SPK PKI

    D0119-R01 | Infrastrukturdienst in der Domäne Infrastruktur

    Kurzbeschreibung

    Dieser Dienst umfasst die Infrastruktur zur Registrierung von Nutzenden, zur Validierung und zur Erstellung von digitalen Zertifikaten. Auf einer Widerrufs- oder Sperrliste werden widerrufene Zertifikate geführt, die nicht mehr als vertrauenswürdig gelten.

    Kernfunktionalitäten

    • Personen-, Organisations- und Gerätezertifikate verwalten: Es können digitale Zertifikate für Benutzende oder Entitäten erstellt, gesperrt und gepflegt werden. Dies beinhaltet die Generierung von öffentlichen/privaten Schlüsselpaaren, das Ausstellen von Zertifikaten und das Binden von Identitätsinformationen an diese Zertifikate.
    • Zertifikate validieren: Digitale Zertifikate können validiert werden, um sicherzustellen, dass sie den festgelegten Standards und Richtlinien entsprechen. Dies umfasst normalerweise die Überprüfung der Signatur des Zertifikats, das Ablaufdatum, den Herausgeber und andere relevante Informationen (z.B. den Zertifikatsstatus).
    • Zertifikate widerrufen: Zertifikate, die nicht mehr als vertrauenswürdig gelten, können widerrufen werden. Dies kann aufgrund von Sicherheitsverletzungen, Verlusten von privaten Schlüsseln oder anderen Gründen geschehen.
    • Sperrlisten verwalten: Es kann eine Sperrliste (CRL - Certificate Revocation List) oder eine ähnliche Liste geführt werden, auf der ungültige oder widerrufene Zertifikate aufgeführt sind. Es überwacht den Status von Zertifikaten und aktualisiert die Sperrliste entsprechend.

    Diensteschnittstellen

    • Identitäten verknüpfen: Im Zusammenspiel mit dem (Identity-Access-Management) können Zertifikate mit der Identität einer Person verknüpft werden, um für die Authentifizierung verwendet werden zu können. Dazu werden offene Standards wie XML verwendet.
    • Zertifikate austauschen: Im Zusammenspiel mit dem Dienstausweis können digitale Zertifikate sicher abgelegt und bereitgestellt werden. Dazu werden offene Standards wie X.509, PGP, S/MIME, OSCP, SCVP, HTTPS, IPsec oder SSH verwendet.
    • Vertrauensdienstleistungen nutzen: Über eine Schnittstelle zum Dienst Dokumentensignatur werden Vertrauensdienstleistungen genutzt.
    • Schnittstellen zu Infrastrukturdiensten: Identity-Access-Management; Standard-Arbeitsplatz und Ultramobile IT; Betriebsplattform und Netze.

    Abgrenzung

    Der Dienst umfasst nur die Bereitstellung der Zertifikate und ihre Verwaltung, die Träger der jeweiligen Schlüssel (Chipkarten, Hardware Security Module o.ä.) sind nicht Teil des Leistungsumfanges.

    Informatorische Ergänzungen aus Maßnahmen- und Lösungslandkarte (u.a. aus Portfolio GIB, IT-Rahmenkonzept, VITD-Produktkatalog)

    • IT-Maßnahme (bzw. IT-Verfahren): Analyse der PKI- und QES-Landschaft
    • IT-Lösung(en): V-PKI; PKI / QES