Fraunhofer DFN-PKI 2016

Die Fraunhofer DFN-PKI 2016 ist ab Juli 2016 dafür zuständig, Zertifikate für Fraunhofer-Mitarbeitende (auf Smartcards) sowie für Server und Services (Softtoken) zu erstellen.

 

Die Fraunhofer DFN-PKI 2016 hat die bisher verwendete Fraunhofer DFN-PKI abgelöst.Wesentlicher Grund ist, dass die Zertifikate der bis dahin verwendeten Fraunhofer DFN-PKI ab Juli 2016 nicht mehr die maximal zulässige Laufzeit (drei Jahre bei Smartcards bzw. 38 Monate für Server und Service-Zertifikate) besitzen konnten, da das Wurzelzertifikat dieser PKI - das Deutsche Telekom Root CA 2 - Zertifikat Anfang Juli 2019 abgelaufen ist. Zertifikate der untergeordneten Zertifizierungsstellen und der End-Entities (also der Smartcards und Server) können nie länger als das jeweils übergeordnete Zertifikat gültig sein, um Probleme bei der Gültigkeitsprüfung nach dem Schalenmodell von Zertifikaten zu vermeiden.

Der DFN-Verein hat deshalb eine neue Zertifizierungsstellen-Hierarchie unterhalb eines neuen Wurzelzertifikats der T-Systems Enterprise Services GmbH, nämlich dem T-Telesec GlobalRoot Class 2 CA-Zertifikat, aufgebaut.

Bei dem T-Telesec GlobalRoot Class 2 CA-Zertifikat handelt es sich um ein RSA 2048 Bit Wurzelzertifikat mit dem Signaturalgorithmus sha256RSA, das ebenso wie das Deutsche Telekom Root CA 2 Zertifikat in allen aktuellen Betriebssystemen und Browsern standardmäßig vorinstalliert ist. Es besitzt einen noch lange laufenden Gültigkeitszeitraum und garantiert auch die automatische Anerkennung bzw. Vertrauensstellung aller untergeordneten Zertifikate im Außenraum.

 

Unter der T-Telesec GlobalRoot Class 2 Wurzelzertifizierungsstelle wurde die neue DFN-Verein Certification Authority 2 CA ausgestellt, welche wiederum für die zahlreichen deutschen Forschungseinrichtungen, die dem DFN angehören, neue CAs ausstellt. So hat auch Fraunhofer zwei neue Zertifizierungsstellen erhalten, die Fraunhofer Service CA – G02 und die Fraunhofer User CA – G02.

 

Ab Anfang Juli 2016 werden neue Zertifikate für Server und Services (E-Mail-Dienste), Endgeräte sowie Code-Signing nur noch von der Fraunhofer Service CA – G02 ausgestellt. Ab Mitte Juli 2016 werden auch Zertifikate für Fraunhofer-Mitarbeitende (Smartcards) nur noch aus der Fraunhofer User CA – G02 erstellt. Mit dem Wechsel auf die Fraunhofer User CA - G02 beträgt die Laufzeit der Zertifikate für Fraunhofer-Mitarbeitende auf Smartcards nun auch maximal fünf statt wie in der Vergangenheit üblich drei Jahre.

 

Zielgruppen:

• alle Fraunhofer-Mitarbeitende. Sie erhalten einen Mitarbeiterausweis in Form einer multifunktionalen Smartcard, mit der zahlreiche Vorgänge abgesichert werden können:
  • sichere E-Mail (Verschlüsselung und Signatur)
  • Nutzung des Mitarbeiterportals, etwa für elektronische Zeitaufschreibung, Urlaubsanträge
  • Single Sign On, Windows-Logon und VPN mit Smartcard anstelle von Benutzername / Passwort
  • Schutz von Notebooks mit Hilfe der Smartcard
  • elektronische Signatur von Dokumenten / Anträgen
  • ...
  Die Multifunktionalität wird erweitert durch zusätzliche Nutzungsmöglichkeiten über einen optionalen Magnetstreifen und / oder RFID-Chip (z. B. für Gebäude- / Raumzugang, Bezahlsysteme etc.).
  
  

  Aus arbeitsrechtlichen Gründen unterscheiden sich die Smartcards für interne und externe Mitarbeitende farblich (grüner bzw. gelber Hintergrund); technisch gibt es jedoch keine Unterschiede.

• Fraunhofer-Institute und Einrichtungen, die für dienstliche Zwecke Zertifikate für Systeme bzw. Services benötigen, die sich im Besitz der Fraunhofer-Gesellschaft befinden bzw. von ihr betrieben werden. Derzeit werden Zertifikate für folgende Anwendungssysteme bzw. -zwecke angeboten:
  
  • SSL/TLS Zertifikate für Web-, E-Mail- und GRID-Server, VPN-Geräte, Domain-Controller
  • Authentisierungszertifikate für Endgeräte
  • Zertifikate für Verschlüsselung und ggfs. Signaturfunktionalität für E-Mail-Basisdienste (Funktionsadressen) und Mailing-Listen
  • Zertifikate für Code Signing

Sicherheitsniveau: hoch

• Mitarbeitende müssen sich bei der Abholung ihrer Smartcard durch ein amtliches Ausweisdokument mit Lichtbild identifizieren
• kryptographisches Schlüsselmaterial von Mitarbeitenden ist besonders geschützt, da es auf einer Smartcard vorliegt
• Die Antragstellung für Zertifikate für Server und Services setzt den Besitz einer Fraunhofer-Smartcard voraus, die nur nach persönlicher Identifikation mit Hilfe eines amtlichen Ausweisdokuments mit Lichtbild ausgegeben wird.
• unmittelbare Überprüfbarkeit der Zertifikate durch Außenstehende über die Zertifizierung durch die T-Systems

Certificate Policy (CP) und Certification Practice Statement (CPS):

• Weitere Details siehe Policies der DFN-PKI.

Zertifizierungsstelle(n):

 

In dieser PKI sind die Aufgaben auf mehrere Zertifizierungsstellen (CAs) verteilt (Zertifikate und Sperrlisten).

• Die Fraunhofer User CA - G02 zertifiziert ab Mitte Juli 2016 Fraunhofer-Mitarbeitende und gibt für diese Smartcards aus.
• Die Fraunhofer Service CA - G02 stellt ab Anfang Juli 2016 Zertifikate für Server und Services (E-Mail-Basisdienste), Endgeräte und Code-Signing aus
• Beide CAs sind der DFN-Verein Certification Authority 2 untergeordnet, von der sie ihr Zertifikat erhalten haben.
• Die DFN-Verein Certification Authority 2 CA ist wiederum der T-Telesec GlobalRoot Class 2 CA untergeordnet.