Verschlüsselung

E-Mail-Zertifikate: Anforderungen der Bundesnetzagentur

11. September 2017
  • Verschlüsselung

© Monkey Business - Fotolia.com

Wir erhalten häufig die Anfrage, ob unsere E-Mail-Zertifikate den Anforderungen der Bundesnetzagentur entsprechen. Gerne machen wir Sie heute mit diesen Anforderungen vertraut und geben Handlungsempfehlungen.

Regeln der Bundesnetzagentur

In einem PDF-Dokument finden Sie die „Regelungen zum sicheren Austausch von EDIFACT-Übertragungsdateien“. Dargestellt werden darin die Regelungen für eine sichere Übertragung von E-Mails. Im Folgenden fassen wir diese Regelungen übersichtlich für Sie zusammen und zeigen Ihnen Möglichkeiten, diesen Regelungen zu entsprechen. Wir fokussieren uns dabei auf die Bedingungen, die an Zertifikate gestellt werden.

Richtlinien für den Übertragungsweg

Für die Übertragung von Nachrichten können Sie wahlweise eine E-Mail-Adresse oder eine AS2-Adresse verwenden. Wir fokussieren uns auf die Übertragung per E-Mail. Ziel ist es, eine größtmögliche Automatisierung und Sicherheit zu halten. Deshalb ist jede E-Mail, die sensible Inhalte enthält, zu verschlüsseln und zu signieren. Dabei gelten die unter 5.5 genannten Regelungen:

  • Das Verschlüsseln und Signieren Ihrer E-Mail muss für alle Nachrichtentypen einheitlich erfolgen. Sämtliche Übertragungsdateien müssen vom Absender an den Empfänger verschlüsselt und signiert sein.
  • Fürs Verschlüsseln und Signieren von E-Mails können Sie den S/MIME-Standard wählen, jedoch mindestens in der Version 3.2 (IETF RFC 5751 von 2010).
  • Jeder Kommunikationspartner muss für die von ihm verwendete E-Mail-Adresse genau ein Zertifikat (bzw. genau einen privaten Schlüssel) zum Erzeugen der Signatur verwenden. Zum Entschlüsseln der von anderen Kommunikationspartnern verwendeten Kommunikation wird ebendieser Schlüssel verwendet.

Auswahl der richtigen Zertifizierungsstelle

Damit Ihr E-Mail-Zertifikat Gültigkeit hat, muss es von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt sein. Für die CA gelten die Bedingungen, die unter 5.5.1 beschrieben sind:

  • Die CA erlaubt den Widerruf von Zertifikaten und verfügt dafür über einen Rückrufservice. Dafür wird eine sogenannte Zertifikatesperrliste geführt, welche öffentlich zugänglich ist.
  • Idealerweise wird die IT-Sicherheit der CA durch ein Audit oder eine Zertifizierung belegt.
  • Registrierungsservice und weitere, eventuell auch an Dienstleister ausgelagerte Services bieten ein hohes Sicherheitsniveau.
  • Die Vertrauenswürdigkeit ist auch unter Berücksichtigung von Eingriffsrechten Dritter gegeben.
  • Der Rechtsstand genügt den Anforderungen des Zertifikate-Bestellers.

Anforderungen an E-Mail-Zertifikate

Die Anforderungen, die an E-Mail-Zertifikate gestellt werden, werden unter 5.5.2 geklärt:

  • Das E-Mail-Zertifikat wurde von einer CA ausgestellt, die den eben genannten Anforderungen gerecht wird.
  • Sämtliche bis zum 31.12.2017 ausgestellten E-Mail-Zertifikate sind mit den Signaturalgorithmen SHA-256RSA oder SHA-512RSA zu signieren (Signaturverfahren: RSASSA-PKCS1-v1_5). Verwendbar sind sie bis zur maximalen Zertifikatsgültigkeit, also maximal drei Jahre.
  • Alle ab dem 01.01.2018 neu ausgestellten E-Mail-Zertifikate müssen mit RSASSA-PSS signiert sein. Von der Bundesnetzagentur konnten wir in Erfahrung bringen, dass es voraussichtlich eine Übergangsfrist für weit verbreitete Signaturverfahren wie RSASSA-PKCS1-V1_5 mit entsprechenden Signaturalgorithmen SHA-256RSA oder SHA-512RSA geben wird. Es werden noch technische Details geklärt, bevor es wahrscheinlich zu einer Übergangsfrist kommt.
  • Jedes E-Mail-Zertifikat soll Informationen zur Rückrufprüfung enthalten, also einen CRLDistrubutionPoint, unter dem aktuelle CRL verfügbar ist.
  • Ein E-Mail-Zertifikat darf maximal drei Jahre gültig sein.
  • Das Zertifikat muss mindestens die Verwendungszwecke „Schlüsselverschlüsselung“ und „digitale Signatur“ im Feld KeyUsage enthalten.
  • Für die unterschiedlichen Anwendungszwecke „Signatur“ und „Verschlüsselung“ wird dasselbe Schlüsselpaar generiert, sodass ein sogenanntes Kombizertifikat ausgestellt und verwendet wird.
  • E-Mail-Zertifikate müssen eine fortgeschrittene elektronische Signatur ermöglichen.
  • Das Zertifikat muss die Identifikation und Zuordnung zur Organisation gewährleisten, die die E-Mail-Adresse betreibt. Im Feld O des E-Mail-Zertifikats muss also eine juristische Person stehen, für die das Zertifikat ausgestellt wurde und die das E-Mail-Postfach der E-Mail-Adresse betreibt.
  • Im Feld „Alternativer Antragstellername“ muss die E-Mail-Adresse des Zertifikatbestellers stehen (Wert „RFC822-Name=“).

Um öffentliche E-Mail-Zertifikate auszutauschen, gilt die Codierung:

  • DER-codiert-binär X.509 (mit der Datei-Extension: .cer) oder
  • Base-64-codiert X.509 (mit der Datei-Extension: .cer).

Algorithmen und Schlüssellängen für S/MIME-Zertifikate

Folgende Algorithmen und Schlüssel mit entsprechenden Schlüssellängen werden unter 5.5.3 beschrieben:

  • Hashfunktion:
    • SHA-256 oder SHA-512
  • Signaturverfahren:
    • idealerweise, wenn bei Sender & Empfänger verfügbar: RSASSA-PSS
    • zwischen Juni 2017 und 21.12.2017 muss zum Wahren der Interoperabilität unterstützt werden: sha256RSA / sha512RSA (RSASSA-PKCS1-v1_5)
    • ab Januar 2018 muss ausschließlich eingesetzt werden: RSASSA-PSS (gemäß IETF RFC 4056; eventuelle Übergangsregelung wird noch gefunden)
  • Verschlüsselung:
    • Inhaltsverschlüsselung:
      • AES-128 CBC oder AES-192 CBC
    • Schlüsselverschlüsselung:
      • idealerweise, wenn bei Sender & Empfänger verfügbar: RSAES-OAEP (gemäß IETF RFC 3447)
      • zwischen Juni 2017 und 21.12.2017 muss zum Wahren der Interoperabilität unterstützt werden: RSAES-PKCS1-v1_5
      • ab Januar 2018 muss ausschließlich eingesetzt werden: RSAES-OAEP (gemäß IETF RFC 3447; eventuelle Übergangsregelung wird noch gefunden)
      • RSA-Schlüssellänge mind. 2048 Bit

E-Mail-Zertifikate: Handlungsempfehlungen

Wie Sie sehen, tut sich bei den E-Mail-Zertifikaten ab Januar 2018 etwas. Die von uns vertriebenen E-Mail-Zertifikate entsprechen den Anforderungen der Bundesnetzagentur. Zwar müssen alle ab dem 01.01.2018 neu ausgestellten E-Mail-Zertifikate mit RSASSA-PSS signiert sein. Sie können jedoch auch jetzt noch Ihr E-Mail-Zertifikat kaufen, denn diese bleiben auch nach dem Stichtag nutzbar. Deshalb: warten Sie nicht, sondern bestellen Sie Ihr E-Mail-Zertifikat zeitnah! Für die Auswahl des richtigen Zertifikats berät unser Support Sie gerne!



0 Kommentar(e)

Schreibe einen Kommentar