Auf Mastodon teilen

Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:

Sehr geehrter Herr Giessmann, vielen Dank für Ihre Anfrage nach dem Informationsfreiheitsgesetz. Die Bearbeitung Ihrer Anfrage ist noch nicht abgeschlossen. Sie erhalten zeitnah eine Antwort. Wir bitten Sie noch um etwas Geduld. Mit freundlichen Grüßen

Sehr geehrter Herr Giessmann, Ihrem Antrag nach dem Informationsfreiheitsgesetz vom 02. Januar 2018 wird stattgegeben. Nachfolgend erhalten Sie folgende amtlichen Informationen: Die BA-Class-1-Root-CA stellt für mehrere, nicht qualifizierte CAs des Vertrauensdiensteanbieters (VDA) der Bundesagentur für Arbeit (BA) Zertifikate aus. Sie wird ausschließlich als Root für ausstellende CAs (issuing CAs) des VDA der BA verwendet. Die für Ihre Anfrage relevante CA ist die VPS-CA. CPS der VPS-CA Die VPS-CA stellt Zertifikate für die externe E-Mail-Verschlüsselungslösung der BA aus. Es werden für die S/MIME-verschlüsselte Kommunikation mit externen Stellen sogenannte Schattenzertifikate verwendet, welche es ermöglichen, aus dem Internet eingehende E-Mail-Nachrichten zentral auf Schadprogramme zu prüfen. Die Verwendung von Schattenzertifikaten erlaubt dies, ohne die Ende-zu-Ende-Verschlüsselung der internen Kommunikation zu kompromittieren. Die durch die VPS-CA ausgestellten Schattenzertifikate sind automatisch erzeugte Abschriften der Verschlüsselungszertifikate des VDA der BA mit anderem Schlüsselmaterial. Aus diesem Grund existiert für die VPS-CA kein gesondertes CPS, sondern es wird auf das CPS des VDA der BA verwiesen, in dem auch die Verschlüsselungs-CA behandelt wird. Dieses können Sie über die Auskunftsseite http://www.pki.arbeitsagentur.de/ des VDA der BA herunterladen. Technische Rahmenbedingungen für externe Kommunikationspartner zur Nutzung der E-Mail-Verschlüsselung mit der BA fügen wir Ihnen als Auszug des Dokuments Policy E-Mail-Verschlüsselung bei: Frage 1 Die Schlüssel für die VPS-CA-2 wurden in einem HSM (Hardware Security Module) erzeugt. Dieses HSM verwendet zufällige Exponenten, welche zum damaligen Zeitpunkt auch kleiner als 2^16 + 1 sein konnten. Die zur Erzeugung des Schlüsselmaterials der nächsten VPS-CA verwendete Hardware wird die Empfehlung der TR-02102-1 berücksichtigen. Bitte beachten Sie darüber hinaus, dass die TR-02102-1 ausschließlich empfehlenden Charakter hat: "[...] nicht aufgeführte Verfahren werden vom BSI nicht unbedingt als unsicher beurteilt." Frage 2 In der Tat folgt die KeyUsage der VPS-CA-2 nicht der Empfehlung des RFC 5280. Das Problem ist leider erst nach Veröffentlichung der CA aufgefallen. Die gängigen Produkte zur E-Mail-Verschlüsselung werten die Key-Usage korrekt aus, womit das Critical-Flag keine Auswirkung auf die Sicherheit des Zertifikates hat. Eine Bewertung des Fehlers hat ergeben, dass die Sicherheitsrisiken gering sind und das Zertifikat nicht vorzeitig ausgetauscht wird. Diese Entscheidung wurde auch im Hinblick auf den Aufwand zum Tausch des Zertifikates bei den Kommunikationspartnern der BA getroffen. Es wurden bereits Maßnahmen zur Qualitätssicherung ergriffen die sicherstellen, dass zukünftige Zertifikate der Empfehlung aus RFC 5280 folgen und keine unnötigen Schlüsselverwendungen mehr im Zertifikat eingetragen sind. Mit freundlichen Grüßen