F8WEB CC - Platforma e

F8WEB CC
Polityka centrum certyfikacji F8WEB
© 2008 LTC Sp. z o.o. Wszelkie prawa zastrzeżone
Autor: praca zespołowa pod redakcją Przemysława Sztocha
Historia zmian dokumentu:
Data
Wersja
Osoba
Opis
2010-10-18 v1.0
Piotr Ożdżyński
Zainicjowanie
2010-11-03 v1.1
Rafał Gagatek
Dostosowanie do Polityki Certyfikacji CC Sign
2010-11-04 v1.2
Rafał Gagatek
Poprawki
Spis treści
Podstawowe definicje...........................................................................................................................2
1. Ogólne postanowienia polityki certyfikacji......................................................................................3
1.1. Przeznaczenie certyfikatów.......................................................................................................3
1.2. Zastrzeżenia..............................................................................................................................3
2. Wystawianie certyfikatów................................................................................................................4
2.1. Składanie wniosku....................................................................................................................4
2.2. Weryfikacja wniosku................................................................................................................4
2.3. Warunki wydawania certyfikatów............................................................................................4
3. Unieważnianie certyfikatów i listy CRL...........................................................................................4
4. Zawieszanie certyfikatów ................................................................................................................4
5. Zmiana danych osobowych w certyfikacie.......................................................................................5
6. Odnowienie certyfikatu....................................................................................................................5
7. Prawa i obowiązki subskrybenta......................................................................................................5
8. Prawa i obowiązki stron ufających...................................................................................................5
9. Zakres odpowiedzialności CC..........................................................................................................5
10. Techniczne środki bezpieczeństwa.................................................................................................6
11. Odpowiedzialność za wykorzystania pary kluczy .........................................................................6
12. Zakończenie działalności CC.........................................................................................................6
Polityka Centrum Certyfikacji
Podstawowe definicje
Subskrybent – osoba fizyczna, podmiot prowadzący działalność gospodarczą lub instytucja, która
uzyskała certyfikat i dysponuje kluczem prywatnym tego certyfikatu.
Strona ufająca - osoba fizyczna, podmiot prowadzący działalność gospodarczą lub instytucja, która
korzysta z certyfikatów wydawanych przez CC w celu weryfikacji poprawności użycia klucza
prywatnego.
CC - Centrum certyfikacji (ang. certificate authority) - jednostka wydająca elektroniczne certyfikaty
tożsamości dla innych osób czy instytucji. Jest przykładem zaufanej trzeciej strony.
Urząd certyfikacji wydaje certyfikat klucza publicznego, który poświadcza tożsamość właściciela
klucza. Zadaniem urzędu jest sprawdzenie tożsamości osoby, której wydaje certyfikat. Inne osoby
mogą sprawdzić tożsamość właściciela certyfikatu, opierając się na zaufaniu do urzędu, który wydał
certyfikat.
Siedziba CC – adres, pod jakim zlokalizowana jest instytucja świadcząca usługi certyfikacyjne:
Urząd Miejski w Pieszycach, ul. Kościuszki 2, 58-250 Pieszyce.
Centrum Certyfikacji F8WEB - Infrastruktura Klucza Publicznego wdrożona jako część Platformy
E-Usług Publicznych (PEUP).
Lista CRL – (ang. Certificate Revocation List ) Podpisana lista zawierająca zbiór certyfikatów, które
nie powinny być uważane jako ważne dostępna w repozytorium CC.
Repozytorium CC – zbiór zasobów dostępny publicznie w internecie pod adresem
http://cc.peup.pl/gmpieszyce, w którym są publikowane w szczegóności:
– lista CRL;
– informacje kontaktowe ;
– informacje związane z funkcjonowaniem CC;
– certyfikat główny CC;
– Polityka Certyfikacji (CP – Certificate Policy).
PKI - Infrastruktura Klucza Publicznego (ang. Public Key Infrastructure) – szeroko pojęty system,
w skład którego wchodzą urzędy certyfikacyjne (CC), subskrybenci certyfikatów (użytkownicy),
oprogramowanie i sprzęt. Infrastruktura klucza publicznego tworzy hierarchiczną strukturę
zaufania, której podstawowym dokumentem jest certyfikat klucza publicznego. Najpopularniejszym
standardem certyfikatów PKI jest X.509 w wersji trzeciej.
Do podstawowych funkcji PKI należą:
• Weryfikacja tożsamości subskrybentów
• Wymiana kluczy kryptograficznych
• Wystawianie certyfikatów
• Weryfikacja certyfikatów
• Podpisywanie przekazu
• Szyfrowanie przekazu
• Potwierdzanie tożsamości
• Znakowanie czasem
Certyfikat klucza publicznego X.509 (ang. X.509 public key certificate) – certyfikat klucza
publicznego stosowany w architekturze X.509.
2
Polityka Centrum Certyfikacji
Certyfikat X.509 składa się z następujących struktur:
• tbsCertificate – kontener zawierający właściwą treść certyfikatu, podlegający podpisaniu (to
be signed) przez urząd certyfikacji
• Version - wartość 0 dla X.509v1, wartość 2 dla obecnie obowiązującej wersji
X.509v3
• Serial Number - dodatnia liczba całkowita stanowiąca unikalny identyfikator
certyfikatu wydany w ramach danego urzędu certyfikacji
• Signature – algorytm kryptograficzny jakiego urząd certyfikacji użył do złożenia
podpisu pod strukturą tbsCertificate; wartość ta jest powtórzeniem pola Signature
Algorithm umieszczonego na zewnątrz struktury tbsCertificate gwarantując jego
autentyczność
• Issuer - opis urzędu certyfikacji w notacji X.500
• Validity – data i czas GMT początku ważności certyfikatu oraz końca jego ważności
• Subject - opis podmiotu (właściciela certyfikatu) w notacji X.500
• Subject Public Key Info - struktura zawierająca ciąg bitów klucza publicznego
podmiotu oraz opis algorytmu kryptograficznego zapisany jako jego OID
• Extensions - rozszerzenia ograniczające sposób korzystania z certyfikatu oraz sposób
weryfikacji ścieżki certyfikacji
• Signature Algorithm – algorytm kryptograficzny jakiego urząd certyfikacji użył do złożenia
podpisu pod strukturą tbsCertificate
• Signature Value - ciąg bitów zawierający wartość podpisu cyfrowego
Podpis elektroniczny – stanowią go dane w postaci elektronicznej, które wraz z innymi danymi,
do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby
składającej podpis elektroniczny.
PEUP – Platforma E-Usług Publicznych dostępna w internecie pod adresem https://www.peup.pl.
1. Ogólne postanowienia polityki certyfikacji
1.1. Przeznaczenie certyfikatów
Certyfikaty uwierzytelniania dokumentów wystawiane przez CC służą Subskrybentom
do podpisywania elektronicznych dokumentów na platformie PEUP. Zakres odpowiedzialności
stron jest określany na podstawie odrębnie zawartej umowy cywilno-prawnej.
1.2. Zastrzeżenia
Certyfikaty wydawane przez CC nie są certyfikatami kwalifikowanymi w rozumieniu ustawy z dnia
18 września 2001 o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450). Skutki złożenia podpisu
weryfikowanego na podstawie wystawionego certyfikatu nie są równorzędne ze złożeniem podpisu
własnoręcznego lub podpisu weryfikowanego kwalifikowanym certyfikatem.
Niniejsza Polityka Certyfikacji jest zgodna z :
a) RFC 3280 : „Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation
List (CRL) Profile ”
b) RFC 3647 (2003) : „Internet X.509 Public Key Infrastructure – Certificate Policy and
Certification Practices Framework”
3
Polityka Centrum Certyfikacji
2. Wystawianie certyfikatów
2.1. Składanie wniosku
Wniosek o certyfikat składany jest przez subskrybenta poprzez elektroniczny formularz dostępny
przez Platformę e-Usług Publicznych (PeUP) i wysyłany przy pomocy Elektronicznej Skrzynki
Podawczej (ESP). Subskrybent może wypełnić wniosek o wydanie następujących
niekwalifikowanych certyfikatów:
– certyfikat do podpisu i uwierzytelniania;
– certyfikat dla serwera.
Złożenie wniosku jest jednoznaczne z akceptacją postanowień niniejszej polityki certyfikacji oraz
postanowień umowy zawieranej pomiędzy subskrybentem a CC. Umowa, o której mowa może
zostać zawarta po złożeniu wniosku, ale przed wydaniem certyfikatu.
2.2. Weryfikacja wniosku
Złożony wniosek jest weryfikowany pod względem prawdziwości zawartych w nim danych
przez CC. Weryfikacja odbywa się poprzez sprawdzenie danych z wniosku z dowodem osobistym
subskrybenta. W przypadku konieczności przedłożenia innych dokumentów subskrybent jest o tym
uprzednio informowany. Po pozytywnej weryfikacji wniosku podpisywana jest umowa a certyfikat
jest wydawany subskrybentowi. Forma wydawanego certyfikatu jest zależna od sposobu
wygenerowania i miejsca przechowywania klucza prywatnego. Możliwe jest zapisanie certyfikatu
na karcie kryptograficznej bądź innym nośniku danych a także przesłanie poprzez pocztę
elektroniczną lub inny interfejs komunikacyjny (skrzynka kontaktowa PEUP).
2.3. Warunki wydawania certyfikatów
Certyfikat może być wydany przez Centrum Certyfikacji (CC).
Dowodem autoryzacji jest wystawiony na podstawie umowy z CC certyfikat X.509v3. Ważność
certyfikatu jest zgodna z ważnością umowy.
CC nie może wystawiać certyfikatów na okres dłuższy od okresu ważności własnego certyfikatu.
W momencie wygaśnięcia ważności certyfikatu CC, tracą ważność wystawione przez to CC
certyfikaty. Profile certyfikatów oraz list CRL są zgodne z formatami określonymi w normie ITU-T
X.509 v3 . Zmiana stanu certyfikatu powoduje wygenerowanie nowej listy CRL. Certyfikat może
zmienić stan z ważnego na unieważniony, z ważnego na zawieszony, zawieszony na ważny,
oraz zawieszony na unieważniony. Inne zmiany stanu nie są możliwe.
3. Unieważnianie certyfikatów i listy CRL
Unieważnienie certyfikatu odbywa się na wniosek subskrybenta złożony poprzez formularz
elektroniczny dostępny pod wskazanym przez CC adresem na platformie PEUP lub na pisemny
wniosek złożony osobiście w siedzibie CC. Unieważniony certyfikat umieszczany jest na liście
unieważnionych certyfikatów (CRL) dostępnej w repozytorium pod adresem wskazanym przez CC.
Umieszczenie na liście odbywa się w ciągu jednego dnia roboczego od momentu potwierdzenia
przyjęcia i przetworzenia wniosku o unieważnienie.
4. Zawieszanie certyfikatów
Zawieszenie certyfikatu odbywa się na wniosek subskrybenta złożony poprzez formularz
elektroniczny dostępny pod wskazanym przez CC adresem na platformie PEUP lub na pisemny
4
Polityka Centrum Certyfikacji
wniosek złożony osobiście w siedzibie CC. Zawieszony certyfikat umieszczany jest na liście
unieważnionych certyfikatów (CRL) dostępnej w repozytorium pod wskazanym adresem.
Umieszczenie na liście odbywa się w ciągu jednego dnia roboczego od momentu potwierdzenia
przyjęcia i przetworzenia wniosku o zawieszenie. Po upływie 7 dni od zawieszenia certyfikat
automatycznie jest unieważniany. Cofnięcie zawieszenia odbywa się na wniosek subskrybenta
złożony poprzez formularz elektroniczny dostępny pod wskazanym przez CC adresem na platformie
PEUP lub na pisemny wniosek złożony osobiście w siedzibie CC. W okresie zawieszenia
Certyfikatu, czynności związane z jego wykorzystaniem (np. złożenie podpisu elektronicznego)
uważa się za ważne i wiążące o ile zawieszenie Certyfikatu zostało uchylone.
5. Zmiana danych osobowych w certyfikacie
Zmiana danych osobowych w certyfikacie odbywa się na wniosek subskrybenta złożony poprzez
formularz elektroniczny dostępny pod wskazanym przez CC adresem na platformie PEUP lub
na pisemny wniosek złożony osobiście w siedzibie CC.
6. Odnowienie certyfikatu
Odnowienie certyfikatu odbywa się na wniosek subskrybenta złożony poprzez formularz
elektroniczny dostępny pod wskazanym przez CC adresem na platformie PEUP lub na pisemny
wniosek złożony osobiście w siedzibie CC.
7. Prawa i obowiązki subskrybenta
Subskrybent zobowiązany jest do należytej ochrony posiadanego klucza prywatnego oraz hasła
do niego. W szczególności subskrybent nie może udostępniać klucza prywatnego ani ujawniać hasła
do niego osobom trzecim.
Za poprawność i prawdziwość danych zawartych we wniosku o certyfikat oraz w certyfikacie
odpowiada subskrybent.
W przypadku zmiany tychże danych lub w przypadku kompromitacji klucza prywatnego
(ujawnienie, zagubienie) subskrybent zobowiązany jest unieważnić swój certyfikat.
Po unieważnieniu certyfikatu subskrybent może złożyć wniosek o wydanie nowego certyfikatu.
8. Prawa i obowiązki stron ufających
Przed podjęciem decyzji o uznaniu certyfikatu subskrybenta strona ufająca musi potwierdzić,
że certyfikat został wydany przez CC.
Strona ufająca jest zobowiązana przeprowadzić weryfikację zgodności podpisanego skrótu oraz
skrótu wyliczonego na podstawie podpisanego dokumentu (w przypadku wykorzystania certyfikatu
do weryfikacji podpisu).
Strona ufająca jest zobowiązana zweryfikować ścieżkę certyfikacji w oparciu o informacje
publikowane w repozytorium CC.
9. Zakres odpowiedzialności CC
CC odpowiada za umieszczenie w certyfikacie danych przekazanych poprzez formularz
elektroniczny oraz za publikowanie listy CRL zgodnie z procedurami niniejszej polityki. CC nie
5
Polityka Centrum Certyfikacji
odpowiada za użycie certyfikatu niezgodnie z niniejszą polityką certyfikacji.
Dane osobowe przekazane do CC są objęte ochroną określoną przez Ustawę o ochronie danych
osobowych. Zgoda Subskrybenta na przetwarzanie danych osobowych w zakresie niezbędnym
do świadczenia usługi certyfikacyjnej Subskrybentowi jest obowiązkowa i zawarta jest w cywilnoprawnej umowie o świadczenie usług certyfikacyjnych.
CC nie odpowiada wobec odbiorców usług certyfikacyjnych za szkodę wynikłą z nieprawdziwości
danych zawartych w certyfikacie, wpisanych na wniosek osoby składającej podpis elektroniczny.
10. Techniczne środki bezpieczeństwa
CC wystawia certyfikaty dla pary kluczy wygenerowanych zgodnie z algorytmem RSA o długości
klucza co najmniej 1024 bitów.
Klucze generowane są przez uprawnionego pracownika centrum certyfikacji w bezpiecznym
urządzeniu (karta kryptograficzna) bądź przez subskrybenta przy wykorzystaniu własnej
infrastruktury (komputer PC z zainstalowanym wymaganym oprogramowaniem). W tym drugim
przypadku klucz prywatny może zostać wygenerowany na karcie kryptograficznej bądź zapisany na
dostępnym w systemie nośniku danych.
Klucz prywatny zostaje zabezpieczony hasłem o długości minimalnej 6 znaków. Hasło to jest znane
wyłącznie subskrybentowi. Subskrybent może zmienić hasło certyfikatu. Nie istnieje możliwość
odzyskania utraconego hasła.
Serwery wykorzystywane przez CC są częścią sprzętowej infrastruktury Centrum Certyfikacji
F8WEB. Ze względu na to, że Centrum Certyfikacji F8WEB wdrożone jest na Platformie E-Usług
Publicznych (PEUP) to środki bezpieczeństwa zaimplementowane na tej platformie chronią także
Centrum Certyfikacji F8WEB.
Certyfikaty wydawane są na okres 1 roku.
11. Odpowiedzialność za wykorzystania pary kluczy
Za zarządzanie i wykorzystanie pary kluczy odpowiada Subskrybent. Subskrybent nie może
ujawniać swojego klucza prywatnego, jego ujawnienie powinno skutkować unieważnieniem
certyfikatu. Subskrybent nie może wykorzystywać klucza prywatnego po upływie jego ważności,
do podpisu, szyfrowania i uwierzytelniania transmisji danych.
Po okresie ważności klucz prywatny może być jedynie wykorzystany do deszyfrowania danych,
zaszyfrowanych kluczem publicznym w okresie ważności certyfikatu.
12. Zakończenie działalności CC
CC w przypadku zakończenia świadczenia usługi certyfikacyjnej dla Subskrybentów zobowiązane
jest do powiadomienia o tym fakcie Subskrybentów i Strony ufające. Subskrybenci informowani są
przy użyciu skrzynki kontaktowej na platformie PEUP, oraz mailowo. Natomiast dla stron
ufających umieszczany jest stosowny komunikat na stronie repozytorium wskazanej przez CC.
Powiadomienie następuje z przynajmniej miesięcznym wyprzedzeniem.
W momencie zakończenia działalności CC unieważnia wszystkie certyfikaty Subskrybentów, oraz
wszystkie własne Certyfikaty wydane przez Centrum Certyfikacji F8WEB.
6