Klasse A - Natürliche Personen

Inhalt des Zertifikats

Das von der Swiss Government PKI ausgestellte Zertifikat enthält folgende Informationen:

• Zertifikatsinhaber (Vollständiger Name, E-Mail-Adresse)
• Zertifizierungsstelle (Herausgeber)
• Fingerprint des Zertifikats
• Gültigkeit des Zertifikats
• Seriennummer

Die Informationen im Zertifikat können nicht geändert werden. Ändert sich z.B. der Name oder die E-Mail-Adresse, müssen die Schlüssel und das Zertifikat neu erstellt werden.

Zertifikatsinhaber

Der Zertifikatsinhaber ist die Person, für die ein qualifiziertes Zertifikat ausgestellt worden ist. Sie handelt im Auftrag einer Organisation (Bundesverwaltung, Kantone) und benötigt aufgrund ihrer Tätigkeit ein nach ZertES (Bundesgesetz über die elektronische Signatur) ausgestelltes Zertifikat der Swiss Government PKI.

Überprüfung des Antragstellers

• Um die Korrektheit der Beziehung zwischen einem öffentlichen Schlüssel und einem Antragsteller garantieren zu können, muss die Swiss Government PKI die Identität des Antragsstellers anhand einer persönlichen Identifikation sowie offiziellen Dokumenten (gültiger Pass oder gültige Identitätskarte) überprüfen.
• Die lokale Registrierstelle ist mit der Aufgabe betraut, den Antragsteller zu identifizieren und die notwendigen Informationen für die Ausstellung eines Zertifikates zusammenzustellen.
• Zur Identifikation dürfen ID’s aus unseren «direkt angrenzenden Ländern (Deutschland, Österreich, Frankreich, Italien und Lichtenstein) akzeptiert werden. Weitere ID’s, welche von der Schweiz als gültige Reisedokumente anerkannt sind, finden Sie auf der Internet Site des Staatssekretariat für Migration SEM unter Alphabetische Liste der Länder.

Besitz des privaten Schlüssels

Signaturserver

Der private Schlüssel des qualifizierten Zertifikats wird auf einem Server der Swiss Government PKI, einem Hardware Security Modul (HSM) gespeichert.

Verwendung des Schlüssels und des Zertifikats durch den Inhaber

Der Signierschlüssel und das zugehörige qualifizierte Zertifikat dürfen ausschliesslich für die Erzeugung und Verifikation elektronischer qualifizierter Signaturen von Dokumenten verwendet werden. Die Liste der Applikationen, mit welchen die Zertifikate benutzt werden dürfen, ist unter der Rubrik «Standards und Vorgaben» publiziert.

Die Verwendung des Schlüssels durch den Inhaber unterliegt den in der «Benutzervereinbarung und Nutzungsbedingungen für Zertifikate der Klasse A» aufgeführten Bedingungen, insbesondere:

• Der Inhaber darf seinen privaten Schlüssel nur für die vorgesehenen Zwecke mit genehmigter Anwendung (DesktopSigner) einsetzen.
• Der Inhaber verfügt über das nötige Grundwissen für die angemessene Verwendung des Signierschlüssels und des Zertifikates.
• Der Inhaber muss über seine Verantwortungen und Pflichten, die im Certificate Practice Statement festgelegt sind, auf dem Laufenden sein.
• Der Inhaber ist für seine Schlüssel und die Signiervorrichtung alleine verantwortlich. Er muss die notwendigen Vorkehrungen treffen, um Verlust, Verbreitung an Dritte, Veränderung und nicht autorisierte Verwendung zu verhindern-
• Bei vermuteter oder festgestellter   Kompromittierung des privaten Schlüssels muss der Inhaber unverzüglich die lokale Registrierstelle informieren, um die Nutzung der kryptographischen Schlüssel (des Zertifikates) einzustellen.
• Der Inhaber muss sein Zertifikat revozieren lassen, falls die darin enthaltenen Informationen nicht mehr gültig sind

Erneuerung des Zertifikats

• Die Zertifikate sind, wenn sie nicht vorher revoziert werden, drei Jahre gültig.
• Die Erneuerung eines Zertifikates verläuft gleich wie die initiale Ausstellung eines Zertifikates.

Revokation

• Was sind Gründe für eine Revokation?

  • die Smartcard ist gestohlen worden oder kann nicht mehr gefunden werden
  • die Smartcard ist defekt
  • der Zertifikats-Inhaber hat den PIN  und den PUK für die Smartcard vergessen
  • Beendigung des Arbeitsverhältnisses
  • Änderung der Daten (Name, Organisationseinheit, etc.)
  • Verdacht auf Kompromittierung (Bekanntwerden) des privaten Schlüssels (eine andere Person könnte einen Dienst nutzen, z.B. eine Mail signieren)
  • der Zertifikats-Inhaber hält sich nicht an die Richtlinien (Nicht-Befolgen der CPS)
  • Der LRAO hält eine Revokation aus anderen Gründen für angezeigt

• Wer kann eine Revokation beantragen?

  • der Zertifikats-Inhaber selbst
  • Mitarbeiter des HR (Personaldienst)
  • der Linienvorgesetzte
  • der zuständige LRAO
  • der Swiss Government PKI- Verantwortliche
  • der Swiss Government PKI- Security Officer
  • Der ISBO

• Wie kann eine Revokation beantragt werden?

  • indem sich der Zertifikats-Inhaber persönlich bei einer lokalen Registrierstelle meldet
  • indem er seinen Revokationsantrag per Post an eine lokale Registrierstelle sendet
  • indem er seinen Revokationsantrag mit seinem Signierschlüssel unterschreibt, sofern nicht eine vermutete oder tatsächliche Kompromittierung seines Signierschlüssels der Grund für den Revokationsantrag ist
  • indem er sich ausserhalb der Öffnungszeiten der lokalen Registrierungsstelle telefonisch an das Service Desk BIT wendet

  Wird die Revokation nicht vom Inhaber beantragt, so muss dies immer auf schriftlicher und signierter Weise erfolgen.

Signaturdienst

• Beim Signaturdienst wird die Willensbekundung über das fortgeschrittene Zertifikat der Klasse B (persönliche Smartcard, die für das Login am PC verwendet wird) oder die MobileID ausgelöst.
• Bei einem Wechsel des Klasse B Zertifikats aufgrund einer Neuausstellung oder eines Renewal muss dies der Swiss Government PKI gemeldet werden
  Klasse A Willensbekundung: Neues Klasse B hinterlegen (admin.ch)
• Willensbekundung auf MobileID ändern
  Klasse A Willensbekundung: Wechsel auf MobileID (admin.ch)