Auf dieser Seite sollen die möglichen Sperrmechanismen bei den TSP X.509 betrachtet werden.

Hintergrund ist die während des TSP-Projektes angepasste Afo zur Sperrung von Zertifikaten einer Smartcard:

GS-A_4724-01Komplettsperrung der Zertifikate einer Karte (RSA bzw. ECDSA)
Die Anbieter der Produkttypen TSP-X.509 MÜSSEN sicherstellen, dass alle Zertifikate einer Schlüsselgeneration (RSA bzw. ECDSA) auf einem Kartenexemplar durch einen Sperrauftrag gesperrt werden können (sofern für die jeweiligen Zertifikatstypen die Statusinformationsbereitstellungen gefordert sind).
<=

Rückmeldungen der TSPen haben ergeben, dass diese Anforderung in der Form so nicht umsetzbar sind. Unter dem Hintergrund, dass eine Sperrung von RSA-QES-Zertifikaten durch die BNetzA veranlasst werden könnte, müssen mit den TSPen Möglichkeiten erörtert werden, dieses zu realisieren.

In diesem Kontext spielt auch bzgl. HBA die Aussage in der HBA-Policy (Gemeinsame Policy für die Ausgabe der Heilberufsausweise) - Kap.3.3.7. rein und muss dafür ggf. in Abstimmung mit den HBA-Herausgebern angepasst werden:

"Es werden bei Administrativen Sperranforderungen der Kartenherausgeber oder bei Sperranforderungen des Karteninhabers stets sämtliche X.509-Zertifikate gleichzeitig gesperrt, die sich auf demselben Heilberufsausweis befinden und nach dieser Policy ausgestellt wurden."

→ Ergebnis der Untersuchung würde dabei sein, die Afo GS-A_4724-01 nochmal anzupassen (z.B. Relevanz nur in Bezug auf HBA)


Dabei werden die Optionen nach ihrer jeweiligen Wichtigkeit sortiert, Option 1 ist dabei am wichtigsten.

Sperrung beim TSP X.509 eGK

Folgende Optionen sind möglich:

  1. Massensperrung: Sperrung aller EE-Zertifikate für eine betreffende RSA CA zu einem Stichtag
  2. OCSP-Status "unknown": Konfiguration des OCSP-Responders, dass betreffende RSA CAs nicht mehr unterstützt werden
  3. Komplettsperrungs-Afo für TSP X.509 eGK entfernen (da nicht relevant für ECC-Migration)
  4. Kann durch Entfernen der RSA EGK-CAs aus der TSL umgesetzt werden.

Sperrung beim TSP X.509 SMCB

Folgende Optionen sind möglich:

  1. Massensperrung: Sperrung aller EE-Zertifikate für eine betreffende RSA CA zu einem Stichtag
  2. OCSP-Status "unknown": Konfiguration des OCSP-Responders, dass betreffende RSA CAs nicht mehr unterstützt werden
  3. Komplettsperrungs-Afo für TSP X.509 SMCB entfernen (da nicht relevant für ECC-Migration)
  4. ...
TSP SMCBMassensperrungOCSP-Status "unknown"...
Medisign


Eviden


DTSec/TSI


D-Trust



Sperrung beim TSP X.509 nonQES HBA

Folgende Optionen sind möglich:

  1. Massensperrung: Sperrung aller EE-Zertifikate für eine betreffende RSA CA zu einem Stichtag
  2. OCSP-Status "unknown": Konfiguration des OCSP-Responders, dass betreffende RSA CAs nicht mehr unterstützt werden
  3. Einzelsperrung nur für die QES-Zertifikate vorsehen (bzw. Massensperrung) - aber HBA-Policy müsste angepasst werden
TSP HBA / QESMassensperrungOCSP-Status  "unknown"...
Medisign


Eviden


DTSec/TSI


D-Trust



Sperrung beim TSP X.509 QES

Folgende Optionen sind möglich:

  1. Massensperrung: Sperrung aller EE-Zertifikate für eine betreffende RSA CA zu einem Stichtag
  2. OCSP-Status "unknown": Konfiguration des OCSP-Responders, dass betreffende RSA CAs nicht mehr unterstützt werden
  3. Einzelsperrung nur für die QES-Zertifikate vorsehen (bzw. Massensperrung) - aber HBA-Policy müsste angepasst werden
TSP HBA / QESSperrung QES unabhängig von Sperrung nonQESMassensperrungOCSP-Status "unknown"...
Medisign



Eviden



DTSec/TSI
nicht nötig, da Gültigkeitsende nur bis Ende 2025 

D-Trust



  • No labels