Headerbild Headerbild
PKI und Zertifikate

PKI für die X.509-Zertifikate: Registrierung eines Trust Service Provider

Zusammenfassung

X.509-Zertifikate für eine eGK, einen HBA oder eine SMC werden im Rahmen der PKI für X.509-Zertifikate durch einen Trust Service Provider (TSP) erzeugt. Die X.509-Zertifikate (sowie die zugehörigen privaten Schlüssel) werden dann während der Kartenherstellung in die Chipkarten eingebracht.

Ein TSP muss in der gematik Trust-service Status List (gematik-TSL) eingetragen sein. Um dies beantragen zu können, muss sich der TSP vorher bei der gematik registrieren lassen. Im Rahmen ihrer Verantwortung für die Gestaltung der PKI für X.509-Zertifikate gibt die gematik die Mindestanforderungen vor, die an die Sicherheit eines TSP gestellt werden. Als Voraussetzung für die Registrierung muss der Trust Service Provider nachweisen, dass er diese Mindestanforderungen erfüllt.

Der TSP arbeitet bei der Kartenherstellung und Kartenauslieferung eng mit dem Kartenherausgeber und dem Kartenhersteller zusammen. Für die Sicherheit der PKI der X.509-Zertifikate ist die Sicherheit des Gesamtprozesses für die Kartenherstellung bis zur Auslieferung an den Karteninhaber von Bedeutung. Entsprechende Anforderungen werden daher von der gematik aufgestellt. Die Zusammenarbeit der Beteiligten kann sehr unterschiedlich organisiert werden. Aus Sicht der PKI für X.509-Zertifikate ist der TSP stellvertretend für alle Beteiligten für die Einhaltung der in diesem Dokument enthaltenen Anforderungen verantwortlich.

Das vorliegende Dokument beschreibt den Prozess der Registrierung eines TSP durch die gematik.