Headerbild Headerbild
PKI und Zertifikate

PKI für CV-Zertifikate: Registrierung einer CVC-CA der zweiten Ebene

PDF SRQ_1201 vom 11.04.2011 (417KB)(182KB)

Zusammenfassung

Für eGKs, HBAs und SMCs verschiedener Ausprägungen ist in der Telematikinfrastruktur eine direkte Card-to-Card (kurz C2C) Authentisierung vorgesehen. Diese C2C-Authentisierung basiert auf in den Chipkarten gespeicherten privaten Schlüsseln und so genannten "card verifiable certificates" (CV-Zertifikate).

Für die CV-Zertifkate wird eine eigene CVC-PKI aufgebaut. CV-Zertifikate für eine eGK, einen HBA oder eine SMC werden im Rahmen der PKI für CV-Zertifikate durch eine CVC-CA der zweiten Ebene erzeugt. Die CV-Zertifikate (sowie die zugehörigen privaten Schlüssel) werden dann während der Kartenherstellung in die Chipkarten eingebracht.

Eine CVC-CA benötigt ein CA-CV-Zertifikat, welches von der Root-CVC-CA signiert wurde. Um dieses beantragen zu können, muss sich eine CVC-CA vorher bei der gematik registrieren lassen. Im Rahmen ihrer Verantwortung für die gesamte PKI für CV-Zertifikate gibt die gematik die Mindestanforderungen vor, die an die Sicherheit einer CVC-CA gestellt werden. Als Voraussetzung für die Registrierung muss die CVC-CA nachweisen, dass sie diese Mindestanforderungen erfüllt.

Die CVC-CA arbeitet bei der Kartenherstellung und Kartenauslieferung eng mit dem Kartenherausgeber und dem Kartenhersteller zusammen. Für die Sicherheit der PKI der CV-Zertifikate ist die Sicherheit des Gesamtprozesses für die Kartenherstellung bis zur Auslieferung an den Karteninhaber von Bedeutung. Entsprechende Anforderungen werden daher in diesem Dokument aufgestellt. Die Zusammenarbeit der Beteiligten kann sehr unterschiedlich organisiert werden. Aus Sicht der PKI für CV-Zertifikate ist die CVC-CA stellvertretend für alle Beteiligten für die Einhaltung der in diesem Dokument enthaltenen Anforderungen verantwortlich.

Das vorliegende Dokument beschreibt den Prozess der Registrierung einer CVC-CA durch die gematik. Dabei werden die Mindestanforderungen an eine CVC-CA aus [gemPKI_CVCGK] konkretisiert. Zusätzlich wird der Prozess für das Beantragen und Ausstellen eines CV-Zertifikates für eine CVC-CA durch die Root-CVC-CA detailliert beschrieben.