Bijlage CPS DigiNotar Gekwalificeerd. Technische Specificaties

Bijlage CPS DigiNotar Gekwalificeerd Technische Specificaties versie 1.4 september 2008

Inhoudsopgave 1 Inleiding 4 2 Certificaat 5 2.1 Technisch formaat (X.509) 5 2.2 DigiNotar Gekwalificeerde Root certificaten 5 2.3 Naamspecificaties 6 2.3.1 Distinguished Name (Dname) 6 2.3.2 CommonName 6 2.4 Karakters 7 2.5 Unieke Nummering 7 2.5.1 Nummering van organisaties 7 2.5.2 Nummering van vestigingen 8 2.5.3 Nummering van personen 8 2.6 Algoritmen 9 2.7 Sleutelparen 9 2.8 Policy OID s en certificaat typen 9 2.8.1 Niet-gekwalificeerd certificaat Encryptie 10 2.8.2 Gekwalificeerd certificaat Non-repudiation 10 2.9 Certificaat Lay-out 11 2.9.1 Generieke certificaat inhoud Digitale handtekening en Encryptie certificaat _ 11 2.9.2 Specifieke inhoud Beroepscertificaat 12 2.9.3 Definitie Beroepen en Beroepsorganisaties 13 2.9.4 Specifieke inhoud Persoonsgebonden Organisatiecertificaat 14 3 Relatie tot Richtlijn 1999/93/EC 15 3.1 Bijlage I van de Richtlijn 15 3.2 Bijlage II van de Richtlijn 16 4 Tokens 16 4.1 Algemeen 16 4.2 Specificatie hardware tokens 17 4.3 Middleware 17 4.4 Smartcardreaders 17 4.4.1 CardMan 3121 USB 17 5 Publicatie 18 5.1 Raadpleging certificaten 18 6 Validatie 19 6.1 CRL 19 Pagina 2 van 25

6.2 OCSP 20 7 Bijlage 1; Specificaties G&D Starcos 2.3 21 8 Bijlage 2; Specificaties SafeSign Middleware 22 9 Bijlage 3; Voorbeeld CRL inhoud 24 Pagina 3 van 25

1 Inleiding In deze bijlage worden de technische specificaties beschreven van de gekwalificeerde certificaten zoals deze door DigiNotar worden afgegeven. De bijlage is een onderdeel van het CPS DigiNotar Gekwalificeerd (2.16.528.1.1001.1.2.2) (Certificate Practice Statement). Pagina 4 van 25

2 Certificaat 2.1 Technisch formaat (X.509) DigiNotar hanteert de RFC 3280 ( Internet X.509 Public Key Infrastructure Certificate and CRL Profile ) bij de afgifte van digitale certificaten. Deze technische standaard beschrijft de profielen van X.509 v3 certificaten en Intrekkingslijst (CRL) voor het gebruik op Internet. 2.2 DigiNotar Gekwalificeerde Root certificaten Alle gekwalificeerde DigiNotar certificaten worden onder de volgende DigiNotar Root certificaten afgegeven. of DigiNotar Root (2003) Certificaat Layout Opmerkingen Inhoud C=NL Fixed O=DigiNotar Fixed CN=DigiNotar Qualified CA Fixed E=info@diginotar.nl Fixed Serienummer (hexadecimaal) 08 Fixed Geldigheid vrijdag 24 november 2023 18:04:09 Fixed Sleutellengte RSA 2048 bits Fixed Vingerafdruk algoritme SHA 1 Fixed Vingerafdruk (hexadecimaal) 0EC2 580A 77E0 FB67 4C01 541F Fixed voor Microsoft Internet 2063 EEB9 DC2C 3F69 Explorer DigiNotar Root (2005) Certificaat Layout Opmerkingen Inhoud C=NL Fixed O=DigiNotar Fixed CN=DigiNotar Qualified CA Fixed E=info@diginotar.nl Fixed Serienummer (hexadecimaal) 5b d5 60 9c 64 17 68 cf 21 0e 35 fd fb 05 ad 41 Fixed Geldigheid maandag 21 april 2025 19:18:31 Fixed Sleutellengte RSA 2048 bits Fixed Vingerafdruk algoritme SHA 1 Fixed Vingerafdruk (hexadecimaal) ff ad 0e 26 f0 5b bc d8 06 3c Fixed voor Microsoft Internet ce 1d fa 60 24 5e 14 3d 53 80 Explorer Distributie van de DigiNotar Root certificaten vindt plaats op de volgende wijzen: Opgenomen in de PKCS#12 bestanden samen met sleutelparen en certificaat Pagina 5 van 25

Installatie via de DigiNotar website (zie www.diginotar.nl) Het DigiNotar Root certificaat (2003) is gepubliceerd in de Staatscourant van Dinsdag 23 maart 2004 op pagina 18. De vingerafdruk ziet er als volgt uit: 0EC2 580A 77E0 FB67 4C01 541F 2063 EEB9 DC2C 3F69. Toelichting Root certificaten. De DigiNotar Qualified CA uit 2003 is tot op dit moment in gebruik om gekwalificeerd persoonsgebonden organisatie certificaten uit te geven. Het gebruik van deze CA voor de uitgifte van certificaten zal op termijn worden beeindigd. De DigiNotar Qualified CA uit 2005 is in gebruik om de gekwalificeerde beroepscertificaten uit te geven. Op termijn zullen hieruit ook de gekwalificeerd persoonsgebonden organisatie certificaten worden uitgegeven. 2.3 Naamspecificaties 2.3.1 Distinguished Name (Dname) Voor de Gekwalificeerde Persoonsgebonden Organisatiecertificaten wordt de volgende Dname gehanteerd in het certificaat: C= <<Landcode>> O= <<Organisatienaam (organisatiecode)>> L= <<Plaats Straatnaam Huisnummer (locatiecode)>> OU= <<type certificaat zie CPS QC>> OU= <<Afdeling>> SerialNumber= <<Serienummer>> CN= <<Naam certificaathouder >> Voor het beroepscertificaat wordt de volgende Dname gehanteerd in het certificaat: C= <<Landcode>> OU= <<Type certificaat zie CPS QC>> OU= << Beroepsorganisatie >> SerialNumber=<<Serienummer>> CN= <<Naam certificaathouder> Het gebruik van velden kan per type certificaat verschillen, deze verschillen zijn weergegeven bij een beschrijving van de certificaat lay-out in paragraaf 2.9 De Dname is uniek voor ieder certificaat dat DigiNotar uitgeeft. In het eerste OU veld van ieder certificaat wordt het type certificaat genoemd met een verwijzing naar het CPS QC (Certificate Practice Statement DigiNotar Gekwalificeerd). 2.3.2 CommonName De CommonName wordt gegenereerd conform het Programma van Eisen van PKI-Overheid (PvE deel 3 Certificaatprofielen voor eindgebruikers en CRL): Het CommonName attribuut MOET worden ingevoerd met hoofd- en kleine letters volgens de notatie zoals gebruikt in het Nederlandse GBA register. Pagina 6 van 25

Dit betekent dat de achternaam, eerste voornaam en initialen of overige voornamen indien van toepassing, uit het wettelijk identificatiemiddel opgenomen worden in de CN. Zie hiervoor de verificatie vereisten in het CPS. De CommonName wordt als volgt opgebouwd: CN=Achternaam [voorvoegsel] voorna[a]m[en] [voorletters] [e/v Achternaam] [voorvoegsel] Bijv. CN=Achternaam van Eerstevoornaam Tweedevoornaam Echtgenoot van Voor vrouwen wordt in ieder geval de meisjesnaam opgenomen. Als zij op hebben aangeven dat zij echtgenoot van (e/v) willen opnemen in het certificaat kan dat als volgt: <meisjes-/ jongensnaam> e/v <naam partner/echtgeno(o)t(e)> 2.4 Karakters In een DigiNotar certificaat kunnen alleen de volgende karakters worden opgenomen: Alfanumeriek ( a - z, A - Z, 0 9 ) Leestekens ( ). - _ : =? @ 2.5 Unieke Nummering De DigiNotar certificaten zijn wanneer van toepassing voorzien van een unieke nummering per organisatie en vestiging. In de unieke nummering wordt een onderscheid gemaakt in een groepsnummer, een nummer voor de hoofdvestiging en een aansluitend nummer per filiaal. De landcode wordt niet gebruikt aangezien uit het certificaat blijkt aan welke (rechts)persoon in welk land het certificaat is afgegeven. 2.5.1 Nummering van organisaties Het door DigiNotar toegekende unieke nummer voor organisaties geschiedt op basis van bestaande codering of in oplopende volgorde in het klantenbestand van de betreffende categorie. De onderstaande nummering is niet limitatief. De laatste uitbreiding van de unieke nummering is te vinden op de website van DigiNotar. De nummering wordt opgenomen in het Organisation veld uit de Dname van het certificaat. Ter illustratie: Organisatie (O= ) Codering Voorbeeld KvK Organisaties 00+KvK Nummer O= Bouwbedrijf BV (0012345678) Niet KvK Organisatie 10+Uniek Nummer O= Accountantsmaatschap (1000000001) Pagina 7 van 25

Overheid 20+Uniek Nummer O= Ministerie (2000000002) Nog nader te bepalen 2.5.2 Nummering van vestigingen De nummering van de diverse vestigingen wordt voor zover mogelijk overgenomen vanuit het handelsregister van de Kamer van Koophandel. De ingeschreven organisaties zijn wettelijk verplicht alle bestaande nevenvestigingen in te schrijven bij de Kamer van Koophandel. Deze vestigingen krijgen een subdossiernummer dat bestaat uit vier (4) cijfers. Organisaties met slechts een hoofdvestiging krijgen subdossiernummer (0000). De overige organisaties die niet bij de Kamer van Koophandel ingeschreven staan, krijgen door DigiNotar een uniek nummer toegekend. De vestigingen worden opvolgend genummerd. Het subdossiernummer of het door DigiNotar toegekende nummer wordt opgenomen in het Locality veld uit de Dname van het certificaat. Ter illustratie: Organisatie Codering Voorbeeld Hoofdvestiging 0000 of L= Amsterdam Straat 8 (0000) subdossiernummer Vestiging opvolgend of subdossiernummer L= Rotterdam Laan 12 (0001) 2.5.3 Nummering van personen Voor het bewerkstelligen van de uniciteit van de Dname voor de natuurlijk persooncertificaten, genereert DigiNotar een uniek serienummer (zonder betekenis) welke aan een certificaat kan worden toegekend. Bij nieuwe aanvragen door dezelfde persoon wordt een nieuw nummer toegekend. De nummers hebben geen bedoeling als persoonsnummer. Een uniek serienummer maakt onderdeel uit van de distinguished name van de certificaathouder. De opbouw van het serienummer is als volgt: Element RootId CMSId Kaart / Volgnummer Certificaatnummer Opmerkingen Twee posities Alfanumeriek Twee posities numeriek Volgnummer van smartcard. Volgnummer voor certificaten op kaart Pagina 8 van 25

2.6 Algoritmen De algoritmen die gebruikt worden bij afgifte van DigiNotar certificaten zijn RSA (sleutellengte van 1024 en 2048 bits) en SHA-1. 2.7 Sleutelparen De digitale certificaten worden standaard afgegeven voor Digitale Handtekening met een afzonderlijk certificaat en sleutelpaar voor Encryptie. Optioneel is verstrekking van een Non-repudiation certificaat mogelijk (drie certificaatparen model Authenticatie, Digitale Handtekening en Encryptie sleutel) Het sleutelpaar voor Encryptie kan hierbij worden gearchiveerd. 2.8 Policy OID s en certificaat typen Binnen het DigiNotar model kunnen verschillende soorten gekwalificeerde certificaten worden uitgegeven. Op dit moment: a. Natuurlijk Persooncertificaat 1. b. Persoonsgebonden Organisatiecertificaat c. Beroepscertificaat In de onderstaande tabel wordt het OU veld waarin de certificaatsoort is opgenomen en de bij het certificaat horende OID weergegeven. Tevens is de Policy OID voor een non-sscd op basis van PIN code weergegeven.. Gekwalificeerde certificaten zullen certificaten ten behoeve van een gekwalificeerde handtekening op token afgegeven worden (G&D Starcos 2.3). Dit zijn Secure Signature Creation Devices (SSCD). Ontsluiting vindt plaats door middel van PIN code. Certificaatsoort Policy OID Qualified Certificate POC non-sscd Zie CPS QC 2.16.528.1.1001.1.2.2.2.1.1.X.2 Qualified Certificate POC SSCD Zie CPS QC 2.16.528.1.1001.1.2.2.2.1.2.3.2 Qualified Certificate POC SSCD Zie CPS QC 2.16.528.1.1001.1.2.2.2.1.2.4.2 Qualified Certificate Beroep non-sscd Zie CPS QC 2.16.528.1.1001.1.2.2.3.1.1.X.2 Qualified Certificate Beroep SSCD Zie CPS QC 2.16.528.1.1001.1.2.2.3.1.2.3.2 Qualified Certificate Beroep SSCD Zie CPS QC 2.16.528.1.1001.1.2.2.3.1.2.4.2 Qualified Certificate Persoon non-sscd Zie CPS QC 2.16.528.1.1001.1.2.2.11.1.1.X.2 Qualified Certificate Persoon SSCD Zie CPS QC 2.16.528.1.1001.1.2.2.11.1.2.3.2 Qualified Certificate Persoon SSCD Zie CPS QC 2.16.528.1.1001.1.2.2.11.1.2.4.2 1 De natuurlijke persoonscertificaten worden in dit document niet verder uitgewerkt omdat ze op dit moment niet worden uitgegeven, maar voor de volledigheid zijn ze wel in het schema opgenomen. Pagina 9 van 25

2.8.1 Niet-gekwalificeerd certificaat Encryptie Dit certificaat wordt op smartcard meegeleverd met een gekwalificeerd certificaat. In de onderstaande tabel wordt het OU veld waarin de certificaatsoort is opgenomen en de bij het certificaat horende OID weergegeven. Certificaatsoort Policy OID Persoonsgebonden Organisatiecertificaat Encryptie 2.16.528.1.1001.1.2.2.2.2.2.3.2 Zie CPS QC Persoonsgebonden Organisatiecertificaat Encryptie 2.16.528.1.1001.1.2.2.2.2.2.4.2 Zie CPS QC Beroepscertificaat Encryptie Zie CPS QC 2.16.528.1.1001.1.2.2.3.2.2.3.2 Beroepscertificaat Encryptie Zie CPS QC 2.16.528.1.1001.1.2.2.3.2.2.4.2 Natuurlijk Persooncertificaat Encryptie Zie CPS QC 2.16.528.1.1001.1.2.2.11.2.2.3.2 Natuurlijk Persooncertificaat Encryptie Zie CPS QC 2.16.528.1.1001.1.2.2.11.2.2.4.2 2.8.2 Gekwalificeerd certificaat Non-repudiation Optioneel is verstrekking van een Non-repudiation certificaat op dezelfde smartcard mogelijk. Dit is een gekwalificeerd certificaat. In de onderstaande tabel wordt het OU veld waarin de certificaatsoort is opgenomen en de bij het certificaat horende OID weergegeven. Certificaatsoort Policy OID Qualified Certificate POC non-sscd Zie CPS QC 2.16.528.1.1001.1.2.2.2.3.1.X.2 Qualified Certificate POC SSCD Zie CPS QC 2.16.528.1.1001.1.2.2.2.3.2.3.2 Qualified Certificate POC SSCD Zie CPS QC 2.16.528.1.1001.1.2.2.2.3.2.4.2 Qualified Certificate Beroep non-sscd Zie CPS QC 2.16.528.1.1001.1.2.2.3.3.1.X.2 Qualified Certificate Beroep SSCD Zie CPS QC 2.16.528.1.1001.1.2.2.3.3.2.3.2 Qualified Certificate Beroep SSCD Zie CPS QC 2.16.528.1.1001.1.2.2.3.3.2.4.2 Qualified Certificate Persoon non-sscd Zie CPS QC 2.16.528.1.1001.1.2.2.11.3.1.X.2 Qualified Certificate Persoon SSCD Zie CPS QC 2.16.528.1.1001.1.2.2.11.3.2.3.2 Qualified Certificate Persoon SSCD Zie CPS QC 2.16.528.1.1001.1.2.2.11.3.2.4.2 Pagina 10 van 25

2.9 Certificaat Lay-out 2.9.1 Generieke certificaat inhoud Digitale handtekening en Encryptie certificaat Per token worden twee certificaten geplaatst, één gekwalificeerdcertificaat voor de digitale handtekening en één niet-gekwalificeerd encryptie certificaat voor het gebruik bij versleuteling van gegevens. Waar de inhoud van deze laatste afwijkt is dit aangegeven. Op verzoek kan ook een derde certificaat met non-repudiation key-usage worden verstrekt. Onderdeel Waarde Digitale Handtekening Algemeen signaturealgorithm.algorithm sha-1withrsaencryption signaturevalue Handtekening van DigiNotar over het certificaat tbscertificate version v3 serialnumber Uniek certificaat serienummer signature sha-1withrsaencryption validity.notbefore (4 jaar) Begintijd en datum validity.notafter Eindtijd en datum tbscertificate.subjectpublickeyinfo algorithm rsaencryption subjectpublickey Publieke sleutel van de certificaathouder tbscertificate.issuer countryname NL organizationname DigiNotar commonname DigiNotar Qualified CA emailaddress info@diginotar.nl tbscertificate.extentions.qcstatements qccompliance 1.3.6.1.5.7.0.11.1 qclimitvalue tbscertificate.extentions.keyusage tbscertificate.extentions.authoritykeyidentifier keyidentifier tbscertificate.extentions.subjectkeyidentifier keyidentifier tbscertificate.extentions.authorityinfoaccess tbscertificate.extentions.crldistributionpo ints Wordt niet opgenomen voor encryptie certificaat Wordt niet standaard opgenomen Digital Signature Voor encryptie: Data Encryption, Key Encryption KeyID van DigiNotar rootcertificaat KeyID van houdercertificaat http://validation.diginotar.nl http://service.diginotar.nl/crl/qualified/latestcrl.crl Pagina 11 van 25

2.9.2 Specifieke inhoud Beroepscertificaat Onderdeel Waarde Digitale Handtekening tbscertificate.subject countryname Landcode organizationalunit Qualified Certificate Beroep SSCD Zie CPS QC of Beroepscertificaat Encryptie Zie CPS QC organizationalunit Naam Beroepsorganisatie 2 serialnumber Uniek DigiNotar serienummer commonname Naam certificaathouder (achternaam en alle voornamen) 3 title Beroep 1 tbscertificate.subjectdirectoryattributes dateofbirth Geboortedatum certificaathouder 4 placeofbirth Geboorteplaats certificaathouder gender Geslacht certificaathouder 5 tbscertificate.subjectaltname rfc822name Emailadres certificaathouder tbscertificate.extentions.certificatepolicies PolicyIdentifier 2.16.528.1.1001.1.2.2.3.1.2.3.2 voor encryptie 2.16.528.1.1001.1.2.2.3.2.2.3.2 policyqualifiers.qualifier.cpsuri http://www.diginotar.nl/cps policyqualifiers.qualifier.usernotice.explicitte Conditions, as mentioned on our website xt (www.diginotar.nl), are applicable to all our products and services. 2 Zie Definitie Beroepen en Beroepsorganisaties. 3 Conform de notatie van de voornamen (of voorletters) in het identiteitsbewijs op basis waarvan de certificaataanvraag is gedaan. 4 YYYYMMDD 5 Male (M) of Female (F) Pagina 12 van 25

2.9.3 Definitie Beroepen en Beroepsorganisaties Met onderstaande beroepsorganisaties zijn afspraken gemaakt omtrent de specifieke invulling van een gekwalificeerd beroepscertificaat behorende bij een specifieke beroepsgroep. Onderstaande omschrijvingen worden onderscheiden: Naam beroepsorganisatie Koninklijke Notariele Beroepsorganisatie Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders (i.s.m. Stichting Netwerk Gerechtsdeurwaarders) Naam Beroepsorganisatie (OU=) Ou=Koninklijke Notariele Beroepsorganisatie Ou=Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders Beroep (Title=) title=notaris title=waarnemer Notaris title=gerechtsdeurwaarder title=waarnemend Gerechtsdeurwaarder title=toegevoegd Kandidaat- Gerechtsdeurwaarder Pagina 13 van 25

2.9.4 Specifieke inhoud Persoonsgebonden Organisatiecertificaat Onderdeel Waarde Digitale Handtekening tbscertificate.subject countryname Landcode organizationname Organisatienaam (organisatiecode) locality Plaats Straatnaam Huisnummer (locatiecode) organizationalunit Zie Certificaat typen Qualified Certificate POC SSCD Zie CPS QC of Persoonsgebonden Organisatiecertificaat Encryptie Zie CPS QC organizationalunit Afdeling serialnumber Uniek DigiNotar serienummer commonname Naam certificaathouder (achternaam en voornamen) 6 tbscertificate.subjectaltname rfc822name Emailadres certificaathouder tbscertificate.extentions.certificatepolicies PolicyIdentifier 2.16.528.1.1001.1.2.2.3.1.2.3.2 of, voor encryptie 2.16.528.1.1001.1.2.2.3.2.2.3.2 policyqualifiers.qualifier.cpsuri http://www.diginotar.nl/cps policyqualifiers.qualifier.usernotice.explicitte Conditions, as mentioned on our website (www.diginotar.nl), xt are applicable to all our products and services. 6 Conform de (GBA) notatie van de voorna(a)m(en) (en initialen) in het identiteitsbewijs op basis waarvan de certificaataanvraag is gedaan. Pagina 14 van 25

3 Relatie tot Richtlijn 1999/93/EC Dit hoofdstuk beschrijft hoe de eisen van de Richtlijn door DigiNotar zijn geïmplementeerd. 3.1 Bijlage I van de Richtlijn Eis volgens Bijlage I van de Richtlijn a) de vermelding dat het certificaat als gekwalificeerd certificaat wordt afgegeven; b) de identificatie en het land van vestiging van de afgevende certificatiedienstverlener; c) de naam van de ondertekenaar of een als zodanig geïdentificeerd pseudoniem; d) ruimte voor een specifiek attribuut van de ondertekenaar, dat indien nodig, afhankelijk van het doel van het certificaat, kan worden vermeld; e) gegevens voor het verifiëren van de handtekening die overeenstemmen met de gegevens voor het aanmaken van de handtekening die onder controle van de houder staan; f) begin en einde van de geldigheidsduur van het certificaat; Implementatie door DigiNotar In het certificaat is een id-etsi-qcs- QcCompliance statement opgenomen. In het issuer field van het certificaat wordt opgenomen; C=NL,O=DigiNotar,CN=DigiNotar Qualified CA,E=info@diginotar.nl. In het subject field worden de gecontroleerde gegevens van de certificaathouder opgenomen. Volgens de IETF Qualified Certificate Profile kunnen hiervoor de subject en subject directory attributes velden worden gebruikt. DigiNotar neemt alleen het subject veld op in het certificaat. In het certificaat wordt de Public Key opgenomen in combinatie met de overige gegevens van de certificaathouder. De geldigheidsduur volgens de ITU-T Recommendation X.509 en RFC 2459 standaarden is in het certificaat opgenomen. g) de identiteitscode van het certificaat; Het serienummer volgens de ITU-T Recommendation X.509 en RFC 2459 standaarden is in het certificaat opgenomen. h) de geavanceerde elektronische handtekening van de afgevende certificatiedienstverlener; i) voorzover van toepassing, beperkingen betreffende het gebruik van het certificaat; en; j) voor zover van toepassing, grenzen met betrekking tot de waarde van de transacties waarvoor het certificaat kan worden gebruikt. De digitale handtekening van DigiNotar volgens de ITU-T Recommendation X.509 en RFC 2459 standaarden is in het certificaat opgenomen. De beperkingen betreffende het gebruik van het certificaat worden aangegeven in de Key Usage Extention. De Key Usage wordt per certificaat beschreven in de bovenstaande hoofdstukken. Indien van toepassing wordt het opgenomen in de qcstatements extensions. Pagina 15 van 25

3.2 Bijlage II van de Richtlijn Bijlage II bevat eisen ten aanzien van certificatiedienstverleners die gekwalificeerde certificaten afgeven. Deze eisen hebben normaal gesproken geen impact op de layout van een certificaat. Sommige specifieke functies van gekwalificeerde certificaten, zie onderstaande tabel, worden door DigiNotar gebruikt om aan deze eisen te voldoen. Eis volgens Bijlage II van de Richtlijn b) Certificatiedienstverleners moeten zorgen voor een snelle en veilige directorydienst alsook voor prompte en veilige intrekking; i) Certificatiedienstverleners moeten gedurende een passende periode alle relevante informatie met betrekking tot een gekwalificeerd certificaat vastleggen; k) Certificatiedienstverleners moeten personen die een certificaat wensen op de hoogte stellen van de exacte voorwaarden voor het gebruik van het certificaat; Implementatie door DigiNotar Het valideren en intrekken van certificaten kan gebeuren via de website www.diginotar.nl van DigiNotar, onder Mijn Certificaat Retention Period wordt niet in het certificaat opgenomen. In het certificaat is binnen de Certificate Policies Extention een qualifier opgenomen van het type CPSuri. Deze CPSuri verwijst naar http://www.diginotar.nl/cps, waar het CPS DigiNotar Gekwalificeerd is te downloaden. 4 Tokens 4.1 Algemeen Een digitaal certificaat wordt in een specifiek technisch formaat afgegeven en op een token geplaatst. In de onderstaande tabel wordt de relatie tussen het technisch formaat en het type token weergegeven. Het token kan gebaseerd zijn op software of hardware. Bij bepaalde tokens wordt door DigiNotar aanvullende software meegeleverd (Middleware) bestaande uit diverse stuurprogramma s voor het gebruik van het token binnen (standaard) software en eventueel benodigde tokenlezers. Technisch formaat Type Token Aanvullende software (Middleware) PKCS#12 Software Diskette NEE PKCS#7 Aanvraag in PKCS#10 Software Virtuele kluis van browser of server NEE Pagina 16 van 25

PKCS#15 Hardware USB Smartcard JA Per type certificaat gelden restricties voor het toegestane token. 4.2 Specificatie hardware tokens DigiNotar ondersteunt de volgende hardware tokens: G&D STARCOS SPK 2.3 v7.0 Rainbow ikey 3000 with G&D STARCOS SPK 2.3 v7.0 USB Token Zie bijlage 1 voor een specificatie van de G&D STARCOS 2.3 chip. 4.3 Middleware SafeSign is een software pakket dat als doel heeft de veiligheid van internet applicaties die PKCS#11 en Microsoft CryptoAPI ondersteunen, te vergroten door middel van tokens. Het SafeSign pakket installeert de SafeSign PKCS#11 library alsmede een Cryptographic Service Provider (CSP), waardoor het mogelijk is om publieke en persoonlijke data op een persoonlijk token op te slaan, zoals een smart card of een soft token. Het systeem kan het token initialiseren (dat wil zeggen, PIN definiëren, sleutels genereren, certificaten integreren) en gebruiken voor encryptie, authenticatie of digitale handtekeningen. SafeSign kan gebruikt worden om informatie en transacties via het internet te beveiligendoor middel van het plaatsen van een digitale handtekening onder informatie en transacties. SafeSign omvat een token en software om dit token te integreren in web browsers en applicaties die het gebruik van elektronische handtekeningen ondersteunen. De software is vereist om het token te laten samenwerken met bijvoorbeeld een web browser. Zie bijlage 2 voor een nadere specificatie. 4.4 Smartcardreaders DigiNotar ondersteunt de OMNIKEY CardMan smartcardreader familie. De CardMan Reader productfamilie biedt de mogelijkheid om DigiNotar smartcards te gebruiken op iedere PC of notebook. 4.4.1 CardMan 3121 USB Type Aansluiting Kabel Voeding SmartCard Interface Desktop Reader USB (Universal Serial Bus) 190 cm Van USB Interface 100.000 insertion cycles Pagina 17 van 25

Stroomverbruik Status-indicatie Overdrachtssnelheid Protocol-ondersteuning Drivers Certificering 60 ma 2x LED met de PC: USB 2.0 full speed: 12 MBPS; met de Card: tot 420Kbps T=0, T=1, 2-wire: SLE4432, SLE4442 (S=10), 3-wire: SLE4418, SLE4428 (S=9), I2C (S=8), SLE 4404 PC/SC, CT-API; MS: WHQL; EMV2000 Voor andere typen: zie specificaties van de leverancier Omnikey.com 5 Publicatie De certificaten worden gepubliceerd in de LDAP directory. 5.1 Raadpleging certificaten De certificaten in de directory kunnen anoniem worden geraadpleegd via het servicecentrum (https://service.diginotar.nl) Bij het raadplegen van het certificaat op het servicecentrum (https://service.diginotar.nl) wordt tevens de geldigheid van het certificaat gecontroleerd en weergegeven.. Pagina 18 van 25

6 Validatie De certificaten kunnen gratis worden gevalideerd op de website van het servicecentrum van DigiNotar (https://service.diginotar.nl). Deze validatie is actueel. De Certificate Revocation List - CRL - wordt eens per 24 uur gepubliceerd op http://service.diginotar.nl/crl/qualified/latestcrl.crl Ook kan na het sluiten van een desbetreffende overeenkomst gebruik worden gemaakt van een meer actuele CRL. De CRL wordt hiertoe eens per halfuur in de LDAP server van DigiNtoar gepubliceerd waartoe toegang verkregen kan worden. Voor online validatie kan eveneens na het sluiten van een desbetreffende overeenkomst gebruik worden gemaakt van OCSP (Online Certificate Status Protocol). Deze validatie kan gecombineerd worden met de controle van aanvullende gegevens. De laatste twee toepassingsmogelijkheden worden hieronder nader toegelicht. 6.1 CRL DigiNotar hanteert de RFC 3280 ( Internet X.509 Public Key Infrastructure Certificate and CRL Profile ) voor generatie van de Certificate Revocation List. Op de LDAP server staat de CRL in een entry waarvan de exacte inhoud bij het afsluiten van genoemde overeenkomst zal worden verstrekt: C= NL O= DigiNotar CRL CN= in te vullen Deze entry wordt door DigiNotar bereikbaar gemaakt door het ter beschikking stellen van username en wachtwoord aan klanten die van deze dienstverlening gebruik willen maken. Op basis van een LDAP toolkit/browser, die voldoet aan de standaarden van RFC 2255, is het mogelijk om de CRL uit de LDAP op te halen. De CRL bestaat uit de volgende velden: Veld Waarde Invulling Version X.509 versie V2 Issuer Naam van de ondertekenende instantie DigiNotar Qualified CA, DigiNotar, NL, info@diginotar.nl Effective date Datum van uitgifte Thursday, March 18, 2004 4:32:16 PM Next Update Datum waarop de volgende CRL uiterlijk moet worden uitgegeven Saturday, March 20, 2004 4:32:16 PM Signature Het gebruikte algoritme waarmee de CRL Sha1RSA Algorithm is ondertekend 2.5.29.20 O.I.D voor een oplopend volgnummer 2.5.29.20 Pagina 19 van 25

voor elke CRL. Revoked Een overzicht van alle ingetrokken Certificates certificaten op basis van hun serienummer. SignatureValue Dit veld bevat de digitale handtekening Lijst van certificaten met Serial Number en Revocation date Digitale handtekening De CRL s hebben een geldigheid van 48 uur. De CRL s worden elk half uur ververst en gepubliceerd in de LDAP en elke 24 uur naar het CDP op de DigiNotar website. In Bijlage 3 is een voorbeeld te zien van de DigiNotar Qualified CRL zoals deze in Microsoft Windows te zien is. Daarnaast is in deze bijlage een afdruk te zien van alle velden die de DigiNotar Qualified CRL bevat. 6.2 OCSP DigiNotar hanteert de RFC 2560: Status Protocol voor de online validatie van certificaten. Op basis van een getekend OCSP request of IP-nummers wordt door DigiNotar de OCSP server bereikbaar gemaakt voor klanten die van deze dienstverlening gebruik willen maken. Pagina 20 van 25

7 Bijlage 1; Specificaties G&D Starcos 2.3 STARCOS has first been developed in 1987. It is the market proven smart card operating system and workhorse for G&D smart card applications. The state machine concept enables to put multiple applications on a single card which are completely separated. STARCOS S is available on a wide range of hardware and provides a complete set of ISO, EMV and proprietary enhanced commands. As a reflection of G&D's security philosophy even the entry version features symmetric triple-des cryptography resistant to all known attacks. card level Memory on the smart card 32K card OS level STARCOS operating system 12KB Memory available for applications 20KB PKCS #15 level Public space 9014 bytes (+/- 9KB) Private space 1024 bytes (1KB) Administrative files and key-pairs 10442 bytes (+/- 10KB) In both versions of STARCOS a great emphasis has been put on compliance with existing and forthcoming ISO/IEC and other industry standards as for e.g. EMV, DIN for Digital Signatures and others. RSA up to 1024 bit for: o Digital signature generation and verification o Data encryption and decryption o Key generation o Asymmetric authentication including session key exchange for secure messaging Commands are compatible to ISO 7816-8 Hash algorithm SHA-1 PKCS-1 padding Master-Slave authentication Delivery PIN mechanism PKCS#11 client server authentication support Signature application according to preliminary "Norm V DIN 66291" evaluated according to ITSEC E4 strong Pagina 21 van 25

8 Bijlage 2; Specificaties SafeSign Middleware SafeSign includes all functionality necessary to use hardware tokens in a variety of Public Key Infrastructures (PKIs). This includes: Cryptographic Service Provider (CSP) for integration in Microsoft applications supporting Microsoft CryptoAPI including Internet Explorer, Outlook Express and Outlook. PKCS#11 for integration with Netscape Communicator. PKCS#11 for integration with Baltimore PKI. PKCS#12 support. PKCS#15 support. Windows 2000 logon support. PC/SC v1.0 support. End user documentation. No developer documentation is included. A list of supported PKCS #11 functions and mechanisms is available on request. All documentation and user dialogs are in the English language. InstallShield procedure for PKCS#11, CSP and Token Management Utility installation. Token Management Tool for token (re-) initialisation, token visualisation, import of Digital IDs (including certificate chains), visualisation/deletion of certificates/objects, change PIN/PUK, unlock PIN and automatic registration/deregistration of certificates at Microsoft environment. Pagina 22 van 25

Completed tokens do not contain any files, keys, certificates, PIN, PUK or token label. Completed tokens are completed with a series (or test ) completion indicated by an S (respectively T ) in the STARCOS SPK 2.3 completion file name. Test completed tokens should only be used by customers for evaluation purposes. Initialised tokens are completed tokens with existing file system (PKCS#15 structure, working with SafeSign), defined PIN, PUK and token label. However, initialised tokens still do not contain any keys, certificates or objects. Completed tokens can be initialised with the Initialise token feature of Token Management Utility, which is part of SafeSign. DigiNotar can define an arbitrary PIN, PUK and token label for a token and import CA certificates with this feature. If already initialised tokens are delivered to the customer, he can skip this initialisation step, however, he must know the PIN/PUK/token label set by the initialisation in order to make use of the token. After token initialisation, keys, certificates or other objects can be generated or loaded imported onto the token as long as enough space is available on the token (see Table 1 below). This process is called personalisation, due to the fact personal data is written to the token. With Change PIN / Change PUK features, PIN and PUK can be changed and with Delete Digital ID / Delete Objects, objects can be deleted selectively by the user (e.g. after certificate renewal an old certificate can be deleted). Initialised or personalised tokens can be re-initialised with the Initialise Token feature. This means all keys/certificates/objects are deleted on the token. für SPK2 Personalisation Completed token no files no keys/certs no PIN/PUK/Label Initialise token creating file system setting PIN/PUK/Label Initialised token existing, empty files with PKCS#15 structure no keys/certs/objects set PIN/PUK/Label Initialise token deletes all keys/certs/objects PUK must be known for series completed token Personalisation Import Digital ID Cert Web Enrollment Create Objects with PKCS#11 Delete Digital ID (only certs) Delete Object (all keys/certs/objects) Personalised token key/certs/object on card private/public objects Change PIN Change PUK Table 1: Life cycle of a token (can be managed with the Token Management Utility of SafeSign) Pagina 23 van 25

9 Bijlage 3; Voorbeeld CRL inhoud Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha1withrsaencryption Issuer: /Email=info@diginotar.nl/C=NL/O=DigiNotar/CN=DigiNotar Qualified CA Last Update: Mar 18 15:32:16 2004 GMT Next Update: Mar 20 15:37:16 2004 GMT CRL extensions: X509v3 CRL Number: 116 Revoked Certificates: Serial Number: 03F7 Revocation Date: Nov 27 21:50:59 2003 GMT Serial Number: 03F8 Revocation Date: Nov 27 21:51:03 2003 GMT Serial Number: 03F5 Revocation Date: Nov 27 21:51:47 2003 GMT Serial Number: 03F6 Revocation Date: Nov 27 21:51:53 2003 GMT Serial Number: 0401 Revocation Date: Nov 28 10:07:39 2003 GMT Serial Number: 03EF Revocation Date: Dec 1 13:56:42 2003 GMT Signature Algorithm: sha1withrsaencryption 55:c6:98:0b:87:d2:22:2a:8a:92:b2:2d:54:31:3b:1d:80:3c: 8b:82:fb:b6:5a:5a:4d:63:35:00:ff:ed:86:db:08:b6:52:be: ca:ba:cd:df:c4:c4:44:a4:3c:b9:7b:cd:24:f4:14:18:37:34: e7:81:5b:51:74:5e:ab:9f:72:d4:46:56:0a:3c:e5:8d:36:f4: 84:40:31:ce:55:12:ca:cd:7b:86:ed:66:73:48:1e:fc:32:6e: e0:34:f9:37:24:c9:41:c2:fd:5e:de:f8:fa:cb:13:0b:9b:c7: 0a:7b:f8:1d:f3:8f:23:03:6e:a2:0f:f3:75:b8:a8:8b:66:54: 72:52:24:f3:95:8e:65:27:36:da:93:c3:87:dd:cb:02:d0:b6: b0:dc:47:fc:6c:fc:21:f9:52:11:ef:df:7b:9f:c2:09:33:42: 2e:df:5b:6e:74:b5:1b:84:bf:16:68:0f:07:65:2e:3f:5a:3d: 19:74:b1:b0:a0:5c:d7:20:6f:c9:fb:5a:b9:25:51:80:c0:b3: b4:08:79:a6:0b:2d:16:9d:27:17:5d:8b:c0:f1:ac:b0:b8:0c: 94:a0:38:db:e4:69:7e:af:71:0c:7a:51:a3:a8:b8:c9:fc:25: 55:36:43:4c:a0:f4:e6:4c:3c:58:4a:29:a3:d0:a4:01:7d:3c: cb:64:2e:4b -----BEGIN X509 CRL----- MIICPjCCASYCAQEwDQYJKoZIhvcNAQEFBQAwZDEgMB4GCSqGSIb3DQEJARYRaW5m b0bkawdpbm90yxiubmwxczajbgnvbaytak5mmriweaydvqqkewleawdptm90yxix HzAdBgNVBAMTFkRpZ2lOb3RhciBRdWFsaWZpZWQgQ0EXDTA0MDMxODE1MzIxNloX DTA0MDMxOTE1MzcxNlowfjATAgID9xcNMDMxMTI3MjE1MDU5WjATAgID+BcNMDMx MTI3MjE1MTAzWjATAgID9RcNMDMxMTI3MjE1MTQ3WjATAgID9hcNMDMxMTI3MjE1 MTUzWjATAgIEARcNMDMxMTI4MTAwNzM5WjATAgID7xcNMDMxMjAxMTM1NjQyWqAO MAwwCgYDVR0UBAMCAXQwDQYJKoZIhvcNAQEFBQADggEBAFXGmAuH0iIqipKyLVQx Ox2APIuC+7ZaWk1jNQD/7YbbCLZSvsq6zd/ExESkPLl7zST0FBg3NOeBW1F0Xquf ctrgvgo85y029iramc5vesrne4btznnihvwybua0+tckyuhc/v7e+prlewubxwp7 +B3zjyMDbqIP83W4qItmVHJSJPOVjmUnNtqTw4fdywLQtrDcR/xs/CH5UhHv33uf wgkzqi7fw250truevxzodwdllj9aprl0sbcgxncgb8n7wrkluydas7qieayllrad Jxddi8DxrLC4DJSgONvkaX6vcQx6UaOouMn8JVU2Q0yg9OZMPFhKKaPQpAF9PMtk Lks= -----END X509 CRL----- Pagina 24 van 25

Pagina 25 van 25