Zertifikate & Dienste (V2)

(Lead Text)

Personenzertifikate der Klasse B können für die Authentifikation, das Chiffrieren (Verschlüsseln) und Signieren von Daten eingesetzt werden und sind für den Einsatz bei erhöhten Sicherheitsanforderungen vorgesehen. Zertifikate der Klasse B müssen auf einem «Hard Crypto Token» (z. B. Smartcard oder USB-Token) abgespeichert werden, der mit dem A006-Standard des Bereichs DTI konform ist. Die Marktleistung entspricht den Vorgaben der 2-Faktor-Authentisierung des Bundes.

(Lead Text)

Klasse E Zertifikate werden von einer Microsoft Active Directory integrierten CA ausgegeben. Die Kunden der Klasse E Zertifikate sind interne Computersysteme, die in das Active Directory der Bundesverwaltung (Forest INTRA) eingebunden sind.Computersysteme ausserhalb dieser Forest, UNIX oder Workgroup Computer können mittels manuellem Enrollment, ebenfalls ein Zertifikat von dieser CA beziehen, solange diese Maschinen keinen Public Trust haben. Die dafür zur Verfügung gestellten Templates sind unter Systemzertifikate aufgeführt. Als Signatur-Algorithmus wird durchgängig sha256 / RSA eingesetzt. Das EDA betreibt in ihrer Forest eine eigene Issuing CA.

Das BIT bietet im Auftrag des Bereichs DTI Signatur- und Verifikationsdienste an und betreibt das notwendige Trust Center, welches die zentrale SG-PKI beinhaltet.

HSM (Hardware Security Module) ist eine dedizierte Krypto-Prozessor-Einheit für das sichere Speichern und Managen kryptografischer Schlüssel und ermöglicht die sichere Ausführung von Kryptooperationen. Auf dieser Basis wird der HSM-Service produziert. Der Service (HSM-Service für Fachapplikationen und Systemkomponenten) ermöglicht es dem Partner auf einfache Weise Zertifikate und das dazugehörige Schlüsselmaterial sicher in seine Applikationen zu integrieren oder für seine betriebenen Systemkomponenten bereitzustellen. Der Service wird über eine Standardschnittstelle zur Nutzung angeboten.