Card Management System
Die Fraunhofer-Gesellschaft betreibt eine eigene Public-Key-Infrastruktur (PKI) und strebt den Austausch des bisher eingesetzten Card Management Systems (CMS) an. Die PKI verfügt über eine mehrstufige Zertifizierungsstellenhierarchie, namentlich Fraunhofer Root CA, Fraunhofer User CA und Fraunhofer Service CA. Das Zertifikat der Fraunhofer Root CA ist von einer in den meisten Betriebssystemen und gängigen Browsern integrierten vertrauenswürdigen Stammzertifizierungsstelle signiert. Aufgrund der Verkettung hat die Fraunhofer-PKI den technischen und organisatorischen Anforderungen des Stammzertifizierungsstellenbetreibers, des CA/Browser-Forums sowie der verschiedenen Betriebssystem- bzw. Browser-Hersteller Rechnung zu tragen (Root Inclusion Policies). Zudem spielt Revisionssicherheit eine wichtige Rolle.
In der Regel erhalten alle Fraunhofer-Mitarbeiter eine Fraunhofer-Smartcard (Hauptkarte). Bisher werden StarCOS 3.0 bzw. 3.2 Karten verwendet. Jede Hauptkarte enthält drei verschiedene Zertifikate und zugehörige Schlüssel für die Anwendungsfälle Authentisierung, Signatur und Verschlüsselung. Zusätzlich ist die Zertifikatskette auf der Smartcard abgelegt. Bei Bedarf können zu einer Hauptkarte weitere Smartcardtypen erstellt werden, die z.B. nur Verschlüsselungsschlüssel und -zertifikate der zugehörigen Hauptkarte enthalten. Als Smartcard-Middleware ist zur Zeit der SafeSign identity client von A.E.T. an die Enduser ausgerollt.
Gegenstand der Ausschreibung sind die Beschaffung eines neuen Card Management Systems, um das bisher verwendete CMS SECUDE Trustmanager Enterprise abzulösen sowie Unterstützung bei der Konzeption und Durchführung der Migration.
Insbesondere muss beim Austausch des CMS eine Lösung aufgezeigt werden für den Umgang mit vorhandenem Zertifikats- und Schlüsselmaterial sowie weiteren Karten-relevanten Daten aus der Historie. Es ist sicherzustellen, dass ein PIN-Reset auch für bereits sich im Umlauf befindende Smartcards möglich bleibt. Ferner muss Key-Recovery für vorhandene und zukünftige Verschlüsselungsschlüssel unterstützt werden, so dass Schlüssel und Zertifikate sowohl auf weitere Smartcards aufgebracht als auch als PKCS#12 Token (Softtoken) exportiert werden können.
Das bisherige CMS bezieht Zertifikate (jedoch keine Schlüssel) aus einer Microsoft Windows 2003 Server CA. Ein Wechsel auf ein neues CA-Produkt ist erforderlich. Zur sicheren Ablage des Schlüsselmaterials der Fraunhofer Root und User CA ist die Anbindung von Hardware-Security-Modulen vorzusehen.
Fraunhofer erwägt eine Anbindung an eine beim DFN-Verein betriebene externe CA zur Zertifikatserzeugung vorzunehmen.
Das bisherige CMS verfügt über Schnittstellen zu einem proprietären Personalsystem, einem Verzeichnisdienst und weiteren eigens von Fraunhofer für den Trustcenter-Betrieb entwickelten Anwendungskomponenten, die sowohl die komplexe Fraunhofer Organisationsstruktur mit vielen teils verteilten Instituten an zahlreichen Standorten als auch das zugehörige Rollenmodell und die PKI-Prozesse hinsichtlich Kartenfreigabe, Kartenausgabe, Sperrung, PIN-Reset, etc. unterstützen.
Fraunhofer selbst wird im Rahmen der CMS Migration diese Prozesse restrukturieren und optimieren sowie die neben dem CMS im Trustcenter betriebenen Softwaresysteme konsolidieren. Aufgrund der Komplexität der PKI-Prozesse bei Fraunhofer muss das Card Management System deshalb über eine ausreichende Flexibilität und Anpassbarkeit z. B. in Form von APIs verfügen, um diese Optimierung zu ermöglichen.
Deadline
Die Frist für den Eingang der Angebote war 2013-04-02.
Die Ausschreibung wurde veröffentlicht am 2013-02-27.
Wer?
Wie?
Wo?
Geschichte der Beschaffung
| Datum |
Dokument |
| 2013-02-27
|
Auftragsbekanntmachung
|