlicht werden; maßgeblich ist diese deutsche Fassung der Policy.

Die Benennung der regionalen CAs gemäß dieser Policy als IN-CAs soll Einschränkungen ähnlicher Entwicklungen regionaler Domains vermeiden. Die trifft gleichermaßen auf die Benennung der IN-RAs zu.

2 Gültigkeit dieses Dokumentes

Dieses Dokument ist vom 10. Januar 1997 bis 31. Dezember 1997, sowie im Rahmen einer Überleitung auf den Nachfolger dieses Dokumentes bis zum 30. März 1998 gültig. Die Regeln für den Ablauf der Überleitung sind Bestandteil des neuen Nachfolgedokumentes und können die Überleitungsfrist nicht verkürzen.

3 Zuständigkeitsbereich der IN-CH

Zuständigkeitsschema

Der Zuständigkeitsbereich der IN-CH (IN-Zertifikationshierararchie) umfaßt alle Mitgliedseinrichtungen des Individual Network e.V., in erster Linie also die Regionaldomains und deren Teilnehmer. Weitere Organisationen oder Personen können auf Anfrage zertifiziert werden, jedoch ist die Fremdzertifizierung im kommerziellen Bereich auf die gegenseitige Anerkennung von Zertifizierungsinstanzen beschränkt.

Das vorrangige Ziel der IN-CH besteht in dem Aufbau einer IN-weiten Public-Key-Zertifizierungs-Infrastruktur mit regionalen IN-CAs in den einzelnen Regionaldomains, welche von der IN-Root-CA zertifiziert werden. Die regionalen IN-CAs operieren ihrerseits im Namen der jeweiligen Regionaldomain. Eine solche Infrastruktur ist die Voraussetzung für die vertrauenswürdige Kommunikation zwischen Teilnehmern des Individual Network e.V..

Ferner wird für die Zwecke der über die Vereinsgrenzen hinausgehenden Kommunikation eine Anbindung der IN-CH an andere Zertifizierunginfrastrukturen nach Maßgabe der Möglichkeiten bereitgestellt.

Die IN-Root-CA wird ausschließlich Zertifikate für Zertifizierungsinstanzen, nicht aber für Benutzer erteilen. Darüber hinaus betreibt sie eine überregionale IN-CA. die Zertifikate für die überregionalen Gremien des Individual Network e.V., beispielsweise für die Geschäftsstelle, den Vorstand und die Arbeitsgruppen erteilt. Diese überregionale IN-CA wird übergangsweise die Dienste einer Regionalen IN-CA anbieten, um Zertifikate für Benutzer ausstellen zu können, deren Regionaldomain noch keine eigene Regionale IN-CA betreibt.

Eine Erzeugung privater Schlüssel darf nur dann durch eine IN-CA erfolgen, wenn dies zur Erzeugung des Zertifikates protokollbedingt unvermeidlich ist. Die CA behält nach der Aushändigung eines Schlüsselpaares an den Benutzer keine Kopie des entsprechenden privaten Schlüssels oder der zur Konstruktion notwendigen Zwischenwerte.

Unterstützt werden im Rahmen der technischen Möglichkeiten:

Es wird eine vollständige Abdeckung der Zertifikationstechniken angestrebt, um dem experimentellen Charakter des Individual Network e.V. Genüge zu tun. Insbesondere werden experimentelle Protokolle nach Kräften unterstützt.

4 Rechtliche Bedeutung

Eine Zertifizierung durch die IN-CH zieht keinerlei rechtliche Bedeutung nach sich; ein gesetzlicher Anspruch auf die Erteilung eines Zertifikates durch die IN-CAs besteht nicht.

Insbesondere ist die allgemeine rechtliche Relevanz digitaler Signaturen derzeit unklar. Der Sinn einer IN-weiten Public-Key-Infrastruktur liegt in der Schaffung der technischen Voraussetzungen für eine gesicherte elektronische Kommunikation. Insbesondere der IN-Verein, die beauftragten Personen und Firmen sowie die regionalen Mitarbeiter der IN-CAs übernehmen keine Form der Gewährleistung. Alle Aufgaben werden von den Projektmitarbeitern nach bestem Wissen und Gewissen durchgeführt.

5 Die IN-Zertifizierungshierarchie (IN-CH)

Die dem X.509/PEM-Modell folgende Zertifizierungshierarchie unterhalb der IN-Root-CA besteht aus drei verschiedenen Einheiten (Zertifikatnehmern):

Die vereinsexterne Anbindung der kompletten IN-CH an andere Hierarchien kann durch eine wechselseitige Zertifizierung (Cross-Zertifizierung) der IN-CAs mit anderen CAs erfolgen. Die Eingliederung der IN-CH in eine Internet-weite Infrastruktur kann erfolgen, sobald eine entsprechende Instanz verfügbar ist. In jedem Fall werden die Teilnehmer der IN-CH über internationale Anbindungen und Cross-Zertifizierungen informiert.

5.1 Regionale Zertifizierungsinstanzen (IN-CA)

Pro Regionaldomain kann es eine Regionale IN-CA geben, welche direkt von der IN-Root-CA zertifiziert wird. Diese Regionalen IN-CAs haben die Möglichkeit, ihrerseits Zertifikate für Benutzer und ihnen untergeordnete Regionale IN-RAs zu erzeugen. Weitere, den Regionalen IN-CAs untergeordnete CAs sind zu vermeiden.

Unterhalb der IN-Root-CA operierende regionale IN-CAs haben weiterhin die Möglichkeit, durch den Vorgang der Cross-Zertifizierung mit anderen CAs eigene Verbindungen zu Zertifizierungsinstanzen bzw. -infrastrukturen von Einrichtungen herzustellen, welche nicht dem IN e.V. angehören.

Der öffentliche Schlüssel der IN-Root-CA ist in einem selbst-signierten Zertifikat (Wurzel-Zertifikat), ausgestellt durch die IN-Root-CA, enthalten. Alle Teilnehmer der Infrastruktur erhalten dieses Wurzel-Zertifikat im Zuge der eigenen Zertifizierung und können somit die Authentizität und Gültigkeit aller unterhalb der IN-Root-CA erteilten Zertifikate überprüfen. Die IN-Root-CA ist verpflichtet, direkte Abrufmöglichkeiten des Wurzel-Zertifikates über verschiedene Medien und Internet-Dienste bereitzustellen.

Anonyme und pseudonyme Zertifikate können von allen Zertifizierungsinstanzen innerhalb der IN-CH erteilt werden. Dies muß jedoch in dem betreffenden protokollspezifischen Teil der Policy explizit erwähnt sein.

5.2 Regionale Registrierungsinstanzen (IN-RA)

Innerhalb großflächiger Regionaldomains kann es vorkommen, daß die zuständige IN-CA weit entfernt von den zu zertifizierenden Benutzern lokalisiert ist. In diesem Fall besteht die Möglichkeit, vertrauenswürdige Registrierungsinstanzen (IN-RAs) für die lokale Überprüfung von Identität und Authentizität der einzelnen Benutzer einzusetzen. IN-RAs dürfen lediglich zur Entgegennahme von Zertifizierungswünschen von Benutzern und zur Überprüfung ihrer Identität eingerichtet werden.

Bei einer Registrierungsinstanz handelt es sich um einen in der üblichen Weise durch eine IN-CA zertifizierten Teilnehmer, der im Auftrag seiner IN-CA die Identitätsprüfung anderer Benutzer vor deren Zertifizierung durch die IN-CA übernimmt. Benutzer, die zertifiziert werden möchten, übermitteln ihren selbst-signierten Public Key und den entsprechenden Zertifizierungswunsch an die entsprechende IN-RA, welche sich anschließend in geeigneter Weise von der Identität des Benutzers überzeugen muß, um unzulässige Zertifizierungswünsche auszuschließen.

Eine IN-RA darf weder einen Schlüssel für Benutzer erzeugen, noch darf sie Benutzer-Zertifikate erteilen. Die IN-RA leitet lediglich einen vom Benutzer selbst-signierten Public Key in einer durch die IN-RA signierten Nachricht an die IN-CA weiter, wenn die Identität des Benutzers in geeigneter Weise durch die IN-RA überprüft wurde. Empfängt eine IN-CA den Zertifizierungswunsch eines Benutzers von einer vertrauenswürdigen IN-RA, wird nach Überprüfung der Gültigkeit der IN-RA-Signatur das von der IN-CA neu ausgestellte Zertifikat sowohl an die IN-RA als auch an den Benutzer übermittelt.

Jede IN-CA kann beliebig viele Benutzer zu IN-Registrierungsinstanzen ernennen. Eine IN-RA wird sich üblicherweise an bestimmte Prozeduren, festgelegt durch die IN-CA, halten müssen. Diese Prozeduren umfassen mindestend die in dieser Policy aufgeführten Handlungsweisen. Jede IN-CA veröffentlicht diese Prozeduren, zusammen mit einer Liste aller von ihr betrauten IN-RAs.

6 Sicherheit der IN-CA-Ausstattung

Durch die Teilnahme an einer Public-Key-Infrastruktur entstehen für alle Teilnehmer bestimmte Anforderungen hinsichtlich der Sicherheit der eingesetzten Hard- und Software einerseits sowie des verantwortungsvollen Umgangs mit kryptographischen Schlüsseln andererseits. Die Anforderungen an die IN-CAs und die IN-RAs sind dabei naturgemäß höher als die an die Benutzer, da der Mißbrauch eines IN-CA-/RA-Schlüssels allen untergeordneten Zertifikaten die Vertrauenswürdigkeit entziehen würde.

6.1 Sicherheitsanforderungen an die IN-Root-CA

Folgende Anforderungen werden an die IN-Root-CA gestellt:

6.2 Sicherheitsanforderungen an Regionale IN-CAs

Folgende Anforderungen werden an die von der IN-Root-CA zertifizierten regionalen IN-CAs gestellt: Die in diesem Abschnitt beschriebenen Sicherheitsanforderungen an CAs gelten in gleicher Weise auch für die von den Mitarbeitern der IN-Root-CA direkt betriebene 'überregionale' IN-CA, welche durch die IN-Root-CA ebenfalls zertifiziert wird. Diese 'überregionale' IN-CA vergibt jedoch keine Zertifikate für andere IN-CAs.

6.3 Sicherheitsanforderungen an IN-RAs

Folgende Anforderungen werden an die von einer IN-CA eingesetzten IN-RAs gestellt:

6.4 Sicherheitsanforderungen an Benutzer

Benutzer im Sinne dieser Policy sind einzelne Personen. Folgende Anforderungen werden an die von einer CA zertifizierten Benutzer gestellt:

7 Zertifizierungsregeln

Dieser Abschnitt beschreibt technische und organisatorische Richtlinien und Prozeduren, die vor einer Zertifizierung von IN-CAs oder Benutzern zu beachten sind.

Sowohl Zertifizierungsinstanzen als auch Benutzer werden mit eindeutigen Namen bezeichnet. Die Wahl dieser Namen wird später beschrieben.

Vor jeder Zertifizierung hat sich die IN-CA in geeigneter Weise durch technische und organisatorische Maßnahmen von der Identität desjenigen Schlüsselinhabers zu überzeugen, welcher eine Zertifizierung wünscht, um unerlaubte Zertifizierungswünsche zu erkennen. Dieser Vorgang kann nur durch persönlichen Kontakt oder telefonischen Rückruf zu persönlich bereits länger und gut Bekannten vor der Zertifizierung erfolgen.

Setzt eine IN-CA Registrierungsinstanzen ein, kann die Verantwortung der Identitätsprüfung an die IN-RAs delegiert werden. Diese Delegierung ist mit der Einrichtung der IN-RA ausgesprochen und bedarf keiner Einzelfallzustimmung. Zur Identitätsprüfung sollte die IN-CA oder IN-RA benutzt werden, die der Aufgabe am geeignetsten nachkommen kann.

Das selbst-signierte Zertifikat eines Zertifikatnehmers im Sinne dieser Policy muß mindestens den Namen des Teilnehmers sowie dessen Public Key enthalten. Wahlweise kann dieses Zertifikat auch eine Gültigkeitsdauer enthalten. Nur derartige selbst-signierte Zertifikate sind im Rahmen dieser Policy zertifizierbar.

Zertifikate werden ausschließlich dann erteilt, wenn der zu zertifizierende Public Key über die festgelegten Mindestlängen verfügt und sich die zertifizierende Instanz in geeigneter Weise von der Identität des Schlüsselinhabers und dem Besitz des korrekten Schlüsselpaares überzeugt hat. In jedem Fall ist die Personalausweisnummer oder Reisepaßnummer des Schlüsselinhabers als Nachweis für den erfolgten Identitätsnachweis zu notieren. Diese Angaben sind vertraulich zu behandeln.

Bietet ein Protokoll keine Möglichkeit, ein Zertifikat zu widerrufen, so ist zusätzlich bei der Zertifizierung ein "Key Revocation Certificate" zu erzeugen und dieses bei der Zertifizierung mit zu Übergeben. Die IN-CA wird dieses "Key Revocation Certificate" ausschließlich im Falle des Zertifikatwiderrufs verwenden.

Für anonyme, pseudonyme oder andere experimentelle Zertifikate sind die Nachweise gemäß des zugehörigen protokollspezifischen Anhangs durchzuführen.

7.1 Regeln für die Zertifizierung von CAs

IN-CAs, die von der IN-Root-CA zertifiziert werden möchten, unterzeichnen vor der Zertifizierung eine Vereinbarung mit der IN-Root-CA. Diese Vereinbarung enthält eine Erklärung darüber, daß die Richtlinien dieser Policy akzeptiert werden und deren Einhaltung beim Betrieb der eigenen IN-CA zugestimmt wird. Berechtigt zu der Unterzeichnung dieser Vereinbarung ist eine für den Betrieb der IN-CA verantwortliche Person (IN-CA-Administrator).

Die jeweilige IN-CA hat der IN-Root-CA ein schriftliches Konzept vorzulegen, aus dem die Soft- und Hardware, die eingesetzt werden sollen, ebenso hervorgehen wie die technischen und organisatorischen Maßnahmen, die die Betreiber der zukünftigen CA zur Gewährleistung der Sicherheitsanforderungen zu treffen gedenken.

Die IN-Root-CA behält sich vor, IN-CAs auf deren Eignung sowie das Vorhandensein der technischen Voraussetzungen vor Ort zu überprüfen.

Die Zertifizierung von IN-CAs erfordert den persönlichen Kontakt zwischen dem Administrator der IN-CA und der IN-Root-CA. Hierfür bieten sich die Mitgliederversammlungen des IN e.V. an. Auf ihnen sollte ein Vertreter der IN-Root-CA anwesend sein, und die Zertifizierung von IN-CAs sollte fester Bestandteil der Tagesordnung jeder IN-Mitgliederversammlung sein.

Zertifikate für CAs haben eine Gültigkeitsdauer von maximal 2 Jahren.

Die Einrichtung organisationsweiter Sub-Hierarchien obliegt der Verantwortung der regionalen IN-CA. Lediglich eine IN-CA einer Regionaldomain wird durch die IN-Root-CA zertifiziert; über diese Policy hinausgehende Richtlinien können bei Bedarf von dieser IN-CA in einer eigenen Policy festgelegt werden.

7.2 Regeln für die Zertifizierung von IN-RAs

Jede IN-CA kann Benutzer bestimmen, welche im Auftrag der IN-CA als Registrierungsinstanz (IN-RA) fungieren. Die IN-CA kann die Unterzeichnung einer Vereinbarung verlangen, welche die IN-RA an bestimmte Richtlinien bindet. Insbesondere sollen von der IN-RA die Sicherheitsanforderungen eingehalten werden.

Ein RA-Zertifikat unterscheidet sich nicht von einem üblichen Benutzer-Zertifikat. Für die Zertifizierung von RAs siehe daher den nächsten Abschnitt.

7.3 Regeln für die Zertifizierung von Benutzern

Ein Benutzer, welcher zertifiziert werden möchte, generiert zunächst ein persönliches asymmetrisches Schlüsselpaar und übermittelt anschließend ein selbst-signiertes Zertifikat oder eine Zertifikatsaufforderung per E-Mail oder mittels eines Datenträgers an die zuständige IN-RA bzw. IN-CA.

Vor der Zertifizierung vergewissert sich die IN-CA von der Identität des Benutzers und der korrekten Zuordnung der E-Mailadresse zu diesem Benutzer. Erfolgt die Verifikation durch eine RA, leitet diese das vom Benutzer vorgelegte selbst-unterschriebene Zertifikat oder die vorgelegte Zertifikatsaufforderung in einer signierten und verschlüsselten (wegen der Ausweisnummer) Nachricht an die zuständige IN-CA weiter.

Sollen Gruppenschlüssel zertifiziert werden, hat ein Mitglied der Gruppe den Public Key an die zertifizierende Instanz zu übermitteln. Diese hat vor der Zertifizierung in geeigneter Weise die Existenz der entsprechenden Gruppe sowie die Zugehörigkeit des Benutzers zu der Gruppe zu verifizieren. Die Nachweise sind festzuhalten.

Es findet keine Zertifizierung statt, wenn nicht eindeutig auf die Gruppenzugehörigkeit des Benutzers geschlossen werden kann. Gruppenschlüssel dürfen nur von IN-CAs (nicht von IN-RAs) angenommen werden.

Zertifikate für Benutzer haben eine Gültigkeitsdauer von maximal anderthalb Jahren. Eine Nachzertifizierung ist möglich.

7.4 Regeln für die Cross-Zertifizierung zweier CAs

Um die Anbindung an andere Zertifizierungshierarchien zu erlauben, besteht sowohl für IN-CAs als auch für die IN-Root-CA die Möglichkeit der Cross-Zertifizierung mit anderen Zertifizierungsinstanzen. Die Cross-Zertifizierung bietet einen Mechanismus, einen direkten Vertrauenspfad zwischen zwei Instanzen herzustellen, welcher von der strikten Zertifizierungshierarchie abweicht und so eine größere Flexibilität bietet. Dadurch wird auch den Teilnehmern zweier verschiedener Hierarchien die sichere Kommunikation untereinander ermöglicht. Der Vorgang unterscheidet sich dabei für IN-Root-CA und die IN-CAs nicht.

Vor einer Cross-Zertifizierung haben sich die verantwortlichen CA-Administratoren mit den Zertifizierungsrichtlinien der jeweils anderen CA vertraut zu machen. Der Vorgang der Cross-Zertifizierung besagt, daß die Policy der anderen CA bei der Zertifizierung bekannt war und deren aktuelle Richtlinien akzeptiert werden, nicht jedoch, daß diese Richtlinien mit der eigenen Policy übereinstimmen müssen.

Die Cross-Zertifizierung einer CA unterscheidet sich grundsätzlich nicht von der Zertifizierung eines Benutzers gemäß der jeweiligen Policy der Zertifikaterstellers. Die Verfahren können also durchaus verschieden sein. Der Public Key einer CA wird in einem selbst-signierten Zertifikat per E-Mail oder durch den Austausch eines Datenträgers an die andere CA übermittelt. Daran anschließend hat eine gegenseitige Verifikation der Identitäten zu erfolgen, um unerlaubte Zertifizierungswünsche auszuschließen.

Ein Cross-Zertifikat sollte keine längere Gültigkeitsdauer als das reguläre Zertifikat der cross-zertifizierten CA besitzen.

Es sei darauf hingewiesen, daß der Prozeß der Cross-Zertifizierung nicht notwendigerweise die gegenseitige Zertifizierung zweier Instanzen bedeuten muß. Denkbar ist eine Zertifizierung in lediglich eine Richtung beispielsweise dann, wenn eine IN-CA ihren Benutzern die Zertifikate einer kommerziellen CA verfügbar machen möchte, diese CA jedoch aus Policy-Gründen kein Zertifikat für die IN-CA erteilen kann. Diese Policy erlaubt explizit den IN-CAs die Zertifizierung kommerzieller CAs im Rahmen einer Crosszertifizierung.

8 Management von Zertifikaten

Jede zertifizierende Instanz der IN-CH ist für die Bereitstellung der von ihr ausgestellen Zertifikate zuständig. Die Zertifikate einer IN-CA werden dabei zunächst in einer lokalen Datenbank gespeichert und gepflegt.

Alle Zertifikate der IN-CH sollen veröffentlicht werden. Die IN-Root-CA wird hierfür die von ihr erteilten Zertifikate an einen entsprechenden Server zur Verteilung weiterleiten. Auch alle untergeordneten IN-CAs sind aufgefordert, Zertifikate in diesem Verzeichnis zur Verfügung zu stellen. Nur in solchen Fällen, in denen eine IN-CA keine Möglichkeit hat, Zertifikate im Verzeichnis abzulegen, muß sie sämtliche ausgestellten Zertifikate per E-Mail an die IN-Root-CA senden, welche die entsprechenden Einträge vornehmen wird. Zu diesem Zweck wird von der IN-Root-CA eine E-Mail-Adresse eingerichtet.

Als alternative, zusätzliche Verteilungsformen werden von der IN-Root-CA diverse Informationsdienste eingerichtet, deren Aufgabe die Verteilung von Zertifikaten und CRLs ist. Zu diesen Diensten gehören vorrangig ein E-Mail-basierter Server, FTP- und WWW-Server sowie bei Bedarf die Einrichtung von Mailinglisten oder UNIX-basierten ``finger''-Servern. Diese Dienste können auch von den einzelnen IN-CAs angeboten werden, um ihren Benutzern das Auffinden von Zertifikaten zu erleichtern.

Existieren bereits für das entsprechende Kryptosystem internationale Suchverzeichnisse (z.B. PGP-Keyserver), so sind diese in Anspruch zu nehmen. Nach Möglichkeit kann auch ein eigener Suchserver eingerichtet werden. Einträge in derartige Verzeichnisse können selbstverständlich auch von den einzelnen Benutzern vorgenommen werden.

Details zu den Informationsdiensten, die die IN-Root-CA zur Verteilung von Zertifikaten und CRLs anbietet, werden in einem separaten Dokument veröffentlicht. Diese Hinweise finden sich außerdem auf dem Informationsserver der IN-Root-CA.

Alle Teilnehmer der IN-CH erklären sich grundsätzlich mit der Veröffentlichung ihres Zertifikates einverstanden. Es besteht jedoch die Möglichkeit, bei der Beantragung eines Zertifikates einer Veröffentlichung zu widersprechen.

9 Widerruf von Zertifikaten

Die IN-Root-CA behält sich vor, von ihr erteilte Zertifikate jederzeit vor Ablauf der Gültigkeitsdauer ohne Angabe expliziter Gründe zu widerrufen. Ursachen für den Widerruf eines Zertifikates können beispielsweise das Bekanntwerden mißbräuchlicher Handlungen eines IN-CA-Administrators oder das Nichtbefolgen auch einzelner Richtlinien dieser Policy sein. Andere Gründe sind beispielsweise das Ausscheiden eines Mitarbeiters aus einer Einrichtung oder die Änderung des Namens.

Jede IN-CA kann von ihr erteilte Zertifikate für CAs oder Benutzer jederzeit vor Ablauf der Gültigkeitsdauer ohne Angabe expliziter Gründe widerrufen.

Jeder Teilnehmer der IN-CH kann von der Instanz, die seinen Schlüssel zertifiziert hat, ohne Angabe von Gründen verlangen, daß diese das entsprechende Zertifikat widerruft. Die betreffende IN-CA hat diesem Verlangen nachzukommen, sobald sie sich durch geeignete Schritte davon überzeugt hat, daß der Antrag vom Zertifikatnehmer selbst stammt bzw. von ihm autorisiert ist.

Zertifikate können nur von der ausstellenden Instanz widerrufen werden. Alle widerrufenen Zertifikate werden von der zuständigen IN-CA auf einer sog. Certificate Revocation List (CRL) veröffentlicht, welche allen Teilnehmern zur Verfügung gestellt werden muß, damit widerrufene Zertifikate nicht aus Unwissenheit weiter benutzt werden. Widerrufene Zertifikate bleiben solange auf der CRL, bis die ursprüngliche Gültigkeitsdauer überschritten wurde.

Einmal widerrufene Zertifikate können nicht erneuert werden. Jedoch hat jeder Teilnehmer der IN-CH die Möglichkeit, ein neues Zertifikat zu beantragen.

Unmittelbar nach der Zertifizierung durch eine übergeordnete Instanz hat jede IN-CA eine CRL herauszugeben. Daran anschließend müssen in höchstens wöchentlichen Abständen CRLs herausgeben werden, auch wenn in der Zwischenzeit keine weiteren Zertifikate durch die IN-CA widerrufen wurden.

Für die Veröffentlichung der CRLs gelten die Absätze zur Veröffentlichung von Zertifikaten in gleicher Weise. Werden Zertifikate veröffentlicht, so sind die CRLs in jedem Fall an gleicher oder benachbarter Stelle zu veröffentlichen. Die Veröffentlichung der CRLs hat Vorrang vor der Zertifikatveröffentlichung.

Jeder zertifizierenden Instanz steht es frei, die CRLs von cross-zertifizierten Instanzen zu veröffentlichen.

10 Regeln für die Namensgebung

Alle Zertifikatnehmer einer Zertifizierungshierarchie werden durch einen eindeutigen Namen identifiziert. Ein solcher Name enthält eine Folge von eindeutig kennzeichnenden Namensattributen, durch die alle Teilnehmer einer Hierarchie referenziert werden können. Die korrekte Wahl von eindeutigen Namen ermöglicht daher die effiziente Speicherung und Suche von Zertifikaten innerhalb eines Verzeichnisses.

Um die Bindung eines Public Keys an einen Benutzer zu erreichen, gibt es bestimmte Richtlinien für die Wahl der Benutzer-ID, welche bei der Zertifizierung zu beachten sind.

10.1 Wahl eines Namens für IN-CAs

Jede von der IN-Root-CA direkt zertifizierte regionale IN-CA erhält einen Namen der Form: "in-ca@[Regionaldomain] [SIGN/ENCR] EXPIRE:1997-12-31 Regionale CA des Individual Network e.V.". Werden andere Adressierungsarten verwendet, so ist der Name mit der IN-Root-CA abzustimmen.

Die angegebene E-Mailadresse der IN-CA muß erreichbar sein und dort auflaufende E-Mail von den Mitarbeitern der IN-CA gelesen werden. Automatische Mailroboter sind unter dieser Adresse nur zulässig, wenn mindestens ein Verantwortlicher mitliest. Für die IN-Root-CA ist die zugehörige 'Regionaldomain' "individual.net".

Das 2.Feld des Namenseintrages enthält entweder die Zeichenfolge "SIGN" für den Verifikationsschlüssel oder "ENCR" für den Verschlüsselungsschlüssel. Der zugehörige Signier- und Entschlüsselungsschlüssel sind stets unter Verschluß zu halten.

Das 3.Feld gibt das Ende der Gültigkeit des Schlüssels klarschriftlich an. Dies gilt immer, auch dann, wenn die zugehörige Schlüsselsoftware keine zeitlichen Begrenzungen für Schlüssel oder Zertifikate kennt. Es gilt insbesondere, wenn diese zeitlichen Begrenzungen auch an anderer Stelle im Zertifikat vermerkt werden können. In diesem Fall müssen die Angaben im Namen und in den entsprechenden Komponenten des Zertifikates zeitlich identisch sein. (Unterschiedliche Datums-Repräsentationen, wie sie z.B. für das Zertifikat durch den jeweiligen Zertifikat-Standard vorgegeben sein können, sind davon unberührt.) Das Datumsformat ist "YYYY-MM-DD" und inklusive dieses Tages.

Der String "Regionale CA des Individual Network e.V." ist fest.

10.2 Wahl eines Namens für IN-RAs und Benutzer

Da Registrierungsinstanzen innerhalb der Zertifizierungshierarchie den gleichen Status besitzen wie Benutzer, unterscheidet sich auch die Wahl des zugehörigen Namens nicht.

Die Wahl des Benutzernamens wird in erster Linie durch die Richtlinien der IN-CAs bestimmt, es gilt jedoch auch für Benutzer die Regel der Namensunterordnung. Aus dem Namen muß unmittelbar auf dessen zertifizierende Instanz geschlossen werden können.

Der Name eines Benutzers soll folgendem Schema folgen: "Realname <[name]@[host].[regionaldomain]>". Ausführlichere Formen haben die prinzipielle Gestalt: "Realname (Kommentar) <[name]@[host].[regionaldomain]> (Optionen)". Alle Klammern müssen in diesem Fall paarweise auftreten und können geschachtelt sein. Der Eintrag muß mit und ohne Optionen nach RfC 822 (oder Nachfolger) direkt als E-Mailadresse verwendet werden können.

Die angegebene E-Mailadresse sollte die bestmögliche Erreichbarkeit des Nutzers sicherstellen. Die Felder "SIGN/ENCR und "EXPIRE:YYYY-MM-DD" sind optional, aber wenn vorhanden, dann müssen sie direkt nach der E-Mail Adresse folgen und in einfachen runden Klammern stehen.

Ergibt die bestmöglich erreichbare E-Mailadresse nicht kanonisch die Adresse der zuständigen IN-CA, so ist zusätzlich das Optionsfeld "IN-CA:[regionaldomain]" einzufügen.

Die Reihenfolge der Optionsfelder ist egal.

Der Realname geht dem formalen Eintrag voraus. Er darf keine Klammern oder andere Unregelmäßigkeiten enthalten. Über den US-ASCII Zeichensatz hinausgehende Kodierungungen sind nach RFC 1522 (oder Nachfolger) vorzunehmen.

Zumindest der Rufname ist auszuschreiben und wird von weiteren (ausgeschriebenen oder abgekürzten) Vornamen sowie dem ausgeschriebenen Nachnamen gefolgt. Die über den Rufnamen hinausgehenden Vornamen können ganz entfallen, wenn die Identität des Nutzers dadurch nicht verfälscht werden kann.

Im Anschluß an den Realnamen können in runden Klammern Kommentare eingefügt werden.

Beispiele für gültige Benutzernamen sind:

Auf Zertifikate, die andere Namensformate aufweisen, sind die Regeln analog anzuwenden.

Eine IN-CA darf keinesfalls einen Benutzernamen zertifizieren, für den es bereits ein Zertifikat für einen andere Person gibt. Dies vor der Zertifizierung zu prüfen, obliegt der jeweiligen IN-CA.

10.3 Wahl eines Gruppennamens

Die IDs von Gruppenschlüsseln müssen in eindeutiger Weise auf den Namen der Gruppe schließen lassen. Die angegebene E-Mailadresse muß die gesamte Gruppe erreichen (Mailingliste). Der Realname wird durch einen ausführlichen Gruppennamen ersetzt. Ansonsten gelten die Regeln für die Wahl eines Benutzernamen.

11 Verschiedenes

Dieses Dokument basiert auf analogen Dokumenten des oben genannten DFN-Projektes an der Universität Hamburg. Es ist das Ergebnis der Arbeitsgruppe IN-CA des Individual Network e.V.

Es wird keine Haftung für die Korrektheit, Vollständigkeit oder Anwendbarkeit der enthaltenen Informationen und der vorgeschlagenen Maßnahmen übernommen. Ferner kann keine Haftung für eventuelle Schäden, entstanden durch die Inanspruchnahme der Dienste der IN-Root-CA, IN-CA oder daraus resultierender Dienste übernommen werden. Die Verantwortung für die Verwendung der oben beschriebenen Verfahren und Programme liegt allein bei den die Installation durchführenden Administratoren und Benutzern.

Die IN-Root-CA behält sich vor, Zertifizierungswünschen nicht nachzukommen. Ferner kann keine Garantie für die Verfügbarkeit der IN-Root-CA-Dienste übernommen werden. Eine Erreichbarkeit der IN-Root-CA auf den nächsten Arbeitstag wird angestrebt.

Sämtliche Arbeiten der IN-Root-CA, der regionalen IN-CAs und von deren RAs sind zu protokollieren.

11.1 Erklärungen der Teilnehmer

Alle Teilnehmer der IN-CH haben vor ihrer Zertifizierung handschriftlich eine Erklärung zu unterzeichnen, in der sie über ihre Rechte und Pflichten sowie über die Risiken und Gefahren beim Einsatz von Public-Key-Systemen aufgeklärt wurden. Diese Erklärung wird von der zertifizierenden Instanz verwahrt und beinhaltet in erster Linie die Kenntnisnahme von und Zustimmung zu den Richtlinien dieser Policy.

11.2 Vereinbarungen zwischen IN-Root-CA und IN-CA

Ein IN-CA-Administrator, welcher eine Zertifizierung durch die IN-Root-CA wünscht, hat eine Vereinbarung mit der IN-Root-CA zu unterzeichnen. Diese Vereinbarung enthält in erster Linie eine Erklärung über die Einhaltung der Richtlinien dieser Policy und kann bei der IN-Root-CA angefordert werden.

11.3 Vereinbarungen zwischen IN-CA und IN-RA

Ein Benutzer, welcher für eine IN-CA als IN-RA fungieren will, hat eine Vereinbarung mit der IN-CA zu unterzeichnen, in welcher die Einhaltung dieser Policy sowie eventuell weiterer, durch die IN-CA festgelegte Richtlinien, erklärt wird. Diese Vereinbarung kann bei der zuständigen IN-CA angefordert werden.

11.4 Gebühren

Die IN-Root-CA behält sich vor, für bestimmte Leistungen Gebühren zu erheben. Jede Gebühr bedarf einer Zustimmung des IN e.V. Vorstandes.

11.5 Eingesetzte Software

Die eingesetzten Implementationen sind im Rahmen der technischen und organisatorischen Möglichkeiten auf Sicherheitslücken und Funktionsfähigkeit zu überprüfen.

Die IN-Root-CA stellt mindestens eine stets aktuelle Version der einsetzbaren Software zum Abruf bereit. Zu jeder Software legt die IN-Root-CA eine Datei zu den lizenzrechtlichen Bestimmungen bei. Diese sind zu beachten. Das gesamte Projekt ist nicht gewinnorientiert und experimenteller Natur.

Neue Protokolle bzw. Standards zur sicheren Kommunikation sowie weitere Algorithmen und Neuerungen im Bereich der Kryptographie werden durch den Verbund der IN-CAs öffentlich kommentiert werden und sollten unterstützt werden, sobald entsprechende Applikationen zur Verfügung stehen. Die IN-CAs vereinbaren Arbeitsteilung je nach den individuellen Möglichkeiten.

Anwendungsabhängige Richtlinien, die bestimmte Eigenheiten bei der Arbeit mit bestimmten Protokollen und Implementationen nutzen, werden in seperaten Dokumenten veröffentlicht.

Sämtliche erarbeiteten Dokumente und Softwareentwicklungen im Rahmen dieses Projektes unterliegen der GNU Public License der Free Software Foundation.


Copyright gemäß GPL
Arbeitsgruppe IN-CA des Individual Network e.V.