Fraunhofer-PKI in der Version 2

Ab 2008 wurde die Fraunhofer Corporate PKI - im Folgenden als "Fraunhofer-PKI Version 2" bezeichnet - als Nachfolger der Fraunhofer-PKI Version 1 in den Fraunhofer Instituten und Einrichtungen etabliert. Dazu wurden Smartcards an die Mitarbeiter ausgegeben, um ein hohes Sicherheitsniveau zu gewährleisten, und es wurden Zertifikate für Server und Services erstellt.

 

Die Fraunhofer-PKI Version 2 bot durch die Kooperation mit T-Systems eine deutliche Erleichterung bei der Prüfung von Zertifikaten: Da das so genannte Wurzelzertifikat dieser PKI, nämlich das Deutsche Telekom Root CA 2 Zertifikat, eine in den gängigen Betriebssystemen, Browsern und E-Mail-Clients anerkannte Zertifizierungsstelle ist, waren auch die Zertifikate der Fraunhofer-PKI Version 2 von Außenstehenden direkt überprüfbar.

 

Zunächst wurden von einer zur Fraunhofer-PKI Version 2 gehörenden Zertifizierungsstelle auch Zertifikate für Server und Services (z. B. E-Mail-Dienste), Endgeräte und Code-Signing ausgegeben. Geänderte externe Anforderungen haben jedoch dazu geführt, dass Fraunhofer im Sommer 2012 begonnen hat, eine neue PKI - die Fraunhofer DFN-PKI - aufzubauen und in Betrieb zu nehmen. Bis Ende März 2014 erfolgte die sukzessive Migration aller Zertifikattypen für Server und Services zu einer zur Fraunhofer DFN-PKI gehörenden  Zertifizierungsstelle. Ende September 2014 wurde die Zertifizierungsstelle für Server und Services der Fraunhofer-PKI Version 2 endgültig gesperrt.

 

Im Mai 2014 sind weitere Anforderungen an externe Zertifzierungsstellen mit Browser-integrierter Stammzertizierungsstelle - dies traf auf die Fraunhofer-PKI Version 2 zu - seitens Mozilla in Kraft getreten. Zudem bestand die Notwendigkeit, bis Ende 2016 alle Zertifikate, die den SHA-1 Hashalgorithmus verwenden, auszutauschen, um sie weiterhin im Windows-Umfeld verwenden zu können. Beides führte dazu, dass Fraunhofer ab September 2014 auch Zertifikate für Fraunhofer-Mitarbeiter, also die Zertifikate für die Smartcards, nicht mehr von einer Zertifizierungsstelle aus der Fraunhofer-PKI Version 2 ausstellte, sondern ebenfalls von einer (neuen) zur Fraunhofer DFN-PKI gehörenden Zertifzierungsstelle. Die Sperrung der betreffenden Zertifizierungsstelle für Mitarbeiterzertifikate der Fraunhofer-PKI Version 2 ist dann Ende 2016 erfolgt.

 

Zielgruppen waren:

• alle Fraunhofer-Mitarbeitende. Sie erhielten einen Mitarbeiterausweis mit Zertifikaten aus dieser PKI in Form einer multifunktionalen Smartcard, mit der zahlreiche Vorgänge abgesichert werden konnten:
  
  • sichere E-Mail (Verschlüsselung und Signatur)
  • Nutzung des Mitarbeiterportals, etwa für elektronische Zeitaufschreibung, Urlaubsanträge
  • Windows-Logon und VPN mit Smartcard anstelle von Benutzername / Passwort
  • Schutz von Notebooks mit Hilfe der Smartcard
  • elektronische Signatur von Dokumenten / Anträgen
  • ...
  Die Multifunktionalität wurde erweitert durch zusätzliche Nutzungsmöglichkeiten über einen optionalen Magnetstreifen und / oder RFID-Chip (z. B. für Gebäude- / Raumzugang, Bezahlsysteme etc.).
  
  Aus arbeitsrechtlichen Gründen unterschieden sich die Smartcards für interne und externe Mitarbeiter farblich (grüner bzw. gelber Hintergrund); technisch gab es jedoch keine Unterschiede.

• zu Fraunhofer gehörende Server und Services (z. B. E-Mail-Dienste), Endgeräte sowie für Code-Signing (Zertifikate in Form von Softtoken)

Sicherheitsniveau: hoch

• Mitarbeitende mussten sich bei der Abholung ihrer Smartcard durch ein amtliches Ausweisdokument mit Lichtbild identifizieren
• kryptografisches Schlüsselmaterial von Mitarbeitenden war besonders geschützt, da es auf einer Smartcard vorlag
• unmittelbare Überprüfbarkeit der Zertifikate durch Außenstehende über die Zertifizierung durch die T-Systems

Certificate Policy (CP) und Certification Practice Statement (CPS)

• Weitere Details siehe Zertifizierungsrichtlinie (Certificate Policy) und Erklärung zum Zertifizierungsbetrieb (Certification Practice Statement)

Zertifizierungsstelle(n):

 

In dieser PKI waren die Aufgaben auf mehrere Zertifizierungsstellen (CAs) verteilt (Zertifikate und Sperrlisten).

• Die Fraunhofer User CA 2007 zertifizierte bis Mitte September 2014 Fraunhofer-Mitarbeitende und gab für diese Smartcards aus. Die CA wurde im November 2016 gesperrt.
• Die Fraunhofer Service CA 2007 stellte bis März 2014 Zertifikate für Server und Services (nur bis September 2012), Endgeräte und Code-Signing aus und wurde Ende September 2014 gesperrt.
• Beide CAs waren der Fraunhofer Root CA 2007 untergeordnet, die im November 2016 gesperrt wurde.
• Die Fraunhofer Root CA 2007 war wiederum der Deutsche Telekom Root CA 2 untergeordnet.