TIP1-A_5173 - Inhalt der Ausgabepolicy der CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS eine Ausgabepolicy erstellen, die mindestens die folgenden Punkte enthält: (a) Angaben zum Betrieb der CA, (b) Angaben zu organisatorischen und technischen Sicherheitsanforderungen, (c) Identifizierung von Antragstellern, die CVC-CA-Zertifikate beziehen möchten, (d) Festlegungen von Namensregelungen zur CVC-Root-CA, (e) Angaben zu Zertifikatsprofilen, (f) Wirtschaftliche und rechtliche Angelegenheiten sowie Angaben zur Haftung.

TIP1-A_5175 - Darstellung der Zusammenarbeit verschiedener Organisationen

In dem Sicherheitskonzept der CVC-Root-CA MUSS der Anbieter der CVC-Root-CA beschreiben, wie der Betrieb der CVC-Root-CA sowie Antrags- und Ausgabeprozess organisiert sind und wie die entsprechenden Sicherheitsmaßnahmen bei den einzelnen Organisationen greifen.

TIP1-A_5176 - Betrieb der CVC-Root-CA nach Zulassung der gematik

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass er seinen Betrieb nur dann aufnimmt, wenn er über eine gültige Zulassung der gematik verfügt.

TIP1-A_5182 - Verlust der Verfügbarkeit der CVC-Root-CA

Bei einem dauerhaften Verlust der Verfügbarkeit des Produktiv- und/oder Testsystems der CVC-Root-CA MUSS der Anbieter der CVC-Root-CA die gematik sofort über den Verlust informieren.

TIP1-A_5183 - Verwendung des Schlüsselpaars der CVC-Root-CA

Der Anbieter einer CVC-Root-CA MUSS sicherstellen, dass das Schlüsselpaar einer CVC-Root-CA, ausschließlich für das Erstellen von Signaturen im Rahmen der Generierung von CVC-CA-Zertifikaten eingesetzt wird.

TIP1-A_5184 - Begrenzung der Lebensdauer des Schlüsselpaars der CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS das Schlüsselmanagement der CVC-Root-CA in seinem Sicherheitskonzept beschreiben und umsetzen.

TIP1-A_5185 - Maximale Gültigkeitsdauer des Schlüsselpaars der CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass die Lebensdauer des Schlüsselpaares der CVC-Root-CA eine Gültigkeitsdauer von zehn Jahren nicht überschreitet.

TIP1-A_5186 - Ablauf der Gültigkeitsdauer des privaten Schlüssels der CVC-Root-CA

Mit Ablauf der Gültigkeitsdauer DARF der private Schlüssel der CVC-Root-CA durch die CVC-Root-CA NICHT mehr für das Erstellen von Signaturen von CVC-CA-Zertifikaten der zweiten Ebene eingesetzt werden.

TIP1-A_5187 - Weiterverwendung des privaten Schlüssels einer CVC-Root-CA

Der Anbieter der CVC-Root-CA DARF den privaten Schlüssel der CVC-Root-CA NICHT mehr verwenden, nachdem die gematik die Zulassung des Anbieters der CVC-Root-CA widerrufen hat.

TIP1-A_5188 - Vernichtung nicht mehr benötigter Schlüssel durch die CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass nicht mehr benötigte Schlüssel einer CVC-Root-CA sicher gelöscht werden.

TIP1-A_5189 - Vernichtung der privaten Schlüssel bei Verlust der Zulassung der CVC-Root-CA

Falls dem Anbieter der CVC-Root-CA die Zulassung der gematik entzogen wird, MUSS er alle privaten Schlüssel, die die CVC-Root-CA zur Erzeugung von CVC-CA-Zertifikaten besitzt, nach expliziter Anordnung der gematik vernichten.

TIP1-A_5190 - Maßnahmen zur Vernichtung der Schlüsselpaare durch die CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass die Vernichtung von Schlüsseln durch eine der folgenden Maßnahmen realisiert wird: (a) physisches Löschen des privaten Schlüssels innerhalb des HSM, (b) dauerhaftes Sperren aller möglichen Zugriffe auf den privaten Schlüssel innerhalb des HSM.

TIP1-A_5191 - Information über die Vernichtung aller Schlüsselpaare durch die CVC-Root-CA an gematik

Der Anbieter der CVC-Root-CA MUSS der gematik die Vernichtung aller Schlüsselpaare schriftlich innerhalb von fünf Werktagen nach Eingang der Benachrichtigung über den Widerruf der Zulassung bestätigen.

TIP1-A_5192 - Einsatz eines HSM, CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS für die Sicherheit des Schlüsselpaares einer CVC-Root-CA ein HSM einsetzen.

TIP1-A_5193 - Schlüsselgenerierung im HSM der CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS die Generierung eines neuen Schlüsselpaares in dem verwendeten HSM vornehmen.

TIP1-A_5194 - Speicherung und Anwendung des privaten Schlüssels in einem HSM, CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass a) der private Schlüssel für die Erzeugung von Zertifikaten nicht auslesbar in einem HSM gespeichert wird (einzige Ausnahme ist die Erstellung eines Schlüssel-Backups gemäß TIP1-A_5204) und (b) nach Verwendung des privaten Schlüssels keine Artefakte der Bearbeitung im System hinterlassen werden, die eine Kompromittierung des Schlüssels ermöglichen oder erleichtern.

TIP1-A_5195 - Einsatz einer Chipkarte als HSM, CVC-Root-CA

Der Anbieter der CVC-Root-CA DARF NICHT eine Chipkarte als HSM einsetzen.

TIP1-A_5196 - Ordnungsgemäße Sicherung des privaten Schlüssels der CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS die ordnungsgemäße Sicherung des privaten Schlüssels der CVC-Root-CA nach dem aktuellen Stand der Technik gewährleisten und die Anforderungen an kryptographische Module im Rahmen seines betreiberspezifischen Sicherheitskonzeptes definieren.

TIP1-A_5197 - Verwendung von privaten Schlüsseln einer CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS gewährleisten, dass a) alle kryptographischen Berechnungen mit einem privaten Schlüssel der CVC-Root-CA intern in einem Hardware-Sicherheitsmodul (HSM) durchgeführt werden und b) private Schlüssel der CVC-Root-CA nicht im Klartext aus dem HSM exportiert werden können.

TIP1-A_5198 - Evaluierung von HSMs – CVC-Root-CA

Als HSM MUSS die CVC-Root-CA ein Modul einsetzen, dessen Eignung durch eine erfolgreiche Evaluierung nachgewiesen wurde. Als Evaluierungsschemata kommen dabei Common Criteria, ITSEC oder Federal Information Processing Standard (FIPS) in Frage. Die Prüftiefe MUSS mindestens (a) FIPS 140-2 Level 3, (b) Common Criteria EAL 4+ mit hohem Angriffspotenzial oder (c) ITSEC E3 der Stärke „hoch“ entsprechen.

TIP1-A_5199 - Vorgaben an die Funktionalität des HSM der CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS Hardware-Sicherheitsmodule (HSM) einsetzen, die mindestens Funktionen a) zur Generierung eines neuen Schlüsselpaares, b) zur Aktivierung eines Schlüsselpaares, c) zum kryptographisch abgesicherten Import und Export eines privaten Schlüssels, d) zum (physikalischen) Löschen eines Schlüsselpaares, e) zur m-von-n-Aktivierung und f) zum Erstellen eines Zertifikats mit interaktiv einzugebenden Zertifikatsdaten beinhalten.

TIP1-A_5200 - Nutzung eines HSM nach erfolgreicher Benutzerauthentisierung

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass das HSM nur nach einer erfolgreichen Benutzerauthentisierung genutzt werden kann.

TIP1-A_5380 - Zugang zu HSM-Systemen im Vier-Augen-Prinzip

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass alle Zugriffe auf das HSM und die direkt zur Administration des HSM verwendeten IT-Systeme im Vier-Augen-Prinzip erfolgen.

TIP1-A_5201 - Speicherung und Auswahl von Schlüsselpaaren im HSM der CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS ein Hardware-Sicherheitsmodul (HSM) einsetzen, das mehrere Schlüsselpaare speichern kann und über eine Funktion zur Aktivierung eines einzelnen spezifischen Schlüsselpaares verfügt, das nach erfolgter Auswahl zur Erzeugung von Zertifikaten verwendet wird.

TIP1-A_5202 - Keine Weitergabe sensitiver Schlüssel durch die CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass eine Weitergabe geheimer und privater Schlüssel an andere Organisationen sowie an nicht berechtigte Personen nicht erfolgt.

TIP1-A_5203 - Verwendung eines Backup-HSMs durch die CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS für das HSM der CVC-Root-CA ein Backup-HSM vorhalten.

TIP1-A_5204 - Backup-HSMs – sicherer Schlüsseltransport CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS zur Übertragung von Schlüsselmaterial auf ein Backup-HSM sicherstellen, dass Vertraulichkeit und Integrität privater Schlüssel dabei zu jedem Zeitpunkt gewährleistet sind. 

TIP1-A_5205 - Schlüsselbackup bei der gematik

Der Anbieter der CVC-Root-CA MUSS im Rahmen des mit dem BSI abgestimmten Konzepts "Verfahren zur Sicherung der CVC-Root-CA" die im Konzept definierten Mitwirkungspflichten erfüllen. Er muss im Rahmen des Konzeptes das für das Erzeugen von CVC-Sub-CA-Zertifikaten verwendete Schlüsselpaar für die Übergabe an die gematik exportieren. 

TIP1-A_5206 - Verfahrensbeschreibung Datensicherung der CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS eine Verfahrensbeschreibung zur Datensicherung des CVC-Root-CA-Schlüsselpaars erstellen und mit der gematik abstimmen. Die Verfahrensbeschreibung beinhaltet mindestens die folgenden Punkte:

1. Beschreibung des zu sichernden Schlüsselmaterials

   1. Erzeugung

   2. Speicherung

   3. Lagerung

   4. (Wieder-) Einbringung

2. Organisatorische Maßnahmen

3. Beteiligte Rollen

4. Übergabe des Schlüsselmaterials zur Datensicherung bei der gematik

TIP1-A_5207 - Quorum der Wiederherstellung

Der Anbieter der CVC-Root-CA MUSS zur Wiederherstellung des Schlüsselmaterials einen Mechanismus zur Verfügung stellen, der die Anwendung der m-von-n-Aktivierung sicherstellt.

TIP1-A_5208 - Import aktuell genutzter CVC-Root-Schlüsselpaare

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass aktuell genutzte CVC-Root-Schlüsselpaare für Produktiv- und Test-PKI eines anderen Anbieters durch sein eigenes CVC-Root-CA-System unterstützt werden kann.

TIP1-A_5212 - Wechsel der Schlüsselversion bei der CVC-Root-CA, Cross-Zertifizierung

Im Falle eines Wechsels der Schlüsselversion MUSS die CVC-Root-CA ein Cross-CV-Zertifikat gemäß TAB_PKI_937 mit ihrem aktuellen privaten Schlüssel über ihren neuen öffentlichen Schlüssel erzeugen. Dabei ist das CED-Feld gleich der aktuellen Zeit und das CXD-Feld gleich dem Ende der Gültigkeit des der neuen Root-Version. Mit dem neuen Schlüsselpaar (neue Root-Version) MUSS die CVC-Root-CA ein Cross-CV-Zertifikat über den alten öffentlichen Schlüssel erzeugen, mit dem CED-Feld gleich der aktuellen Zeit und dem CXD dem Ende der 10-jähigen Laufzeit der alten Root (CXD aus dem selbstsignierten Root-Zertifikat der alten Root).

TIP1-A_5213 - Wechsel der Schlüsselversion bei der CVC-Root-CA, Verfügbarkeit der Crosszertifizierungsdaten

Im Falle eines Wechsels der Schlüsselversion MUSS die CVC-Root-CA die erzeugten Cross-CV-Zertifikate und selbstsignierten Root-Zertifikate auf einem Server der CVC-Root-CA Dritten zur Verfügung stellen.

TIP1-A_5214 - Wechsel der Schlüsselversion bei der CVC-Root-CA

Im Falle eines Wechsels der Schlüsselversion MUSS die CVC-Root-CA bei allen im Folgenden durch die CVC-Root-CA zu erzeugenden CVC-CA-Zertifikate ihr neues Schlüsselpaar verwenden.

TIP1-A_5215 - Planmäßiger Wechsel der Schlüsselversion bei der CVC-Root-CA

Im Falle eines planmäßigen Wechsels der Schlüsselversion MUSS die CVC-Root-CA den Wechsel zwei Jahre nach dem letzten Wechsel vornehmen.

TIP1-A_5216 - Planmäßiger Wechsel der Schlüsselversion bei der CVC-Root-CA, Erzeugung des Cross-Zertifikats

Im Falle eines planmäßigen Wechsels der Schlüsselversion MUSS die CVC-Root-CA spätestens zwei Wochen nach dem Wechsel Cross-CV-Zertifikate und das selbstsignierte Root-Zertifikat veröffentlichen (vgl. TIP1-A_5213).

TIP1-A_5217 - Planmäßiger Wechsel der Schlüsselversion bei der CVC-Root-CA, Entscheidung über den Versionswechsel

Die gematik MUSS die Entscheidung über die Durchführung eines planmäßigen Wechsels der Schlüsselversion spätestens vier Monate vor dem geplanten Termin treffen.

TIP1-A_5218 - Unplanmäßiger Wechsel der Schlüsselversion bei der CVC-Root-CA

Im Falle eines ungeplanten Wechsels der Schlüsselversion der CVC-Root-CA durch
(a) Betreiberwechsel gleich aus welchem Grund,     
(b) Änderungen im Kryptokatalog, oder Notfallszenario gemäß [gemRL_Betr_TI#10] KANN der Anbieter der CVC-Root-CA den Wechsel außerhalb des geplanten Turnus vornehmen.

TIP1-A_5219 - Schlüsselerzeugung nach Anordnung durch die gematik

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass eine Schlüsselgenerierung ausschließlich nach Anordnung durch die gematik erfolgen kann. Der Anbieter der CVC-Root-CA MUSS überprüfen, ob der Auftrag der gematik mindestens die folgenden Angaben enthält: (a) Datum des Auftrags, (b) Namen von zwei verantwortlichen Mitarbeitern der gematik, (c) Indikator, ob es sich um einen „planmäßigen“ oder einen „notfallmäßigen“ Schlüsselwechsel bzw. um eine initiale Schlüsselgenerierung handelt, (d) Vorgabe für die Länge des neuen Schlüsselpaares und des zu verwendenden Algorithmus, (e) Unterschriften von zwei verantwortlichen Mitarbeitern der gematik.

TIP1-A_5220 - Protokollierung durch die CVC-Root-CA - Ereignisse

Der Anbieter der CVC-Root-CA MUSS seine Aktivitäten revisionssicher protokollieren. Mindestens die folgenden Ereignisse MÜSSEN durch die CVC-Root-CA protokolliert werden: (a) Generierung eines neuen Schlüsselpaares im HSM, (b) Aktivierung eines Schlüsselpaares, (c) Löschung eines privaten Schlüssels im HSM, (d) Export des privaten Schlüssels, (e) Import des privaten Schlüssels, (f) Sperrung der Zugriffe auf einen privaten Schlüssel im HSM, (g) Erzeugen eines CVC-CA-Zertifikats (h) Zugriffe auf den privaten CVC-Root-CA-Schlüssel.

TIP1-A_5221 - Protokollierung durch die CVC-Root-CA – Werte pro Ereignis

Bei der Protokollierung MÜSSEN durch die CVC-Root-CA die folgenden Werte protokolliert werden: (a) Datum und Uhrzeit, (b) Typ des Ereignisses, (c) Namen der beteiligten Mitarbeiter der CVC-Root-CA, die das HSM freigeschaltet haben. 

TIP1-A_5222 - Protokollierung durch die CVC-Root-CA – Generierung eines neuen Schlüsselpaares

Bei dem Erzeugen eines neuen Schlüsselpaares MÜSSEN durch die CVC-Root-CA zusätzlich die folgenden Werte protokolliert werden: (a) Datum des Auftrags der gematik, (b) Namen der beiden verantwortlichen Mitarbeiter der gematik (aus dem Auftrag) (c) Fingerprint des öffentlichen Root-Schlüssels des neu generierten Schlüsselpaars.

TIP1-A_5223 - Protokollierung durch die CVC-Root-CA – Aktivierung eines neuen Schlüsselpaares

Bei der Aktivierung eines Schlüsselpaares MÜSSEN durch die CVC-Root-CA zusätzlich die folgenden Werte protokolliert werden: (a) Datum des Auftrags der gematik, (b) Namen der beiden verantwortlichen Mitarbeiter der gematik (aus dem Auftrag) (c) Fingerprint des öffentlichen Root-Schlüssels des aktivierten Schlüsselpaars.

TIP1-A_5224 - Protokollierung durch die CVC-Root-CA – Erzeugung eines CVC-CA-Zertifikats

Bei dem initialen Erzeugen eines CVC-CA-Zertifikates MÜSSEN durch die CVC-Root-CA zusätzlich die folgenden Werte protokolliert werden: (a) Name und Anschrift des beantragenden TSP-CVC, (b) Datum des Antrags (aus dem schriftlichen Antrag), (c) Name der CVC-CA für die das CVC-CA-Zertifikat erstellt wird, (d) Fingerprint über den öffentlichen Schlüssel der CVC-CA, für die das neue CVC-CA-Zertifikat erstellt werden soll, (e) Name und Geburtsdatum des Mitarbeiters des TSP-CVC, (f) signierter CVC-PKCS#10-Request, (g) Inhalt des Feldes CHAT bei Kartengeneration 2, (h) das erstellte CVC-CA-Zertifikat selber.
[<=]

TIP1-A_5225 - Nachvollziehbarkeit bei Produktion von CVC-CA-Zertifikaten

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass nachträglich anhand der Protokolle nachvollzogen werden kann, wann wie viele CVC-CA-Zertifikate für welchen TSP-CVC erzeugt wurden.

TIP1-A_5226 - Schutz der Protokolldaten gegen Manipulation

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass alle Protokolldaten bei ihrer Erstellung, Verarbeitung und Speicherung geeignet gegen mögliche Manipulationen geschützt werden. Dies beinhaltet auch den Schutz vor Verlust von Protokolldaten.

TIP1-A_5227 - Prüfung der Protokolldaten durch die gematik

Auf Antrag MUSS die CVC-Root-CA Vertretern der gematik Einblick in die Protokolle gewähren. Der Anbieter der CVC-Root-CA MUSS dazu sicherstellen, dass die Protokolldaten in menschenlesbarer Form vorliegen.

TIP1-A_5228 - Berücksichtigung von Rollen

Der Anbieter der CVC-Root-CA MUSS in seinem organisatorischen Teil des Sicherheitskonzepts mindestens die folgenden Rollen unterscheiden: (a) Leiter CVC-Root-CA, (b) Sicherheitsbeauftragter CVC-Root-CA, (c) Zertifizierer, (d) Datenschutzbeauftragter, (e) Geheimnisträger.

TIP1-A_5229 - Definition der Rollen in der CVC-Root-CA und Festlegungen ihrer Aufgaben

Der Anbieter der CVC-Root-CA MUSS in seinem Sicherheitskonzept die genauen Aufgaben der Rollen beschreiben. Geklärt werden MUSS dabei, welche verschiedenen Rollen nicht durch eine einzelne Person ausgeübt werden dürfen (Rollenausschlussmatrix). Dargestellt werden MUSS insbesondere, welche Funktionen des HSM durch eine Rolle genutzt werden können.

TIP1-A_5230 - Benennung von Mitarbeitern gegenüber der gematik durch die CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS der gematik die verantwortlichen Mitarbeiter für die Rollen "Leiter CVC-Root-CA", "Sicherheitsbeauftragter CVC-Root-CA" und „Zertifizierer“ mitteilen. Für die Rolle "Leiter CVC-Root-CA" MUSS dabei auch ein Stellvertreter genannt werden. Der Anbieter der CVC-Root-CA MUSS der gematik Änderungen an der Zuordnung von Rollen mitteilen.

TIP1-A_5231 - Berücksichtigung von Zugriffen auf das HSM im Vier-Augen-Prinzip, CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass keine einzelne Person zwei Rollen ausüben kann, die Zugriffe auf das HSM im Vier-Augen-Prinzip für diese einzelne Person ermöglichen. 

TIP1-A_5232 - Umsetzung der definierten Prozesse durch die CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS die definierten Prozesse umsetzen.

TIP1-A_5233 - Geschützter Bereich der CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS das HSM in einem geschützten Bereich der Betriebsstätte unterbringen. Für diesen Bereich der Betriebsstätte der CVC-Root-CA MUSS gelten: (a) Der Zugang zu diesem Bereich ist nur autorisierten Mitarbeitern möglich. (b) Beim Zugang muss der Mitarbeiter eindeutig identifiziert werden. (c) Der Zugang zu diesem Bereich wird protokolliert. (d) Alle Zugänge sind in geeigneter Weise gegen Einbruch gesichert. (e) Ist kein berechtigter Mitarbeiter anwesend, wird der Bereich alarmüberwacht. (f) Besuchern ist der Zugang nur in Begleitung autorisierter Mitarbeiter und nur zu notwendigen, im Sicherheitskonzept beschriebenen Zwecken erlaubt.

TIP1-A_5234 - Verwendung mehrerer geschützter Bereiche der CVC-Root-CA

Eine CVC-Root-CA KANN verteilt in mehreren geschützten Bereichen betrieben werden.

TIP1-A_5235 - Schutz von HSM der CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS Maßnahmen beschreiben, ergreifen und nachweisen, die verhindern, dass ein HSM bzw. ein Backup-HSM aus einem der geschützten Bereiche unautorisiert entfernt werden kann.

TIP1-A_5236 - Zugriffe auf Systeme der CVC-Root-CA über Arbeitsplatzrechner (oder Systeme) außerhalb des geschützten Bereichs

Falls zur CVC-Root-CA gehörende Arbeitsplatzrechner (oder Systeme) außerhalb des geschützten Bereichs Zugriffe auf Systeme der CVC-Root-CA in dem geschützten Bereich haben, MUSS der Anbieter der CVC-Root-CA sicherstellen, dass alle Zugriffe über diese Arbeitsplatzrechner (bzw. Systeme) sowie die Kommunikation zwischen den Arbeitsplatzrechnern (bzw. Systeme) und den Systemen der CVC-Root-CA im geschützten Bereich geeignet gegen Manipulationen und unautorisierte Nutzung geschützt werden und für diese Arbeitsplatzrechner (bzw. Systeme) das gleiche Sicherheitsniveau wie für die CVC-Root-CA eingehalten wird.

TIP1-A_5237 - Sicherer Betrieb von Systemkomponenten der CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS den sicheren Betrieb von Systemkomponenten gewährleisten. Hierzu MÜSSEN mindestens die folgenden Maßnahmen ergriffen werden: (a) Umsetzung einer Benutzerauthentisierung, die mindestens dem Sicherheitsniveau eines Logins mit Username und Passwort entspricht, (b) Umsetzung einer Zugriffskontrolle, (c) Sichere Administration und Konfiguration von Komponenten, (d) Maßnahmen zur Systemhärtung, (e) Zeitnahes Einspielen von Updates, insbesondere von Sicherheitsupdates, (f) Einsatz aktueller Virenschutzprogramme.

TIP1-A_5372 - Systemtechnische Trennung bei Aufbau und Betrieb der CVC-Root-CA

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass die CVC-Root-CA hinsichtlich der Signaturidentitäten vollständig getrennt von anderen Systemen und deren Signaturidentitäten aufgebaut und betrieben wird.

TIP1-A_5238 - Veröffentlichung des öffentlichen Root-Schlüssels

Der Anbieter der CVC-Root-CA MUSS den öffentlichen Root-CA-Schlüssel auf einer sicheren Internetseite zum Download zur Verfügung stellen.

TIP1-A_5239 - Sicherstellung der Integrität und Authentizität des öffentlichen Schlüssels bei Veröffentlichung

Der Anbieter der CVC-Root-CA MUSS die Integrität und Authentizität des auf den Internetseiten publizierten öffentlichen Schlüssels sicherstellen.

TIP1-A_5240 - Bereitstellung des Fingerprints zum öffentlichen Schlüssel

Der Anbieter der CVC-Root-CA MUSS einen Fingerprint des öffentlichen Schlüssels auf Anfrage per Briefpost zur Verfügung stellen.

TIP1-A_5241 - Bereitstellung von Cross-Zertifikaten (Link-Zertifikaten)

Im Falle eines Wechsels der Schlüsselversion MUSS die CVC-Root-CA das zugehörige Cross-CV-Zertifikat (Link-Zertifikat) auf den Internetseiten des Anbieters für einen Download zur Verfügung stellen. Im Falle eines planmäßigen Wechsels MUSS die CVC-Root-CA das Cross-Zertifikat spätestens bis zum 15. Oktober des vorherigen Jahres bereitstellen.

TIP1-A_5243 - Information an die CVC-CAs über die Verfügbarkeit einer neuen Root-Version

Der Anbieter der CVC-Root-CA MUSS die CVC-CAs der zweiten Ebene und den Anbieter des TSL-Dienstes über die Verfügbarkeit eines neuen öffentlichen Root-Schlüssels informieren.

TIP1-A_5245 - Schnittstelle zur Einsicht und Übermittlung von Registrierungsdaten

Der Anbieter der CVC-Root-CA MUSS der gematik und den beteiligten Akteuren eine Schnittstelle mit geeigneten Authentisierungsmechanismen zur Einsicht und Übermittlung von Registrierungsdaten anbieten.

TIP1-A_5246 - Daten zum TSP-CVC

Der Anbieter der CVC-Root-CA MUSS zu einem TSP-CVC die folgenden Daten verwalten: (a) Eindeutiger Name des TSP-CVC, (b) Stammdaten, (c) Registrierungsdatum, (d) Release- bzw. Versionsbezug, (e) Anzahl bereits ausgestellter CVC-CAs, (f) Limit maximal erlaubter auszustellender CVC-CAs, (g) Status der Registrierung, (h) CVC-Zugriffsprofile.

TIP1-A_5247 - Daten zur CVC-CA

Der Anbieter der CVC-Root-CA MUSS zu einer CVC-CA die folgenden Daten verwalten: (a) Eindeutiger Name der CVC-CA, (b) Vorgangsdaten, (c) CVC-CA-Zertifikat, (d) ausstellende CVC-Root-CA, (e) Status der CVC-CA.

TIP1-A_5248 - Betrieb von Test-CVC-Root-CAs

Der Anbieter der CVC-Root-CA MUSS neben einer Produktiv-CVC-Root-CA ebenfalls eine Test-CVC-Root-CA betreiben.

TIP1-A_5249 - Backup und Verfügbarkeit der CVC-Root-CA für Produktiv- und Testumgebung

Der Anbieter der CVC-Root-CA MUSS a) für die Verfügbarkeit der CVC-Root-CA mindestens ein dediziertes Backup-HSM (cold standby) vorhalten, das bei Ausfall eines HSM (Produktiv- oder Testumgebung) eingesetzt werden kann, b) für jede Betriebsumgebung ein separates Schlüssel-Backup der Root-CVC-CA nach den vom HSM-Hersteller vorgegebenen Backup-Verfahren sicher erstellen und sicher verwahren.

TIP1-A_5250 - Schriftlicher Antrag auf Ausstellung eines CVC-CA-Zertifikats

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass ein schriftlicher Antrag des TSP-CVC zur Ausstellung eines CVC-CA-Zertifikats vorliegt.

TIP1-A_5251 - Eingangsdaten zur Erzeugung eines CVC-CA-Zertifikats, die durch den TSP-CVC zur Verfügung gestellt werden

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass zur Ausstellung eines CVC-CA-Zertifikats mindestens die folgenden Eingangsdaten vorliegen: (a) Name und Anschrift der CVC-CA, (b) Name und Vorname einer Kontaktperson, (c) Typ des CVC-CA-Zertifikats (Test oder produktiv), (d) Öffentlicher Schlüssel, (e) Fingerprint über den öffentlichen Schlüssel, für den das CVC-CA-Zertifikat erzeugt werden soll, (f) Card Holder Referenz, CHR, bestehend aus der CAR zu dem Schlüssel der zertifiziert werden soll und (g) Unterschriften zweier hierfür berechtigter und bei der gematik registrierter Mitarbeiter des TSP-CVC.

TIP1-A_5252 - CVC-PKCS#10-Request zur Erzeugung eines CVC-CA-Zertifikats

Der Anbieter der CVC-Root-CA MUSS die Korrektheit des CVC-PKCS#10-Requests des TSP-CVC zur Ausstellung eines CVC-CA-Zertifikats verifizieren.

TIP1-A_5253 - Übergabe des CVC-CA-Zertifikats an den TSP-CVC

Der Anbieter der CVC-Root-CA MUSS das erzeugte CVC-CA-Zertifikat an den TSP-CVC übergeben.

TIP1-A_5254 - Prüfung des schriftlichen Antrags auf Ausstellung eines CVC-CA-Zertifikats

Der Anbieter der CVC-Root-CA MUSS den schriftlichen Antrag des TSP-CVC auf Ausstellung eines CVC-CA-Zertifikats prüfen. Der Anbieter der CVC-Root-CA MUSS prüfen, ob (a) Name und Anschrift des TSP-CVC korrekt sind, (b) eine Kontaktperson angegeben wurde, die im Rahmen der Zulassung (oder einer Änderung) der gematik benannt wurde und eine der Rollen "Leiter CA", "Sicherheitsbeauftragter" bzw. "Antragsteller CVC-CA-Zertifikat" inne hat, (c) der Antrag von zwei hierfür berechtigten Mitarbeitern des TSP-CVC unterschrieben wurde und eine der Unterschriften von einem Mitarbeiter stammt, dem die Rolle "Leiter CVC-CA" zugewiesen wurde und die zweite Unterschrift von einem weiteren bei der Zulassung bzw. einer Änderungsmitteilung genannten Mitarbeiter ("Sicherheitsbeauftragter" bzw. "Antragsteller CVC-CA-Zertifikat") stammt.

TIP1-A_5255 - Ergebnis der Prüfung des schriftlichen Antrags auf Ausstellung eines CVC-CA-Zertifikats

Der Anbieter der CVC-Root-CA MUSS das Ergebnis der Prüfung des schriftlichen Antrags dokumentieren und den TSP-CVC über das Ergebnis schriftlich informieren.

TIP1-A_5256 - Vereinbarung zur Übergabe des CVC-PKCS#10-Requests

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass nur nach einer erfolgreichen Prüfung des schriftlichen Antrags zwischen der CVC-Root-CA und dem TSP-CVC ein Termin für die persönliche Übergabe des CVC-PKCS#10-Requests und die Ausstellung CVC-CA-Zertifikates vereinbart wird.

TIP1-A_5257 - Prüfung des Mitarbeiters des TSP-CVC und dessen Berechtigung

Der Anbieter der CVC-Root-CA MUSS prüfen, ob die Person, die den CVC-PKCS#10-Request überbringt, sich als Mitarbeiter des TSP-CVC ausweisen kann und diese durch den TSP-CVC zur persönlichen Übergabe des CVC-PKCS#10-Requests autorisiert wurde.

TIP1-A_5258 - Prüfung des CVC-PKCS#10-Requests

Der Anbieter der CVC-Root-CA MUSS die Korrektheit des CVC-PKCS#10-Requests prüfen. Der Anbieter der CVC-Root-CA MUSS prüfen, ob (a) die Signatur des CVC-PKCS#10-Requests mathematisch korrekt ist, (b) im Request-Feld certificationRequestInfo das Feld version den Wert 0 hat, (c) die Angaben im Feld algorithm aus dem RequestInfo-Feld subjectPKInfo und dem Feld algorithm aus dem Request-Feld signatureAlgorithm zueinander konsistent sind, (d) der im RequestInfo-Feld subjectPKInfo enthaltene öffentliche Schlüssel (Feld subjectPublicKey) zu dem im schriftlichen Antrag enthaltenen öffentlichen Schlüssel identisch ist.

TIP1-A_5259 - Erstellung eines CVC-CA-Zertifikats

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass ein CVC-CA-Zertifikat nur dann erstellt wird, falls (a) der TSP-CVC über eine aktuell gültige Zulassung der gematik verfügt (b) die Prüfung des Mitarbeiters des TSP-CVC und dessen Berechtigung erfolgreich war, (c) die Prüfung des CVC-PKCS#10-Requests erfolgreich war, (d) die Prüfung des Fingerprints über den öffentlichen Schlüssel erfolgreich war (e) die Angabe des CHR im Feld subject aus dem Request-Feld certificationRequestInfo eindeutig ist und (f) der in der CHR enthaltene CA-Name für die Kartengeneration eindeutig ist.

TIP1-A_5260 - Berücksichtigung von Eingangsdaten gemäß [gemSpec_PKI] bei Ausstellung von CVC-CA-Zertifikaten

Für die Erzeugung eines CVC-CA-Zertifikats MUSS die CVC-Root-CA sicherstellen, dass die Festlegungen gemäß der Spezifikation PKI der TI-Plattform [gemSpec_PKI] hinsichtlich der Zertifikatsprofile, der Object Identifier sowie der Kodierung von Identitäten berücksichtigt werden.

TIP1-A_5261 - Verwendung der Eingangsdaten des TSP-CVC

Der Anbieter der CVC-Root-CA MUSS zur Erzeugung eines CVC-CA-Zertifikats die vom TSP-CVC zur Verfügung gestellten Eingangsdaten aus dem CVC-PKCS#10-Request verwenden.

TIP1-A_5262 - Setzen der Certificate Authority Reference (CAR)

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass über die Felder Service-Indikator, CA-spezifische Informationen, Algorithmen-Referenz und Datum eine eindeutige Zuordnung zu der korrekten Root-Version gegeben ist.

TIP1-A_5263 - Setzen des Datums in Certificate Authority Reference (CAR)

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass das Feld Datum der Certificate Authority Reference die beiden letzten Ziffern des Jahres enthält, in dem die CVC-Root-CA den Wechsel der Root-Version durchgeführt, d.h. den Schlüssel aktiviert, hat.

TIP1-A_5264 - Setzen der Certificate Effective Date (CED)

Der Anbieter der CVC-Root-CA MUSS bei Erzeugung eines CVC-CA-Zertifikats für die Kartengeneration 2 das Erstellungsdatum in das Datenfeld CED eintragen.

TIP1-A_5265 - Setzen der Certificate Expiration Date (CXD)

Der Anbieter der CVC-Root-CA MUSS bei Erzeugung eines CVC-CA-Zertifikats für die Kartengeneration 2 als Certificate Expiration Date (CXD) ein Datum einstellen, das die Gültigkeitsdauer des CVC-CA-Zertifikats festlegt und die in Tab_PKI_801 definierten maximalen Gültigkeitsdauern einhält.

TIP1-A_5266 - Signierung des CVC-CA-Zertifikats durch die CVC-Root-CA

Die zusammengestellten Daten für das CVC-CA-Zertifikat, das für einen Einsatz in der Produktivumgebung vorgesehen ist, MÜSSEN durch die Produktiv-CVC-Root-CA mit dem zugehörigen privaten Schlüssel signiert werden.

TIP1-A_5267 - Protokollierung

Der Anbieter der CVC-Root-CA MUSS den Antrag sowie das neu erstellte CVC-CA-Zertifikat in eine interne Zertifikatsprotokollierung übernehmen. [<=]

TIP1-A_5268 - CVC-PKCS#10-Request, Format des technischen Requests

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass die technische Bearbeitung eines CVC-CA-Zertifikats durch einen CVC-PKCS#10-Request gemäß der Struktur nach [RFC2986] erfolgt.

TIP1-A_5270 - CVC-PKCS#10-Request, Konkretisierungen für die Kartengeneration 2

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass für die Beantragung eines CVC-CA-Zertifikats der Kartengeneration 2 folgende Konkretisierungen zu [RFC2986] durch den TSP-CVC vorgenommen wurden: (a) Im Request-Feld certificationRequestInfo muss version den Wert 0 haben. (b) Im Request-Feld certificationRequestInfo muss subject die notwendigen Inhalte des CV-Zertifikats enthalten. Für die Angabe der Attribute müssen die OIDs gemäß Tab_PKI_803 verwendet werden. (c) Im RequestInfo-Feld subjectPKInfo muss subjectPublicKey den Domainparameter (Punkt Q des öffentlichen Schlüssels eines CV-Zertifikats der Kartengeneration 2; brainpoolP256r1, brainpoolP384r1 oder brainpoolP512r1) enthalten. (d) Im RequestInfo-Feld subjectPKInfo muss algorithm den Verwendungszweck ecdsa-with-SHA256 (OID 1.2.840.10045.4.3.2), ecdsa-with-SHA384 (OID 1.2.840.10045.4.3.3) oder ecdsa-with-SHA512 (OID 1.2.840.10045.4.3.4) angeben. (e) Im Request-Feld signatureAlgorithm muss algorithm das Signaturverfahren ecdsa-with-SHA256 (OID 1.2.840.10045.4.3.2), ecdsa-with-SHA384 (OID 1.2.840.10045.4.3.3) oder ecdsa-with-SHA512 (OID 1.2.840.10045.4.3.4) angeben.

TIP1-A_5367 - CVC-PKCS#10-Request für Kartengeneration 2, Object Identifier der Attribute

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass für die Attribute der Kartengeneration 2 die folgenden Object Identifier verwendet werden:
id-cvc-attributes OBJECT IDENTIFIER ::= {
iso(1) member-body(2) de(276) din-certco(0) gesundheitswesen(76)
instanzen-identifikatoren(3) organisationen(1) gematik(91) 44
}

id-cvc-certificateHolderReference OBJECT IDENTIFIER ::= {
id-cvc-attributes 2
}

id-cvc-CHR-cAName OBJECT IDENTIFIER ::= {
id-cvc-certificateHolderReference 1
}
id-cvc-CHR-serviceIndicator OBJECT IDENTIFIER ::= {
id-cvc-certificateHolderReference 2
}
id-cvc-CHR-keyDicretionaryData OBJECT IDENTIFIER ::= {
id-cvc-certificateHolderReference 3
}
id-cvc-CHR-algorithmReference OBJECT IDENTIFIER ::= {
id-cvc-certificateHolderReference 4
}
id-cvc-CHR-yearofActivation OBJECT IDENTIFIER ::= {
id-cvc-certificateHolderReference 5
}

}

TIP1-A_5272 - CVC-PKCS#10-Request, Angabe der Attribute

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass CV-CA-Zertifikate nur für Requests mit den vollständigen und korrekten Attributwerten im subject des certificationRequestInfo ausgestellt werden.

TIP1-A_5273 - CVC-PKCS#10-Request, Kodierung

Der Anbieter der CVC-Root-CA MUSS sicherstellen, dass nur base-64 codierte CVC-PKCS#10-Request verarbeitet werden.

TIP1-A_5274 - Signierung des Test-CVC-CA-Zertifikats durch die Test-CVC-Root-CA

Die zusammengestellten Daten für das Test-CVC-CA-Zertifikat MÜSSEN durch die Test-CVC-Root-CA mit dem zugehörigen privaten Schlüssel signiert werden.

TIP1-A_5275 - Entgegennahme der Informationen zur Zulassung und Registrierung

Der Anbieter der CVC-Root-CA MUSS die von gematik zur Verfügung gestellten Informationen hinsichtlich der Zulassung von TSP-CVC und der Registrierung von CVC-CAs entgegennehmen, den Empfang an die gematik authentisch und integer innerhalb eines Werktages bestätigen und vorhalten.

TIP1-A_5276 - Protokollierung der Entgegennahme der Informationen zur Zulassung und Registrierung

Der Anbieter der CVC-Root-CA MUSS die Entgegennahme von bereitgestellten Informationen hinsichtlich der Zulassung von TSP-CVC und der Registrierung von CVC-CAs sowie deren Vorhaltung (Aktualisierung der verfügbaren Informationen) protokollieren.