Auf dieser Seite sollen die möglichen Sperrmechanismen bei den TSP X.509 betrachtet werden.
Hintergrund ist die während des TSP-Projektes angepasste Afo zur Sperrung von Zertifikaten einer Smartcard:
GS-A_4724-01 - Komplettsperrung der Zertifikate einer Karte (RSA bzw. ECDSA)
Die Anbieter der Produkttypen TSP-X.509 MÜSSEN sicherstellen, dass alle Zertifikate einer Schlüsselgeneration (RSA bzw. ECDSA) auf einem Kartenexemplar durch einen Sperrauftrag gesperrt werden können (sofern für die jeweiligen Zertifikatstypen die Statusinformationsbereitstellungen gefordert sind).
<=
Rückmeldungen der TSPen haben ergeben, dass diese Anforderung in der Form so nicht umsetzbar sind. Unter dem Hintergrund, dass eine Sperrung von RSA-QES-Zertifikaten durch die BNetzA veranlasst werden könnte, müssen mit den TSPen Möglichkeiten erörtert werden, dieses zu realisieren.
In diesem Kontext spielt auch bzgl. HBA die Aussage in der HBA-Policy (Gemeinsame Policy für die Ausgabe der Heilberufsausweise) - Kap.3.3.7. rein und muss dafür ggf. in Abstimmung mit den HBA-Herausgebern angepasst werden:
"Es werden bei Administrativen Sperranforderungen der Kartenherausgeber oder bei Sperranforderungen des Karteninhabers stets sämtliche X.509-Zertifikate gleichzeitig gesperrt, die sich auf demselben Heilberufsausweis befinden und nach dieser Policy ausgestellt wurden."
→ Ergebnis der Untersuchung würde dabei sein, die Afo GS-A_4724-01 nochmal anzupassen (z.B. Relevanz nur in Bezug auf HBA)
Dabei werden die Optionen nach ihrer jeweiligen Wichtigkeit sortiert, Option 1 ist dabei am wichtigsten.
Sperrung beim TSP X.509 eGK
Folgende Optionen sind möglich:
- Massensperrung: Sperrung aller EE-Zertifikate für eine betreffende RSA CA zu einem Stichtag
- OCSP-Status "unknown": Konfiguration des OCSP-Responders, dass betreffende RSA CAs nicht mehr unterstützt werden
- Komplettsperrungs-Afo für TSP X.509 eGK entfernen (da nicht relevant für ECC-Migration)
- Kann durch Entfernen der RSA EGK-CAs aus der TSL umgesetzt werden.
Sperrung beim TSP X.509 SMCB
Folgende Optionen sind möglich:
- Massensperrung: Sperrung aller EE-Zertifikate für eine betreffende RSA CA zu einem Stichtag
- OCSP-Status "unknown": Konfiguration des OCSP-Responders, dass betreffende RSA CAs nicht mehr unterstützt werden
- Komplettsperrungs-Afo für TSP X.509 SMCB entfernen (da nicht relevant für ECC-Migration)
- ...
| TSP SMCB | Massensperrung | OCSP-Status "unknown" | ... |
|---|---|---|---|
| Medisign | |||
| Eviden | |||
| DTSec/TSI | |||
| D-Trust |
Sperrung beim TSP X.509 nonQES HBA
Folgende Optionen sind möglich:
- Massensperrung: Sperrung aller EE-Zertifikate für eine betreffende RSA CA zu einem Stichtag
- OCSP-Status "unknown": Konfiguration des OCSP-Responders, dass betreffende RSA CAs nicht mehr unterstützt werden
- Einzelsperrung nur für die QES-Zertifikate vorsehen (bzw. Massensperrung) - aber HBA-Policy müsste angepasst werden
| TSP HBA / QES | Massensperrung | OCSP-Status "unknown" | ... |
|---|---|---|---|
| Medisign | |||
| Eviden | |||
| DTSec/TSI | |||
| D-Trust |
Sperrung beim TSP X.509 QES
Folgende Optionen sind möglich:
- Massensperrung: Sperrung aller EE-Zertifikate für eine betreffende RSA CA zu einem Stichtag
- OCSP-Status "unknown": Konfiguration des OCSP-Responders, dass betreffende RSA CAs nicht mehr unterstützt werden
- Einzelsperrung nur für die QES-Zertifikate vorsehen (bzw. Massensperrung) - aber HBA-Policy müsste angepasst werden
| TSP HBA / QES | Sperrung QES unabhängig von Sperrung nonQES | Massensperrung | OCSP-Status "unknown" | ... |
|---|---|---|---|---|
| Medisign | ||||
| Eviden | ||||
| DTSec/TSI | nicht nötig, da Gültigkeitsende nur bis Ende 2025 | |||
| D-Trust |