Indiens landesweite Public-Key-Infrastruktur basiert auf der Wurzel-CA von Controller of Certifying Authorities (CCA)

Die Root-Zertifizierungsstelle Indiens nationaler PKI basiert auf der Technologie von Nexus.

Die Regierungsorganisation Controller of Certifying Authorities (CCA) will das Wachstum von eCommerce und eGovernance durch den breiten Einsatz digitaler Signaturen in Indien fördern. Um die gegenseitige Anerkennung digitaler Signaturen zwischen verschiedenen Organisationen in Industrie und Verwaltung zu ermöglichen, wurde eine landesweite PKI (Public Key Infrastructure) mit einer nationalen Root-Zertifizierungsstelle bei CCA geplant. Dafür wurde der Nexus Certificate Manager von CCA als vertrauenswürdige Plattform für die Root Certifying Authority of India (RCAI) ausgewählt. Modernste Sicherheitsfunktionen, Standardkonformität und Flexibilität des Produkts waren entscheidende Kriterien für die Auswahl.

IT Act 2000 – Vertrauen fördert Wachstum von eCommerce und eGovernment

Controller of Certifying Authorities (CCA) ist eine staatliche Organisation mit Sitz in Neu Delhi, Indien. CCA wurde von der Zentralregierung gemäß § 17 des IT-Gesetzes 2000 (IT Act 2000) gegründet und hat den Betrieb am 1. November 2000 aufgenommen. CCA will das Wachstum von eCommerce und eGovernance durch den breiten Einsatz digitaler Signaturen in Indien fördern. Die Aufgabe der Organisation besteht darin, durch die Entwicklung der erforderlichen politischen Maßnahmen und einer interoperablen Infrastruktur gemäß den verschiedenen Bestimmungen des IT Act 2000 Vertrauen für digitale Technologien zu schaffen. Das Gesetz enthält die Vorschriften und Richtlinien für die Ausstellung und Nutzung digitaler Zertifikate, die Voraussetzung für digitale Signaturen sind. Zu diesem Zweck hat CCA die Root Certifying Authority of India (RCAI) gegründet. Organisationen und Endanwender, die elektronische Signaturen erstellen möchten, erhalten ihre Zertifikate von lizenzierten Zertifizierungsstellen (CAs), die wiederum ihre Zertifikate von der RCAI beziehen. Auf diese Weise dient die RCAI als vertrauenswürdige Basis für die Validierung von elektronischen Signaturen. Die RCAI ist darüber hinaus für die Bereitstellung von Zertifikatssperrlisten (CRLs) der lizenzierten CAs verantwortlich.

Plattform für die Zertifikatsverwaltung

CCA benötigte eine Lösung, die ein vertrauenswürdiges, standardbasiertes und offenes System für die Erstellung und Verwaltung von elektronischen Zertifikaten bereitstellt. Der Nexus Certificate Manager wurde aufgrund seines flexiblen Designs, seiner starken Sicherheitsmechanismen und der Konformität zu PKI-Standards ausgewählt. Die Plattform ist flexibel, multi-CA-fähig und bietet GUI-basierte Unterstützung für verschiedene Prozesse wie z.B.:

  • Verwaltung von CA-Schlüsseln und Richtlinien
  • Verwaltung von CA-Benutzern (Sicherheitsadministratoren und Operatoren)
  • Benutzerschlüsselverwaltung, Registrierung, Zertifikatserstellung, Erstellung von Zertifikatssperrlisten (CRLs), Token-/Kartenverwaltung, PIN-Briefdruck, Zertifikatsveröffentlichung und -distribution, E-Mail-Funktion
  • sichere Erstellung und Speicherung der Root-CA-Schlüssel
  • Cross-Zertifizierung für lizenzierte Zertifizierungsstellen (CAs)

Systemaufbau

Die Lösung ist in einer Hochsicherheitseinrichtung installiert und besteht aus zwei Nexus Certificate Manager Systemen (Instanzen) im aktiven/passiven Modus, die eine hohe Verfügbarkeit gewährleisten. Die Daten beider Systeme werden kontinuierlich gespiegelt, um jederzeit Konsistenz zu gewährleisten. Für die Funktionalität ist es unerheblich, welches der beiden Systeme gerade aktiv ist. Auf Hardware-Sicherheitsmodulen (HSMs), die die Sicherheitsstufe FIPS 140-2 unterstützen, werden die privaten Schlüssel der Root-Zertifizierungsstelle erstellt und gespeichert. Ein zweiter Standort in Bangalore beherbergt eine Disaster-Recovery-Installation, die bei einem Ausfall des primären Standorts sofort übernehmen kann. Die Disaster-Recovery-Installation des zweiten Standortes ist eine exakte Kopie der Primärinstallation.

Realisierung in enger Zusammenarbeit

Das Projekt wurde gemeinsam mit einem lokalen Partner durchgeführt, der für die Abwicklung nach einem mehrstufigen Projektplan vor Ort verantwortlich war. Nexus steuerte die CA-Software und das Know-how für die PKI-Lösung bei. Ein wesentlicher Punkt war der Wissenstransfer zum lokalen Partner und dem CCA-Team. Ein Experte von Nexus war mehrfach vor Ort in Neu Delhi, um die Softwarelösung zu installieren und zu konfigurieren. Zu den Aufgaben von Nexus gehörte außerdem die Beratung in technischen und organisatorischen Fragen sowie bei der Einrichtung geeigneter Prozesse zur Gewährleistung eines sicheren Betriebs der Zertifizierungsstelle. Mit einem umfangreichen Schulungsprogramm vor Ort wurde sichergestellt, dass das Personal von CCA in der Lage ist, das System eigenständig zu bedienen und zu warten. Die Installation ist in einer Hochsicherheitseinrichtung untergebracht, zu der ausschließlich autorisiertes Personal Zugang hat. Im Laufe der Jahre wurde das System mehrfach auf aktuelle Versionen der Origo-Software aktualisiert.

Ergebnisse und Zukunftsperspektiven

Das erfolgreiche Projekt bei CCA hat weitere PKI-basierte Lösungen im großen und wachsenden indischen IT-Markt ermöglicht. Mit der zunehmenden Nutzung digitaler Signaturen wächst der Bedarf an Validierungsdiensten für Signaturen. Während die Validierungsfunktion bisher häufig innerhalb der verwendeten Software implementiert wurde, ist es sinnvoll, diese komplexe und hochsensible Funktion auf einen zentralen Server zu verlagern. CCA prüft zudem die Möglichkeit, im Rahmen der RCAI einen standardbasierten, vertrauenswürdigen Validierungsdienst einzurichten.

Weiteren Kunden-Case auswählen