Die Country Signing Certificate Authority (Nationale Wurzelzertifizierungsstelle für das Signieren, kurz: CSCA) wird vom Bundesamt für Sicherheit in der Informationstechnik betrieben. Hier werden regelmäßig die deutschen Wurzelzertifikate (CSCA-Zertifikate) erstellt, mit deren privaten Schlüsseln die Document Signer Zertifikate (Zertifikate für das Signieren von Daten auf (Ausweis-)Dokumenten) des Pass- bzw. Ausweisherstellers signiert werden.

Der Pass- bzw. Ausweishersteller nutzt die privaten Schlüssel der Document Signer Zertifikate, um damit Dateien im elektronischen Ausweisdokument zu signieren. Das Document Signer Zertifikat wird ebenfalls elektronisch im Ausweisdokument gespeichert.

Mit Hilfe des Wurzelzertifikats kann nun überprüft werden, ob ein elektronisches Ausweisdokument wirklich im offiziellen Auftrag der ausstellenden Nation (in diesem Fall der Bundesrepublik Deutschland) hergestellt wurde, und ob die Daten seit der Produktion in irgendeiner Weise verändert wurden.

Technisch wird dies mittels der Passiven Authentisierung im Rahmen der Ausweis- oder Grenzkontrolle umgesetzt.

Damit auch international mit Hilfe der Passiven Authentisierung eine Aussage über die Echtheit und Unverfälschtheit der Ausweisdokumente aus verschiedenen Nationen getroffen werden kann, müssen die CSCA-Zertifikate der einzelnen Nationen untereinander vertrauenswürdig ausgetauscht werden.

Dies geschieht entweder über den diplomatischen Austausch oder mit Hilfe von Masterlisten, welche u.a. über das ICAO-PKD ausgetauscht werden. Eine Masterliste beinhaltet gültige Wurzelzertifikate, welche der Aussteller der Masterliste als vertrauenswürdig erachtet. Dies sind meist die Wurzelzertifkate für die Ausweisdokumente der eigenen Nation sowie die entsprechenden Wurzelzertifikate anderer Nationen.

Die deutsche Masterliste beinhaltet die aktuell gültigen CSCA-Zertifikate sowie vertrauenswürdige Wurzelzertifikate von über 80 Nationen. Die deutsche Masterliste finden Sie auch auf unserer Website.

Wenn zwei Nationen ihre Wurzelzertifikate einmal vertauenswürdig ausgetauscht haben, können die folgenden Wurzelzertifikate mit Hilfe von sogenannten Link-Zertifikaten ausgetauscht werden. Ein Link-Zertifikat beinhaltet den öffentlichen Schlüssel und den Namen des Inhabers des neuen Wurzelzertifikats, ist aber mit dem privaten Schlüssel des vorhergehenden Wurzelzertifikats signiert und verweist auch auf denselben Zertifikatsaussteller. Der Gültigkeitszeitraum des Link-Zertifikats kann genauso lang sein, wie beim neuen Wurzelzertifikat, er ist in der Regel aber kürzer.

So kann mit Hilfe des vorhergehenden Wurzelzertifikats und des Link-Zertifikats die Echtheit und Unverfälschtheit des neuen selbst signierten Wurzelzertifikats geprüft werden.

Das aktuelle deutsche Wurzelzertifikat sowie das zugehörige Link-Zertifikat sind auch auf unserer Website zu finden.

Kontakt zur CSCA

Sie können jederzeit per eMail (csca-germany@bsi.bund.de) mit der CSCA Kontakt aufnehmen.
Für eine verschlüsselte Kommunikation verwenden Sie bitte das S/MIME Zertifikat. Die eMail-Adresse der CSCA ist in der "SubjectAlternativeName" Extension der Zertifikate enthalten.

Oder schreiben Sie uns unter:

Bundesamt für Sicherheit in der Informationstechnik
Referat DI 14 / CSCA
Postfach 200363
53133 Bonn