Bijlage CPS DigiNotar Gekwalificeerd. Technische Specificaties

Bijlage CPS DigiNotar Gekwalificeerd Technische Specificaties versie 1.4 september 2008

Inhoudsopgave

1

Inleiding ______________________________________________________________ 4

2

Certificaat _____________________________________________________________ 5 2.1

Technisch formaat (X.509) ___________________________________________ 5

2.2

DigiNotar Gekwalificeerde Root certificaten ____________________________ 5

2.3 Naamspecificaties __________________________________________________ 6 2.3.1 Distinguished Name (Dname) ______________________________________ 6 2.3.2 CommonName _________________________________________________ 6 2.4

Karakters _________________________________________________________ 7

2.5 Unieke Nummering _________________________________________________ 7 2.5.1 Nummering van organisaties _______________________________________ 7 2.5.2 Nummering van vestigingen _______________________________________ 8 2.5.3 Nummering van personen _________________________________________ 8 2.6

Algoritmen ________________________________________________________ 9

2.7

Sleutelparen _______________________________________________________ 9

2.8 Policy OID‟s en certificaat typen ______________________________________ 9 2.8.1 Niet-gekwalificeerd certificaat Encryptie ____________________________ 10 2.8.2 Gekwalificeerd certificaat Non-repudiation __________________________ 10 2.9 Certificaat Lay-out ________________________________________________ 11 2.9.1 Generieke certificaat inhoud Digitale handtekening en Encryptie certificaat _ 11 2.9.2 Specifieke inhoud Beroepscertificaat _______________________________ 12 2.9.3 Definitie Beroepen en Beroepsorganisaties __________________________ 13 2.9.4 Specifieke inhoud Persoonsgebonden Organisatiecertificaat _____________ 14 3

4

Relatie tot “Richtlijn 1999/93/EC” ________________________________________ 15 3.1

Bijlage I van de Richtlijn ___________________________________________ 15

3.2

Bijlage II van de Richtlijn __________________________________________ 16

Tokens _______________________________________________________________ 16 4.1

Algemeen ________________________________________________________ 16

4.2

Specificatie hardware tokens ________________________________________ 17

4.3

Middleware ______________________________________________________ 17

4.4 Smartcardreaders _________________________________________________ 17 4.4.1 CardMan 3121 USB ____________________________________________ 17 5

Publicatie ____________________________________________________________ 18 5.1

6

Raadpleging certificaten ____________________________________________ 18

Validatie _____________________________________________________________ 19 6.1

CRL ____________________________________________________________ 19 Pagina 2 van 25

6.2

OCSP ___________________________________________________________ 20

7

Bijlage 1; Specificaties G&D Starcos 2.3 ___________________________________ 21

8

Bijlage 2; Specificaties SafeSign Middleware ________________________________ 22

9

Bijlage 3; Voorbeeld CRL inhoud _________________________________________ 24

Pagina 3 van 25

1

Inleiding

In deze bijlage worden de technische specificaties beschreven van de gekwalificeerde certificaten zoals deze door DigiNotar worden afgegeven. De bijlage is een onderdeel van het CPS DigiNotar Gekwalificeerd (2.16.528.1.1001.1.2.2) (Certificate Practice Statement).

Pagina 4 van 25

2

Certificaat

2.1

Technisch formaat (X.509)

DigiNotar hanteert de RFC 3280 („Internet X.509 Public Key Infrastructure Certificate and CRL Profile‟) bij de afgifte van digitale certificaten. Deze technische standaard beschrijft de profielen van X.509 v3 certificaten en Intrekkingslijst (CRL) voor het gebruik op Internet. 2.2

DigiNotar Gekwalificeerde Root certificaten

Alle gekwalificeerde DigiNotar certificaten worden onder de volgende DigiNotar Root certificaten afgegeven. DigiNotar Root (2003) Certificaat Layout C=NL O=DigiNotar CN=DigiNotar Qualified CA [email protected] Serienummer (hexadecimaal) Geldigheid Sleutellengte Vingerafdruk algoritme Vingerafdruk (hexadecimaal) voor Microsoft Internet Explorer

Opmerkingen

Inhoud Fixed Fixed Fixed Fixed Fixed Fixed

08 vrijdag 24 november 2023 18:04:09

RSA 2048 bits SHA 1

Fixed Fixed Fixed

0EC2 580A 77E0 FB67 4C01 541F 2063 EEB9 DC2C 3F69

of DigiNotar Root (2005) Certificaat Layout C=NL O=DigiNotar CN=DigiNotar Qualified CA [email protected] Serienummer (hexadecimaal) Geldigheid Sleutellengte Vingerafdruk algoritme Vingerafdruk (hexadecimaal) voor Microsoft Internet Explorer

Opmerkingen

Inhoud Fixed Fixed Fixed Fixed Fixed

5b d5 60 9c 64 17 68 cf 21 0e 35 fd fb 05 ad 41 maandag 21 april 2025 19:18:31

Fixed Fixed Fixed Fixed

RSA 2048 bits SHA 1 ff ad 0e 26 f0 5b bc d8 06 3c ce 1d fa 60 24 5e 14 3d 53 80

Distributie van de DigiNotar Root certificaten vindt plaats op de volgende wijzen: Opgenomen in de PKCS#12 bestanden samen met sleutelparen en certificaat

Pagina 5 van 25

Installatie via de DigiNotar website (zie www.diginotar.nl) Het DigiNotar Root certificaat (2003) is gepubliceerd in de Staatscourant van Dinsdag 23 maart 2004 op pagina 18. De vingerafdruk ziet er als volgt uit: 0EC2 580A 77E0 FB67 4C01 541F 2063 EEB9 DC2C 3F69. Toelichting Root certificaten. De DigiNotar Qualified CA uit 2003 is tot op dit moment in gebruik om gekwalificeerd persoonsgebonden organisatie certificaten uit te geven. Het gebruik van deze CA voor de uitgifte van certificaten zal op termijn worden beeindigd. De DigiNotar Qualified CA uit 2005 is in gebruik om de gekwalificeerde beroepscertificaten uit te geven. Op termijn zullen hieruit ook de gekwalificeerd persoonsgebonden organisatie certificaten worden uitgegeven. 2.3

Naamspecificaties

2.3.1 Distinguished Name (Dname) Voor de Gekwalificeerde Persoonsgebonden Organisatiecertificaten wordt de volgende Dname gehanteerd in het certificaat: C= <> O= <> L= <> OU= <> OU= <> SerialNumber= <<Serienummer>> CN= <> Voor het beroepscertificaat wordt de volgende Dname gehanteerd in het certificaat: C= <> OU= <> OU= << Beroepsorganisatie >> SerialNumber=<<Serienummer>> CN= <

Het gebruik van velden kan per type certificaat verschillen, deze verschillen zijn weergegeven bij een beschrijving van de certificaat lay-out in paragraaf 2.9 De Dname is uniek voor ieder certificaat dat DigiNotar uitgeeft. In het eerste „OU‟ veld van ieder certificaat wordt het type certificaat genoemd met een verwijzing naar het CPS QC (Certificate Practice Statement DigiNotar Gekwalificeerd). 2.3.2 CommonName De CommonName wordt gegenereerd conform het Programma van Eisen van PKI-Overheid (PvE deel 3 Certificaatprofielen voor eindgebruikers en CRL): ”Het CommonName attribuut MOET worden ingevoerd met hoofd- en kleine letters volgens de notatie zoals gebruikt in het Nederlandse GBA register”.

Pagina 6 van 25

Dit betekent dat de achternaam, eerste voornaam en initialen of overige voornamen indien van toepassing, uit het wettelijk identificatiemiddel opgenomen worden in de CN. Zie hiervoor de verificatie vereisten in het CPS. De CommonName wordt als volgt opgebouwd: CN=Achternaam [voorvoegsel] voorna[a]m[en] [voorletters] [e/v Achternaam] [voorvoegsel] Bijv. CN=Achternaam van Eerstevoornaam Tweedevoornaam Echtgenoot van Voor vrouwen wordt in ieder geval de meisjesnaam opgenomen. Als zij op hebben aangeven dat zij echtgenoot van (e/v) willen opnemen in het certificaat kan dat als volgt: <meisjes-/ jongensnaam> e/v

2.4 Karakters In een DigiNotar certificaat kunnen alleen de volgende karakters worden opgenomen: Alfanumeriek („a‟ - „z‟, „A‟ - „Z‟, „0‟ – „9‟) Leestekens ( ) . - _ : = ? @ 2.5 Unieke Nummering De DigiNotar certificaten zijn wanneer van toepassing voorzien van een unieke nummering per organisatie en vestiging. In de unieke nummering wordt een onderscheid gemaakt in een groepsnummer, een nummer voor de hoofdvestiging en een aansluitend nummer per filiaal. De landcode wordt niet gebruikt aangezien uit het certificaat blijkt aan welke (rechts)persoon in welk land het certificaat is afgegeven. 2.5.1 Nummering van organisaties Het door DigiNotar toegekende unieke nummer voor organisaties geschiedt op basis van bestaande codering of in oplopende volgorde in het klantenbestand van de betreffende categorie. De onderstaande nummering is niet limitatief. De laatste uitbreiding van de unieke nummering is te vinden op de website van DigiNotar. De nummering wordt opgenomen in het Organisation veld uit de Dname van het certificaat. Ter illustratie: Organisatie (O= „ ‟) KvK Organisaties

Codering 00+KvK Nummer

Voorbeeld O=„Bouwbedrijf BV (0012345678)‟

Niet KvK Organisatie

10+Uniek Nummer

O=„Accountantsmaatschap (1000000001)‟

Pagina 7 van 25

Overheid

20+Uniek Nummer

O=„Ministerie (2000000002)‟

Nog nader te bepalen

2.5.2 Nummering van vestigingen De nummering van de diverse vestigingen wordt voor zover mogelijk overgenomen vanuit het handelsregister van de Kamer van Koophandel. De ingeschreven organisaties zijn wettelijk verplicht alle bestaande nevenvestigingen in te schrijven bij de Kamer van Koophandel. Deze vestigingen krijgen een subdossiernummer dat bestaat uit vier (4) cijfers. Organisaties met slechts een hoofdvestiging krijgen subdossiernummer „(0000)‟. De overige organisaties die niet bij de Kamer van Koophandel ingeschreven staan, krijgen door DigiNotar een uniek nummer toegekend. De vestigingen worden opvolgend genummerd.

Het subdossiernummer of het door DigiNotar toegekende nummer wordt opgenomen in het Locality veld uit de Dname van het certificaat. Ter illustratie: Organisatie Hoofdvestiging Vestiging

Codering 0000 of subdossiernummer opvolgend of subdossiernummer

Voorbeeld L=„Amsterdam Straat 8 (0000)‟ L=„Rotterdam Laan 12 (0001)‟

2.5.3 Nummering van personen Voor het bewerkstelligen van de uniciteit van de Dname voor de natuurlijk persooncertificaten, genereert DigiNotar een uniek serienummer (zonder betekenis) welke aan een certificaat kan worden toegekend. Bij nieuwe aanvragen door dezelfde persoon wordt een nieuw nummer toegekend. De nummers hebben geen bedoeling als persoonsnummer. Een uniek serienummer maakt onderdeel uit van de distinguished name van de certificaathouder. De opbouw van het serienummer is als volgt: Element RootId CMSId Kaart / Volgnummer Certificaatnummer

Opmerkingen Twee posities Alfanumeriek Twee posities numeriek Volgnummer van smartcard. Volgnummer voor certificaten op kaart

Pagina 8 van 25

2.6

Algoritmen

De algoritmen die gebruikt worden bij afgifte van DigiNotar certificaten zijn RSA (sleutellengte van 1024 en 2048 bits) en SHA-1. 2.7 Sleutelparen De digitale certificaten worden standaard afgegeven voor Digitale Handtekening met een afzonderlijk certificaat en sleutelpaar voor Encryptie. Optioneel is verstrekking van een Non-repudiation certificaat mogelijk (drie certificaatparen model Authenticatie, Digitale Handtekening en Encryptie sleutel) Het sleutelpaar voor Encryptie kan hierbij worden gearchiveerd. 2.8 Policy OID’s en certificaat typen Binnen het DigiNotar model kunnen verschillende soorten gekwalificeerde certificaten worden uitgegeven. Op dit moment: a. Natuurlijk Persooncertificaat1. b. Persoonsgebonden Organisatiecertificaat c. Beroepscertificaat In de onderstaande tabel wordt het OU veld waarin de certificaatsoort is opgenomen en de bij het certificaat horende OID weergegeven. Tevens is de Policy OID voor een non-SSCD op basis van PIN code weergegeven.. Gekwalificeerde certificaten zullen certificaten ten behoeve van een gekwalificeerde handtekening op token afgegeven worden (G&D Starcos 2.3). Dit zijn Secure Signature Creation Devices (SSCD). Ontsluiting vindt plaats door middel van PIN code. Certificaatsoort Qualified Certificate POC non-SSCD – Zie CPS QC Qualified Certificate POC SSCD – Zie CPS QC Qualified Certificate POC SSCD – Zie CPS QC Qualified Certificate Beroep non-SSCD – Zie CPS QC Qualified Certificate Beroep SSCD – Zie CPS QC Qualified Certificate Beroep SSCD – Zie CPS QC Qualified Certificate Persoon non-SSCD – Zie CPS QC Qualified Certificate Persoon SSCD – Zie CPS QC Qualified Certificate Persoon SSCD – Zie CPS QC

Policy OID 2.16.528.1.1001.1.2.2.2.1.1.X.2 2.16.528.1.1001.1.2.2.2.1.2.3.2 2.16.528.1.1001.1.2.2.2.1.2.4.2 2.16.528.1.1001.1.2.2.3.1.1.X.2 2.16.528.1.1001.1.2.2.3.1.2.3.2 2.16.528.1.1001.1.2.2.3.1.2.4.2 2.16.528.1.1001.1.2.2.11.1.1.X.2 2.16.528.1.1001.1.2.2.11.1.2.3.2 2.16.528.1.1001.1.2.2.11.1.2.4.2

1

De natuurlijke persoonscertificaten worden in dit document niet verder uitgewerkt omdat ze op dit moment niet worden uitgegeven, maar voor de volledigheid zijn ze wel in het schema opgenomen. Pagina 9 van 25

2.8.1 Niet-gekwalificeerd certificaat Encryptie Dit certificaat wordt op smartcard meegeleverd met een gekwalificeerd certificaat. In de onderstaande tabel wordt het OU veld waarin de certificaatsoort is opgenomen en de bij het certificaat horende OID weergegeven. Certificaatsoort Persoonsgebonden Organisatiecertificaat Encryptie – Zie CPS QC Persoonsgebonden Organisatiecertificaat Encryptie – Zie CPS QC Beroepscertificaat Encryptie – Zie CPS QC Beroepscertificaat Encryptie – Zie CPS QC Natuurlijk Persooncertificaat Encryptie – Zie CPS QC Natuurlijk Persooncertificaat Encryptie – Zie CPS QC

Policy OID 2.16.528.1.1001.1.2.2.2.2.2.3.2 2.16.528.1.1001.1.2.2.2.2.2.4.2 2.16.528.1.1001.1.2.2.3.2.2.3.2 2.16.528.1.1001.1.2.2.3.2.2.4.2 2.16.528.1.1001.1.2.2.11.2.2.3.2 2.16.528.1.1001.1.2.2.11.2.2.4.2

2.8.2 Gekwalificeerd certificaat Non-repudiation Optioneel is verstrekking van een Non-repudiation certificaat op dezelfde smartcard mogelijk. Dit is een gekwalificeerd certificaat. In de onderstaande tabel wordt het OU veld waarin de certificaatsoort is opgenomen en de bij het certificaat horende OID weergegeven. Certificaatsoort Qualified Certificate POC non-SSCD – Zie CPS QC Qualified Certificate POC SSCD – Zie CPS QC Qualified Certificate POC SSCD – Zie CPS QC Qualified Certificate Beroep non-SSCD – Zie CPS QC Qualified Certificate Beroep SSCD – Zie CPS QC Qualified Certificate Beroep SSCD – Zie CPS QC Qualified Certificate Persoon non-SSCD – Zie CPS QC Qualified Certificate Persoon SSCD – Zie CPS QC Qualified Certificate Persoon SSCD – Zie CPS QC

Policy OID 2.16.528.1.1001.1.2.2.2.3.1.X.2 2.16.528.1.1001.1.2.2.2.3.2.3.2 2.16.528.1.1001.1.2.2.2.3.2.4.2 2.16.528.1.1001.1.2.2.3.3.1.X.2 2.16.528.1.1001.1.2.2.3.3.2.3.2 2.16.528.1.1001.1.2.2.3.3.2.4.2 2.16.528.1.1001.1.2.2.11.3.1.X.2 2.16.528.1.1001.1.2.2.11.3.2.3.2 2.16.528.1.1001.1.2.2.11.3.2.4.2

Pagina 10 van 25

2.9

Certificaat Lay-out

2.9.1 Generieke certificaat inhoud Digitale handtekening en Encryptie certificaat Per token worden twee certificaten geplaatst, één gekwalificeerdcertificaat voor de digitale handtekening en één niet-gekwalificeerd encryptie certificaat voor het gebruik bij versleuteling van gegevens. Waar de inhoud van deze laatste afwijkt is dit aangegeven. Op verzoek kan ook een derde certificaat met “non-repudiation” key-usage worden verstrekt. Onderdeel Algemeen signatureAlgorithm.algorithm signatureValue tbsCertificate version serialNumber signature validity.notBefore (4 jaar) validity.notAfter tbsCertificate.subjectPublicKeyInfo algorithm subjectPublicKey tbsCertificate.issuer countryName organizationName

Waarde Digitale Handtekening

commonName

DigiNotar Qualified CA

emailAddress

[email protected]

tbsCertificate.extentions.qcStatements qcCompliance

1.3.6.1.5.7.0.11.1

qcLimitValue tbsCertificate.extentions.keyUsage

sha-1WithRSAEncryption Handtekening van DigiNotar over het certificaat v3 Uniek certificaat serienummer sha-1WithRSAEncryption Begintijd en datum Eindtijd en datum rsaEncryption Publieke sleutel van de certificaathouder NL DigiNotar

Wordt niet opgenomen voor encryptie certificaat Wordt niet standaard opgenomen Digital Signature Voor encryptie: Data Encryption, Key Encryption

tbsCertificate.extentions.authorityKeyIdentifier keyIdentifier tbsCertificate.extentions.subjectKeyIdentifier keyIdentifier tbsCertificate.extentions.authorityInfoAccess

KeyID van DigiNotar rootcertificaat KeyID van houdercertificaat http://validation.diginotar.nl

tbsCertificate.extentions.CRLDistributionPo ints http://service.diginotar.nl/crl/qualified/latestCRL.crl

Pagina 11 van 25

2.9.2 Specifieke inhoud Beroepscertificaat Onderdeel tbsCertificate.subject countryName organizationalUnit

organizationalUnit serialNumber commonName title tbsCertificate.subjectDirectoryAttributes dateOfBirth placeOfBirth gender tbsCertificate.subjectAltName rfc822Name tbsCertificate.extentions.certificatePolicies PolicyIdentifier

policyQualifiers.qualifier.cPSuri policyQualifiers.qualifier.userNotice.explicitTe xt

Waarde Digitale Handtekening Landcode Qualified Certificate Beroep SSCD – Zie CPS QC of Beroepscertificaat Encryptie – Zie CPS QC Naam Beroepsorganisatie2 Uniek DigiNotar serienummer Naam certificaathouder (achternaam en alle voornamen)3 Beroep1 Geboortedatum certificaathouder 4 Geboorteplaats certificaathouder Geslacht certificaathouder5 Emailadres certificaathouder 2.16.528.1.1001.1.2.2.3.1.2.3.2 voor encryptie 2.16.528.1.1001.1.2.2.3.2.2.3.2 http://www.diginotar.nl/cps Conditions, as mentioned on our website (www.diginotar.nl), are applicable to all our products and services.

2

Zie „Definitie Beroepen en Beroepsorganisaties‟. Conform de notatie van de voornamen (of voorletters) in het identiteitsbewijs op basis waarvan de certificaataanvraag is gedaan. 3

4 5

YYYYMMDD Male (M) of Female (F)

Pagina 12 van 25

2.9.3 Definitie Beroepen en Beroepsorganisaties Met onderstaande beroepsorganisaties zijn afspraken gemaakt omtrent de specifieke invulling van een gekwalificeerd beroepscertificaat behorende bij een specifieke beroepsgroep. Onderstaande omschrijvingen worden onderscheiden: Naam beroepsorganisatie Koninklijke Notariele Beroepsorganisatie

Naam Beroepsorganisatie (OU=) Ou=Koninklijke Notariele Beroepsorganisatie

Beroep (Title=) title=Notaris title=Waarnemer Notaris

Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (i.s.m. Stichting Netwerk Gerechtsdeurwaarders)

Ou=Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders

title=Gerechtsdeurwaarder

title=Waarnemend Gerechtsdeurwaarder title=Toegevoegd KandidaatGerechtsdeurwaarder

Pagina 13 van 25

2.9.4 Specifieke inhoud Persoonsgebonden Organisatiecertificaat Onderdeel tbsCertificate.subject countryName organizationName locality organizationalUnit

organizationalUnit serialNumber commonName tbsCertificate.subjectAltName rfc822Name tbsCertificate.extentions.certificatePolicies PolicyIdentifier

policyQualifiers.qualifier.cPSuri policyQualifiers.qualifier.userNotice.explicitTe xt

Waarde Digitale Handtekening Landcode Organisatienaam (organisatiecode) Plaats Straatnaam Huisnummer (locatiecode) Zie “Certificaat typen” Qualified Certificate POC SSCD – Zie CPS QC of Persoonsgebonden Organisatiecertificaat Encryptie – Zie CPS QC Afdeling Uniek DigiNotar serienummer Naam certificaathouder (achternaam en voornamen) 6 Emailadres certificaathouder 2.16.528.1.1001.1.2.2.3.1.2.3.2 of, voor encryptie 2.16.528.1.1001.1.2.2.3.2.2.3.2 http://www.diginotar.nl/cps Conditions, as mentioned on our website (www.diginotar.nl), are applicable to all our products and services.

6

Conform de (GBA) notatie van de voorna(a)m(en) (en initialen) in het identiteitsbewijs op basis waarvan de certificaataanvraag is gedaan.

Pagina 14 van 25

3

Relatie tot “Richtlijn 1999/93/EC”

Dit hoofdstuk beschrijft hoe de eisen van de Richtlijn door DigiNotar zijn geïmplementeerd. 3.1

Bijlage I van de Richtlijn

Eis volgens Bijlage I van de Richtlijn a) de vermelding dat het certificaat als gekwalificeerd certificaat wordt afgegeven; b) de identificatie en het land van vestiging van de afgevende certificatiedienstverlener;

c) de naam van de ondertekenaar of een als zodanig geïdentificeerd pseudoniem; d) ruimte voor een specifiek attribuut van de ondertekenaar, dat indien nodig, afhankelijk van het doel van het certificaat, kan worden vermeld; e) gegevens voor het verifiëren van de handtekening die overeenstemmen met de gegevens voor het aanmaken van de handtekening die onder controle van de houder staan; f) begin en einde van de geldigheidsduur van het certificaat; g) de identiteitscode van het certificaat;

h) de geavanceerde elektronische handtekening van de afgevende certificatiedienstverlener; i) voorzover van toepassing, beperkingen betreffende het gebruik van het certificaat; en;

j) voor zover van toepassing, grenzen met betrekking tot de waarde van de transacties waarvoor het certificaat kan worden gebruikt.

Implementatie door DigiNotar In het certificaat is een „id-etsi-qcsQcCompliance‟ statement opgenomen. In het „issuer field‟ van het certificaat wordt opgenomen; “C=NL,O=DigiNotar,CN=DigiNotar Qualified CA,[email protected]”. In het „subject field‟ worden de gecontroleerde gegevens van de certificaathouder opgenomen. Volgens de “IETF Qualified Certificate Profile” kunnen hiervoor de „subject‟ en „subject directory attributes‟ velden worden gebruikt. DigiNotar neemt alleen het „subject‟ veld op in het certificaat. In het certificaat wordt de „Public Key‟ opgenomen in combinatie met de overige gegevens van de certificaathouder. De geldigheidsduur volgens de “ITU-T Recommendation X.509” en “RFC 2459” standaarden is in het certificaat opgenomen. Het serienummer volgens de “ITU-T Recommendation X.509” en “RFC 2459” standaarden is in het certificaat opgenomen. De digitale handtekening van DigiNotar volgens de “ITU-T Recommendation X.509” en “RFC 2459” standaarden is in het certificaat opgenomen. De beperkingen betreffende het gebruik van het certificaat worden aangegeven in de “Key Usage Extention”. De Key Usage wordt per certificaat beschreven in de bovenstaande hoofdstukken. Indien van toepassing wordt het opgenomen in de qcStatements extensions.

Pagina 15 van 25

3.2

Bijlage II van de Richtlijn

Bijlage II bevat “eisen ten aanzien van certificatiedienstverleners die gekwalificeerde certificaten afgeven”. Deze eisen hebben normaal gesproken geen impact op de layout van een certificaat. Sommige specifieke functies van gekwalificeerde certificaten, zie onderstaande tabel, worden door DigiNotar gebruikt om aan deze eisen te voldoen. Eis volgens Bijlage II van de Richtlijn b) Certificatiedienstverleners moeten zorgen voor een snelle en veilige directorydienst alsook voor prompte en veilige intrekking; i) Certificatiedienstverleners moeten gedurende een passende periode alle relevante informatie met betrekking tot een gekwalificeerd certificaat vastleggen; k) Certificatiedienstverleners moeten personen die een certificaat wensen op de hoogte stellen van de exacte voorwaarden voor het gebruik van het certificaat;

4

4.1

Implementatie door DigiNotar Het valideren en intrekken van certificaten kan gebeuren via de website www.diginotar.nl van DigiNotar, onder “Mijn Certificaat” Retention Period wordt niet in het certificaat opgenomen. In het certificaat is binnen de “Certificate Policies Extention” een “qualifier” opgenomen van het type “CPSuri”. Deze “CPSuri” verwijst naar http://www.diginotar.nl/cps, waar het CPS DigiNotar Gekwalificeerd is te downloaden.

Tokens

Algemeen

Een digitaal certificaat wordt in een specifiek technisch formaat afgegeven en op een token geplaatst. In de onderstaande tabel wordt de relatie tussen het technisch formaat en het type token weergegeven. Het token kan gebaseerd zijn op software of hardware. Bij bepaalde tokens wordt door DigiNotar aanvullende software meegeleverd (Middleware) bestaande uit diverse stuurprogramma‟s voor het gebruik van het token binnen (standaard) software en eventueel benodigde tokenlezers. Technisch formaat

Type Token

PKCS#12

Software Diskette

PKCS#7

Software Virtuele kluis van browser of server

Aanvraag in PKCS#10

Aanvullende software (Middleware) NEE

NEE

Pagina 16 van 25

PKCS#15

Hardware USB Smartcard

JA

Per type certificaat gelden restricties voor het toegestane token. 4.2

Specificatie hardware tokens

DigiNotar ondersteunt de volgende hardware tokens: G&D STARCOS SPK 2.3 v7.0 Rainbow iKey 3000 with G&D STARCOS SPK 2.3 v7.0 USB Token Zie bijlage 1 voor een specificatie van de G&D STARCOS 2.3 chip.

4.3

Middleware

SafeSign is een software pakket dat als doel heeft de veiligheid van internet applicaties die PKCS#11 en Microsoft CryptoAPI ondersteunen, te vergroten door middel van tokens. Het SafeSign pakket installeert de SafeSign PKCS#11 library alsmede een Cryptographic Service Provider (CSP), waardoor het mogelijk is om publieke en persoonlijke data op een persoonlijk token op te slaan, zoals een smart card of een soft token. Het systeem kan het token initialiseren (dat wil zeggen, PIN definiëren, sleutels genereren, certificaten integreren) en gebruiken voor encryptie, authenticatie of digitale handtekeningen. SafeSign kan gebruikt worden om informatie en transacties via het internet te beveiligendoor middel van het plaatsen van een digitale handtekening onder informatie en transacties. SafeSign omvat een token en software om dit token te integreren in web browsers en applicaties die het gebruik van elektronische handtekeningen ondersteunen. De software is vereist om het token te laten samenwerken met bijvoorbeeld een web browser. Zie bijlage 2 voor een nadere specificatie. 4.4

Smartcardreaders

DigiNotar ondersteunt de OMNIKEY CardMan smartcardreader familie. De CardMan Reader productfamilie biedt de mogelijkheid om DigiNotar smartcards te gebruiken op iedere PC of notebook. 4.4.1 CardMan 3121 USB Type Aansluiting Kabel Voeding SmartCard Interface

Desktop Reader USB (Universal Serial Bus) 190 cm Van USB Interface 100.000 insertion cycles

Pagina 17 van 25

Stroomverbruik Status-indicatie Overdrachtssnelheid Protocol-ondersteuning Drivers Certificering

60 mA 2x LED met de PC: USB 2.0 full speed: 12 MBPS; met de Card: tot 420Kbps T=0, T=1, 2-wire: SLE4432, SLE4442 (S=10), 3-wire: SLE4418, SLE4428 (S=9), I2C (S=8), SLE 4404 PC/SC, CT-API; MS: WHQL; EMV2000

Voor andere typen: zie specificaties van de leverancier Omnikey.com 5

Publicatie

De certificaten worden gepubliceerd in de LDAP directory. 5.1

Raadpleging certificaten

De certificaten in de directory kunnen anoniem worden geraadpleegd via het servicecentrum (https://service.diginotar.nl) Bij het raadplegen van het certificaat op het servicecentrum (https://service.diginotar.nl) wordt tevens de geldigheid van het certificaat gecontroleerd en weergegeven..

Pagina 18 van 25

6

Validatie

De certificaten kunnen gratis worden gevalideerd op de website van het servicecentrum van DigiNotar (https://service.diginotar.nl). Deze validatie is actueel. De Certificate Revocation List - CRL - wordt eens per 24 uur gepubliceerd op http://service.diginotar.nl/crl/qualified/latestCRL.crl

Ook kan na het sluiten van een desbetreffende overeenkomst gebruik worden gemaakt van een meer actuele CRL . De CRL wordt hiertoe eens per halfuur in de LDAP server van DigiNtoar gepubliceerd waartoe toegang verkregen kan worden. Voor online validatie kan eveneens na het sluiten van een desbetreffende overeenkomst gebruik worden gemaakt van OCSP (Online Certificate Status Protocol). Deze validatie kan gecombineerd worden met de controle van aanvullende gegevens. De laatste twee toepassingsmogelijkheden worden hieronder nader toegelicht. 6.1

CRL

DigiNotar hanteert de RFC 3280 („Internet X.509 Public Key Infrastructure Certificate and CRL Profile‟) voor generatie van de Certificate Revocation List. Op de LDAP server staat de CRL in een entry waarvan de exacte inhoud bij het afsluiten van genoemde overeenkomst zal worden verstrekt: C= NL O= DigiNotar CRL CN= in te vullen Deze entry wordt door DigiNotar bereikbaar gemaakt door het ter beschikking stellen van username en wachtwoord aan klanten die van deze dienstverlening gebruik willen maken. Op basis van een LDAP toolkit/browser, die voldoet aan de standaarden van RFC 2255, is het mogelijk om de CRL uit de LDAP op te halen. De CRL bestaat uit de volgende velden: Veld Waarde Version X.509 versie Issuer Naam van de ondertekenende instantie

Effective date

Datum van uitgifte

Next Update

Datum waarop de volgende CRL uiterlijk moet worden uitgegeven Het gebruikte algoritme waarmee de CRL is ondertekend O.I.D voor een oplopend volgnummer

Signature Algorithm 2.5.29.20

Invulling V2 DigiNotar Qualified CA, DigiNotar, NL, [email protected] Thursday, March 18, 2004 4:32:16 PM Saturday, March 20, 2004 4:32:16 PM Sha1RSA 2.5.29.20

Pagina 19 van 25

voor elke CRL. Een overzicht van alle ingetrokken certificaten op basis van hun serienummer. SignatureValue Dit veld bevat de digitale handtekening Revoked Certificates

Lijst van certificaten met Serial Number en Revocation date Digitale handtekening

De CRL‟s hebben een geldigheid van 48 uur. De CRL‟s worden elk half uur ververst en gepubliceerd in de LDAP en elke 24 uur naar het CDP op de DigiNotar website. In Bijlage 3 is een voorbeeld te zien van de DigiNotar Qualified CRL zoals deze in Microsoft Windows te zien is. Daarnaast is in deze bijlage een afdruk te zien van alle velden die de DigiNotar Qualified CRL bevat. 6.2

OCSP

DigiNotar hanteert de RFC 2560: Status Protocol voor de online validatie van certificaten. Op basis van een getekend OCSP request of IP-nummers wordt door DigiNotar de OCSP server bereikbaar gemaakt voor klanten die van deze dienstverlening gebruik willen maken.

Pagina 20 van 25

7

Bijlage 1; Specificaties G&D Starcos 2.3

STARCOS has first been developed in 1987. It is the market proven smart card operating system and workhorse for G&D smart card applications. The state machine concept enables to put multiple applications on a single card which are completely separated. STARCOS S is available on a wide range of hardware and provides a complete set of ISO, EMV and proprietary enhanced commands. As a reflection of G&D's security philosophy even the entry version features symmetric triple-DES cryptography resistant to all known attacks.

Memory on the smart card 32K

card level

card OS level

PKCS #15 level

STARCOS operating system 12KB

Public space 9014 bytes (+/- 9KB)

Private space 1024 bytes (1KB)

Memory available for applications 20KB

Administrative files and key-pairs 10442 bytes (+/- 10KB)

In both versions of STARCOS a great emphasis has been put on compliance with existing and forthcoming ISO/IEC and other industry standards as for e.g. EMV, DIN for Digital Signatures and others. RSA up to 1024 bit for: o Digital signature generation and verification o Data encryption and decryption o Key generation o Asymmetric authentication including session key exchange for secure messaging Commands are compatible to ISO 7816-8 Hash algorithm SHA-1 PKCS-1 padding Master-Slave authentication Delivery PIN mechanism PKCS#11 client server authentication support Signature application according to preliminary "Norm V DIN 66291" evaluated according to ITSEC E4 strong

Pagina 21 van 25

8

Bijlage 2; Specificaties SafeSign Middleware

SafeSign includes all functionality necessary to use hardware tokens in a variety of Public Key Infrastructures (PKIs). This includes: Cryptographic Service Provider (CSP) for integration in Microsoft applications supporting Microsoft CryptoAPI including Internet Explorer, Outlook Express and Outlook. PKCS#11 for integration with Netscape Communicator. PKCS#11 for integration with Baltimore PKI. PKCS#12 support. PKCS#15 support. Windows 2000 logon support. PC/SC v1.0 support. End user documentation. No developer documentation is included. A list of supported PKCS #11 functions and mechanisms is available on request. All documentation and user dialogs are in the English language. InstallShield procedure for PKCS#11, CSP and Token Management Utility installation. Token Management Tool for token (re-) initialisation, token visualisation, import of Digital IDs (including certificate chains), visualisation/deletion of certificates/objects, change PIN/PUK, unlock PIN and automatic registration/deregistration of certificates at Microsoft environment.

Pagina 22 van 25

Completed tokens do not contain any files, keys, certificates, PIN, PUK or token label. Completed tokens are completed with a „series‟ (or „test‟) completion indicated by an „S‟ (respectively „T‟) in the STARCOS SPK 2.3 completion file name. Test completed tokens should only be used by customers for evaluation purposes. Initialised tokens are completed tokens with existing file system (PKCS#15 structure, working with SafeSign), defined PIN, PUK and token label. However, initialised tokens still do not contain any keys, certificates or objects. Completed tokens can be initialised with the Initialise token feature of Token Management Utility, which is part of SafeSign. DigiNotar can define an arbitrary PIN, PUK and token label for a token and import CA certificates with this feature. If already initialised tokens are delivered to the customer, he can skip this initialisation step, however, he must know the PIN/PUK/token label set by the initialisation in order to make use of the token. After token initialisation, keys, certificates or other objects can be generated or loaded imported onto the token as long as enough space is available on the token (see Table 1 below). This process is called personalisation, due to the fact personal data is written to the token. With Change PIN / Change PUK features, PIN and PUK can be changed and with Delete Digital ID / Delete Objects, objects can be deleted selectively by the user (e.g. after certificate renewal an old certificate can be deleted). Initialised or personalised tokens can be re-initialised with the Initialise Token feature. This means all keys/certificates/objects are deleted on the token. für SPK2 Personalisation Completed token

no files no keys/certs no PIN/PUK/Label

Initialise token creating file system setting PIN/PUK/Label

Initialise token deletes all keys/certs/objects PUK must be known for series completed token

Delete Digital ID (only certs) Delete Object (all keys/certs/objects)

Initialised token existing, empty files with PKCS#15 structure no keys/certs/objects set PIN/PUK/Label

Personalisation Import Digital ID Cert Web Enrollment Create Objects with PKCS#11

Personalised token key/certs/object on card private/public objects

Change PIN Change PUK

Table 1: Life cycle of a token (can be managed with the Token Management Utility of SafeSign)

Pagina 23 van 25

9

Bijlage 3; Voorbeeld CRL inhoud Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha1WithRSAEncryption Issuer: /[email protected]/C=NL/O=DigiNotar/CN=DigiNotar Qualified CA Last Update: Mar 18 15:32:16 2004 GMT Next Update: Mar 20 15:37:16 2004 GMT CRL extensions: X509v3 CRL Number: 116 Revoked Certificates: Serial Number: 03F7 Revocation Date: Nov 27 21:50:59 2003 GMT Serial Number: 03F8 Revocation Date: Nov 27 21:51:03 2003 GMT Serial Number: 03F5 Revocation Date: Nov 27 21:51:47 2003 GMT Serial Number: 03F6 Revocation Date: Nov 27 21:51:53 2003 GMT Serial Number: 0401 Revocation Date: Nov 28 10:07:39 2003 GMT Serial Number: 03EF Revocation Date: Dec 1 13:56:42 2003 GMT Signature Algorithm: sha1WithRSAEncryption 55:c6:98:0b:87:d2:22:2a:8a:92:b2:2d:54:31:3b:1d:80:3c: 8b:82:fb:b6:5a:5a:4d:63:35:00:ff:ed:86:db:08:b6:52:be: ca:ba:cd:df:c4:c4:44:a4:3c:b9:7b:cd:24:f4:14:18:37:34: e7:81:5b:51:74:5e:ab:9f:72:d4:46:56:0a:3c:e5:8d:36:f4: 84:40:31:ce:55:12:ca:cd:7b:86:ed:66:73:48:1e:fc:32:6e: e0:34:f9:37:24:c9:41:c2:fd:5e:de:f8:fa:cb:13:0b:9b:c7: 0a:7b:f8:1d:f3:8f:23:03:6e:a2:0f:f3:75:b8:a8:8b:66:54: 72:52:24:f3:95:8e:65:27:36:da:93:c3:87:dd:cb:02:d0:b6: b0:dc:47:fc:6c:fc:21:f9:52:11:ef:df:7b:9f:c2:09:33:42: 2e:df:5b:6e:74:b5:1b:84:bf:16:68:0f:07:65:2e:3f:5a:3d: 19:74:b1:b0:a0:5c:d7:20:6f:c9:fb:5a:b9:25:51:80:c0:b3: b4:08:79:a6:0b:2d:16:9d:27:17:5d:8b:c0:f1:ac:b0:b8:0c: 94:a0:38:db:e4:69:7e:af:71:0c:7a:51:a3:a8:b8:c9:fc:25: 55:36:43:4c:a0:f4:e6:4c:3c:58:4a:29:a3:d0:a4:01:7d:3c: cb:64:2e:4b -----BEGIN X509 CRL----MIICPjCCASYCAQEwDQYJKoZIhvcNAQEFBQAwZDEgMB4GCSqGSIb3DQEJARYRaW5m b0BkaWdpbm90YXIubmwxCzAJBgNVBAYTAk5MMRIwEAYDVQQKEwlEaWdpTm90YXIx HzAdBgNVBAMTFkRpZ2lOb3RhciBRdWFsaWZpZWQgQ0EXDTA0MDMxODE1MzIxNloX DTA0MDMxOTE1MzcxNlowfjATAgID9xcNMDMxMTI3MjE1MDU5WjATAgID+BcNMDMx MTI3MjE1MTAzWjATAgID9RcNMDMxMTI3MjE1MTQ3WjATAgID9hcNMDMxMTI3MjE1 MTUzWjATAgIEARcNMDMxMTI4MTAwNzM5WjATAgID7xcNMDMxMjAxMTM1NjQyWqAO MAwwCgYDVR0UBAMCAXQwDQYJKoZIhvcNAQEFBQADggEBAFXGmAuH0iIqipKyLVQx Ox2APIuC+7ZaWk1jNQD/7YbbCLZSvsq6zd/ExESkPLl7zST0FBg3NOeBW1F0Xquf ctRGVgo85Y029IRAMc5VEsrNe4btZnNIHvwybuA0+TckyUHC/V7e+PrLEwubxwp7 +B3zjyMDbqIP83W4qItmVHJSJPOVjmUnNtqTw4fdywLQtrDcR/xs/CH5UhHv33uf wgkzQi7fW250tRuEvxZoDwdlLj9aPRl0sbCgXNcgb8n7WrklUYDAs7QIeaYLLRad Jxddi8DxrLC4DJSgONvkaX6vcQx6UaOouMn8JVU2Q0yg9OZMPFhKKaPQpAF9PMtk Lks= -----END X509 CRL-----

Pagina 24 van 25

Pagina 25 van 25