• Published:
  • Updated:
  • Written by:

CP-CPS

In der Welt der digitalen Zertifikate spielen die Dokumente Certificate Policy (CP) und Certification Practice Statement (CPS) eine zentrale Rolle bei der Gewährleistung von Vertrauen und Sicherheit. Beide Dokumente definieren die Richtlinien und Praktiken, die von einem Zertifikataussteller (Certificate Authority, CA) befolgt werden müssen, um die Integrität und Glaubwürdigkeit der ausgestellten Zertifikate sicherzustellen. Dieser Artikel gibt eine Einführung in die Regelungsinhalte dieser Dokumente und erläutert die Unterschiede zwischen ihnen.

Certificate Policy (CP)

Die Certificate Policy (CP) ist ein umfassendes Dokument, das die Regeln und Anforderungen festlegt, die für die Ausstellung, Verwaltung und Nutzung von Zertifikaten durch die CA gelten. Es dient als Rahmenwerk für die Vertrauenswürdigkeit der Zertifikate und legt fest, unter welchen Bedingungen ein Zertifikat als gültig und vertrauenswürdig betrachtet wird.

Regelungsinhalte der CP:

  • Geltungsbereich und Anwendungsbereich: Beschreibt, für welche Anwendungen und Nutzergruppen die Zertifikate bestimmt sind.
  • Vertrauensmodell: Definiert die hierarchische Struktur der CA und die Vertrauensbeziehungen zwischen verschiedenen CAs und Zertifikatinhabern.
  • Richtlinien für die Identitätsüberprüfung: Legt fest, wie die Identität von Antragstellern überprüft wird, bevor ein Zertifikat ausgestellt wird.
  • Sicherheitsanforderungen: Umfasst Anforderungen an die physische, logische und administrative Sicherheit der CA.
  • Zertifikatslebenszyklus: Beschreibt den Prozess der Ausstellung, Erneuerung, Sperrung und Widerrufung von Zertifikaten.
  • Pflichten und Verantwortlichkeiten: Definiert die Rollen und Verantwortlichkeiten der CA, der Zertifikatinhaber und anderer beteiligter Parteien.

Certification Practice Statement (CPS)

Das Certification Practice Statement (CPS) ist ein detailliertes Dokument, das die tatsächlichen Praktiken und Verfahren beschreibt, die von der CA implementiert werden, um die in der CP festgelegten Richtlinien einzuhalten. Während die CP die „Was“-Fragen beantwortet, befasst sich das CPS mit den „Wie“-Fragen und erläutert die operativen Details der Zertifizierungspraxis.

Regelungsinhalte der CPS:

  • Operative Verfahren: Beschreibt die spezifischen Schritte und Verfahren, die zur Ausstellung, Verwaltung und Widerrufung von Zertifikaten verwendet werden.
  • Sicherheitskontrollen: Erläutert die technischen und organisatorischen Maßnahmen, die zur Sicherung der CA-Infrastruktur implementiert sind.
  • Zertifikatsanforderungen: Detailliert die Anforderungen und Bedingungen, die Antragsteller erfüllen müssen, um ein Zertifikat zu erhalten.
  • Audit- und Überwachungsprozesse: Definiert die internen und externen Prüfungsverfahren, die sicherstellen, dass die CA den festgelegten Richtlinien und Standards entspricht.
  • Reaktionsverfahren bei Sicherheitsvorfällen: Beschreibt die Maßnahmen und Verfahren, die bei einem Sicherheitsvorfall oder einer Kompromittierung der CA ergriffen werden.

Unterschiede zwischen CP und CPS

Obwohl beide Dokumente eng miteinander verbunden sind und gemeinsam das Vertrauen in die ausgestellten Zertifikate stärken, gibt es wesentliche Unterschiede:

  1. Zweck und Fokus:
    • CP: Konzentriert sich auf die allgemeinen Regeln und Richtlinien, die die Vertrauenswürdigkeit der Zertifikate gewährleisten.
    • CPS: Beschreibt die konkreten Praktiken und Verfahren, die implementiert werden, um die CP-Richtlinien in die Praxis umzusetzen.
  2. Detailgrad:
    • CP: Bietet eine eher allgemeine und strategische Sicht auf die Anforderungen und Richtlinien.
    • CPS: Geht ins Detail und beschreibt spezifische operative Verfahren und technische Maßnahmen.
  3. Inhaltliche Struktur:
    • CP: Umfasst eher politische und konzeptionelle Inhalte.
    • CPS: Beinhaltet detaillierte Anweisungen und Verfahrensbeschreibungen.

Fazit

Die Dokumente Certificate Policy (CP) und Certification Practice Statement (CPS) sind fundamentale Bestandteile der Vertrauensinfrastruktur eines Zertifikatausstellers. Während die CP die allgemeinen Richtlinien und Anforderungen festlegt, beschreibt das CPS die konkreten Praktiken und Verfahren zur Umsetzung dieser Richtlinien. Zusammen bilden sie die Grundlage für die Glaubwürdigkeit und Integrität der ausgestellten digitalen Zertifikate, indem sie sicherstellen, dass alle beteiligten Parteien klar definierte und nachvollziehbare Standards und Prozesse einhalten.

Quantumsign CA

Die Quantumsign CA befindet sich noch in einem sehr frühen Stadium. Die entsprechenden Dokumente werden zu gegebener Zeit hier veröffentlicht.

Search: