Swisscom Digital Certificate Services Time

Transcription

Swisscom Digital Certificate Services
Time-Stamping Authority
TSA Policy
Abstract
Time-Stamping Authority Policy der Swisscom Digital Certificate Services,
einer Dienstleistung der Swisscom (Schweiz) AG zur Ausgabe von
digitalen Zeitstempel gemäss Schweizerischem Signaturgesetz (ZertES)
und ETS TS ETSI TS 102.023 und ETSI TS 101.861
Name
005_cp_tsa_swisscom_digital_certificate_services_2 16 756 1 83 5
1_v2_5.doc
Version
2.5
Classification
Nicht klassifiziert
Project Name
„Hermes“
OID
2.16.756.1.83.5.1
Zugehöriges CPS
CPS Swisscom Digital Certificate Services OID: 2.16.756.1.83.2.1
Name
tsa.swissdigicert.ch
Owner der CA
Swisscom (Schweiz) AG
CP Compliance start:
1. November 2005
Document approval
Swisscom Solutions, Head of ICT Security Solutions
Date signed
Signature
_________________________________________
Rolle
Name
Kontakt Detail
Autor / Projektleiter
Patrick Graber
Tel: +41 (0)58 222 81 25
Reviewer / QS
Lorenz Neher
Tel: +41 (0)58 222 84 69
Projekt Auftraggeber
Markus Baumeler
Tel: +41 (0)44 294 91 25
Chief Information Security Officer
Martin Lechmann
Tel: +41 (0)58 222 81 29
Legal & Contract Management
Gabriela Burkart
Tel: +41 (0)31 342 72 43
Änderungskontrolle
Version
Datum
0.1
26. Aug. 2005 P. Graber
Erste Version
0.2
3. Okt. 2005
P. Graber
Input Peter Stadlin
0.3
17. Oktober
L. Neher
Verschiedene Anpassungen
1.0
18. Oktober
L. Neher
Ergänzungen
1.1
25. November L. Neher
Ergänzungen von KPMG
1.2
30. November P. Graber
MD5 wir nicht unterstützt
1.3
1. Dezember
P. Graber, D. Schmid
1.4
5. Dezember
P. Graber / G.Burkart
2.0
30. Sept 2006 P. Graber
Diverse Ergänzungen
2.4
28.Aug. 2007 P. Graber
Kleine Ergänzungen
2.5
25. Feb. 2008 Daniel Keller
Div. Erneuerung, Neues Logo
Copyright Swisscom (Schweiz) AG
Ausführende Stelle
Bemerkungen/Art der Änderung
Time Stamp Policy der
Version 2.5
2/28
Inhaltsverzeichnis
0
Einleitung ..................................................................................................................................................... 5
1
Geltungsbereich ........................................................................................................................................... 5
2
Referenzen.................................................................................................................................................... 6
3
Definition und Abkürzungen...................................................................................................................... 6
4
5
6
3.1
Definitionen ......................................................................................................................................... 6
3.2
Abkürzungen ........................................................................................................................................ 7
Allgemeines Konzept ................................................................................................................................... 8
4.1
Zeitstempel-Dienst ............................................................................................................................... 8
4.2
Zeitstempel Authority (TSA)................................................................................................................. 8
4.3
Zeitstempel-Dienst Benutzer (TSA Subscriber).................................................................................... 8
4.4
Zeitstempel-Objekt Empfänger............................................................................................................. 9
4.5
Zweck und Detaillierungsgrad der Zeitstempel-Policy und TSA Practice Statement .......................... 9
Zeitstempel Policy...................................................................................................................................... 10
5.1
Übersicht............................................................................................................................................ 10
5.2
Identifikation des Dokuments............................................................................................................. 10
5.3
Anwendbarkeit ................................................................................................................................... 10
5.4
Konformität........................................................................................................................................ 10
Verpflichtungen, Gewährleistung und Haftung ..................................................................................... 12
6.1
Verpflichtungen der TSA.................................................................................................................... 12
6.1.1
Allgemeines................................................................................................................................... 12
6.1.2
TSA Verpflichtungen gegenüber Zeitstempel-Dienst Benutzern.................................................. 12
7
6.2
Verpflichtung des Zeitstempel-Dienst Benutzers................................................................................ 12
6.3
Verpflichtungen des Zeitstempel-Objekt Empfänger.......................................................................... 13
6.4
Gewährleistungen .............................................................................................................................. 13
6.5
Haftung .............................................................................................................................................. 13
Anforderungen an die TSA Verfahren .................................................................................................... 14
7.1
Verfahren und Veröffentlichungspflicht ............................................................................................. 14
7.1.1
Tätigkeiten der TSA ...................................................................................................................... 14
7.1.2
Informationen über Zeitstempel-Dienst ........................................................................................ 14
7.2
Schlüsselmanagement Lebenszyklus .................................................................................................. 18
7.2.1
Generation des TSA Schlüssels..................................................................................................... 18
7.2.2
Schutz des TSA Private Keys........................................................................................................ 18
7.2.3
Verteilung des TSA Public Key .................................................................................................... 18
7.2.4
Re-Keying des TSA Schlüssels..................................................................................................... 18
7.2.5
Ende des TSA Schlüssel-Lebenszyklus......................................................................................... 18
7.2.6
Hardware Security Module Verwaltung........................................................................................ 19
7.3
Zeitstempel ......................................................................................................................................... 19
7.3.1
Zeitstempel-Objekt........................................................................................................................ 19
7.3.2
Zeitsynchronisierung mit UTC...................................................................................................... 20
7.4
TSA Verwaltung und Betrieb.............................................................................................................. 21
Version 2.5
3/28
7.4.1
7.4.2
7.4.3
7.4.4
7.4.5
7.4.6
7.4.7
7.4.8
7.4.9
7.4.10
7.4.11
Sicherheitsmanagement................................................................................................................. 21
Klassifizierung und Verwaltung der Anlage ................................................................................. 21
Personelle Sicherheitsmassnahmen ............................................................................................... 21
Infrastrukturelle Sicherheitsmassnahmen...................................................................................... 21
Betrieb........................................................................................................................................... 22
Zutrittskontrolle............................................................................................................................. 22
Vertrauenswürdiger Einsatz und Unterhalt der Systeme............................................................... 22
Kompromittierung des TSA Dienstes ........................................................................................... 22
TSA Terminierung ........................................................................................................................ 22
Einhaltung der gesetzlichen Vorschriften................................................................................. 22
TSA Log................................................................................................................................... 22
7.5
Organisation ...................................................................................................................................... 23
7.5.1
Kosten ........................................................................................................................................... 23
8
Anhang A: Illustration Zeitstempel-Request und Zeitstempel-Objekt................................................. 24
8.1
Zeitstempel-Request ........................................................................................................................... 24
8.2
Zeitstempel-Objekt ............................................................................................................................. 24
Version 2.5
4/28
0
Einleitung
Swisscom Solutions bietet als Dienstanbieter von qualifizierten elektronischen Signaturen gemäss
Schweizerischem Signaturgesetz ZertES [4] auch qualifizierte Zeitstempeldienste an. Mit diesem
Zeitstempeldienst kann die Existenz von digitalen Informationen zu einem bestimmten Zeitpunkt
zuverlässig und nachvollziehbar belegt werden. Informationen, die mit einem Zeitstempel eines
anerkannten Dienstanbieters für qualifizierte Signaturen versehen wurden, sind vor Veränderungen
geschützt auch wenn diese auf veränderbaren Medien (Disk, Magnetbänder, etc.) gespeichert sind.
Der von Swisscom angebotene Zeitstempelservice ist einerseits geeignet zuverlässig zu belegen,
wann eine Signatur an einem Dokument angebracht wurde und andererseits damit bei archivierten
Daten gesetzeskonform (GeBüV) nachgewiesen werden kann, dass diese nicht verändert wurden
(Integritätsnachweis).
Um eine Information mit einem Zeitstempel zu versehen kann - wie bei der elektronischen Signatur entweder ein Datei-Format gewählt werden, worin der Zeitstempel eingebettet werden kann wie z.B.
XML, PDF oder der Zeitstempel kann als separate Datei aufbewahrt werden. Um eine Information mit
einem Zeitstempel zu versehen, wird mit einer Quersumme über die gesamte Information ein
„Fingerprint“ (Hashwert) der Daten erzeugt und dieser zum Zeitstempel-Dienst gesendet. Der
Zeitstempel-Dienst generiert daraus ein Zeitstempel-Objekt, das den übermittelten Hashwert und die
aktuelle Zeit enthält. Dieses Objekt wird vom Zeitstempel-Dienst elektronisch signiert und an den
Anforderer retourniert. So kann die Integrität und der Zeitpunkt, wann die Information vorgelegen
haben unter Hilfenahme von kryptologischen Massnahmen verbindlich nachgewiesen werden.
Dieses Dokument beschreibt die Time-Stamping Authority Policy (nachfolgend TSA Policy) des
Zeitstempeldienstes als Bestandteil der Swisscom Digital Certificate Service, einer Dienstleistung der
Swisscom (Schweiz) AG [nachfolgend Swisscom Solutions]. Die TSA Policy spezifiziert generelle
Prozesse, die vom Zeitstempeldienst während des Erstellens von signierten Zeitstempeln verwendet
werden.
Detaillierte Spezifikationen der Prozesse sind im Certification Practice Statement CPS [5] zu finden.
Diese TSA Policy wurde gemäss ETSI-Standard ETSI TS 102 023 [1] aufgebaut und strukturiert.
1
Geltungsbereich
Dieses Dokument umschreibt die von Swisscom Solutions angebotenen Leistungen im Umfeld des
Zeitstempeldienstes und erlauben den Zeitstempel-Objekt Empfänger (Relying Parties) und
Zeitstempel-Dienst Benutzer (Subscribers) abschätzen, ob sie dem Zeitstempel-Dienst der Swisscom
Solutions vertrauen.
Der Zeitstempel-Dienst für elektronische Signaturen wurde aufgebaut und zertifiziert gemäss
Schweizerischem Signaturgesetz (ZertES), kann aber auch separat von qualifizierten Signaturen
verwendet werden. Im speziellen, wo bewiesen werden muss, dass Daten zu einem bestimmten
Zeitpunkt existiert haben und seither nicht mehr verändert wurden (z.B. Archivierung von Daten des
elektronischen Geschäftsverkehrs oder eingescannte Papierdokumente).
Die Anforderungen dieser TSA Policy basieren auf:
•
Public Key Kryptologie,
•
sicheren Zeitquellen und
•
X.509 Zertifikaten.
Version 2.5
5/28
2
Referenzen
Referenz
[1]
Bezeichnung
ETSI TS 102 023 V1.2.1 (2003-01), Policy Requirements for time-stamping authorities
[2]
ETSI TS 101 861 V1.3.1 (2006-01), Time stamping profile
[3]
IETF RFC 3126, Electronic Signature Formats for long term electronic signatures,
September 2001.
[4]
ZertES: Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen
Signatur (Bundesgesetz über die elektronische Signatur, ZertES) vom 19. Dezember
2003, nachfolgend auch Signaturgesetz genannt.
[5]
CPS Swisscom Digital Certificate Services, OID 2.16.756.1.83.2.1
[6]
ETSI TS 102 176-1 V1.2.1 (2005-7), Electronic Signatures and Infrastructures (ESI);
Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions
and asymmetric algorithms.
[7]
TAV: Technische und administrative Vorschriften über Zertifizierungsdienste im
Bereich der elektronischen Signatur, Ausgabe 2: 29.7.2005, SR 943.032.1
[8]
IEFT RFC 3161, Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP),
August 2001
[9]
IEFT RFC 2246, The TLS Protocol, Version 1.0, January 1999
[10]
IEFT RFC 2617, HTTP Authentication: Basic and Digest Access Authentication, June
1999
[11]
http://tf.nist.gov/timefreq/service/gpscal.htm, Using a Global Positioning System (GPS)
receiver as a NIST traceable frequency reference
[12]
Dirk Piester, Peter Hetzel und Andreas Bauch : Zeit- und Normalfrequenzverbreitung
mit DCF77, Dirk Piester, Peter Hetzel und Andreas Bauch, PTB-Mitteilungen 114
(2004), Heft 4
[13]
ETSI TS 101 456 V1.4.1 (2006-02): Electronic Signatures and Infrastructures (ESI);
Policy requirements for certification authorities issuing qualified certificates
Tabelle 1 : Referenzierte Dokumente
3
Definition und Abkürzungen
3.1
Definitionen
Definition
Zeitstempel-Objekt Empfänger,
Relying Parties
Zeitstempel-Dienst Benutzer,
Subscriber
Zeitstempel-Objekt, Time-stamp token
Erklärung
Empfänger eines Zeitstempel-Objektes, der diesem
Zeitstempel-Objekt vertraut
Natürliche Person, die eigene oder Daten einer
juristischen Person oder Organisation durch einen
Zeitstempel-Dienst zeitstempelt und implizit oder explizit
den allgemeinen Geschäftbedingungen des ZeitstempelDienstes zustimmt.
Datenobjekt, welches die Darstellung einer Tatsache mit
einem bestimmten Zeitpunkt verknüpft und so den
Beweis liefert, dass die Tatsache vor dem Zeitpunkt
existiert hat.
Version 2.5
6/28
Definition
Zeitstempel Policy, Time-stamp policy
Zeitstempel-Dienststelle, TimeStamping Authority (TSA)
TSA Disclosure Statement
TSA Practice Statement
TSA System
Time-stamping unit
Coordinated Universal Time (UTC)
UTC(k)
Nonce
Hash
Erklärung
Spezifikation genereller Prozesse, die vom
Zeitstempeldienst während des Erstellens von signierten
Zeitstempeln verwendet werden.
Dienststelle, die Zeitstempel-Objekte erstellt.
Aussagen über Politik und Verfahren einer
Zeitstempeldienststelle, die besonderen Nachdruck oder
Bekanntmachung erfordert gegenüber dem ZeitstempelObjekt Empfänger oder dem Zeitstempel-Dienst
Benutzer, um z.B. regulative Anforderungen zu erfüllen.
Aussage über die Regeln und Richtlinien, die von der
Zeitstempeldienststelle für die Ausstellung von
Zeitstempel-Objekten effektiv umgesetzt werden. Die
CPS definiert die Ausrüstungen, die Politik und die
Verfahren, die von der Zeitstempel-Dienststelle zur
Ausgabe und Verwaltung von Zeitstempel-Objekten
gemäss ZertES [4] verwendet werden.
IT Infrastruktur für die Ausgabe von ZeitstempelObjekten
Ein System mit dem Zeitstempel-Objekte erstellt werden
können. Auf diesem System existiert nur ein privater
Schlüssel zur Ausstellung von Zeitstempel-Objekten.
Universale Zeitskala auf Sekunden basierend. UTC ist
definiert in der ITU-R Empfehlung TF.460-5
Zeitskala entwickelt vom Labor „k“ und in enger
Übereinstimmung mit UTC, mit dem Ziel +/- 100ns zu
erreichen
In der Kryptographie ist eine Nonce (Abkürzung „a
number used once“), eine Zahl, die nur einmal benutzt
wird. Meist handelt es sich um eine Zufallszahl oder
Pseudozufallszahl. Diese wird benutzt um ReplayAttacken zu verhindern.
Ein Hashwert ist ein skalarer Wert, der aus einer
komplexeren Datenstruktur (Zeichenketten, Objekte, ...)
mittels einer Hash-Funktion berechnet wird. Ein
Hashwert wird auch als Fingerprint bezeichnet. Denn
wie ein Fingerabdruck einen Menschen eindeutig
identifiziert, ist ein Hashwert eine eindeutige
Kennzeichnung eines Dokumentes.
Tabelle 2 : Definitionen
3.2
Abkürzungen
Begriff
CP
CPS
CSP
ETSI
GeBüV
HSM
PKI
TPS
Erklärung
Certification Policy
Certificate Practice Statement, Aussage über die Zertifizierungspraxen
Certificate Service Provider
European Telecommunications Standards Institute
SR- 221.431: Verordnung vom 24. April 2002 über die Führung und
Aufbewahrung der Geschäftsbücher (Geschäftsbücherverordnung; GeBüV)
Hardware Security Modules
Public Key Infrastructure
Trusted Point of Sales
Version 2.5
7/28
TSA
TSP
TSS
TST
UTC
VZertES
Time-Stamping Authorities
Time Stamping Profile
Time-Stamping Service
Time Stamping Token, Zeitstempel-Objekt
Universal Coordinated Time (formerly GMT)
Verordnung über Zertifizierungsdienste im Bereich der elektronischen Signatur
(Verordnung über die elektronische Signatur, VZertES) vom 3. Dezember 2004
ZertES
Bundesgesetz über Zertifizierungsdienste im Bereich der elektronischen Signatur
vom 19. Dezember 2003
Tabelle 3 : Abkürzungen
4
Allgemeines Konzept
4.1
Zeitstempel-Dienst
Der Zeitstempel-Dienst der Swisscom Solutions umfasst folgende Funktionsblöcke:
Zeitstempel Authority (TSA)
Zeitstempeldienst Benutzer (TSA Subscriber)
Zeitstempel
mit Signatur
Document
Secure
Hash-Wert
Timestamp (Token = Hash + Zeit mit Signatur)
connection
TimeServer
Application
Server
Hash
Private Key TSA
Empfänger (Relaying Party)
Signiert
durch TSA
Workflow
Document
TimeStamp
Hash
digitale Übermittlung
Decrypt
durch TSAZertificate
Compare
( Verify)
TimeStamp
Abbildung 1 : Übersicht Zeitstempel-Dienst
4.2
Zeitstempel Authority (TSA)
Die Dienststelle, der die Benutzer des Zeitstempel Dienstes (d.h. sowohl Zeitstempel-Dienst Benutzer
als auch Zeitstempel-Objekt Empfänger) zur Ausgabe von Zeitstempel-Objekten trauen, heisst TimeStamping Authority (TSA). Die TSA umfasst die technischen und organisatorischen Komponenten zur
Sicherstellung des Zeitstempel-Dienstes sowie die Informations- und Kommunikations-Infrastruktur.
Die TSA verwendet einen privaten Signaturschlüssel, der in einem HSM verwahrt wird, um
Zeitstempel-Objekte zu signieren. Für die Ausgabe der TSA Zertifikate hat Swisscom eine dedizierte
CA erstellt, welche im Zertifikat der TSA als Aussteller (Issuer) eingetragen ist.
4.3
Zeitstempel-Dienst Benutzer (TSA Subscriber)
Version 2.5
8/28
Die Zeitstempel-Dienst Benutzer können sowohl juristische als auch natürliche Personen sein.
Zur Nutzung des Zeitstempels Services muss der TSA Subscriber mit Swisscom Solutions einen
Vertrag abschliessen wobei er sich verpflichtet diese TSA Policy einzuhalten.
Eine juristische Person oder Organisation ist dabei verantwortlich für die Tätigkeiten ihrer Mitarbeiter
und hat dafür zu sorgen, dass die Mitarbeiter über die korrekte Nutzung von Zeitstempeln instruiert
werden. Bei der Verwendung von automatisierten Verfahren zur Anbringung von Zeitstempel
müssen technische Kontrollen zur Überprüfung der Zeitstempel angebracht werden.
Zeitstempel können eigenständig oder zusammen mit einer qualifizierten oder fortgeschrittenen
Signatur angebracht werden.
4.4
Zeitstempel-Objekt Empfänger
Der Zeitstempel-Objekt Empfänger ist eine juristische oder natürliche Person, die ein Interesse daran
hat den Zeitpunkt und die Integrität einer Information zu überprüfen. Dazu vertraut diese auf den
Zeitstempel eines vertrauenswürdigen Dritten, um den Daten und Angaben des Zeitstempel
Benutzers zu vertrauen. Zur Prüfung der Gültigkeit des Zeitstempels und der Integrität der Daten
muss der Empfänger folgende Prüfungen durchführen:
4.5
•
Vergleich des neu errechneten Hash-Wertes mit dem Hash im mitgelieferten ZeitstempelObjekt.
•
Überprüfen der Signatur des Zeitstempel-Objektes.
Zweck und Detaillierungsgrad der Zeitstempel-Policy und TSA Practice Statement
Die Zeitstempel Policy definiert die Rechte und Pflichten, die durch die Nutzung des Swisscom TSA
Services den unterschiedlichen Parteien entstehen. Im Weiteren werden die allgemeinen
Anforderungen beschrieben, denen der Swisscom Digital Certificate Services Zeitstempeldienst
entsprechen muss.
Das TSA Practice Statement spezifiziert generelle Prozesse des Zeitstempel Dienstes. Sie beschreibt
keine technischen Details in Bezug auf die Informations- und Kommunikations-Infrastruktur, die
Betriebsorganisation und Schutzvorkehrungen. Sie beschreibt nicht die Umgebung, in der der
Zeitstempel-Dienst betrieben wird. Die technischen und operationellen Details sind in der CPS [5]
oder allenfalls weiteren Dokumentationen beschrieben.
Version 2.5
9/28
5
Zeitstempel Policy
5.1
Übersicht
Diese TSA Policy ist eine Zusammenstellung der Prozesse zur Erzeugung und Verwaltung von
Zeitstempel-Objekten und dient als Vorschrift für den Sicherheits-Level der TSA. Generelle Regeln
sind im Kapitel 4.5 „Zweck und Detaillierungsgrad der Zeitstempel-Policy und TSA Practice
Statement“in diesem Dokumentes beschrieben.
5.2
Identifikation des Dokuments
Identifikation
•
Titel: Swisscom Digital Certificate Services Time-Stamping Authority TSA Policy
•
Version: 2.2
•
Object Identifier (OID): 2.16.756.1.83.5.1
•
Zusammensetzung der OID:
7. Stelle
6. Stelle
5. Stelle
4. Stelle
3. Stelle
2. Stelle
1. Stelle
Bedeutung
2
Joint ISO-CCITT Tree
16
Country
756
Switzerland
1
zur Bezeichnung der Namen von Organisationen (RDN)
Swisscom Digital Certificate Services 1
83
5
Time-Stamping Service
1
Certification Policy (CP)
Die vom BAKOM vergebenen OID der verschiedenen Kategorien, können auf der Internetseite des
BAKOM als „RDN-Nummer“ abgefragt werden (http://www.e-ofcom.ch).
Diese Kennung ist in jedem Zeitstempel-Objekt vorhanden.
URL des Zeitstempel-Dienstes
−
http(s)://tsa-basic.swissdigicert.ch
Basic Authentication (mit oder ohne SSL):
−
https://tsa-cert.swissdigicert.ch
Clientseitige Authentisierung:
5.3
Anwendbarkeit
Diese Policy ist so ausgelegt, dass der Zeitstempel-Dienst den Anforderungen für qualifizierte digitale
Signaturen (ZertES) entspricht.
5.4
Konformität
Die erstellten Zeitstempel-Objekte beinhalten als Zeichen der Einhaltung dieser Policy die OID
Kennung dieser TSA Policy.
1
Durch Bundesamt für Kommunikation (Bakom) zugeteilt
Version 2.5
10/28
Die Time-Stamp Authority versichert die Einhaltung der Vorschriften während der Ausübung der
Dienste, die im Kapitel 6.1 Verpflichtungen der TSA beschrieben sind. Im Weiteren versichert die TSA
Authority die Einhaltung und Wirksamkeit der Kontroll-Mechanismen gemäss 7 Anforderungen an
die TSA
Version 2.5
11/28
6
Verpflichtungen, Gewährleistung und Haftung
6.1
Verpflichtungen der TSA
6.1.1
Allgemeines
Dieses Kapitel enthält alle Verpflichtungen, Verbindlichkeiten, Garantien und Verantwortungen der:
•
Time-Stamping Authority (TSA),
•
Zeitstempel-Dienst Benutzer (TSA Subscriber) und
•
Zeitstempel-Objekt Empfänger (Relying Parties).
Die Verpflichtungen und Verantwortungen werden durch gegenseitige Verträge geregelt, die
zwischen den Parteien abgeschlossen werden.
Swisscom Solutions verpflichtet sich als TSA alle im Rahmen dieser TSA Policy und in der jeweils
zugehörigen CPS [5] beschriebenen Aufgaben zur Umsetzung der Vorgaben des ZertES und der
weiteren Ausführungsbestimmungen (TAV [3]) durchzuführen.
Das CPS [5] und die TSA Policy sind integraler Bestandteil der Verträge zwischen Swisscom Digital
Certificate Services und Zeitstempel-Dienst Benutzern.
Swisscom Digital Certificate Services garantiert, dass alle Anforderungen an die TSA, einschliesslich
Abläufe und Verfahren bezogen auf die Ausgabe der Zeitstempel-Objekte, Reviews der Systeme und
Sicherheits-Audits in Übereinstimmung mit den Prozessen in Kapitel 7 „Anforderungen an die TSA“
eingehalten werden.
6.1.2
TSA Verpflichtungen gegenüber Zeitstempel-Dienst Benutzern
Swisscom Digital Certificate Services garantieren permanenten Zugang zu Swisscom Digital
Certificate Service Zeitstempeldienst (24x7), ausser bei geplanten technischen Unterbrüchen und
beim Fehlen einer genauen Zeitbasis, höhere Gewalt, Naturereignisse (z.B. Blitzschlag in kritische
Geräte, Elementarereignisse), Streik, unvorhersehbare behördliche Restriktionen.
Geplante Service-Einschränkungen werden auf der Homepage von Swisscom Digital Certificate
Services angekündigt. Technische Unterbrüche werden in separaten Dokumenten über die
Wartungen der Installationen und Systeme beschrieben.
Im Weiteren garantiert Swisscom Digital Certificate Services folgendes:
6.2
•
Betrieb und Ausbau einer zuverlässigen Informations- und Kommunikations-Infrastruktur.
•
Einhaltung von Eigentumsrecht, Lizenzen oder ähnliche Gesetze.
•
Die angebotenen Dienste stimmen mit allgemein akzeptierten Normen überein, wie sie in
Kapitel 10 Übersicht in diesem Dokument beschrieben sind.
•
Die ausgestellten Zeitstempel-Objekte enthalten eine korrekte Zeit und entsprechen dem
definierten Format.
Verpflichtung des Zeitstempel-Dienst Benutzers
Bezüger von Zeitstempel Objekten müssen beim Bezug der Zeitstempel Objekte die digitale Signatur
der TSA überprüfen und die dazugehörige CRL darauf überprüfen, ob das TSA Zertifikat revoziert
worden ist. Der Link zur aktuellen CRL ist im Zertifikat enthalten oder unter der Bezugsadresse
gemäss CPS [5] Kapitel „2.1 Verzeichnisdienst“ online zu erreichen.
Version 2.5
12/28
6.3
Verpflichtungen des Zeitstempel-Objekt Empfänger
Der Zeitstempel-Objekt Empfänger verpflichtet sich die Signatur des Zeitstempel-Objektes zu prüfen.
Anschliessend kann der selbst erzeugte Hash-Wert mit dem im Zeitstempel-Objekt enthaltenen HashWert verglichen werden. Stimmen diese überein, ist die Integrität des Dokumentes gewährleistet. Für
den Fall, dass die Überprüfung der Integrität des Dokumentes nach der Gültigkeitsdauer des
Zertifikates der TSA stattfindet, muss der Zeitstempel-Objekt Empfänger folgendes unternehmen:
•
Überprüfen, ob das für das Zeitstempel-Objekt verwendete Zertifikat in der aktuellen CRL
enthalten ist.
•
In der aktuellen TSA-Policy muss überprüft werden, ob die Hash-Funktion die im ZeitstempelObjekt vermerkt ist, immer noch sicher ist.
•
In der aktuellen TSA-Policy muss überprüft werden, ob die Länge des kryptografischen
Verfahrens (Schlüssellänge und Algorithmen) die von der TSA verwendet wurden immer
noch als sicher gelten.
Weitere Verpflichtungen des Zeitstempel-Objekt Empfänger sind in Kapitel 7.1.2 beschrieben und in
weiteren Vereinbarungen zwischen den Parteien.
6.4
Gewährleistungen
Swisscom Solutions verpflichtet sich als TSA alle im Rahmen dieser TSA-Policy und in der jeweils
zugehörigen CPS [8] beschriebenen Aufgaben durchzuführen.
6.5
Haftung
Swisscom Solutions haftet als TSA dem Zeitstempeldienst Benutzer und Drittpersonen, die sich auf
einen gültigen Zeitstempel verlassen haben wie folgt:
•
Bei Vertragsverletzungen haftet Swisscom Solutions für den nachgewiesenen Schaden,
sofern sie nicht beweist, dass sie kein Verschulden trifft.
•
Absichtlich oder grobfahrlässig verschuldete Schäden ersetzt Swisscom Solutions unbegrenzt.
•
Bei leichter Fahrlässigkeit haftet Swisscom Solutions für Personenschäden unbegrenzt, für
Sachschäden höchstens bis CHF 500‘000 je Schadenereignis und Kalenderjahr.
•
Bei leichter Fahrlässigkeit haftet Swisscom Solutions für Vermögensschäden bis zum
Gegenwert der während des laufenden Vertragsjahres vereinbarten Leistungen, höchstens
bis CHF 50‘000 je Schadenereignis und Kalenderjahr.
In keinem Fall haftet Swisscom Solutions für Folgeschäden, entgangenen Gewinn und Datenverluste.
Swisscom Solutions haftet nicht für Schäden und Verzugsfolgen, die durch höhere Gewalt,
Naturereignisse (z.B. Blitzschlag, Elementarereignisse), Stromversorgungsausfälle, kriegerische
Ereignisse, Streik, unvorhersehbare behördliche Restriktionen, Umgehung von Sperrsets, PC-Dialer,
Hackerattacken, Virenbefall (inkl. trojanische Pferde u.ä.) von Datenverarbeitungsanlagen usw. beim
Kunden entstehen. Kann Swisscom Solutions ihren vertraglichen Verpflichtungen infolge eines
derartigen Ereignisses nicht nachkommen, wird die Vertragserfüllung oder der Termin für die
Vertragserfüllung dem eingetretenen Ereignis entsprechend hinausgeschoben. Swisscom Solutions
haftet nicht für allfällige Schäden, die dem Kunden durch das Herausschieben der Vertragserfüllung
entstehen.
Swisscom Solutions haftet nicht für Schäden, die sich aus der Nichtbeachtung oder Überschreitung
einer Nutzungsbeschränkung im Zertifikat ergeben.
Version 2.5
13/28
Wird ein Zeitstempel zusammen mit einem qualifizierten digitalen Zertifikat verwendet, gilt die
Haftung für das qualifizierten Zertifikates gemäss CP Kapitel 9.8
7
Anforderungen an die TSA Verfahren
Für die TSA werden Kontrollen implementiert, die den folgenden Anforderungen genügen.
7.1
Verfahren und Veröffentlichungspflicht
7.1.1
Tätigkeiten der TSA
•
Verfahren und Kontroll-Mechanismen für die technische Infrastruktur zur Sicherstellung eines
kontrollierten, unterbruchsfreien und zuverlässigen Services sind die Basis für den TSA
Betrieb. Die detaillierten Kontrollen sind im CPS [5] Kapitel 6.6 „Lebenszyklus der
Sicherheitsmassnahmen“ beschrieben.
•
Im CPS [5] sind - zusammen mit anderen internen Dokumenten - die Regeln für den Betrieb
des Zeitstempel-Dienstes definiert.
•
Kleinere Änderungen mit keiner oder minimaler Auswirkung auf die Benutzer werden durch
Swisscom Solutions direkt in Kraft gesetzt. Grössere Änderungen werden in Absprache mit
und nach Genehmigung durch die Anerkennungsstelle durchgeführt.
•
Änderungen werden in einem Journal nachgeführt. Alle Benutzer werden 30 Tage vor
Inkraftsetzung grösserer Änderungen via e-Mail informiert, falls die e-Mail Adresse bekannt
ist. Zusätzlich werden Änderungen gemäss 2.2 veröffentlicht.
•
Die Verwaltung der TSA Policy wird gemäss der CPS [5] geführt.
7.1.2
Informationen über Zeitstempel-Dienst
Dieses Kapitel beschreibt den Einsatz des Zeitstempel-Dienstes von Swisscom Digital Certificate
Services.
7.1.2.1 Allgemeines
Kontaktinformationen:
Swisscom (Schweiz) AG
Digital Certificate Services
Müllerstrasse 16
8004 Zürich
7.1.2.2 Verwendung der Zeitstempel-Dienstes
Swisscom Digital Certificate Service stellt einen Zeitstempeldienst zur Verfügung. Alle
Zeitstempelobjekte dieses Dienstes enthalten die Policy Kennung gemäss Kapitel 5.2 „Kennung“.
Version 2.5
14/28
7.1.2.2.1 Algorithmen
Die eingesetzten kryptografischen Algorithmen und deren Schlüssellängen orientieren sich an den im
TAV [3] referenzierten Veröffentlichungen der ETSI TS 101 861 [2] und sind momentan:
•
•
Hash Algorithmen
o
SHA-1 (OID: 1 3 14 3 2 26)
o
RIPEMD-160 (OID: 1 3 36 3 2 1)
Algorithmus für die Signatur
o
sha1WithRSAsignarure, 2048 bit-Länge (OID: 1 2 840 113549 1 1 5)
Die erwartete Lebenszeit eines Zeitstempel-Objektes mit den oben erwähnten Algorithmen wird
gemäss neuester Version von ETSI TS 102 176-1 [6] festgelegt.
Hash Algorithmen
Hash
Funktion
3 Jahre (2008)
5 Jahre (2010)
10 Jahre (2015)
Sha1
Nutzbar
Unbekannt
Unbekannt
Ripemd160
Nutzbar
Unbekannt
Unbekannt
Tabelle 4 : Hash-Algorithmen
Schlüssellänge des Signier Algorithmus
Signatur
Algorithmus
3 Jahre (2008)
5 Jahre (2010)
10 Jahre (2015)
Sha1 with RSA
>=768
Unbekannt
unbekannt
Tabelle 5 : Länge der Signatur-Algorithmen
7.1.2.2.2 Authentisierungsmechanismen
Zur Sicherstellung der Nachvollziehbarkeit gewährt Swisscom Solutions nur authentisierten Benutzern
Zugriff auf den Zeitstempel-Dienst. Momentan werden folgende Authentisierungsverfahren
unterstützt:
Authentisierungsmethode
URL
Clientseitige SSL-Authentisierung
https://tsa-cert.swissdigicert.ch
Basic Authentication über SSL/TLS
https://tsa-basic.swissdigicert.ch
Basic Authentication über http
http://tsa-basic.swissdigicert.ch
Tabelle 6 : Authentisierungsmethoden
Version 2.5
15/28
Clientseitige SSL-Authentisierung
Der Prozess für einen Zeitstempel-Request mit clientseitiger Authentisierung sieht wie folgt aus.
Voraussetzung:
•
Der Client besitzt ein Zertifikat der Klassen Saphir, Rubin oder Smaragd von Swisscom Digital
Certificate Services.
•
Client-seitige html Library zum speichern von bereits geöffneten SSL Verbindungen
Prozess
Schritt
Tätigkeit
1
Der Client erstellt einen Zeitstempel-Request
2
Der Client erstellt aus dem Zeitstempel-Request eine Zeitstempel-Message
3
Der Client sendet die Zeitstempel-Message an Zeitstempel-Server https://tsacert.swissdigicert.ch
4
Client- und Serverseitige SSL-Authentisierung wird gemäss RFC 2246 [9] durchgeführt.
Falls die Authentisierung fehlschlägt, wird ein Zeitstempel-Objekt mit einer Fehlermeldung
zurückgegeben.
5
TSS-Server erstellt Zeitstempel-Objekt
6
Zeitstempel-Objekt wird an Client gesandt.
Tabelle 7 : Prozess für clientseitige Authentisierung
Bemerkung: Die SSL Session muss durch eine Client-seitige html Implementation unter
Zuhilfenahme eines Swisscom Zertifikates der Klasse Rubin, Saphir oder Smaragd aufgebaut werden.
Bei Massensignaturen mit Zeitstempel oder Massenzeitstempel wird empfohlen die Client-seitige
html-Library so zu konfigurieren, dass der Client eine schon bestehende SSL-Verbindung
zwischenspeichert (Cookie Caching).
Basic Authentication über http(s)
Der Prozess für einen Zeitstempel-Request mit „Basic Authentisierung“ sieht wie folgt aus.
Voraussetzung:
•
Der Client besitzt Credentials (UserId/Password) für den Zugang zum Zeitstempel-Service.
Schritt
Tätigkeit
1
Der Client erstellt einen Zeitstempel-Request
2
Der Client erstellt aus dem Zeitstempel-Request eine Zeitstempel-Message
3
Der Client sendet die Zeitstempel-Message an Zeitstempel-Server https://tsabasic.swissdigicert.ch oder http://tsa-basic.swissdigicert.ch.
Der Client ist sich bewusst, dass seine Kennung (UserID/Passwort) im Klartext über das
Internet übertragen wird, falls die URL http://tsa-basic.swissdigicert.ch verwendet wird.
4
Client-seitige Authentisierung wird gemäss RFC 2617 [10] durchgeführt.
Falls die Authentisierung fehlschlägt, wird ein Zeitstempel-Objekt mit einer Fehlermeldung
zurückgegeben.
Version 2.5
16/28
5
TSA-Server erstellt Zeitstempel-Objekt
6
Zeitstempel-Objekt wird an Client gesandt.
Tabelle 8 : Prozess für Basic Authentication
Bemerkung: Die SSL Session erfordert keine Client-seitige authentisierung und muss durch eine
Client-seitige html Implementation aufgebaut werden. Bei Massensignaturen mit Zeitstempel oder
Massenzeitstempel wird empfohlen die Client-seitige html-Library so zu konfigurieren, dass der
Client eine schon bestehende SSL-Verbindung zwischenspeichert (Cookie Caching).
7.1.2.3 Leistungsfähigkeit
Die Genauigkeit der Zeit, die im Zeitstempel-Objekt verwendet wird, ist besser als eine Sekunde
Abweichung von der UTC (Universal Time Coordinated) Zeit. Ist die Zeitdifferenz des Zeitservers zur
UTC Zeit grösser, wird der Dienst eingestellt.
Die TSA ist in der Lage 100 Zeitstempel-Objekte pro Sekunde zu erstellen.
7.1.2.4 Verpflichtungen der Zeitstempel-Dienst Benutzer
Verpflichtungen der Zeitstempel-Dienst Benutzer sind im Kapitel 6.2 „Verpflichtung des ZeitstempelDienst Benutzers“ beschrieben:
7.1.2.5 Verpflichtungen des Zeitstempel-Objekt Empfängers
Verifikation der Zeitstempel-Objekte ist in Kapitel 6.3 „Verpflichtungen des Zeitstempel-Objekt
Empfänger“ beschrieben.
Log-Daten werden gemäss Kapitel 5.4 „Sicherheitsüberwachung“ der CPS gespeichert und
archiviert.
Swisscom Solutions räumt Zeitstempel-Dienst Benutzern das Recht ein, dieses Dokument unverändert
an Dritte weiter zu geben. Weitergehende Rechte werden nicht eingeräumt. Insbesondere sind die
Weitergabe veränderter Fassungen und die Überführung in andere Dokumente oder Publikationen
ohne schriftliche Zustimmung von Swisscom Solutions nicht zulässig.
7.1.2.6 Gewährleistung
•
Der Zeitstempel-Dienst ist eine Dienstleistung der Swisscom Digital Certificate Services, der
gemäss dem Schweizerischen Signaturgesetz ZertES [4] seit 2. Dezember 2005 zertifiziert ist.
•
Der Versicherungsschutz der Swisscom Digital Certificate Services erstreckt sich im Rahmen
der Nutzungsbestimmungen von Swisscom Solutions, die dem Zertifikatsinhaber
ausgehändigt werden, auch auf gesetzliche Haftpflichtansprüche für reine
Vermögensschäden aus Art. 16 ZertES. Kosten, die die versicherten Unternehmungen bei
einer allfälligen Einstellung der Geschäftstätigkeit gemäss Art. 13 ZertES zu tragen haben,
sind ebenfalls versichert. Für die erwähnten Schäden und Kosten gilt eine gemeinsame
Sublimite von CHF 2 Mio. pro Ereignis und CHF 8 Mio. pro Versicherungsjahr.
•
Alle sich aus dem vorliegenden TSA Policy ergebende Streitigkeiten, an denen Swisscom
Solutions beteiligt ist, sind nach den Bestimmungen des Konkordates über die
Schiedsgerichtsbarkeit einem Dreierschiedsgericht mit Sitz in Bern zur endgültigen
Entscheidung zu unterbreiten. Die Bestellung des Schiedsgerichts erfolgt durch den
Präsidenten des Handelsgerichts des Kantons Bern. Das Verfahren vor dem Schiedsgericht
richtet sich nach der Zivilprozessordnung des Kantons Bern, soweit nicht das Konkordat über
die Schiedsgerichtsbarkeit zur Anwendung gelangt. Die Verhandlung wird in deutscher
Sprache geführt.
Version 2.5
17/28
Die Vertragspartner verpflichten sich jedoch, vor Anrufung des Schiedsgerichts alle
zumutbaren Anstrengungen zu unternehmen, den Streit einvernehmlich beizulegen. Sie
können sich dazu eines gemeinsam zu bestimmenden Mediators bedienen.
Ein solcher Vermittlungsversuch hat keine Auswirkung auf gesetzliche Verjährungsfristen.
•
Die TSA ist konform zur vorliegenden „Time-Stamping Authority Policy“. Das Assessment
wurde durch KPMG Fides Peat durchgeführt.
7.2
Schlüsselmanagement Lebenszyklus
7.2.1
Generation des TSA Schlüssels
Die TSA Schlüssel werden in einem Hardware Security Module generiert, das gemäss FIPS 140-2,
Level 3 zertifiziert wurde. Die Schlüssel werden durch vertrauenswürdiges Personal in
vertrauenswürdigen Rollen erzeugt. Die Beschreibung der Anforderungen des Personals sind im CPS
[5] Kapitel 5.3 „Personelle Sicherheitsmassnahmen“ beschrieben.
Die Umgebung der TSA Schlüssel Generation sind im CPS [5] beschrieben.
TSA Hash- und Chiffrieralgorithmen sind im Kapitel 7.1.2 „Deklarationen der TSA“ beschrieben.
7.2.2
Schutz des TSA Private Keys
Das eingesetzte HSM-Modul für die Zertifizierung, genügt den Anforderungen der TAV [3]:
HSM: SafeNet Luna SP
•
FIPS 140-2, Level 3
Das Backup des privaten TSA Schlüssels erfolgt durch Mitarbeiter, die den Anforderungen gemäss
CPS [5] Kapitel 5.3 „Personelle Sicherheitsmassnahmen“ entsprechen.
Das Backup des TSA Private Keys erfolgt gemäss CPS [5] Kapitel 6.2.4 „Backup der privaten
Schlüssel“.
7.2.3
Verteilung des TSA Public Key
TSA Zertifikate, die den Public Key beinhalten, werden von der CA von Swisscom Digital Zertifikate
Services signiert. Die Publikation ist im CPS [5] Kapitel 2.1 „Verzeichnisdienst“ beschrieben. Bei der
Wahl der entsprechenden Option fügt der TSA Service das TSA Zertifikat dem Zeitstempel Objekt an.
7.2.4
Re-Keying des TSA Schlüssels
Das TSA Re-Key Verfahren wird vor Ablauf der Gültigkeitsperiode des TSA Zertifikates im HSM
durchgeführt. Bei einer Zertifikaterneuerung wird grundsätzlich ein neues Schlüsselpaar erstellt. Die
Lebensdauer des Zertifikates und des Schlüssel sind gleich. (3 Jahre). Ein neues Zertifikat wird immer
auf einer neuen sicheren Signaturerstellungseinheit ausgestellt. Bei der Verwendung eines HSM wird
im HSM ein neues Schlüsselpaar erzeugt. Es werden die Schlüssellänge und der Algorithmus
verwendet, der zu dem jeweiligen Zeitpunkt aktuell ist und gemäss geltender CPS [8] 7.1 einzusetzen
ist. Das alte Zertifikat wird nach Ausstellung des neuen Zertifikats nicht ungültig erklärt und bleibt bis
zum Ablauf der Gültigkeitsdauer gültig.
7.2.5
Ende des TSA Schlüssel-Lebenszyklus
Das Verfahren für die Zerstörung der TSA Schlüssel ist im CPS [5] Kapitel 6.2.10 „Vernichtung der
Privaten Schlüssel“ beschrieben.
Version 2.5
18/28
7.2.6
Hardware Security Module Verwaltung
Die HSMs für Zeitstempel-Dienste, werden von den Herstellern direkt zum Sitz von Swisscom Digital
Certificate Service versandt. Das Modul wird danach in die Abteilung von Swisscom Digital Certificate
transportiert, welches für die PKI und TSA Systeme zuständig ist. Diese brechen das Siegel des
Herstellers auf und führen grundlegende Funktionstests durch. Das HSM wird zusammen mit den
anderen Komponenten der PKI in einer physisch angemessen gesicherten Lokalität, die nur für
autorisierte Personen zugänglich ist aufbewahrt. Alle Änderungen der Konfiguration werden in
einem Tätigkeitsjournal aufgezeichnet.
Installation und Initialisierung des HSM wird durch vertrauenswürdiges Personal zu Zweit
durchgeführt. Im Falle einer anderen Verwendung des HSM werden die Schlüssel gemäss Anleitung
des Herstellers zerstört. Swisscom Digital Certificate Service hat zusätzliche Dokumentationen, die
den Umgang mit HSM regelt.
7.3
Zeitstempel
7.3.1
Zeitstempel-Objekt
Das Format der Zeitstempel-Objekte ist im RFC 3161 [8] beschrieben.
Jedes Zeitstempel-Objekt, das von Swisscom Digital Certificate Services ausgegeben wird, besitzt die
OID dieser TSA Policy und eine einmalige Kennung für die eindeutige Identifizierung.
Datum und Zeit im Zeitstempel-Objekt können zu einer anerkannten Zeitquelle zurückverfolgt
werden. Datum und Zeit im Zeitstempel-Token entsprechen der Genauigkeit, wie in Kapitel 7.1.2
„Deklarationen der TSA“ beschrieben wird.
Im Falle, dass die Referenz-Uhr keine zuverlässige Zeitbasis mehr hat, wird ein Alarm ausgelöst und
der Service automatisch eingestellt, da die TSA in diesem Fall nicht mehr im Stande ist, die Zeit
gemäss Kapitel 7.1.2 „Deklarationen der TSA“ zu liefern. Es werden keine Zeitstempel-Objekte mehr
generiert, bis die Referenz-Uhr wieder kalibriert ist.
Zeitstempel-Objekte beinhalten den Hash-Wert, der im Antrag an den Zeitstempel-Dienst mitgeliefert
wird. Das Zeitstempel-Objekt wird mit einem Schlüssel signiert, der ausschliesslich für den
Zeitstempel-Dienst verwendet wird.
Falls der Zeitstempel-Request eine Nonce beinhaltet, wird im resultierenden Zeitstempel-Objekt
dieselbe Nonce eingetragen.
Falls im Zeitstempel-Request das Flag gesetzt ist, dass das Zeitstempel-Dienst Zertifikat im
Zeitstempel-Token integriert werden soll, wird das Zeitstempel-Dienst Zertifikat im resultierenden
Zeitstempel-Objekt integriert.
Falls der Zeitstempel-Request eine andere Kennung (PolicyID) als die in Kapitel 5.2 „Identifikation des
Dokuments“ enthält, wird der Zeitstempel-Request zurückgewiesen. Die Rückweisung erfolgt durch
den entsprechenden Status im resultierenden Zeitstempel-Objekt.
Falls der Zeitstempel-Request einen anderen Hash-Algorithmus als in Kapitel 7.1.2 „Deklarationen
der TSA“ enthält, wird der Zeitstempel-Request zurückgewiesen. Die Rückweisung erfolgt durch den
entsprechenden Status im resultierenden Zeitstempel-Objekt.
Falls der Zeitstempel-Request nicht gemäss RFC 3161 [8] formatiert ist, wird der Zeitstempel-Request
zurückgewiesen. Die Rückweisung erfolgt durch den entsprechenden Status im resultierenden
Zeitstempel-Objekt.
Version 2.5
19/28
Jedes Zeitstempel-Objekt, das von Swisscom Digital Certificate Services ausgegeben wird, besitzt
einen Unit Identifier mit Angabe von Landes, TSA Service und Identifier der Einheit, die das
Zeitstempel Objekt erstellt hat.
Im „Anhang A: Illustration Zeitstempel-Request und Zeitstempel-Objekt“ ist ein Zeitstempel-Request
und das erhaltene Zeitstempel-Objekt beschrieben.
7.3.2
Zeitsynchronisierung mit UTC
7.3.2.1 Zeitserver
Der Meinberg LANTIME/SHS/BGT Zeitserver wird verwendet, um den Zeitstempel-Server mit
hochgenauer Zeit zu versorgen. Das Secure-Hybrid-System (SHS) sorgt für einen sehr guten Schutz
gegen die Manipulation des Zeitsignals, weil permanent die Zeitsignale der beiden integrierten
Empfänger (GPS und DCF77) miteinander verglichen werden. Sobald die Differenz beider Empfänger
einen einstellbaren Wert überschreitet, unterbricht das SHS seine Zeitausgabe und schlägt Alarm. Da
die gleichzeitige Manipulation von GPS und DCF77 Signalen technisch sehr schwer ist, bietet diese
Technologie einen ausgezeichneten Schutz gegen Manipulation und Sabotageversuche. Sobald die
beiden Uhren eine vorgegeben Differenz aufweisen, wird kein Zeitstempel mehr ausgegeben.
7.3.2.1.1 Zeitquelle
Als Zeitquellen werden das GPS-System und das DCF77-System verwendet.
Global Positioning System (GPS)
Die Zeitquelle für den Zeitstempeldienst wird aus dem Global Positioning System (GPS) abgeleitet
[11].
Das GPS System liefert eine lineare Zeit beginnend 1980 ohne Schaltsekunden. Sie wird von eigenen
Atomuhren generiert. Jeder GPS-Empfänger kann jedoch aus den mitübertragenen UTC Parametern
die UTC Zeit berechnen. Die UTC Parameter enthalten das Offset der GPS Funkuhr Zeit zur UTC Zeit
(wenige μs) und die Schaltsekunden, die seit 1980 eingefügt wurden.
Die GPS Funkuhr Zeit wird von der Zeitquelle UTC(USNO, MC) gespiesen [10]. USNO ist das U.S.
Naval Observatory. USNO gleicht ihre Zeitserver mit der Referenz-Zeit des BIPM ab (Bureau
International des Poids et Mesures, Frankreich).
DCF77
In der Verantwortung der Physikalisch-Technischen Bundesanstalt (PTB) in Deutschland wird mit dem
Langwellensender DCF77 [12] Normalfrequenz und Zeitsignale sowie kodierte Zeitinformation
gemäss der gesetzlichen Zeit für Deutschland ausgesendet. Die Sendeeinrichtungen werden heute
von der T-Systems Media Broadcast betrieben, einer Tochter der Deutschen Telekom AG.
Die Zeit, die im DCF77 Zeitsignal verbreitet wird, stammt von UTC(PTB).
7.3.2.1.2 Umgang mit Schalt-Sekunden
Die Drehung der Erdkugel verläuft nicht so gleichmässig, wie man zuerst vermuten würde.
Stattdessen variiert sie leicht mit der Zeit, wobei sich die mittlere Rotationsgeschwindigkeit verringert.
Um den Verlauf der UTC-Zeit an die tatsächliche Erddrehung anzupassen, werden von Zeit zu Zeit so
genannte Schaltsekunden in die UTC-Zeitskala eingefügt.
Das Gerät LANTIME / SHS erhält über das GPS Zeitformat die Information über Schaltsekunden.
Alle Anfragepakete während der Schaltsekunde beantwortet der LANTIME Zeitserver mit der
gleichen Zeit (Zeitstempel), d.h. die interne Systemzeit wird praktisch eine Sekunde lang angehalten.
Version 2.5
20/28
7.3.2.1.3 Zeitgenauigkeit
Folgende Betriebszustände des LANTIME/SHS sind möglich:
•
Normalzustand: Beide Funkuhren sind synchron zu ihrem jeweiligen Zeitsender, die Differenz
zwischen den Zeittelegrammen ist kleiner als das gesetzte Limit. Der NTP-Server erhält die
Zeitinformationen mit Status "synchron" und stellt die Referenzzeit als Stratum-1-Server im
Netzwerk bereit.
•
Eine der Funkuhren ändert ihren Status z.B. wegen eines Antennendefekts oder
Empfangsproblemen auf "nicht synchron" und läuft quarzgeführt weiter: Durch die
Verwendung hochwertiger Quarzoszillatoren dauert es je nach Einstellung einige Tage bis zu
mehreren Wochen, bis das eingestellte Limit für den Zeitvergleich überschritten wird. Da eine
der Funkuhren noch synchron ist, wird die Referenzzeit auch weiterhin mit dem Status
"synchron" an den NTP-Server weitergegeben, solange das Limit der Zeitdifferenz nicht
überschritten wird.
•
Beide Funkuhren sind nicht synchron zu ihren Zeitsendern, obwohl mindestens eine vorher
bereits synchron war: Solange das Limit der Zeitdifferenz nicht überschritten wird, bekommt
der NTP-Server die Zeitinformation mit dem Status "asynchron". Der NTP-Server akzeptiert
die Zeit noch für eine gewisse "Trust Time", danach verwirft er die Zeitinformationen. Da
„Trust Time“ auf 0 gesetzt ist, stellt der Zeitserver keine Zeit mehr zur Verfügung, sobald
beide Funkuhren nicht mehr synchron zu den Zeitsendern sind.
•
Beide Funkuhren sind nicht synchron zu ihren Zeitsendern und waren auch nach dem letzten
Einschalten noch nie synchron: Die Ausgabe des Zeittelegramms an den NTP-Server wird
solange unterbunden bis mindestens eine der Funkuhren synchron wird und die Zeitdifferenz
kleiner als das eingestellte Limit ist.
•
Die beiden Funkuhren geben Zeittelegramme aus, die sich um mehr als das eingestellte Limit
unterscheiden, oder eine der Funkuhren gibt gar kein Zeittelegramm aus: Die Ausgabe des
Zeittelegramms an den NTP-Server wird solange unterbunden bis mindestens eine der
Funkuhren synchron wird und die Zeitdifferenz kleiner als das eingestellte Limit ist.
7.4
TSA Verwaltung und Betrieb
7.4.1
Sicherheitsmanagement
Alle Angelegenheiten, die das Sicherheitsmanagement betreffen, sind im CPS [5] Kapitel 5.2
„Organisatorische Sicherheitsmassnahmen“ beschrieben.
7.4.2
Klassifizierung und Verwaltung der Anlage
Beschreibung über Methoden und Massnahmen für die Kontinuität und Stabilität der Swisscom
Digital Certificate Services sind im CSP [5] Kapitel 5.1 „Infrastrukturelle Sicherheitsmassnahmen“
beschrieben.
7.4.3
Personelle Sicherheitsmassnahmen
Anforderungen an das Personal sowie die Rollen, die das Personal einnehmen wird, sind im CPS [5]
Kapitel 5.3 „Personelle Sicherheitsmassnahmen“ beschrieben.
7.4.4
Infrastrukturelle Sicherheitsmassnahmen
Die Beschreibung der infrastrukturellen Sicherheitsmassnahmen sind in CPS [5] Kapitel 5.1
„Infrastrukturelle Sicherheitsmassnahmen“ beschrieben.
Version 2.5
21/28
7.4.5
Betrieb
Swisscom Digital Certificate Service Zeitstempel-Dienst verfügt über Sicherheitsabläufe gemäss ETSI
TS 101 456 [13]. Diese Dokumente sind nicht öffentlich zugänglich und werden periodisch durch die
interne und externe Revision überprüft.
7.4.6
Zutrittskontrolle
Die Zutrittskontrollen werden im CPS [5] Kapitel 5.1.2 “Zutrittskontrolle” geregelt.
7.4.7
Vertrauenswürdiger Einsatz und Unterhalt der Systeme
Die Schlüsselgeneration des Swisscom Digital Certificate Service Zeitstempeldienstes wird
ausschliesslich in vertrauenswürdiger Umgebung wie im Kapitel 7.2.1 „Generation des TSA
Schlüssels“ gemacht. Die Systeme genügen einem der folgend genannten oder einem äquivalenten
Standard:
•
FIPS 140-1 Level 3
•
CC EAL4 oder ITSEC E3 der Stärke „hoch“
Alle Änderungen an den Systemen werden überwacht und in einem Ereignis-Journal aufgezeichnet.
7.4.8
Kompromittierung des TSA Dienstes
Im Falle einer Kompromittierung des Schlüssels des Zeitstempeldienstes der Swisscom Digital
Certificate Services werden die Verfahren gemäss CPS [5] Kapitel 5.7 „Kompromittierung und
Wiederherstellung“ durchgeführt.
7.4.9
TSA Terminierung
Im Falle der Einstellung des Betriebes des Swisscom Digital Certificate Services Zeitstempeldienstes
werden die Verfahren gemäss CPS [5] Kapitel 5.8„Einstellung des Betriebes“ durchgeführt.
7.4.10 Einhaltung der gesetzlichen Vorschriften
Der Zeitstempel-Dienst der Swisscom Digital Certificate Services wird gemäss Schweizerischer
Gesetzgebung und ZertES [4] betrieben.
7.4.11 TSA Log
7.4.11.1
Allgemeines
Swisscom Digital Certificate Services Zeitstempel-Dienst verfügt über ein Ereignis Journal, das alle
Ereignisse in Zusammenhang mit der Ausstellung eines Zeitstempel-Objektes aufzeichnet.
•
Die erfolgreiche Ausstellung der Zeitstempel-Objekte wird geloggt. Es wird das gesamte
Zeitstempel-Objekt geloggt.
•
Die Vertraulichkeit und Integrität werden gemäss den definierten Prozessen der CPS [5]
sichergestellt.
•
Die Logdateien bezüglich der Zeitstempeldienst Operationen werden gemäss den definierten
Verfahren der CPS [5] sichergestellt.
•
Die geloggten und archivierten Zeitstempel Objekte können im Rechtsfall auf Anfrage innert 30
Tagen zur Verfügung gestellt werden.
•
Alle Zeitstempel, Schlüsselmanagement und Zeitsynchronisation Ereignisse werden mit der
genauen Zeit geloggt.
Version 2.5
22/28
•
Alle Zeitstempel, Schlüsselmanagement und Zeitsynchronisation Ereignisse werden für 11 Jahre
aufbewahrt.
•
Elektronische Log-Dateien werden auf einen externen Syslog Server übertragen und so gegen
Zugriff, Löschung und Manipulation geschützt und sind nur den System- und
Netzwerkadministratoren zugänglich.
•
Swisscom Solutions trägt als TSA die Verantwortung für Massnahmen zum Schutz vertraulicher
Informationen. Daten dürfen nur im Rahmen der Diensterbringung bearbeitet und an Dritte nur
weitergegeben werden, wenn zuvor eine Vertraulichkeitserklärung unterzeichnet wurde und die
mit den Aufgaben betrauten Mitarbeiter auf Einhaltung der gesetzlichen Bestimmungen über den
Datenschutz verpflichtet wurden. Zu Audit- oder Revisionszwecken können Dokumente im
Beisein des Security Officers der Swisscom Digital Certificate Services oder eines namentlich
benannten Vertreters eingesehen werden.
7.4.11.2
TSA Schlüssel Management
•
Alle Ereignisse des Life-Cycles der TSA Signaturschlüssels werden geloggt. Insbesondere
Schlüsselerzeugung, Schlüsselerneuerung, Schlüsselbackup und Schlüsselvernichtung.
•
Alle Ereignisse des Life-Cycles der TSA Zertifikate werden geloggt. Dies beinhaltet
Zertifikatserzeugung.
7.4.11.3
Zeitsynchronisierung
•
Es werden alle Ereignisse des Zeitstempel-Servers in Bezug auf die Kalibrierung geloggt. Im
Weiteren wird der Verlauf der Abweichung der Zeit des Zeitservers zur UTC-Zeit geloggt.
•
Es werden alle Nachweise über den Verlust der Synchronisierung der Zeit des Zeitservers mit
der UTC Zeit geloggt.
7.5
Organisation
Infrastrukturelle, organisatorische und personelle Sicherheitsmassnahmen sind dem CPS [5] unter
Paragraph 5 zu entnehmen. Einzelne Bereiche können in eigenständigen Dokumenten vorliegen, die
nicht zwingend veröffentlicht werden. Alle Sicherheitsmassnahmen entsprechen den Vorgaben des
ZertES [4], den TAV [7] sowie den referenzierten Dokumenten, insbesondere dem ETSI TS 101 023
[1]
7.5.1
Kosten
Es werden zwei Verrechnungsmodelle angeboten.
•
Enterprise Model: Im Enterprise Model wird der Bezug von Zeitstempel-Objekten mit einer
Pauschalgebühr jährlich verrechnet.
•
Individual Model: Im Individual Model werden Zeitstempel-Objekte in festen Losgrössen
verrechnet.
Version 2.5
23/28
8
Anhang A: Illustration Zeitstempel-Request und Zeitstempel-Objekt
In Kapitel „8.1 Zeitstempel-Request“ liegt ein ASN.1-decodierter Zeitstempel-Request vor. Kapitel
„4.2 Zeitstempel Authority (TSA)“ beinhaltet das resultierende ASN.1-decodierter ZeitstempelObjekt.
8.1
Zeitstempel-Request
ASN.1 Objekt
Kommentar
SEQUENCE {
. INTEGER 1
. SEQUENCE {
. . SEQUENCE {
. . . OBJECT IDENTIFIER sha1 (1 3 14 3 2 26)
. . . NULL
. . . }
. . OCTET STRING
. . . 82 C0 41 49 AC C1 0F F9 DC 9F D1 15 60 70 D4 78
. . . A8 21 77 54
. . }
. INTEGER
. . 7F 9A 98 C1 B2 68 95 17
. BOOLEAN FALSE
. }
8.2
Verwendeter Hash-Algorithmus
Hash-Wert, der zeitgestempelt
werden soll.
Nonce
Zeitstempel-Zertifikat soll nicht in
Zeitstempel-Objekt eingebunden werden.
Zeitstempel-Objekt
ASN.1 Objekt
Kommentar
ASN.1 Objekt
Kommentar
SEQUENCE {
. SEQUENCE {
. . INTEGER 0
. . }
. SEQUENCE {
Status, dass Zeitstempel-Objekt ausgestellt
worden ist.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
OBJECT IDENTIFIER signedData (1 2 840 113549 1 7 2)
[0] {
. SEQUENCE {
. . INTEGER 3
. . SET {
. . . SEQUENCE {
. . . . OBJECT IDENTIFIER sha1 (1 3 14 3 2 26)
. . . . NULL
. . . . }
. . . }
Info, dass es sich im Folgenden um
signierte Daten handelt.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
SEQUENCE {
. OBJECT IDENTIFIER
. . id-ct-TSTInfo (1 2 840 113549 1 9 16 1 4)
. [0] {
. . OCTET STRING, encapsulates {
. . . . SEQUENCE {
. . . . . INTEGER 1
OID über Zeitstempel-Information
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Kennung dieser Policy
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
OBJECT IDENTIFIER '2 16 756 1 83 5 1'
SEQUENCE {
. SEQUENCE {
. . OBJECT IDENTIFIER sha1 (1 3 14 3 2 26)
. . NULL
. . }
. OCTET STRING
Version 2.5
24/28
ASN.1 Objekt
Kommentar
. . . . . . . . . 82 C0 41 49 AC C1 0F F9 DC 9F D1 15 60 70 D4 78
. . . . . . . . . A8 21 77 54
. . . . . . . . . . }
Hash-Wert, der zeitgestempelt wurde.
. . . . . . . . . INTEGER
. . . . . . . . . 80 00 F1 C9 00 00 01 0B 70 03 1C FD F8 3A 4B FD
. . . . . . . . . 3E 28 C3 5F D5 3B C5 BC 05 D6 61 AA 5E 77 AE 0E
Eindeutige Serienummer des Zeitstempels.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
GeneralizedTime '20060526092520.3Z'
SEQUENCE {
. [0]
01 F4
. }
Die vertrauenswürdige Zeit.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
INTEGER
7F 9A 98 C1 B2 68 95 17
[0] {
. [4] {
Nonce
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
Services'
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
SEQUENCE {
. SET {
. . SEQUENCE {
. . . OBJECT IDENTIFIER
. . . . countryName (2 5 4 6)
. . . PrintableString 'CH'
. . . }
. . }
. SET {
. . SEQUENCE {
. . . . organizationName (2 5 4 10)
. . . UTF8String 'Swisscom'
. . . }
. . }
. SET {
. . SEQUENCE {
. . . . organizationalUnitName (2 5 4 11)
. . . UTF8String 'Digital Certificate
Name des Zeitstempel-Service
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
}
.
.
.
.
.
.
.
.
.
.
.
.
.
.
}
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
}
.
.
.
.
.
.
.
.
.
.
.
.
}
.
.
.
.
.
.
.
.
.
.
.
}
.
.
.
.
.
.
.
.
.
.
}
. . }
. }
SET {
. SEQUENCE {
. . OBJECT IDENTIFIER
. . . commonName (2 5 4 3)
. . UTF8String 'Swisscom TSA 1'
. . }
. }
}
Version 2.5
25/28
ASN.1 Objekt
Kommentar
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Info über Signatur des ZeitstempelObjektes
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
SET {
. SEQUENCE {
. . INTEGER 1
. . SEQUENCE {
. . . SEQUENCE {
. . . . SET {
. . . . . SEQUENCE {
. . . . . . OBJECT IDENTIFIER countryName (2 5 4 6)
. . . . . . PrintableString 'CH'
. . . . . . }
. . . . . }
. . . . SET {
. . . . . . OBJECT IDENTIFIER organizationName (2 5 4 10)
. . . . . . PrintableString 'Swisscom'
. . . . . . }
. . . . . }
. . . . SET {
. . . . . . OBJECT IDENTIFIER
. . . . . . . organizationalUnitName (2 5 4 11)
. . . . . . PrintableString 'Digital Certificate Services'
. . . . . . }
. . . . . }
. . . . SET {
. . . . . . OBJECT IDENTIFIER commonName (2 5 4 3)
. . . . . . PrintableString 'Swisscom TSA CA 1'
. . . . . . }
. . . . . }
. . . . }
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
12)
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. INTEGER
. . 00 EC 18 62 99 EA 21 D9 81 6D 01 19 85 A8 6F 00
. . F7
. }
SEQUENCE {
. OBJECT IDENTIFIER sha1 (1 3 14 3 2 26)
. NULL
. }
[0] {
. SEQUENCE {
. . . contentType (1 2 840 113549 1 9 3)
. . SET {
. . . . id-ct-TSTInfo (1 2 840 113549 1 9 16 1 4)
. . . }
. . }
. SEQUENCE {
. . . messageDigest (1 2 840 113549 1 9 4)
. . SET {
. . . OCTET STRING
. . . 58 CE 49 29 9C C2 B0 80 87 11 FD 51 45 F6 AE DA
. . . 82 47 16 27
. . . }
. . }
. SEQUENCE {
. . . id-aa-signingCertificate (1 2 840 113549 1 9 16 2
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
SET {
. SEQUENCE {
. . SEQUENCE {
. . . SEQUENCE {
. . . . OCTET STRING
. B7 76 9C C0 5D CF 3C 53 F6 46 72 8F 3C 18 17 9B
. 63 1B 0F 60
. . . . SEQUENCE {
. . . . . . [4] {
. . . . . . . SEQUENCE {
. . . . . . . . SET {
Version 2.5
26/28
ASN.1 Objekt
Kommentar
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
11)
. . . . . .
Certificate
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
CA 1'
. . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . . . . . . }
. . . . . . . . . . }
. . . . . . . . . }
. . . . . . . . }
. . . . . . . INTEGER
. . . 00 EC 18 62 99 EA 21 D9 81 6D 01 19 85 A8 6F 00
. . . F7
. . . . . . . }
. . . . . . }
. . . . . }
. . . . }
. . . }
. . }
. }
SEQUENCE {
. OBJECT IDENTIFIER
. . rsaEncryption (1 2 840 113549 1 1 1)
. NULL
. }
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. SEQUENCE {
. . . countryName (2 5 4 6)
. . PrintableString 'CH'
. . }
. }
SET {
. SEQUENCE {
. . . organizationName (2 5 4 10)
. . PrintableString 'Swisscom'
. . }
. }
SET {
. SEQUENCE {
. . . organizationalUnitName (2 5 4
. . . . . . . . . . . . PrintableString 'Digital
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . }
. }
SET {
. SEQUENCE {
. . . commonName (2 5 4 3)
. . PrintableString 'Swisscom TSA
. . . . . . . . . . . . }
Version 2.5
27/28
ASN.1 Objekt
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
}
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
}
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
}
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
}
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
}
OCTET STRING
. 3E D9 97 73
. A9 DD DF E2
. 32 69 62 20
. D9 CE 37 B4
. 77 58 AE DA
. 6C 4D 4A 56
. B4 6D 97 7E
. C6 C0 9C 7F
. 7C BF 30 CC
. C7 35 F3 AF
. 91 2F E2 E5
. 7A 42 6E 5F
. D7 84 37 94
. 27 94 6C BD
. 67 5C A2 28
. 09 96 80 86
}
Kommentar
Signatur des Zeitstempel-Objektes
2A
61
71
BF
08
FC
B2
E9
A4
1C
7B
59
4E
4B
96
F1
37
B5
EB
33
CC
54
C8
BF
EF
8F
74
87
BC
17
E7
6E
CB
BF
66
D5
61
25
86
59
2B
36
90
AE
11
CA
D2
51
83
98
68
FD
23
4A
E8
A9
44
34
62
82
A8
88
EF
3D
20
34
E7
C3
3F
17
9F
F5
A1
85
E7
80
EA
E5
40
31
15
84
BF
F5
CA
06
E1
2F
F0
D8
50
B6
3B
A1
A7
AF
A5
AE
2A
AB
5E
CF
F8
87
87
C0
08
09
7C
1C
DD
95
E9
9D
73
35
33
D4
60
21
45
61
2D
E2
C9
CF
26
50
9F
29
AF
AB
B1
AF
36
1B
53
BE
D8
A9
17
21
5D
53
90
0C
02
D1
D4
65
B2
4D
51
8A
4E
98
4D
DE
5E
FB
39
37
F9
A4
B1
AC
14
B4
E4
5C
C6
1F
FC
E2
47
C1
B5
6D
E3
33
54
70
94
56
B8
C0
99
61
E5
A6
BE
C1
Version 2.5
28/28

Swisscom Digital Certificate Services Time

Transcription

Similar documents

Technische Daten Inbetriebnahme LANTIME / GPS ETX 1HE V4

SchoolNetGuide - Schulen Naters

Entwurf und Strategie der Einführung einer fachbereichsweiten

Alles über Software aus zweiter Hand

TachoPlus Manual Version 1.28.25-8136

Produktinformation SIP Trunk/Business voice direct