Wir erstellen einen qualifizierten Vertrauensdiensteanbieter (VDA).

Lithilion (Lead)

Das Projekt wurde frühzeitig beendet. Nach einem Gespräch mit Leuten vom Fach wurde uns abgeraten, etwas derartiges in der jetzigen Konstellation aufzubauen. Unter anderem wurden als Gründe die hohen organisatorischen (u.a. ISO 27001, ISO 27005, evtl. ISO 21188), personellen, physikalischen (Serverfarm mit Zugangskontrolle, Vier-Augen-Prinzip) und finanziellen (6-7 stellige Haftpflichtversicherung) Herausforderungen genannt.

Möglicherweise könnte das Projekt als qualifizierter Zeitstempeldienst wieder aufgenommen werden.

Wir erstellen eine Zwei-Stufen-Hierarchie. Dabei wird die Root-CA offline bleiben und zwei Intermediates Zertifikate verteilen. Eine davon wird Userzertifikate erstellen, während die andere Serverzertifikate ausgibt. Die Root-CA wird sehr wahrscheinlich mit openssl/XCA erstellt werden, weil es relativ wenig Aufwand und Lizenzgebühren erfordert. Die Intermediate(s) könnten auf einem Windows Server mit der integrierten CA realisiert werden. (In der Azure Cloud) Dafür könnte das Non-profit Programm von Microsoft die Kosten senken und auch gleichzeitig eine Hilfe sein um in deren Cert-Store zu kommen. Weiters könnten unsere Intermediates von Identrust und/oder Let's Encrypt cross-signed werden, um vorübergehend und schnell in den jeweiligen Truststores zu landen.

UPDATE: Microsofts CA kann nicht verwendet werden (kein Vier-Augen-Prinzip), daher EJBCA

• Geld
• 2-3 Server
  • 1 Server offline (Root-CA, vllt auf einem Raspi?) (Linux, XCA)
  • 1-2 Server online (Intermediate) (Windows Server, Non-profit)
• Safe für die Root-CA
• 1-2 IP Adressen (Kapsch?, oder nur IP, kein legacy IP mehr)
• Haftungsabsicherung → (gemeinnützige) GmbH oder KöR?

• alle 24 Monate ein Konformitätsbericht auf eigene Kosten (Akkreditierung Austria, a-sit Liste der Stellen)
• zuverlässiges, qualifiziertes Fachpersonal
• Identitätsprüfung bei Ausstellung eines Zertifikats
  • Lichtbildausweis oder qualifiziertes Zertifikat
• Meldung innerhalb von 24 Stunden an RTR bei Vorfall
• Finanzielle Mittel oder Haftplichtversicherung für Schäden durch vorsätzliches oder fahrlässiges Handeln
• “vertrauenswürdige Systeme und Produkte, die vor Veränderungen geschützt sind und die technische Sicherheit und Zuverlässigkeit der von ihnen unterstützten Prozesse sicherstellen”
• Maßnahmen gegen Fälschung und Diebstahl von Daten
• fortlaufend aktualisierten Beendigungsplan
• Zertifikatsdatenbank

• Root-CA Apply PDF an msroot@microsoft.com
• Audit-Requirements
• Kontakt-Updates immer im März, Juli und November
• x.509v3
• SHA2+ (SHA512)
• RSA 4096
• NIST P-256, P-384, P-521
• OCSP, AIA & CRL Urls

• Application Process

• Technical Requirements
• Kontakt

Um das Thema digitale Sicherheit populär und verständlich zu gestalten, möchten wir auf diesem Weg Vereinen mit dem Ziel zur Förderung der Wissenschaft in der Gesellschaft es einfacher gestalten eine sichere, digitale Kommunikation zu betreiben und zu verbreiten. Dabei wird das System stark an Beerware oder Postcardware angelegt. Das Zertifikat wird grundsätzlich kostenlos ausgestellt, gegen eine Kiste Mate, Bier und/oder eine Postkarte würden wir uns aber auch nicht wehren.

• eIDAS | eIDAS (Wiki) + Durchführungsbeschlüsse
  • Kapitel III - Vertrauensdienste
• RTR - eIDAS Information
• RTR - Vertrauensdienste Anforderungen
• Konformitätsbericht A-Trust
• BSI: Algorithmenkatalog
• BSI-eIDAS
• A-Sign Uni Sicherungskonzept
• A-Trust a-sign premium Anforderungen
• PrimeSign integrated CTF
• TTK Zertifizierungskonzept
• Lets encrypt CPS 2016
• SVV
• SVG
• Asign-premium CPS (qualifizierte CPS)
• A-trust root CPS
• Anforderungen für den Aufbau eines eIDAS konformen Vertrauensdiensteanbieters

• Microsoft
  • IE greift darauf zu
• Mozilla
• Apple
• Adobe
  • greift aber offiziell die EU-Trusts ab
• Oracle (Java)
• Chrome greift auf den OS Store zu.