F8WEB CC - Platforma e
Transkrypt
F8WEB CC - Platforma e
F8WEB CC Polityka centrum certyfikacji F8WEB © 2008 LTC Sp. z o.o. Wszelkie prawa zastrzeżone Autor: praca zespołowa pod redakcją Przemysława Sztocha Historia zmian dokumentu: Data Wersja Osoba Opis 2010-10-18 v1.0 Piotr Ożdżyński Zainicjowanie 2010-11-03 v1.1 Rafał Gagatek Dostosowanie do Polityki Certyfikacji CC Sign 2010-11-04 v1.2 Rafał Gagatek Poprawki Spis treści Podstawowe definicje...........................................................................................................................2 1. Ogólne postanowienia polityki certyfikacji......................................................................................3 1.1. Przeznaczenie certyfikatów.......................................................................................................3 1.2. Zastrzeżenia..............................................................................................................................3 2. Wystawianie certyfikatów................................................................................................................4 2.1. Składanie wniosku....................................................................................................................4 2.2. Weryfikacja wniosku................................................................................................................4 2.3. Warunki wydawania certyfikatów............................................................................................4 3. Unieważnianie certyfikatów i listy CRL...........................................................................................4 4. Zawieszanie certyfikatów ................................................................................................................4 5. Zmiana danych osobowych w certyfikacie.......................................................................................5 6. Odnowienie certyfikatu....................................................................................................................5 7. Prawa i obowiązki subskrybenta......................................................................................................5 8. Prawa i obowiązki stron ufających...................................................................................................5 9. Zakres odpowiedzialności CC..........................................................................................................5 10. Techniczne środki bezpieczeństwa.................................................................................................6 11. Odpowiedzialność za wykorzystania pary kluczy .........................................................................6 12. Zakończenie działalności CC.........................................................................................................6 Polityka Centrum Certyfikacji Podstawowe definicje Subskrybent – osoba fizyczna, podmiot prowadzący działalność gospodarczą lub instytucja, która uzyskała certyfikat i dysponuje kluczem prywatnym tego certyfikatu. Strona ufająca - osoba fizyczna, podmiot prowadzący działalność gospodarczą lub instytucja, która korzysta z certyfikatów wydawanych przez CC w celu weryfikacji poprawności użycia klucza prywatnego. CC - Centrum certyfikacji (ang. certificate authority) - jednostka wydająca elektroniczne certyfikaty tożsamości dla innych osób czy instytucji. Jest przykładem zaufanej trzeciej strony. Urząd certyfikacji wydaje certyfikat klucza publicznego, który poświadcza tożsamość właściciela klucza. Zadaniem urzędu jest sprawdzenie tożsamości osoby, której wydaje certyfikat. Inne osoby mogą sprawdzić tożsamość właściciela certyfikatu, opierając się na zaufaniu do urzędu, który wydał certyfikat. Siedziba CC – adres, pod jakim zlokalizowana jest instytucja świadcząca usługi certyfikacyjne: Urząd Miejski w Pieszycach, ul. Kościuszki 2, 58-250 Pieszyce. Centrum Certyfikacji F8WEB - Infrastruktura Klucza Publicznego wdrożona jako część Platformy E-Usług Publicznych (PEUP). Lista CRL – (ang. Certificate Revocation List ) Podpisana lista zawierająca zbiór certyfikatów, które nie powinny być uważane jako ważne dostępna w repozytorium CC. Repozytorium CC – zbiór zasobów dostępny publicznie w internecie pod adresem http://cc.peup.pl/gmpieszyce, w którym są publikowane w szczegóności: – lista CRL; – informacje kontaktowe ; – informacje związane z funkcjonowaniem CC; – certyfikat główny CC; – Polityka Certyfikacji (CP – Certificate Policy). PKI - Infrastruktura Klucza Publicznego (ang. Public Key Infrastructure) – szeroko pojęty system, w skład którego wchodzą urzędy certyfikacyjne (CC), subskrybenci certyfikatów (użytkownicy), oprogramowanie i sprzęt. Infrastruktura klucza publicznego tworzy hierarchiczną strukturę zaufania, której podstawowym dokumentem jest certyfikat klucza publicznego. Najpopularniejszym standardem certyfikatów PKI jest X.509 w wersji trzeciej. Do podstawowych funkcji PKI należą: • Weryfikacja tożsamości subskrybentów • Wymiana kluczy kryptograficznych • Wystawianie certyfikatów • Weryfikacja certyfikatów • Podpisywanie przekazu • Szyfrowanie przekazu • Potwierdzanie tożsamości • Znakowanie czasem Certyfikat klucza publicznego X.509 (ang. X.509 public key certificate) – certyfikat klucza publicznego stosowany w architekturze X.509. 2 Polityka Centrum Certyfikacji Certyfikat X.509 składa się z następujących struktur: • tbsCertificate – kontener zawierający właściwą treść certyfikatu, podlegający podpisaniu (to be signed) przez urząd certyfikacji • Version - wartość 0 dla X.509v1, wartość 2 dla obecnie obowiązującej wersji X.509v3 • Serial Number - dodatnia liczba całkowita stanowiąca unikalny identyfikator certyfikatu wydany w ramach danego urzędu certyfikacji • Signature – algorytm kryptograficzny jakiego urząd certyfikacji użył do złożenia podpisu pod strukturą tbsCertificate; wartość ta jest powtórzeniem pola Signature Algorithm umieszczonego na zewnątrz struktury tbsCertificate gwarantując jego autentyczność • Issuer - opis urzędu certyfikacji w notacji X.500 • Validity – data i czas GMT początku ważności certyfikatu oraz końca jego ważności • Subject - opis podmiotu (właściciela certyfikatu) w notacji X.500 • Subject Public Key Info - struktura zawierająca ciąg bitów klucza publicznego podmiotu oraz opis algorytmu kryptograficznego zapisany jako jego OID • Extensions - rozszerzenia ograniczające sposób korzystania z certyfikatu oraz sposób weryfikacji ścieżki certyfikacji • Signature Algorithm – algorytm kryptograficzny jakiego urząd certyfikacji użył do złożenia podpisu pod strukturą tbsCertificate • Signature Value - ciąg bitów zawierający wartość podpisu cyfrowego Podpis elektroniczny – stanowią go dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny. PEUP – Platforma E-Usług Publicznych dostępna w internecie pod adresem https://www.peup.pl. 1. Ogólne postanowienia polityki certyfikacji 1.1. Przeznaczenie certyfikatów Certyfikaty uwierzytelniania dokumentów wystawiane przez CC służą Subskrybentom do podpisywania elektronicznych dokumentów na platformie PEUP. Zakres odpowiedzialności stron jest określany na podstawie odrębnie zawartej umowy cywilno-prawnej. 1.2. Zastrzeżenia Certyfikaty wydawane przez CC nie są certyfikatami kwalifikowanymi w rozumieniu ustawy z dnia 18 września 2001 o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450). Skutki złożenia podpisu weryfikowanego na podstawie wystawionego certyfikatu nie są równorzędne ze złożeniem podpisu własnoręcznego lub podpisu weryfikowanego kwalifikowanym certyfikatem. Niniejsza Polityka Certyfikacji jest zgodna z : a) RFC 3280 : „Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile ” b) RFC 3647 (2003) : „Internet X.509 Public Key Infrastructure – Certificate Policy and Certification Practices Framework” 3 Polityka Centrum Certyfikacji 2. Wystawianie certyfikatów 2.1. Składanie wniosku Wniosek o certyfikat składany jest przez subskrybenta poprzez elektroniczny formularz dostępny przez Platformę e-Usług Publicznych (PeUP) i wysyłany przy pomocy Elektronicznej Skrzynki Podawczej (ESP). Subskrybent może wypełnić wniosek o wydanie następujących niekwalifikowanych certyfikatów: – certyfikat do podpisu i uwierzytelniania; – certyfikat dla serwera. Złożenie wniosku jest jednoznaczne z akceptacją postanowień niniejszej polityki certyfikacji oraz postanowień umowy zawieranej pomiędzy subskrybentem a CC. Umowa, o której mowa może zostać zawarta po złożeniu wniosku, ale przed wydaniem certyfikatu. 2.2. Weryfikacja wniosku Złożony wniosek jest weryfikowany pod względem prawdziwości zawartych w nim danych przez CC. Weryfikacja odbywa się poprzez sprawdzenie danych z wniosku z dowodem osobistym subskrybenta. W przypadku konieczności przedłożenia innych dokumentów subskrybent jest o tym uprzednio informowany. Po pozytywnej weryfikacji wniosku podpisywana jest umowa a certyfikat jest wydawany subskrybentowi. Forma wydawanego certyfikatu jest zależna od sposobu wygenerowania i miejsca przechowywania klucza prywatnego. Możliwe jest zapisanie certyfikatu na karcie kryptograficznej bądź innym nośniku danych a także przesłanie poprzez pocztę elektroniczną lub inny interfejs komunikacyjny (skrzynka kontaktowa PEUP). 2.3. Warunki wydawania certyfikatów Certyfikat może być wydany przez Centrum Certyfikacji (CC). Dowodem autoryzacji jest wystawiony na podstawie umowy z CC certyfikat X.509v3. Ważność certyfikatu jest zgodna z ważnością umowy. CC nie może wystawiać certyfikatów na okres dłuższy od okresu ważności własnego certyfikatu. W momencie wygaśnięcia ważności certyfikatu CC, tracą ważność wystawione przez to CC certyfikaty. Profile certyfikatów oraz list CRL są zgodne z formatami określonymi w normie ITU-T X.509 v3 . Zmiana stanu certyfikatu powoduje wygenerowanie nowej listy CRL. Certyfikat może zmienić stan z ważnego na unieważniony, z ważnego na zawieszony, zawieszony na ważny, oraz zawieszony na unieważniony. Inne zmiany stanu nie są możliwe. 3. Unieważnianie certyfikatów i listy CRL Unieważnienie certyfikatu odbywa się na wniosek subskrybenta złożony poprzez formularz elektroniczny dostępny pod wskazanym przez CC adresem na platformie PEUP lub na pisemny wniosek złożony osobiście w siedzibie CC. Unieważniony certyfikat umieszczany jest na liście unieważnionych certyfikatów (CRL) dostępnej w repozytorium pod adresem wskazanym przez CC. Umieszczenie na liście odbywa się w ciągu jednego dnia roboczego od momentu potwierdzenia przyjęcia i przetworzenia wniosku o unieważnienie. 4. Zawieszanie certyfikatów Zawieszenie certyfikatu odbywa się na wniosek subskrybenta złożony poprzez formularz elektroniczny dostępny pod wskazanym przez CC adresem na platformie PEUP lub na pisemny 4 Polityka Centrum Certyfikacji wniosek złożony osobiście w siedzibie CC. Zawieszony certyfikat umieszczany jest na liście unieważnionych certyfikatów (CRL) dostępnej w repozytorium pod wskazanym adresem. Umieszczenie na liście odbywa się w ciągu jednego dnia roboczego od momentu potwierdzenia przyjęcia i przetworzenia wniosku o zawieszenie. Po upływie 7 dni od zawieszenia certyfikat automatycznie jest unieważniany. Cofnięcie zawieszenia odbywa się na wniosek subskrybenta złożony poprzez formularz elektroniczny dostępny pod wskazanym przez CC adresem na platformie PEUP lub na pisemny wniosek złożony osobiście w siedzibie CC. W okresie zawieszenia Certyfikatu, czynności związane z jego wykorzystaniem (np. złożenie podpisu elektronicznego) uważa się za ważne i wiążące o ile zawieszenie Certyfikatu zostało uchylone. 5. Zmiana danych osobowych w certyfikacie Zmiana danych osobowych w certyfikacie odbywa się na wniosek subskrybenta złożony poprzez formularz elektroniczny dostępny pod wskazanym przez CC adresem na platformie PEUP lub na pisemny wniosek złożony osobiście w siedzibie CC. 6. Odnowienie certyfikatu Odnowienie certyfikatu odbywa się na wniosek subskrybenta złożony poprzez formularz elektroniczny dostępny pod wskazanym przez CC adresem na platformie PEUP lub na pisemny wniosek złożony osobiście w siedzibie CC. 7. Prawa i obowiązki subskrybenta Subskrybent zobowiązany jest do należytej ochrony posiadanego klucza prywatnego oraz hasła do niego. W szczególności subskrybent nie może udostępniać klucza prywatnego ani ujawniać hasła do niego osobom trzecim. Za poprawność i prawdziwość danych zawartych we wniosku o certyfikat oraz w certyfikacie odpowiada subskrybent. W przypadku zmiany tychże danych lub w przypadku kompromitacji klucza prywatnego (ujawnienie, zagubienie) subskrybent zobowiązany jest unieważnić swój certyfikat. Po unieważnieniu certyfikatu subskrybent może złożyć wniosek o wydanie nowego certyfikatu. 8. Prawa i obowiązki stron ufających Przed podjęciem decyzji o uznaniu certyfikatu subskrybenta strona ufająca musi potwierdzić, że certyfikat został wydany przez CC. Strona ufająca jest zobowiązana przeprowadzić weryfikację zgodności podpisanego skrótu oraz skrótu wyliczonego na podstawie podpisanego dokumentu (w przypadku wykorzystania certyfikatu do weryfikacji podpisu). Strona ufająca jest zobowiązana zweryfikować ścieżkę certyfikacji w oparciu o informacje publikowane w repozytorium CC. 9. Zakres odpowiedzialności CC CC odpowiada za umieszczenie w certyfikacie danych przekazanych poprzez formularz elektroniczny oraz za publikowanie listy CRL zgodnie z procedurami niniejszej polityki. CC nie 5 Polityka Centrum Certyfikacji odpowiada za użycie certyfikatu niezgodnie z niniejszą polityką certyfikacji. Dane osobowe przekazane do CC są objęte ochroną określoną przez Ustawę o ochronie danych osobowych. Zgoda Subskrybenta na przetwarzanie danych osobowych w zakresie niezbędnym do świadczenia usługi certyfikacyjnej Subskrybentowi jest obowiązkowa i zawarta jest w cywilnoprawnej umowie o świadczenie usług certyfikacyjnych. CC nie odpowiada wobec odbiorców usług certyfikacyjnych za szkodę wynikłą z nieprawdziwości danych zawartych w certyfikacie, wpisanych na wniosek osoby składającej podpis elektroniczny. 10. Techniczne środki bezpieczeństwa CC wystawia certyfikaty dla pary kluczy wygenerowanych zgodnie z algorytmem RSA o długości klucza co najmniej 1024 bitów. Klucze generowane są przez uprawnionego pracownika centrum certyfikacji w bezpiecznym urządzeniu (karta kryptograficzna) bądź przez subskrybenta przy wykorzystaniu własnej infrastruktury (komputer PC z zainstalowanym wymaganym oprogramowaniem). W tym drugim przypadku klucz prywatny może zostać wygenerowany na karcie kryptograficznej bądź zapisany na dostępnym w systemie nośniku danych. Klucz prywatny zostaje zabezpieczony hasłem o długości minimalnej 6 znaków. Hasło to jest znane wyłącznie subskrybentowi. Subskrybent może zmienić hasło certyfikatu. Nie istnieje możliwość odzyskania utraconego hasła. Serwery wykorzystywane przez CC są częścią sprzętowej infrastruktury Centrum Certyfikacji F8WEB. Ze względu na to, że Centrum Certyfikacji F8WEB wdrożone jest na Platformie E-Usług Publicznych (PEUP) to środki bezpieczeństwa zaimplementowane na tej platformie chronią także Centrum Certyfikacji F8WEB. Certyfikaty wydawane są na okres 1 roku. 11. Odpowiedzialność za wykorzystania pary kluczy Za zarządzanie i wykorzystanie pary kluczy odpowiada Subskrybent. Subskrybent nie może ujawniać swojego klucza prywatnego, jego ujawnienie powinno skutkować unieważnieniem certyfikatu. Subskrybent nie może wykorzystywać klucza prywatnego po upływie jego ważności, do podpisu, szyfrowania i uwierzytelniania transmisji danych. Po okresie ważności klucz prywatny może być jedynie wykorzystany do deszyfrowania danych, zaszyfrowanych kluczem publicznym w okresie ważności certyfikatu. 12. Zakończenie działalności CC CC w przypadku zakończenia świadczenia usługi certyfikacyjnej dla Subskrybentów zobowiązane jest do powiadomienia o tym fakcie Subskrybentów i Strony ufające. Subskrybenci informowani są przy użyciu skrzynki kontaktowej na platformie PEUP, oraz mailowo. Natomiast dla stron ufających umieszczany jest stosowny komunikat na stronie repozytorium wskazanej przez CC. Powiadomienie następuje z przynajmniej miesięcznym wyprzedzeniem. W momencie zakończenia działalności CC unieważnia wszystkie certyfikaty Subskrybentów, oraz wszystkie własne Certyfikaty wydane przez Centrum Certyfikacji F8WEB. 6