Bundesamt für Sicherheit in der Informationstechnik

Sicherheitsmechanismen in elektronischen Ausweisdokumenten

Die deutsche Country Signing Certificate Authority (CSCA)

Diese Seite enthält Informationen über die deutsche CSCA betrieben vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Der eindeutige Name ("Distinguished Name") der CSCA lautet "C=DE, O=bund, OU=bsi, CN=csca-germany".

Zertifikate zu den öffentlichen Schlüsseln der CSCA

Die CSCA benutzt zwei Arten von Schlüsselpaaren: ein Hauptschlüsselpaar und eine Anzahl von Backup-Schlüsselpaaren. Das Hauptschlüsselpaar wird benutzt, um Document Signer Zertifikate herauszugeben. Backup-Schlüsselpaare werden nur für die Wiederherstellung im Notfall verwendet, im unwahrscheinlichen Fall, dass das Hauptschlüsselpaar unbrauchbar wird, wird das erste Backup-Schlüsselpaar zum neuen Hauptschlüsselpaar usw.

DER codierte Zertifikate für die öffentlichen Schlüssel der CSCA finden Sie weiter unten. Die Informationen, die Sie benötigen, um die nachstehenden Zertifikate zu überprüfen, können Sie auf Nachfrage auch in authentisch gedruckter Form erhalten.

Zertifikatswechsel

Der nächste Wechsel des CSCA-Zertifikats ist für 2019 geplant.

Aktuelles Zertifikat zum öffentlichen Schlüssel der CSCA (Zertifikat 8/2016)

Der aktuelle öffentliche Hauptschlüssel der CSCA ist als selbst signiertes Zertifikat und als Link-Zertifikat, verifizierbar durch den vorhergehenden öffentlichen Schlüssel (d.h. mit relativem "distinguished name" SN=101) erhältlich.

Der öffentliche Schlüssel hat den relativen "distinguished name" SN=103 und den
SHA-1 "fingerprint" 1B:C7:50:B1:47:A7:55:FA:2F:25:79:20:6E:55:D2:2F:E2:E4:27:9E.

Das selbst-signierte Zertifikat des öffentlichen Schlüssels hat den
SHA-1 "fingerprint" 2C:EE:4F:E5:3C:85:99:E1:6D:96:BD:2C:15:0A:2A:25:CB:07:5C:F8.

Das Link-Zertifikat des öffentlichen Schlüssels hat den
SHA-1 "fingerprint" 6D:AD:7A:DC:65:30:17:53:30:96:02:EE:12:3F:05:6D:F0:CC:6F:DC.

Vorhergehende Zertifikate zu öffentlichen Schlüsseln der CSCA

CSCA Masterliste

Die aktuelle deutsche CSCA Masterliste kann hier als Zip-Archiv heruntergeladen werden.

Rückrufliste für Zertifikate (Certificate Revocation List, CRL)

Die "certificate revocation list" ist leer.
Bei Problemen mit dem Download der CRL, wenden Sie sich bitte an die CSCA (siehe nachfolgend).

Signaturzertifikat für den Barcode des Ankunftsnachweises

Das Zertifikat zur Prüfung der Signatur im Barcode des Ankunftsnachweises für Flüchtlinge hat den
SHA-1 "fingerprint" AA:1D:96:2E:45:29:BD:D8:66:25:2E:12:83:04:30:E1:24:33:CE:8B

Das Zertifikat zur Prüfung der Signatur im Barcode des Ankunftsnachweises für Flüchtlinge (gültig ab 15.11.2016) hat den
SHA-1 "fingerprint" 9D:93:7F:B1:95:ED:5A:AE:DC:D3:FC:79:92:F4:BB:74:0B:E2:09:1E

Kommunikation mit der CSCA

Der primäre Kommunikations-Kanal zur CSCA ist per eMail csca-germany@bsi.bund.de.
Für eine verschlüsselte Kommunikation verwenden Sie bitte das S/MIME Zertifikat. Die Adressen für den primären Kommunikations-Kanal sind in der "SubjectAlternativeName" Extension der Zertifikate enthalten. Der sekundäre Kommunikations-Kanal ist Fax mit der Nummer +49228 9582 5722.

Eingehende Information

Die CSCA kann unter anderem CSCA Link-Zertifikate, CRLs und Zertifikats-Requests empfangen. Jegliche empfangene Information wird bestätigt.

Ausgehende Information

Die Informationen, die die CSCA versendet, beinhalten u.a. DS-Zertifikate, CRLs und Benachrichtigungen bei der Aktivierung von Backup-Schlüsseln.

Auch wenn ein Kommunikationskanal mit einer vertrauenswürdigen Partei schon besteht (die eMail-Adresse ist bekannt vom SubjectAlternativeName Extension im CSCA-Zertifikat), ist eine Registrierung bei der CSCA notwendig, um solche Informationen zu erhalten. Die Registrierung sollte zumindest eine eMail-Adresse und einen Herkunftsnachweis beinhalten.