certifikační politice - Správa základních registrů

Transkript

Certifikační politika Správy základních registrů
Verze dokumentu:
1.0
Datum vydání:
2.dubna 2012
Schválil:
Ředitel SZR
Klasifikace:
Veřejný dokument
Obsah
1.
Úvod ........................................................................................................................................ 5
1.1
Přehled ......................................................................................................................... 5
1.2
Název a jednoznačné určení dokumentu .................................................................... 5
1.3
Účastnící se subjekty ................................................................................................... 5
1.4
Použití certifikátů.......................................................................................................... 6
1.5
Správa politiky.............................................................................................................. 7
1.6
Přehled použitých pojmů a zkratek .............................................................................. 7
2.
Odpovědnosti za zveřejňování a úložiště informací a dokumentace ............................... 9
2.1
Úložiště informací a dokumentace ............................................................................... 9
2.2
Zveřejňování informací a dokumentace....................................................................... 9
2.3
Periodicita zveřejňování informací ............................................................................... 9
2.4
Řízení přístupu k jednotlivým typům úložišť ................................................................ 9
3.
Identifikace a autentizace.................................................................................................... 10
3.1
Pojmenovávání .......................................................................................................... 10
3.2
Počáteční ověření identity ......................................................................................... 10
3.3
Identifikace a autentizace při zpracování požadavků na výměnu veřejného klíče
v certifikátu ................................................................................................................................ 11
3.4
4.
Identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu ....... 12
Požadavky na životní cyklus certifikátu ............................................................................ 13
4.1
Žádost o vydání certifikátu ......................................................................................... 13
4.2
Zpracování žádosti o certifikát ................................................................................... 13
4.3
Vydání certifikátu ....................................................................................................... 14
4.4
Převzetí vydaného certifikátu ..................................................................................... 15
4.5
Použití párových dat a certifikátu ............................................................................... 15
4.6
Obnovení certifikátu ................................................................................................... 16
4.7
Výměna veřejného klíče v certifikátu ......................................................................... 16
4.8
Změna údajů v certifikátu ........................................................................................... 17
4.9
Zneplatnění a pozastavení platnosti certifikátu ......................................................... 17
4.10
Služby související s ověřováním statutu certifikátu ................................................... 20
4.11
Ukončení poskytování služeb CA .............................................................................. 20
4.12
Úschova soukromých klíčů u důvěryhodné třetí strany a jejich obnova .................... 20
5.
Management, provozní a fyzická bezpečnost ................................................................... 22
5.1
Fyzická bezpečnost ................................................................................................... 22
5.2
Procesní bezpečnost ................................................................................................. 23
5.3
Personální bezpečnost .............................................................................................. 24
Správa základních registrů
www.szrcr.cz
Strana: 2 / 44
5.4
Auditní záznamy ........................................................................................................ 25
5.5
Uchovávání informací a dokumentace ...................................................................... 26
5.6
Výměna veřejného klíče v nadřízeném systémovém certifikátu poskytovatele......... 27
5.7
Obnova po havárii nebo kompromitaci ...................................................................... 27
5.8
Ukončení činnosti CA nebo RA ................................................................................. 28
6.
Technická bezpečnost ......................................................................................................... 29
6.1
Generování a instalace párových dat ........................................................................ 29
6.2
Ochrana soukromého klíče a bezpečnost kryptografických modulů ......................... 30
6.3
Další aspekty správy párových dat ............................................................................ 31
6.4
Aktivační data ............................................................................................................ 31
6.5
Počítačová bezpečnost .............................................................................................. 32
6.6
Bezpečnost životního cyklu ....................................................................................... 32
6.7
Síťová bezpečnost ..................................................................................................... 32
6.8
Časová razítka ........................................................................................................... 32
7.
Profily certifikátu, seznamu zneplatněných certifikátů a OCSP ..................................... 33
7.1
Profil certifikátu .......................................................................................................... 33
7.2
Profil CRL ................................................................................................................... 36
7.3
Profil OCSP ................................................................................................................ 37
8.
Hodnocení shody a jiné audity ........................................................................................... 38
8.1
Periodicita hodnocení nebo okolnosti pro provedení hodnocení ............................... 38
8.2
Identita a kvalifikace auditora .................................................................................... 38
8.3
Vztah auditora k hodnocenému subjektu .................................................................. 38
8.4
Hodnocené oblasti ..................................................................................................... 38
8.5
Postup v případě zjištění nedostatků ......................................................................... 38
8.6
Sdělování výsledků hodnocení .................................................................................. 38
9.
Ostatní obchodní a právní náležitosti ................................................................................ 39
9.1
Poplatky ..................................................................................................................... 39
9.2
Finanční odpovědnost................................................................................................ 39
9.3
Citlivost obchodních informací ................................................................................... 39
9.4
Ochrana osobních údajů ............................................................................................ 40
9.5
Práva duševního vlastnictví ....................................................................................... 41
9.6
Zastupování a záruky................................................................................................. 41
9.7
Zřeknutí se záruk ....................................................................................................... 41
9.8
Omezení odpovědnosti .............................................................................................. 41
9.9
Odpovědnost za škodu, náhrada škody .................................................................... 41
9.10
Doba platnosti a ukončení platnosti ........................................................................... 41
9.11
Komunikace mezi zúčastněnými subjekty ................................................................. 42
9.12
Změny ........................................................................................................................ 42
9.13
Řešení sporů .............................................................................................................. 42
www.szrcr.cz
Strana: 3 / 44
10.
9.14
Rozhodné právo......................................................................................................... 42
9.15
Shoda s právními předpisy ........................................................................................ 42
9.16
Další ustanovení ........................................................................................................ 43
9.17
Další opatření ............................................................................................................. 43
Závěrečná ustanovení ......................................................................................................... 44
www.szrcr.cz
Strana: 4 / 44
1. Úvod
Poskytovatel certifikačních služeb CA SZR provádí minimálně následující činnosti:
a) vydávání a zneplatňování certifikátů;
b) vytváření a distribuci seznamů zneplatněných certifikátů (CRL);
c) správu certifikátů potřebných pro svou vlastní činnost.
Bezpečnost poskytovatele certifikačních služeb jako celku je přímo závislá na bezpečnosti a
důvěryhodnosti operací, které provádějí všechny její součásti (certifikační a registrační autority) včetně
důvěryhodnosti lidských zdrojů, hardwarového a programového vybavení, certifikačních procesů a
prostor, ve kterých se odehrávají.
1.1 Přehled
Tato certifikační politika definuje podmínky pro vydávání certifikátů pro Agendové informační
systémy orgánů veřejné moci za účelem zabezpečení jejich komunikace s produkčním
prostředím Základních registrů.
Certifikační politika CA SZR stanovuje zásady a postupy pro vydávání a správu certifikátů veřejných
klíčů (dále jen certifikátů) definovaných normou X.509.
CA SZR je provozována Správou základních registrů ČR.
1.2 Název a jednoznačné určení dokumentu
Tento dokument má název:
CERTIFIKAČNÍ POLITIKA
SPRÁVY ZÁKLADNÍCH REGISTRŮ
Zkrácená verze názvu dokumentu je:
a OID je:
CP CA SZR
1.2.203.72054506.2.10.1.0
Dokument je vrcholným dokumentem řídícím provoz CA SZR ve všech jejích úrovních.
Každá verze dokumentu je označena:
a) názvem dokumentu (připouští se i zkrácená verze);
b) číslem verze dokumentu (připouští se varianta X.XX - desetinná čísla);
c) datem vydání dokumentu;
d) funkčním zařazením schvalujícího subjektu;
e) klasifikací dokumentu.
1.3 Účastnící se subjekty
V dalším textu se termínem PKI SZR myslí Certifikační autorita a Registrační autorita SZR určené pro
vydávání certifikátů pro komunikaci AIS s produkčním prostředím ZR.
1.3.1 Certifikační autority
Struktura CA provozovaných SZR je dvouúrovňová. Vrchol tvoří kořenová certifikační autorita SZR
(Root CA SZR). Kořenová certifikační autorita vydává certifikáty pouze podřízeným certifikačním
autoritám a vydala tedy i certifikát pro certifikační autoritu CA SZR, pro kterou je určena tato
Certifikační politika.
www.szrcr.cz
Strana: 5 / 44
V dalším textu termín CA SZR označuje CA, která vydává certifikáty pro počítačové servery, na
kterých OVM provozují AIS ve smyslu Zákona 111/2009 Sb. o základních registrech.
CA SZR nevydává certifikáty pro žádné podřízené certifikační autority.
1.3.2 Registrační autorita
CA SZR poskytuje své služby prostřednictvím RA SZR. V RA SZR pracují v roli operátorů
důvěryhodné osoby, které splňují požadavky na personální bezpečnost. Požadavky na personální
bezpečnost jsou definovány v interní dokumentaci SZR.
Operátoři RA přijímají žádosti o vydání certifikátů, žádosti o zneplatnění certifikátů a ověřují údaje
požadované pro vydání a zneplatnění certifikátů. Zároveň zodpovídají za odesílání Rozhodnutí o
vydání certifikátů, Rozhodnutí o zneplatnění certifikátů a za ostatní komunikaci.
RA SZR je provozována jako fyzický úřad zařazený do organizační struktury SZR.
Účast jiných registračních autorit se nepřipouští.
1.3.3 Držitelé certifikátů
Držitel certifikátu je subjekt, kterému byl certifikát vydán na základě jeho žádosti, tj. držitelem je OVM.
Tento subjekt podáním žádosti o certifikát vyslovuje souhlas s touto Certifikační politikou a s tím, že
vydaný certifikát i jemu příslušející soukromý klíč bude používat v souladu s ní.
1.3.4 Spoléhající se strany
Spoléhající se strana je subjekt, který je schopen ověřit integritu digitálně podepsané zprávy, nebo
ustavit bezpečný komunikační kanál korektním zpracováním příslušného certifikátu komunikačního
partnera. Při zpracování takového certifikátu se spoléhá na správnost propojení veřejného klíče s
označením předmětu certifikátu. Spoléhající se strana je povina použít informace uvedené v certifikátu
k určení, zda je daný certifikát možné v konkrétním případě použít, či nikoli.
1.3.5 Jiné subjekty
Jinými subjekty mohou být:
a) jmenná autorita, která udržuje jednoznačnost a unikátnost jmen v rámci určité domény;
b) provozovatel ISDS;
c) sklad certifikátů, který zajišťuje dlouhodobé bezpečné uchovávání certifikátů.
1.4 Použití certifikátů
1.4.1 Přípustné použití certifikátů
Certifikáty vydané CA SZR pro AIS se používají k identifikaci a autentizaci AIS vůči Základním
registrům.
Certifikáty vydané CA SZR pro AIS se mohou používat k šifrování komunikace mezi Základními
registry a AIS.
1.4.2 Omezení použití certifikátů
Omezení použití certifikátů vydaných CA SZR je definováno informacemi, které v sobě daný certifikát
nese.
Dalším omezením použití certifikátu je jeho nesprávné použití, například při operacích, kdy sice
subjekt má platný certifikát, ale subjekt nemá právo jistou operaci uskutečnit. Tuto problematiku musí
řešit interní směrnice OVM pro provoz AIS, který certifikát používá.
www.szrcr.cz
Strana: 6 / 44
1.5 Správa politiky
1.5.1 Organizace spravující certifikační politiku a certifikační prováděcí
směrnici
Tuto certifikační politiku i jí odpovídající certifikační prováděcí směrnici spravuje SZR ČR.
1.5.2 Kontaktní osoby
Kontaktní osoby určuje ředitel SZR ČR.
Aktuální kontaktní údaje jsou uvedeny na webových stránkách SZR ČR http://www.szrcr.cz, v sekci
Konakty.
Adresa pro komunikaci elektronickou poštou je [email protected]
1.5.3 Odpovědný subjekt
Subjektem odpovědným za tuto politiku a uplatňování jejích ustanovení je SZR ČR.
Ředitel SZR ČR jmenuje správce dokumentace PKI SZR.
1.5.4 Postupy při schvalování
Jakékoli změny, dodatky a doplnění této Certifikační politiky podléhají schválení správce dokumentace
PKI SZR. Tato osoba je odpovědná za věcnou správnost jednotlivých ustanovení CP, za pravidelnou
aktualizaci CP a aktuálnost právě platné verze.
Nová verze Certifikační politiky je před zveřejněním schválena ředitelem SZR.
1.6 Přehled použitých pojmů a zkratek
Agendový informační systém (AIS) – Informační systém podle § 2 písm. e) zákona 111/2009 Sb. o
základních registrech.
US ASCII – American standard cod efor informatik interchange je znaková sada pro kódování znaků
anglické abecedy v počítačích a jiných zařízeních.
Certifikační Autorita (CA) – je důvěryhodný subjekt, který je zřízen k vytváření certifikátů veřejných
klíčů. Činnost certifikační autority je popsána její Certifikační politikou, která definuje nejen korektní
způsob činnosti, ale i obsah certifikátů, které jsou v průběhu její činnosti vytvářeny.
Certifikační politika (CP) – množina pravidel, která definují podmínky pro vydávání určitých
certifikátů certifikační autoritou a určují použitelnost certifikátů v rámci určité skupiny (domény) a/nebo
v rámci třídy aplikací.
Certifikační prováděcí směrnice (CPS) – je dokument, který definuje postupy, které certifikační
autorita používá při vydávání a další správě certifikátů.
Certifikační řetězec – je posloupnost certifikátů certifikačních autorit. Tato posloupnost začíná u dané
certifikační autority a končí certifikátem kořenové certifikační autority, nebo jiné certifikační autority,
která je důvěryhodná pro subjekt, který provádí ověřování tohoto certifikačního řetězce. Pro certifikáty
v certifikačním řetězci platí, že podpis certifikátu podřízené CA je možné ověřit certifikátem nadřízené
CA, a oba tyto certifikáty se v daném certifikačním řetězci vyskytují.
Certifikát veřejného klíče (certifikát) – je elektronický atest, který spojuje veřejný klíč s určitým
subjektem a potvrzuje identitu tohoto subjektu.
DN jméno – jméno, jehož tvar je definován normami řady X.500.
Držitel certifikátu – OVM, kterému byl certifikát vydán.
FQDN – Fully qualified domain name, plně kvalifikované doménové jméno, např. server.ovm.cz
ISDS – Informační systém Datových schránek.
www.szrcr.cz
Strana: 7 / 44
ISoISVS – Informační systém o Informačních systémech veřejné správy.
ISVS – Informační systémy veřejné správy podle zákona 365/2000 Sb. o informačních systémech
veřejné správy.
Klíčový pár = párová data
Kořenová certifikační autorita – kořenová (root) CA je autorita, která stojí na vrcholu stromu
certifikačních autorit. Tato certifikační autorita se nezodpovídá přímo žádnému subjektu, pokud není
jinak stanoveno. Důvěryhodnost této CA určuje kvalitu všech CA v podřízeném stromu certifikačních
autorit.
OCSP – Online certificate status protokol je protokol pro online zjišťování statutu certifikátu (zda je
platný nebo ne).
OID - Object identifier. Identifikace objektu v určitém prostoru jmen, zde použit pro jednoznačnou
identifikaci dokumentů a kryptografických algoritmů.
Orgán veřejné moci (OVM) – je subjekt, který je oprávněn rozhodovat o právech a povinnostech
fyzických a právnických osob na území ČR. Jde o státní orgány, orgány územní samosprávy a orgány
zájmové samosprávy.
Párová data – veřejný a soukromý klíč, které byly vytvořeny prostředky asymetrické kryptografie.
PKCS – Public key cryptography standards
PKI – infrastruktura veřejného klíče je množina hardware, software, lidí a postupů vydávání,
odvolávání a správu digitálních certifikátů založených na asymetrické kryptografii.
Podpisový klíč = soukromý klíč = privátní klíč
Procesní autority – certifikační i registrační autority jsou v této politice značeny společným termínem
procesní autority.
Předmět certifikátu – subjekt (entita), který je ve vydaném certifikátu identifikován hodnotou
uvedenou v atributu Subject. V případě CA SZR je předmětem certifikátu server určitého AIS,
provozující jednu nebo více agend pro určitý OVM.
Registrační Autorita (RA) – je důvěryhodný subjekt, který je zřizován pro provádění činností
potřebných pro správnou činnost certifikační autority. Registrační autorita je autorizovaná ke sběru a
ověřování informací o identitě uživatelů žádajících o certifikát a k určování informací, které je možné
certifikační autoritou vložit do vytvářených certifikátů, a za výdej Rozhodnutí směrem k OVM.
RPP – Registr práv a povinností
Spoléhající se strana – je subjekt spoléhající se na certifikát vydaný CA.
Strom certifikačních autorit – je hierarchická struktura certifikačních autorit. V koření tohoto stromu
je tzv. kořenová CA. Certifikační autority, které tvoří podstrom od určitého uzlu musí splňovat
minimálně požadavky své nadřízené CA.
SZR – Správa základních registrů je správní úřad zřízený zákonem 111/2009 Sb., podřízený
Ministerstvu vnitra.
ZR – Základní registry, viz Zákon 111/2009 Sb.
www.szrcr.cz
Strana: 8 / 44
2. Odpovědnosti
dokumentace
za
zveřejňování
a
úložiště
informací
a
Poskytovatel certifikačních služeb je povinen uveřejňovat všechny informace, které ovlivňují platnost
certifikátů, které vydává.
2.1 Úložiště informací a dokumentace
Za úložiště informací a dokumentace PKI SZR odpovídá poskytovatel certifikačních služeb, tj. SZR.
SZR má neveřejné a veřejné úložiště dokumentace a informací.
2.2 Zveřejňování informací a dokumentace
Veřejné informace, týkající se PKI SZR, včetně dokumentace musí být zveřejňovány pravidelně,
správně a včas takovým způsobem, aby byla zajištěna jejich dostupnost jak všem uživatelům PKI
SZR, tak i osobám, pro které jsou tyto informace důležité z hlediska spoléhání se na jejich pravdivost.
CA SZR zveřejňuje minimálně následující informace:
a) Certifikační politiku CA SZR v její aktuální verzi i její minulé verze; minulé verze CP jsou
zveřejňovány do doby, dokud je platný alespoň jeden certifikát, který byl podle nich
vydaný.
b) Certifikát Root CA SZR a certifikát CA SZR.
c) Seznam zneplatněných certifikátů (CRL) vydaných CA SZR.
d) Kontaktní místa RA SZR.
Údaje jsou zveřejňovány buď přímo na webových stránkách Správy základních registrů ČR
http://www.szrcr.cz, nebo je na těchto stránkách uveden odkaz, nebo jsou distribuovány přímo
uživatelům PKI SZR.
2.3 Periodicita zveřejňování informací
Každá informace a dokumentace je zveřejňována neprodleně po vstoupení v platnost.
Certifikační politika je zveřejněna dříve, než je podle ní vydán první certifikát.
Certifikáty všech certifikačních autorit použité pro vydávání certifikátů jsou zveřejněny dříve, než je
s jejich použitím vydán první certifikát.
2.4 Řízení přístupu k jednotlivým typům úložišť
Přístup k veřejným informacím poskytuje SZR bezplatně a bez omezení.
Přístup k neveřejným informacím je povolen pouze pro autorizované osoby.
www.szrcr.cz
Strana: 9 / 44
3. Identifikace a autentizace
3.1 Pojmenovávání
3.1.1 Typy jmen
Všechny certifikáty vydávané CA SZR obsahují neprázdné označení předmětu certifikátu (Subject) a
vydavatele (Issuer) ve tvaru definovaném normami řady X.500 (dále jen DN jména).
DN jména používaná CA SZR jsou jednoznačná v tom smyslu, že jednoznačně identifikují všechny
předměty certifikátu rozlišitelné v kontextu CA SZR.
3.1.2 Požadavky na významovost jmen
Význam položek certifikátů vydávaných CA SZR je definován v kapitole 7 „Profily certifikátu, seznamu
zneplatněných certifikátů a OCSP“.
3.1.3 Anonymita a používání pseudonymů
Vydávání a používání anonymních certifikátů nebo používání pseudonymů se nepřipouští.
Alternativní jméno není pseudonymem.
3.1.4 Pravidla pro interpretaci různých forem jmen
V certifikátech vydaných CA SZR lze používat pouze znaky US ASCII, tj. není povoleno používání
znaků s diakritickými znaménky.
Toto pravidlo se týká všech jmen, která poskytovatel certifikačních služeb umožňuje vložit do
certifikátů, které vydává. Povolené tvary jmen jsou definovány v kapitole 7 „Profily certifikátu, seznamu
zneplatněných certifikátů a OCSP“.
3.1.5 Jedinečnost jmen
Pokud dojde k tomu, že RA SZR dostane od nějakého OVM žádost se shodným označením předmětu
certifikátu (tj. hodnotu položky Subject), jaký je v nějakém platném certifikátu vydaném jinému OVM,
CA SZR žádost odmítne.
Viz též kapitolu 4.2.2 „Přijetí nebo zamítnutí žádosti o certifikát“.
3.1.6 Obchodní značky a ochranné známky
Uznávání ochranných známek a značek se řídí příslušným právním předpisem české legislativy.
Tato certifikační politika nepředpokládá uvádění obchodních značek a ochranných známek ve
vydávaných certifikátech.
3.2 Počáteční ověření identity
Žadateli o certifikáty jsou pro RA SZR osoby oprávněné jednat za OVM. RA SZR neprovádí registraci
OVM, ani osob oprávněných jednat za OVM.
3.2.1 Ověření souladu párových dat, tj. postup při ověřování, zda má subjekt
soukromý klíč odpovídající veřejnému klíči
Ve všech případech, ve kterých uživatelé generují klíčové páry a pak žádají o certifikaci veřejného
klíče, je nutné, aby příslušné procesní autoritě prokázali vlastnictví příslušného soukromého klíče.
www.szrcr.cz
Strana: 10 / 44
Žádost o certifikát obsahuje veřejný klíč. Tato žádost je elektronicky podepsána odpovídajícím
soukromým klíčem. Tím je díky kryptografickému vztahu mezi veřejným a soukromým klíčem
dokázáno, že žadatel vlastnil v okamžiku podpisu žádosti o certifikát obě části klíčového páru.
3.2.2 Ověřování identity OVM
Pro ověření identity žadatele při žádostech o vydání certifikátu, respektive zneplatnění certifikátu
postačuje fakt, že žádost byla doručena z datové schránky OVM do datové schránky SZR.
V ostatních případech za OVM jedná vždy osoba fyzická. Ověření identity fyzické osoby řeší kapitola
3.2.3 „Ověřování identity fyzické osoby“ této politiky.
3.2.3 Ověřování identity fyzické osoby
RA SZR ověřuje fyzické osoby při sdělování neveřejných informací týkajících se PKI SZR v osobním
jednání podle platného a nepoškozeného dokladu totožnosti.
V případě osobně sděleného požadavku na zneplatnění certifikátu není ověření totožnosti osoby
nutné. RA SZR provádí ověření oprávněnosti fyzické osoby žádat o zneplatnění certifikátu podle
znalosti hesla domluveného při vydání certifikátu, pokud bylo takové heslo domluveno.
3.2.4 Neověřené informace vztahující se k držiteli certifikátu
CA SZR neověřuje následující položky, jejichž hodnoty jsou součástí vydávaných certifikátů:
-
Existenci DNS domény, respektive serveru, jejíž / jehož DNS jméno je uvedeno v atributu CN
položky Subject.
-
Vlastnictví DNS jména domény, respektive serveru, jejíž / jehož je uvedeno v atributu CN
položky Subject, orgánem veřejné moci.
-
Označení (jméno) OVM.
-
Adresu OVM.
3.2.5 Ověřování specifických práv
Žádná opatření.
3.2.6 Kritéria pro interoperabilitu
Spolupráce CA a RA SZR s jinými poskytovateli certifikačních služeb je možná až po schválení
ředitelem SZR.
3.3 Identifikace a autentizace při zpracování požadavků na výměnu
veřejného klíče v certifikátu
3.3.1 Identifikace a autentizace při rutinní výměně párových dat
Při požadavku na změnu klíčového páru je třeba žádat o nový certifikát.
Identifikace a autentizace při vydávání druhého certifikátu a dalších certifikátů pro jeden předmět
certifikátu se provádí stejně jako při počátečním ověření identity způsobem popsaným v kapitole 3.2
„Počáteční ověření identity“.
3.3.2 Identifikace a autentizace při výměně párových dat po zneplatnění
certifikátu
Při požadavku na změnu klíčového páru je třeba žádat o nový certifikát.
www.szrcr.cz
Strana: 11 / 44
Identifikace a autentizace při vydávání druhého certifikátu a dalších certifikátů pro jeden předmět
certifikátu se provádí stejně jako při počátečním ověření identity způsobem popsaným v kapitole 3.2
3.4 Identifikace a autentizace při zpracování požadavků na zneplatnění
certifikátu
Ke zneplatnění certifikátu může dojít buď na základě žádosti OVM, kterému byl certifikát vydán, nebo
z vůle poskytovatele certifikačních služeb (viz kapitolu 4.9.1 „Podmínky pro zneplatnění certifikátu“.
OVM se při žádosti o zneplatnění certifikátu identifikuje a autentizuje jedním z následujících způsobů:
-
Zasláním žádosti o zneplatnění certifikátu z datové schránky OVM do datové schránky SZR.
-
Telefonicky s využitím hesla domluveného při vydání certifikátu.
CA SZR může ve výjimečných případech použít i jiné způsoby identifikace a autentizace žadatelů o
zneplatnění certifikátů.
www.szrcr.cz
Strana: 12 / 44
4. Požadavky na životní cyklus certifikátu
4.1 Žádost o vydání certifikátu
Při žádosti o certifikát je žadatel povinen provést následujících kroky:
a) vyplnit formulář žádosti o certifikát;
b) vygenerovat pro každý požadovaný certifikát jeden klíčový pár a poslat veřejný klíč k
certifikaci;
c) identifikovat se vůči RA SZR;
d) prokázat RA SZR, že k veřejné části klíče, která má být certifikovaná, vlastní příslušnou
soukromou část.
Veškeré tyto kroky musí být provedeny před vystavením certifikátu.
4.1.1 Subjekty oprávněné podat žádost o vydání certifikátu
Požádat o certifikát může kterýkoli OVM.
4.1.2 Registrační proces a odpovědnosti poskytovatele a žadatele
RA SZR neprovádí registraci žadatele o certifikát, tj. registraci OVM.
4.1.2.1 Odpovědnosti žadatele
•
Žadatel o certifikát je odpovědný za to, že splnil veškeré zákonné požadavky pro přístup
k základním registrům, zejména požadavky zákona 111/2009 Sb. o základních registrech a
zákona 365/2000 Sb. o ISVS v jejich aktuálním znění.
•
Žadatel o certifikát nepožádá o nový certifikát pro AIS dříve než 3 měsíce před uplynutím
platnosti předcházejícího certifikátu pro tentýž AIS. Výjimkou je případ, když žádá, respektive
bude žádat o zneplatnění předcházejícího certifikátu pro tentýž AIS a oznámí to RA SZR
v žádosti o vydání certifikátu.
•
Žadatel o certifikát je povinen se seznámit s touto certifikační politikou.
•
Žadatel o certifikát je povinen uvádět v žádostech o certifikát pravdivé údaje.
4.1.2.2 Odpovědnosti poskytovatele
•
Za ověření údajů poskytnutých žadatelem o certifikát je zodpovědná RA SZR.
•
CA SZR je povina vydat certifikát, pokud je žádost o jeho vydání oprávněná a úplná a
obsahuje správné údaje.
4.2 Zpracování žádosti o certifikát
Zpracováním žádosti se rozumí identifikace a autentizace žadatele, vydání certifikátu v normou
daném formátu a zaslání certifikátu žadateli, nebo oznámení o vydání certifikátu a výzva k jeho
stažení.
4.2.1 Identifikace a autentizace
Žadatel o certifikát se identifikuje a autentizuje vůči RA SZR způsobem definovaným kapitole 3.2
www.szrcr.cz
Strana: 13 / 44
4.2.2 Přijetí nebo zamítnutí žádosti o certifikát
OVM podává žádost o certifikát zasláním vyplněného formuláře a žádosti ve formátu PKCS#10 ze své
datové schránky do datové schránky SZR.
RA SZR žádost o vydání certifikátu přijme, zaeviduje ji a potvrdí žadateli její příjem zasláním zprávy
do jeho datové schránky.
Pracovník RA SZR zkontroluje údaje ve formuláři i v žádosti o certifikát. Pokud jsou údaje chybné
nebo neúplné, RA SZR žádost o certifikát odmítne a pošle do datové schránky žadatele informaci o
důvodu odmítnutí žádosti.
Pokud jsou údaje úplné a správné, RA SZR předá žádost o certifikát na CA SZR. CA SZR zkontroluje
technické parametry v žádosti a buď vydá certifikát, nebo oznámí RA SZR, že žádost je chybná.
Žádost o certifikát může být odmítnuta mj. z následujících důvodů:
•
Ve formuláři chybí povinný údaj.
•
Žádost o certifikát není ve formátu PKCS#10.
•
OVM žádá o certifikát se stejným veřejným klíčem, pro jaký již mu byl vydán certifikát (tj.
opakovaně používá stejnou žádost o certifikát).
•
OVM žádá o certifikát se stejným veřejným klíčem, pro jaký byl vydán certifikát pro jiný OVM.
Viz též kapitolu 6.1.6 “Generování parametrů veřejného klíče a kontrola jejich kvality”.
•
V žádosti o certifikát chybí IČO OVM.
•
IČO ve formuláři a v žádosti o certifikát jsou různá.
•
AIS ve formuláři není registrován v souladu se zákonem č. 365/2000 Sb. o ISVS.
•
Kódy agend uvedené ve formuláři nejsou registrovány.
•
Pro OVM a AIS existují v době zpracování žádosti o certifikát dva platné certifikáty.
•
Pro OVM a AIS existuje v době zpracování žádosti o certifikát jeden platný certifikát a do
konce jeho platnosti zbývá více než 3 měsíce a žadatel neoznámil RA SZR v žádosti o
certifikát, že žádá, respektive bude žádat o zneplatnění předcházejícího certifikátu pro AIS.
•
V žádosti o certifikát se vyskytuje aspoň jeden znak s diakritickým znaménkem.
•
Země v žádosti o certifikát je uvedena a neobsahuje hodnotu CZ.
•
Veřejný klíč v žádosti o certifikát byl vygenerován s použitím jiného algoritmu než RSA.
•
Veřejný klíč v žádosti o certifikát je kratší než 2048 bitů.
4.2.3 Doba zpracování žádosti o certifikát
Žádost o certifikát se zpracovává bez zbytečného odkladu, zpravidla v řádu dnů.
4.3 Vydání certifikátu
Pokud RA SZR nezjistí chyby v žádosti o certifikát, předá žádost ve formátu PKCS#10 na CA SZR.
4.3.1 Úkony CA v průběhu vydávání certifikátu
CA SZR provede následující činnosti:
a) Zkontroluje obsah žádosti o certifikát z hlediska technických požadavků. Jestliže zjistí, že
žádost obsahuje chybné nebo nepřípustné údaje, je žádost odmítnuta a tato informace je
zaslána na RA SZR.
b) CA SZR vygeneruje certifikát.
c) CA SZR odešle certifikát na RA SZR.
www.szrcr.cz
Strana: 14 / 44
CA SZR v průběhu vydání certifikátu zejména ověří, zda veřejný klíč je poskytnut v takové formě a
kvalitě, jak je požadováno.
4.3.2 Oznámení o vydání certifikátu jeho držiteli
Rozhodnutí o vydání certifikátu zasílá RA SZR žadateli společně s certifikátem do jeho datové
schránky.
4.4 Převzetí vydaného certifikátu
Certifikát je žadateli zaslán do jeho datové schránky.
4.4.1 Úkony spojené s převzetím certifikátu
Úkony připadající v úvahu v souvislosti s převzetím certifikátu jsou tyto:
a) Vyzvednutí certifikátu z datové schránky.
b) Kontrola obsahu certifikátu.
c) Instalace certifikátu do prostředí vlastní infrastruktury.
d) Stažení (download) certifikátu(ů) vydávajících autorit.
e) Instalace certifikátu(ů) vydávajících autorit do prostředí vlastní infrastruktury.
f) Vytvoření zálohy klíčového páru.
4.4.2 Zveřejňování vydaných certifikátů poskytovatelem
CA SZR nezveřejňuje údaje o vydaných certifikátech.
4.4.3 Oznámení o vydání certifikátu jiným subjektům
4.5 Použití párových dat a certifikátu
Soukromý klíč má v certifikátech vydaných CA SZR stejnou dobu platnosti jako certifikát vydaný k jeho
veřejnému klíči.
4.5.1 Použití soukromého klíče a certifikátu držitelem certifikátu
Klíčový pár a certifikát k němu vydaný se smí používat pouze pro účely, pro které byl vydán. Je
zakázáno používat certifikát pro jiný OVM a jiný AIS, než pro které byl vydán.
Držitelé certifikátů mají za povinnost:
a) chránit a držet v utajení svůj soukromý klíč;
b) v co nejkratší době uvědomit RA SZR o jakémkoli podezření z vyzrazení svého soukromého
klíče;
c) dodržovat veškerá ustanovení, podmínky a omezení uložená touto certifikační politikou v
souvislosti s užíváním soukromých klíčů a certifikátů;
d) vytvořit zálohu klíčového páru a uchovávat ji na bezpečném místě.
Držitelům certifikátů, kteří jsou usvědčeni z jednání, která jsou v přímém rozporu s touto Certifikační
politikou a jejími nařízeními, bude jejich certifikát zneplatněn a zároveň propadnou jakékoli nároky,
které uživatel uplatňoval vůči SZR v případě, že v souvislosti s nedodržováním podmínek výše
uvedených vznikla jakákoli neshoda nebo spor.
4.5.2 Použití veřejného klíče a certifikátu spoléhající se stranou
Spoléhající strana má za povinnost:
-
Ověřit, zda certifikát je platný.
www.szrcr.cz
Strana: 15 / 44
-
Dodržovat ustanovení této certifikační politiky.
4.6 Obnovení certifikátu
CA SZR neposkytuje službu obnovení certifikátu ve smyslu vydání nového certifikátu ke stejnému
klíčovému páru a se stejnými parametry, jaké měl certifikát předchozí. Žadatel by v tomto případě
opakovaně používal stejnou žádost o certifikát ve formátu PKCS#10.
CA SZR neposkytuje službu obnovení certifikátu ve smyslu obnovení platnosti dříve zneplatněného
certifikátu.
4.6.1 Podmínky pro obnovení certifikátu
Služba se neposkytuje.
4.6.2 Subjekty oprávněné požadovat obnovení certifikátu
4.6.3 Zpracování požadavku na obnovení certifikátu
4.6.4 Oznámení o vydání obnoveného certifikátu držiteli certifikátu
4.6.5 Úkony spojené s převzetím obnoveného certifikátu
4.6.6 Zveřejňování vydaných obnovených certifikátů vydavatelem
4.6.7 Oznámení o vydání obnoveného certifikátu jiným subjektům
4.7 Výměna veřejného klíče v certifikátu
Výměna dat v certifikátu je vydání nového certifikátu k novému klíčovému páru v době platnosti
certifikátu pro stejný předmět certifikátu (tj. existuje platný certifikát se stejným obsahem položky
Subject). Žadatel v tomto případě vytváří novou žádost o certifikát ve formátu PKCS#10.
4.7.1 Podmínky pro výměnu veřejného klíče v certifikátu
Je zakázáno žádat o nový certifikát pro AIS, pokud do konce platnosti předcházejícího certifikátu pro
tentýž OVM a AIS zbývá více času než 3 měsíce s výjimkou případu, kdy žadatel uvede v žádosti o
certifikát, že žádá, respektive bude žádat o zneplatnění předcházejícího certifikátu pro AIS.
Je zakázáno žádat o nový certifikát pro AIS, pokud pro OVM a AIS existují dva platné certifikáty.
Dále platí stejná ustanovení, jako v kapitole 4.2. „Zpracování žádosti o certifikát“.
4.7.2 Subjekty oprávněné požadovat výměnu veřejného klíče v certifikátu
Platí stejná ustanovení, jako v kapitole 4.1.1. „Subjekty oprávněné podat žádost o vydání certifikátu“.
www.szrcr.cz
Strana: 16 / 44
4.7.3 Zpracování požadavku na výměnu veřejného klíče v certifikátu
Platí stejná ustanovení, jako v kapitole 4.2. „Zpracování žádosti o certifikát“.
4.7.4 Oznámení o vydání certifikátu s vyměněným veřejným klíčem držiteli
certifikátu
Platí stejná ustanovení, jako v kapitole 4.3.2. „Oznámení o vydání certifikátu jeho držiteli“.
4.7.5 Úkony spojené s převzetím certifikátu s vyměněným veřejným klíčem
Platí stejná ustanovení, jako v kapitole 4.4.1. „Úkony spojené s převzetím certifikátu“.
4.7.6 Zveřejňování vydaných certifikátů s vyměněným veřejným klíčem
Platí stejná ustanovení, jako v kapitole 4.4.2. „Zveřejňování vydaných certifikátů poskytovatelem“.
4.7.7 Oznámení o vydání certifikátu s vyměněným veřejným klíčem jiným
subjektům
Platí stejná ustanovení, jako v kapitole 4.4.3. „Oznámení o vydání certifikátu jiným subjektům“.
4.8 Změna údajů v certifikátu
Změna údajů v platném certifikátu nebo v certifikátu zneplatněném se nepovoluje.
4.8.1 Podmínky pro změnu údajů v certifikátu
4.8.2 Subjekty oprávněné požadovat změnu údajů v certifikátu
4.8.3 Zpracování požadavku na změnu údajů v certifikátu
4.8.4 Oznámení o vydání certifikátu se změněnými údaji držiteli certifikátu
4.8.5 Úkony spojené s převzetím certifikátu se změněnými údaji
4.8.6 Zveřejňování vydaných certifikátů se změněnými údaji
4.8.7 Oznámení o vydání certifikátu se změněnými údaji jiným subjektům
4.9 Zneplatnění a pozastavení platnosti certifikátu
CA SZR poskytuje službu zneplatnění certifikátu, tj. ukončení jeho platnosti předtím, než uplyne jeho
doba platnosti. Zneplatněný certifikát nemůže být obnoven.
www.szrcr.cz
Strana: 17 / 44
CA SZR neposkytuje službu pozastavení platnosti certifikátu.
4.9.1 Podmínky pro zneplatnění certifikátu
Okolnosti, jejichž následkem dochází k zneplatnění certifikátů, jsou zejména tyto:
a) věcný obsah certifikátu nebo jeho část se stane neplatným před ukončením platnosti
certifikátu;
b) takový pokrok v kryptoanalýze, který učiní autentizaci s využitím certifikátu nespolehlivou;
c) držitel certifikátu je usvědčen z porušení povinností vycházejících z tohoto dokumentu,
případně z jiných relevantních dokumentů (viz též kapitolu 4.5.1 „Použití soukromého klíče
a certifikátu držitelem certifikátu“);
d) existuje důvodné podezření, že byl vyzrazen soukromý klíč;
e) držitel certifikátu požádá o zneplatnění certifikátu;
f) držitel certifikátu zanikl;
g) dojde ke kompromitaci soukromého klíče certifikační autority, v tomto případě musí dojít k
zneplatnění všech certifikátů, které byly vytvořeny s daným klíčem certifikační autority;
h) RA SZR obdrží v žádosti o certifikát stejný veřejný klíč, který byl certifikován pro jiný OVM (viz
kapitolu 6.1.6 „Generování parametrů veřejného klíče a kontrola jejich kvality“).
Kdykoli se RA SZR doví o výskytu některé z uvedených okolností, zneplatní příslušný certifikát a CA
SZR přidá jeho identifikaci do seznamu zneplatněných certifikátů. Certifikáty zůstávají v tomto
seznamu do doby vypršení jejich (původní) platnosti. Po vypršení doby jejich platnosti jsou certifikáty
ze seznamu zneplatněných certifikátů odstraněny.
4.9.2 Subjekty oprávněné žádat o zneplatnění certifikátu
Subjektem oprávněným žádat o zneplatňení certifikátu je pouze:
a) držitel certifikátu, tj. OVM;
b) provozovatel vydávající certifikační autority, tj. SZR.
4.9.3 Zpracování požadavku na zneplatnění certifikátu
Držitel certifikátu (OVM) může o zneplatnění certifikátu požádat jedním z následujících způsobů:
•
Zasláním vyplněného formuláře žádosti o zneplatnění certifikátu z datové schránky OVM do
datové schránky SZR. Ve formuláři musí být uvedeno IČO OVM a sériové číslo certifikátu,
jehož zneplatnění je požadováno.
•
Telefonicky nebo osobně s využitím hesla domluveného při vydání certifikátu. Držitel musí
oznámit IČO OVM a sériové číslo certifikátu, jehož zneplatnění je požadováno. V tomto
případě musí OVM požadavek na zneplatnění certifikátu potvrdit zasláním vyplněného
formuláře žádosti do datové schránky SZR. SZR do doby potvrzení požadavku datovou
schránkou pro dotyčný certifikát zakáže přístup k ISZR, ale nezneplatní ho.
Součástí žádosti o zneplatnění certifikátu může být také určení důvodu zneplatnění. V případech, kdy
je zneplatnění certifikátu požadováno z důvodů vyzrazení klíče nebo existujícího podezření z
neoprávněného použití klíče, musí tento důvod žadatel o zneplatnění uvést.
RA SZR žádost o zneplatnění certifikátu přijme a zaeviduje ji. Pokud byla žádost poslána do datové
schránky SZR, potvrdí žadateli její příjem zasláním zprávy do jeho datové schránky.
Pracovník RA SZR zkontroluje údaje o certifikátu. Žádost o zneplatnění certifikátu může být odmítnuta
mj. z následujících důvodů:
•
Neplatné (neznámé) číslo certifikátu.
•
Certifikát nebyl vydán pro OVM s IČO, které uvedl žadatel o zneplatnění certifikátu.
•
Certifikát není platný. Buď jeho platnost již uplynula, nebo byl již dříve zneplatněn.
Pokud jsou údaje chybné nebo neúplné, RA SZR pošle do datové schránky žadatele informaci o
důvodu odmítnutí žádosti.
Pokud jsou údaje úplné a správné, RA SZR provede jednu z následujících akcí:
www.szrcr.cz
Strana: 18 / 44
•
Pokud SZR obdržela žádost o zneplatnění certifikátu do datové schránky, předá žádost o
zneplatnění certifikátu na CA SZR.
•
Pokud SZR obdržela žádost o zneplatnění certifikátu osobně nebo telefonicky, zablokuje
přístup k ISZR s použitím dotyčného certifikátu a oznámí to OVM zasláním zprávy do jeho
datové schránky.
Po obdržení požadavku certifikační autoritou je požadavek co nejrychleji zpracován a identifikace
příslušného certifikátu je umístěna do seznamu zneplatněných certifikátů (CRL).
4.9.4 Doba odkladu požadavku na zneplatnění certifikátu
CA SZR nepovoluje požadavky na odložené zneplatnění certifikátů.
4.9.5 Maximální doba pro realizaci zneplatnění certifikátu
Maximální doba realizace koresponduje s technickou proveditelností této operace. Certifikát, jehož
zneplatnění je požadováno, je zneplatněn bez zbytečného prodlení.
4.9.6 Povinnosti spoléhajících se stran při ověřování, zda byl certifikát
zneplatněn
Spoléhající strana je povinna ověřit, zda certifikát nebyl zneplatněn. Tato kontrola může proběhnout i
automaticky, pokud je technicky taková kontrola možná nebo proveditelná. V případě, že toto ověření
neproběhne a spoléhající se strana implicitně certifikátu (a tím platnosti elektronického podpisu)
důvěřuje, není certifikační autorita odpovědná za případnou vzniknuvší škodu.
4.9.7 Periodicita vydávání seznamu zneplatněných certifikátů
CRL jsou vydávány pravidelně bez ohledu na změny v jejich obsahu. CRL mohou být vydávány i
častěji, než je definováno tímto dokumentem, pokud existují důvody k tomu, aby CA SZR prováděla
aktualizaci příslušných informací častěji. Nový CRL je vydáván v takovém čase, aby bylo možno
provést aktualizaci obsahu všech skladů certifikátů (příp. dalších míst, kde jsou poskytovatelem
certifikačních služeb zveřejňovány příslušné informace) před tím, než vyprší platnost aktuálního CRL.
Před vydáním jsou neaktuální informace jsou v aktuálním CRL odstraněny.
CRL je možné vydávat i v tzv. „přírůstkové (∆, δ, Delta)“ formě, pokud tím není porušena zásada
aktuálnosti CRL tak, jak je definováno touto Certifikační politikou.
Aktuální CRL je vydáván jedenkrát za 24 hodin.
4.9.8 Maximální zpoždění při vydávání seznamu zneplatněných certifikátů
Zpoždění vydání CRL je přípustné pouze v důsledku technických omezení (havárie atp.).
4.9.9 Možnost ověřování statutu certifikátu on-line
Služba není poskytována.
4.9.10 Požadavky při ověřování statutu certifikátu on-line
4.9.11 Jiné způsoby oznamování zneplatnění certifikátu
4.9.12 Případné odlišnosti
soukromého klíče
postupu
zneplatnění
v případě
kompromitace
Držitel certifikátu je povinen kompromitaci soukromého klíče nahlásit při žádosti o zneplatnění
certifikátu.
www.szrcr.cz
Strana: 19 / 44
4.9.13 Podmínky pro pozastavení platnosti certifikátu
4.9.14 Subjekty oprávněné žádat o pozastavení platnosti certifikátu
4.9.15 Zpracování požadavku na pozastavení platnosti certifikátu
4.9.16 Omezení doby pozastavení platnosti certifikátu
4.10 Služby související s ověřováním statutu certifikátu
4.10.1 Funkční charakteristiky
CA SZR zveřejňuje seznam zneplatněných certifikátů (CRL).
4.10.2 Dostupnost služeb statutu certifikátu
CA SZR poskytuje tuto službu nepřetržitě s výjimkou výpadků způsobených technickým selháním.
4.10.3 Další charakteristiky služeb statutu certifikátu
4.11 Ukončení poskytování služeb CA
Vypovězení práv poskytovatele certifikačních služeb nebo jeho částí bude zpracováváno v souladu s
ustanoveními článku 5.8 „Ukončení činnosti CA nebo RA“.
Pokud je vypovězení motivováno organizačními nebo jinými důvody, které nesouvisí s bezpečností
CA SZR, pak lze certifikáty vydané CA SZR nadále používat.
SZR oznámí plánované ukončení poskytování služeb CA SZR s dostatečným předstihem na
webových stránkách Správy základních registrů ČR http://www.szrcr.cz
4.12 Úschova soukromých klíčů u důvěryhodné třetí strany a jejich
obnova
CA SZR neposkytuje služby úschovy soukromých klíčů pro držitele certifikátů.
Držitelé certifikátů jsou odpovědni za vytváření a uchovávání záloh svých soukromých klíčů. Jestliže
dojde k vyzrazení soukromých klíčů držitelů certifikátů díky těmto kopiím, nese plnou odpovědnost za
následky držitel certifikátu. RA ani CA SZR se žádným způsobem nepodílí na zálohování soukromých
klíčů svých zákazníků.
CA SZR vytváří záložní kopie soukromých klíčů používaných v souvislosti s vydáváním certifikátů pro
případ výjimečných událostí. Uchovávání těchto kopií splňuje bezpečnostní požadavky definované
touto politikou a interními bezpečnostními předpisy CA SZR.
www.szrcr.cz
Strana: 20 / 44
4.12.1 Politika a postupy při úschově a obnovování soukromých klíčů
4.12.2 Politika a postupy při zapouzdřování a obnovování šifrovacího klíče pro
relaci
www.szrcr.cz
Strana: 21 / 44
5. Management, provozní a fyzická bezpečnost
Tato kapitola shrnuje požadavky kladené na různé stránky bezpečnosti poskytovatele certifikačních
služeb. Požadavky se týkají fyzické bezpečnosti (zajištění a kontrola fyzického přístupu oprávněných
osob), personální bezpečnosti (požadavky kladené na zaměstnance poskytovatele certifikačních
služeb) a procedurální bezpečnosti (popis činností, které jsou prováděny vně technického vybavení,
tedy oprávněnými osobami).
5.1 Fyzická bezpečnost
Fyzická bezpečnost se týká bezpečnosti spojené s fyzickým umístěním provozních zařízení CA a RA
SZR ať již v budově nebo přímo v místnostech. Součástí fyzické bezpečnosti je i používání prostředků
pro kontrolu přístupu, ať se jedná o zařízení pro ochranu prostoru kolem budovy, ochranu pláště
budovy, nebo ochranu vnitřních prostor.
5.1.1 Umístění a konstrukce
Prostory RA a CA SZR jsou umístěny v lokalitách, které nejsou ohroženy přírodními podmínkami
(možnosti záplav apod.) nebo nebezpečnými průmyslovými provozy. Konstrukce budov je přiměřeně
odolná přírodním podmínkám (vítr, déšť, sníh). Prostory jsou vybaveny přiměřenou ochranou proti
násilnému vniknutí a proti požárům.
5.1.2 Fyzický přístup
Prostory RA a CA SZR jsou chráněny před přístupem neoprávněných osob a zařízení v těchto
prostorách jsou chráněna před neoprávněným použitím.
Prostory RA a CA SZR jsou rozděleny na oddělené zóny s různou úrovní zabezpečení, která
odpovídá citlivosti zařízení a dat, která se v těchto zónách nacházejí.
Nejcitlivějšími informacemi pro poskytovatele certifikačních služeb jsou privátní klíče používané při
vydávání certifikátů. Tato data i jejich zálohy jsou umístěny v prostorech s nejvyšším stupněm
ochrany.
5.1.3 Elektřina a klimatizace
Objekty, ve kterém jsou zařízení CA SZR umístěna, jsou vybaveny zdroji energie a klimatizací
dostatečnými k tomu, aby bylo možné vytvořit stabilní pracovní prostředí zajišťující bezchybné
provádění certifikačních služeb.
Dodávky elektrické energie jsou zajištěny záložními napájecími zdroji a nepřerušitelnými zdroji
napájení (UPS: Uninterruptible Power Source), které jsou schopny zajistit přísun elektrické energie po
dobu nezbytně nutnou pro dokončení zpracování veškerých započatých činností a pro vytvoření
permanentního záznamu o aktuálním stavu CA SZR.
5.1.4 Vliv vody
Objekty, ve kterém jsou zařízení RA i CA SZR umístěna, jsou chráněny proti nežádoucím vlivům vody
na provádění certifikačních služeb, a to podle ustanovení havarijní směrnice budovy, ve které jsou
certifikační služby poskytovány.
5.1.5 Protipožární opatření a ochrana
Objekty, ve kterém jsou zařízení RA i CA SZR umístěna, jsou chráněny proti nežádoucím vlivům ohně
na provádění certifikačních služeb, a to podle ustanovení požární směrnice budovy, ve které jsou
certifikační služby poskytovány.
www.szrcr.cz
Strana: 22 / 44
5.1.6 Ukládání médií
Média jsou uchovávána tak, aby nedošlo k jejich poškození či znehodnocení. Je zajištěna dostatečná
spolehlivost paměťových médií, která jsou určena pro záznam a archivaci dat vzniklých při činnosti
poskytovatele certifikačních služeb.
Média jsou ukládána tak, aby bylo zabráněno neoprávněnému přístupu k nim.
5.1.7 Nakládání s odpady
Fyzická média s neveřejnými informacemi jsou skartována odpovídajícím bezpečným způsobem
včetně vymazání obsahu datových médií před jejich skartací.
5.1.8 Zálohy mimo budovu
Zálohování všech dat, která jsou vytvářena během poskytování certifikačních služeb, je prováděno
pravidelně způsobem popsaném v interní dokumentaci SZR. Nejméně jedna záložní kopie je fyzicky
uložena odděleně od ostatních kopií. Zálohy jsou uchovávány na místech, kde jsou uplatňovány
fyzické a procedurální kontroly, které odpovídají požadovanému stupni ochrany.
5.2 Procesní bezpečnost
Tato část dokumentu specifikuje požadavky na procedurální bezpečnost, tj. požadavky na činnosti,
které jsou prováděny personálem poskytovatele certifikačních služeb.
5.2.1 Důvěryhodné role
Důvěryhodná role je taková role, jejíž činnost může vést k bezpečnostním problémům, pokud není
prováděna správně, ať již záměrně či neúmyslně.
Důvěryhodné role jsou definovány v interní dokumentaci SZR. Jedná se o role, které se účastní
operací kritických pro důvěryhodnost poskytovatele certifikačních služeb a certifikátů vydávaných CA
SZR.
Osoby, které jsou pověřeny plněním těchto rolí, musí splňovat požadavky personální bezpečnosti.
Požadavky na personální bezpečnost jsou definovány v interní dokumentaci CA SZR.
Pro zajištění co nejvyšší bezpečnosti certifikačních služeb, jejichž provádění je v rukou zaměstnanců,
jsou používány dva základní postupy:
a) použití technických prostředků, které zabraňují vzniku možných chyb a vynucují používání
správných postupů;
b) rozdělení pravomocí tak, aby nepovolené činnosti s vlivem na bezpečnost poskytovaných
služeb vyžadovaly spolupráci několika osob.
5.2.2 Počet osob požadovaných na zajištění jednotlivých činností
Obvyklé činnosti v rámci certifikačních služeb jsou prováděny jednou osobou s tím, že složitější úlohy
mohou být rozděleny na logické, vzájemně od sebe oddělitelné, navazující části, které vykonávají
různé osoby.
V interní dokumentaci CA SZR jsou definovány činnosti, při kterých je vyžadována účast alespoň dvou
osob. Jedná se o operace kritické pro důvěryhodnost poskytovatele certifikačních služeb a certifikátů
vydávaných CA SZR.
5.2.3 Identifikace a autentizace pro každou roli
Každý pracovník má povolen přístup pouze k aplikacím a do prostor, které jsou nezbytné pro výkon
jeho činnosti.
Každý pracovník má přiděleny identifikační a autentizační údaje a prostředky, za které je osobně
zodpovědný.
www.szrcr.cz
Strana: 23 / 44
5.2.4 Role, vyžadující rozdělení povinností
Odděleně musí existovat následující role:
a) administrátor CA SZR a technický správce PKI SZR;
b) bezpečnostní manažer PKI SZR;
c) auditor PKI SZR.
5.3 Personální bezpečnost
5.3.1 Požadavky na kvalifikaci, zkušenosti a bezúhonnost
Řídí se interními předpisy SZR.
5.3.2 Posouzení spolehlivosti osob
Řídí se interními předpisy SZR.
5.3.3 Požadavky na přípravu pro výkon role, vstupní školení
Veškerý personál zapojený do poskytování certifikačních služeb je dostatečně vyškolen. Témata
jednotlivých školení zahrnují práci s programovým i hardwarovým vybavením poskytovatele
certifikačních služeb, operační a bezpečnostní postupy a praktické uplatňování bezpečnostních a
certifikačních politik a dalších předpisů.
5.3.4 Požadavky na periodicitu školení
Osoby účastnící se poskytování certifikačních služeb musí být neustále seznámeny s aktuálními
předpisy týkajícími se jejich činnosti.
Významná změna v PKI SZR je důvodem k provedení školení, jehož náplní jsou vzniklé změny. O
programu a účastnících školení musí existovat písemný záznam.
Významnými změnami v tomto smyslu jsou například změny programového nebo hardwarového
vybavení, změny v požadavcích na bezpečnost, případně další změny, které mají významný vliv na
bezpečnost provádění certifikačních služeb.
5.3.5 Periodicita a posloupnost rotace pracovníků mezi různými rolemi
5.3.6 Postihy za neoprávněné činnosti zaměstnanců
Osoby, které vědomě nebo nevědomě porušují povinnosti, vyplývající z tohoto, nebo z dalších
relevantních dokumentů mohou být sankciovány podle platných pracovních předpisů.
5.3.7 Požadavky na nezávislé dodavatele
5.3.8 Dokumentace poskytovaná zaměstnancům
Dokumentace potřebná k provádění činností poskytovatele certifikačních služeb je poskytnuta všem
osobám, kterých se týká a jejichž činnost definuje, nebo jiným způsobem ovlivňuje. Jde především o
pracovní postupy, eskalační procedury a postupy při řešení provozních a bezpečnostních problémů.
www.szrcr.cz
Strana: 24 / 44
5.4 Auditní záznamy
Pro potřeby auditu bezpečnosti a provozu CA SZR jsou vytvářeny a uchovávány auditní záznamy o
činnosti. Auditní záznamy jsou pořizovány v reálném čase po celou dobu provozu PKI SZR.
5.4.1 Typy zaznamenávaných událostí
Zaznamenávány jsou tyto události:
a) příjem žádosti o vydání nebo zneplatnění certifikátů a jejich obsah;
b) odeslání rozhodnutí o vydání nebo zneplatnění certifikátů a jejich obsah;
a) nakládání s klíčovými páry CA (export, import);
b) vydání a zneplatnění certifikátů;
c) generování a publikace CRL;
d) autentizační a autorizační události na systémech, na kterých je provozována CA SZR;
e) provedení zálohy a obnovy CA SZR;
f) start a zastavení CA SZR;
g) konfigurační změny CA SZR.
Další záznamy použitelné pro pozdější audit jsou popsány v kapitole 5.5 „Uchovávání informací a
dokumentace“.
5.4.2 Periodicita zpracování záznamů
Četnost kontroly a vyhodnocování záznamů jsou definovány interními předpisy CA SZR. V případě
bezpečnostního incidentu se vyhodnocují okamžitě.
5.4.3 Doba uchovávání auditních záznamů
Auditní záznamy se uchovávají po dobu minimálně pěti let, horní časová hranice není omezena.
5.4.4 Ochrana auditních záznamů
Auditní záznamy jsou uloženy takovým způsobem, že je zajištěna jejich původnost, kompletnost,
integrita a časová autenticita záznamů.
Standardy pro bezpečnost auditních záznamů jsou definovány v interní systémové bezpečnostní
politice.
5.4.5 Postupy pro zálohování auditních záznamů
Auditní záznamy jsou zálohovány takovým způsobem, že je zajištěna jejich dostupnost, důvěrnost a
integrita. Je zajištěno vytvoření dvou kopií uložených v různých lokalitách.
Standardy pro zálohování auditních záznamů jsou definovány v interní systémové bezpečnostní
politice.
5.4.6 Systém shromažďování auditních záznamů (interní nebo externí)
Systém shromažďování záznamů je z hlediska PKI SZR interní, tj. události se zaznamenávají v rámci
prostředí PKI SZR.
5.4.7 Postup při oznámování události subjektu, který ji způsobil
SZR neoznamuje události subjektům, které tuto událost způsobily.
5.4.8 Hodnocení zranitelnosti
Zranitelnosti jsou přezkoumávány v rámci analýzy rizik CA SZR.
www.szrcr.cz
Strana: 25 / 44
5.5 Uchovávání informací a dokumentace
Uchovávání a archivace jsou v této kapitole synonyma.
5.5.1 Typy informací a dokumentace, které se uchovávají
Následující informace jsou zaznamenány a uloženy do archivu na počátku fungování certifikační
autority:
a) vygenerování prvních klíčových párů pro CA SZR nebo root CA SZR;
b) konfigurační soubory programového vybavení certifikační autority;
c) provozní a bezpečnostní dokumenty PKI SZR, především Certifikační politika a Certifikační
prováděcí směrnice;
d) jakékoli smluvní dokumenty, zavazující danou certifikační autoritu.
Následující skupiny informací jsou zaznamenány a archivovány po celou dobu provádění
certifikačních služeb:
c) generování dalších klíčových párů pro CA SZR nebo root CA SZR;
d) zničení klíčových párů pro CA SZR nebo root CA SZR;
e) změny konfiguračních souborů programového vybavení certifikační autority;
f) další data, případně aplikace, které umožní pozdější kontrolu obsahu archivu.
Jsou vytvářeny minimálně dvě kopie každého archivu.
Všechny tyto záznamy jsou opatřeny přesným časem jejich získání a/nebo zpracování. Informace jsou
zaznamenávány v rámci CA, případně RA.
5.5.2 Doba uchovávání uchovávaných informací a dokumentace
Informace a dokumentace se uchovávají buď v elektronické nebo písemné podobě, případně v obojí.
Doba archivace všech informací a dokumentace je nejméně pět let.
Archivace v elektronické podobě je prováděna na média, pro která výrobce zaručuje minimální dobu
čitelnosti rovnou době archivace. Pokud je stanovená doba archivace větší než doba čitelnosti
dostupných médií, je každý archiv překopírován na nové médium před uplynutím garantované doby
čitelnosti média.
5.5.3 Ochrana úložiště uchovávaných informací a dokumentace
Žádný neoprávněný subjekt nemůže zapisovat, modifikovat nebo odstraňovat informace v archivu.
Obsah archivu nesmí být zveřejněn jako celek ani po částech, pokud tak nevyžadují zákonná
ustanovení.
Archivní média a písemné záznamy jsou uloženy na bezpečném místě. Realizace zabezpečení se řídí
interní systémovou bezpečnostní politikou.
5.5.4 Postupy při zálohování uchovávaných informací a dokumentace
Postupy při zálohování informací a dokumentace jsou definovány v interní systémové bezpečnostní
politice.
5.5.5 Požadavky na použití časových razítek při uchovávání informací a
dokumentace
Každý archiv (tj. skupina informací archivovaná společně) je opatřena běžným časovým údajem.
V žádném případě se nejedná o standardní časové razítko vydané nějakou Autoritou časových
značek.
www.szrcr.cz
Strana: 26 / 44
5.5.6 Systém shromažďování uchovávaných informací a dokumentace (interní
a externí)
Systém shromažďování informací a dokumentace je z hlediska PKI SZR interní, tj. informace a
dokumentace se zaznamenávají v rámci prostředí PKI SZR.
Archivy jsou vytvářeny buď manuálně, nebo automaticky. Automatické vytváření archivu je prováděno
programovým vybavením jednotlivých subjektů v průběhu činnosti PKI SZR.
5.5.7 Postupy pro získání a ověření uchovávaných informací a dokumentace
Informace a dokumentace jsou zabezpečeny proti neoprávněnému přístupu.
Přístup mají pouze pověření pracovníci SZR. Jiné subjekty pouze na základě písemného povolení
ředitele SZR.
5.6 Výměna veřejného klíče v nadřízeném systémovém certifikátu
poskytovatele
CA SZR užívá vlastní podpisový klíč pro vytváření certifikátů. Držitelé certifikátu užívají certifikát
certifikační autority po celou dobu životnosti certifikátů, které byly příslušným privátním klíčem CA
podepsány. Proto je zajištěno, že CA nevydá certifikát, který by svojí platností přesahoval dobu
platnosti certifikátu CA.
Aby byla zajištěna co nejvyšší důvěryhodnost činnosti poskytovatele certifikačních služeb, jsou
soukromé (podepisovací) klíče CA SZR obměňovány v přiměřených časových intervalech. Za
normální situace vydá Root CA SZR jeden rok před známým nebo plánovaným koncem platnosti klíče
používaného CA SZR k podepisování vydávaných certifikátů nový certifikát. V případě změn v oblasti
bezpečnosti elektronického podpisu, může být tato doba zkrácena.
V dostatečném předstihu (pro zveřejnění nového certifikátu) je stávající podepisovací klíč CA SZR
použit k žádosti o certifikát k veřejnému klíči nového klíčového páru CA SZR. Nový veřejný klíč CA
SZR je zveřejněn. Přesný postup vychází z ustanovení RFC 4210.
Po ukončení platnosti je podepisovací klíč CA SZR zničen a o zničení je proveden záznam.
5.7 Obnova po havárii nebo kompromitaci
5.7.1 Postup v případě incidentu a kompromitace
Postup v případě incidentu a kompromitace je definován interními plány SZR pro zvládání krizových
situací, tj. plány kontinuity a obnovy.
5.7.2 Poškození výpočetních prostředků, software nebo dat
V případě, že dojde k poškození výpočetních prostředků, software nebo dat, zajistí CA SZR kontinutu
činnosti podle interních plánů kontinuity.
Dále provede CA SZR obnovu stavu prostředků CA SZR do původního stavu podle interních plánů
obnovy.
5.7.3 Postup při kompromitaci soukromého klíče poskytovatele
V případě, že dojde ke kompromitaci podepisovacího klíče CA SZR, nadřízená certifikační autorita
zneplatní podepisovací certifikát CA SZR a SZR informace o tomto zneplatnění neprodleně zveřejní.
Dalším krokem je zneplatnění všech aktuálně platných certifikátů, které byly podepsány
kompromitovaným klíčem.
www.szrcr.cz
Strana: 27 / 44
Potom může CA SZR vygenerovat nový klíčový pár a požádat o certifikaci veřejného klíče nadřízenou
autoritou (tj. Root CA SZR).
Následně se SZR pokusí zjistit způsob, jakým došlo k prozrazení podpisového klíče a přijme nápravná
opatření.
Za kompromitaci podepisovacího klíče CA SZR se považuje i situace, kdy dojde k takovému pokroku
v oblasti kryptoanalýzy nebo IT, že bude ohrožena bezpečnost vydávaných certifikátů.
5.7.4 Schopnost obnovit činnost po havárii
Platí ustanovení článku 5.7.2 „Poškození výpočetních prostředků, software nebo dat“.
5.8 Ukončení činnosti CA nebo RA
5.8.1 Ukončení činnosti CA
Pokud je ukončení činnosti CA SZR motivováno organizačními hledisky nebo jinými důvody, které
nesouvisí s bezpečností CA SZR, pak lze certifikáty, vydané CA SZR nadále používat (dle uvážení
držitelů certifikátů). V takovém případě provede SZR následující akce:
-
Informuje o situaci na svých webových stránkách.
-
Ukončí vydávání certifikátů.
-
Provede audit PKI SZR.
-
Zničí podepisovací klíče CA SZR a o zničení provede záznam.
-
Archivuje veškeré relevantní informace.
5.8.2 Ukončení činnosti RA
Ukončení činnosti RA SZR znamená v případě PKI SZR i ukončení činnosti CA SZR. Postup je tedy
stejný jako v kapitole 5.8.1 „Ukončení činnosti CA“.
www.szrcr.cz
Strana: 28 / 44
6. Technická bezpečnost
6.1 Generování a instalace párových dat
Klíčové páry, zvláště podepisovací klíče jsou nejcitlivějším aktivem poskytovatele certifikačních
služeb. Tato jejich pozice si vynucuje zvláštní opatření zajišťující jejich bezpečnost.
6.1.1 Generování párových dat
Tato Certifikační politika nevylučuje žádný způsob generování dvojice klíčů, jestliže jsou dodrženy
příslušné bezpečnostní požadavky. Předpokládá se, že klíče jsou generovány způsobem, který je pod
kontrolou jejich budoucího držitele, nebo způsobem, který zajišťuje uchování soukromých klíčů v
tajnosti. To platí pro generování klíčů jak na straně žadatelů o certifikát, tak na straně SZR.
Konkrétní postup pro generování dvojice klíčů pro podepisování vydaných certifikátů a popis použitých
technických prostředků je uveden v interní technické dokumentaci CA SZR.
6.1.2 Předání soukromého klíče držiteli certifikátu
Tato politika předpokládá, že soukromé klíče jsou generovány budoucím držitelem certifikátu, tzn. že
žádné doručování není prováděno.
6.1.3 Předání veřejného klíče poskytovateli certifikačních služeb
Veřejný klíč je RA SZR předáván žadatelem o certifikát elektronicky doručením souboru ve formátu
PKCS#10 do datové schránky SZR.
6.1.4 Poskytování veřejných klíčů certifikační autoritou spoléhajícím se
stranám
CA SZR neposkytuje veřejné klíče držitelů certifikátů spoléhajícím se stranám.
Veřejné klíče certifikačních autorit SZR potřebné pro ověřování certifikátů vydaných CA SZR je možné
získat následujícími způsoby:
•
Zasláním žádosti na mailovou adresu [email protected]
•
Na adresách SZR v Internetu a v CMS.
6.1.5 Délky párových dat
Pro generování klíčů certifikačních autorit v hierarchii PKI SZR se používá algoritmus RSA a délky
klíčů 2048 bitů a delší.
Klíče žadatelů o certifikát musí být vygenerovány s použitím algoritmu RSA s minimální délkou klíče
2048 bitů.
6.1.6 Generování parametrů veřejného klíče a kontrola jejich kvality
Parametry algoritmů používaných CA SZR pro vytváření certifikátů veřejných klíčů jsou generovány a
testovány v souladu s normami, které se vztahují k příslušným kryptografickým algoritmům.
CA SZR kontroluje veřejné klíče v žádostech o vydání certifikátu. Pokud obdrží klíč, který je již použitý
v jiném certifikátu vydaném CA SZR, je žádost odmítnuta a žadatel je vyzván o podání nové žádosti
s jiným veřejným klíčem.
•
Pokud byl certifikát se stejným veřejným klíčem vydán jinému držiteli (OVM), než je žadatel o
certifikát, je vydaný certifikát zneplatněn z iniciativy SZR a jeho držitel je o tom informován a
vyzván o podání nové žádosti s jiným veřejným klíčem.
www.szrcr.cz
Strana: 29 / 44
•
Pokud byl certifikát se stejným veřejným klíčem vydán stejnému držiteli, jako je žadatel o
certifikát, zůstane vydaný certifikát v platnosti.
6.1.7 Omezení pro použití veřejného klíče
Omezení jsou definována v kapitole 1.4 „Použití certifikátů“.
6.2 Ochrana soukromého klíče a bezpečnost kryptografických modulů
6.2.1 Standardy a podmínky používání kryptografických modulů
Generování párových dat určených pro vydávání certifikátů CA SZR probíhá v prostředí, které splňuje
požadavky standardu FIPS PUB 140-2 třídy 2.
6.2.2 Sdílení tajemství
6.2.3 Úschova soukromého klíče
Soukromý klíč pro podepisování certifikátů vydávaných CA SZR je uchováván tak, aby bylo možné
jeho použití, a je současně chráněn proti zneužití neoprávněným uživatelem. Konkrétní způsoby
zajištění bezpečnosti soukromého klíče pro podepisování certifikátů vydávaných CA SZR je v interní
bezpečnostní dokumentaci CA SZR.
CA SZR neposkytuje službu pro úschovu soukromých klíčů jiných subjektů.
6.2.4 Zálohování soukromého klíče
PKI SZR vytváří záložní kopie soukromých klíčů všech certifikačních autorit SZR pro případ
výjimečných událostí, či přírodních katastrof. Uchovávání všech kopií splňuje stejné bezpečnostní
požadavky jako uložení originálu. Zálohy klíčového páru jsou chráněny heslem, uloženy na
bezpečném místě a přístup k nim zajištěn režimovými omezeními.
Držitelé certifikátů vydaných CA SZR si mohou vytvářet zálohy svých soukromých klíčů vlastními
prostředky. Jestliže dojde k vyzrazení soukromých klíčů díky těmto kopiím, nese plnou odpovědnost
za následky držitel certifikátu. CA SZR se žádným způsobem nepodílí na zálohování soukromých klíčů
držitelů certifikátů, které vydala.
6.2.5 Archivace soukromého klíče
Soukromé klíče určené pro podepisování vydaných certifikátů nejsou CA SZR archivovány po uplynutí
doby jejich platnosti. Naopak jsou zničeny všechny jejich kopie a je o tom vyhotoven protokol.
CA SZR neposkytuje službu pro archivaci soukromých klíčů jiných subjektů.
6.2.6 Transfer soukromého klíče do/z kryptografického modulu
Klíčový pár pro CA SZR je vygenerován v kryptografickém modulu.
Veřejný klíč CA SZR je podepsán vydávající kořenovou CA SZR a publikován do prostředí CA SZR
jako certifikát CA dle normy X.509.
Klíčový pár CA SZR je vyexportován (veřejný klíč ve formě digitálního certifikátu a soukromý klíč)
z kryptografického modulu a uložen ve dvou kopiích na záložní média.
Zašifrované zálohy klíčů CA (chráněné dostatečně silným heslem) jsou uloženy na bezpečném místě,
každá v jiné lokalitě.
Klíčový pár CA SZR je z kryptografického modulu vymazán.
www.szrcr.cz
Strana: 30 / 44
Klíčový pár CA SZR je do kryptografického modulu opět importován s tím, že soukromý klíč je
označen jako neexportovatelný.
6.2.7 Uložení soukromého klíče v kryptografickém modulu
Soukromý klíč CA SZR je v kryptografickém modulu označen jako neexportovatelný.
6.2.8 Postup při aktivaci soukromého klíče
Soukromý klíč CA SZR je aktivován automaticky při startu software CA SZR.
6.2.9 Postup při deaktivaci soukromého klíče
Soukromý klíč CA SZR je aktivován automaticky při zastavení software CA SZR.
6.2.10 Postup při zničení soukromého klíče
Soukromý klíč je z kryptografického modulu vymazán a jsou fyzicky zničeny všechny jeho kopie.
6.2.11 Hodnocení kryptografických modulů
Hodnocení kryptografických modulů vychází z požadavků standardu FIPS PUB 140-2.
6.3 Další aspekty správy párových dat
6.3.1 Archivace veřejných klíčů
CA SZR nearchivuje certifikované veřejné klíče.
6.3.2 Maximální doba platnosti certifikátu a párových dat
Maximální doba platnosti certifikátu vydaného žadateli o certifikát je 3 roky.
Doba platnosti klíčového páru je stejná jako doba platnosti certifikátu příslušného certifikovaného
veřejného klíče.
6.4 Aktivační data
CA SZR nepoužívá žádná aktivační data k aktivaci soukromého klíče, kterým CA SZR podepisuje
vydávané certifikáty a vydávané CRL.
6.4.1 Generování a instalace aktivačních dat
6.4.2 Ochrana aktivačních dat
6.4.3 Ostatní aspekty aktivačních dat
www.szrcr.cz
Strana: 31 / 44
6.5 Počítačová bezpečnost
6.5.1 Specifické technické požadavky na počítačovou bezpečnost
Veškeré programové vybavení CA SZR používá chráněný operační systém, který zabraňuje pokusům
o uvolnění bezpečnostních mechanismů a zaznamenává je ve formě auditních záznamů. Operační
systém vyžaduje identifikaci a autentizaci každého uživatele.
Technické vybavení veřejné části CA SZR je odděleno od ostatních částí PKI SZR firewallem.
6.5.2 Hodnocení počítačové bezpečnosti
Vybavení certifikační autority užívané pro certifikační služby pracuje na platformách s operačním
systémem, který je dostatečným způsobem zabezpečen dle požadavků příslušných standardů a „Best
Practices“.
Hodnocení počítačové bezpečnosti provádí nezávislý auditor.
6.6 Bezpečnost životního cyklu
Technické a programové vybavení CA SZR je určeno pouze pro provoz CA. Nejsou na něm
provozovány žádné jiné aplikace.
6.6.1 Řízení vývoje systému
PKI SZR byla implementována podle interní systémové bezpečnostní politiky a podle téže politiky je
prováděn i další rozvoj PKI SZR.
6.6.2 Kontroly řízení bezpečnosti
Kontroly bezpečnosti provádí pracovníci SZR nepřetržitě. Využívají přitom monitorovací a auditovací
nástroje.
Pracovníci SZR vyhodnocují pravidelně auditní záznamy.
6.6.3 Řízení bezpečnosti životního cyklu
Bezpečnosti životního cyklu PKI SZR je řízena na základě procesního přístupu.
6.7 Síťová bezpečnost
Servery CA SZR jsou umístěny v zabezpečeném segmentu počítačové sítě a přístup k nim je řízen a
kontrolován na síťové úrovni. Na serverech CA SZR je aktivní pouze takový síťový software, který je
nutný pro provoz CA.
Programové vybavení všech CA v rámci PKI SZR bylo nakonfigurováno off-line.
Síťová bezpečnost se řídí interní systémovou bezpečnostní politikou.
6.8 Časová razítka
Certifikační politika CA SZR neřeší problematiku časových razítek. CA SZR takovou službu nenabízí.
www.szrcr.cz
Strana: 32 / 44
7. Profily certifikátu, seznamu zneplatněných certifikátů a OCSP
7.1 Profil certifikátu
7.1.1 Položky certifikátu
7.1.1.1 Version
„3“
Hodnotu definuje CA SZR.
7.1.1.2 Serial number
Unikátní číslo certifikátu v rámci vydávající CA.
7.1.1.3 Signature algorithm
„sha256RSA“
7.1.1.4 Issuer
Identifikace CA, která certifikát vydala.
CN = „ISZR AIS CA“
O = „SZR CR“
L = „Praha“
C = „CZ“
7.1.1.5 Validity
Doba platnosti certifikátu.
Not before - Vydávající CA dosadí čas vydání certifikátu.
Not after - Vydávající CA dosadí čas vydání certifikátu plus 1 - 3 roky. CA SZR při vydávání certifikátu
nepřekročí dobu platnosti použitého podepisovacího klíče CA.
7.1.1.6 Subject
Předmět certifikátu. Identifikuje subjekt (AIS), kterému se certifikát vydává.
CN = Označení serveru.
CA SZR dosadí hodnotu z žádosti o certifikát.
Očekává se, že bude ve tvaru DNS jména, např. server.ovm.cz
O = IČO OVM.
OU = Označení AIS v ISoISVS.
www.szrcr.cz
Strana: 33 / 44
ST = Označení (jméno) OVM.
Očekává se, že bude ve tvaru: Sprava zakladnich registru
L = Adresa OVM.
Očekává se, že bude ve tvaru: Obec=Praha,Ulice=Milady Horakove,PSC=12345
C = Země.
Musí být hodnota CZ.
7.1.1.7 Subject Public key info
Informace o veřejném klíči.
Algorithm - CA SZR dosadí hodnotu rsaEncryption.
SubjectPublicKey - CA SZR dosadí veřejný klíč RSA z žádosti o certifikát.
7.1.1.8 Signature
CA SZR dosadí podpis vydaného certifikátu provedený s použitím soukromého klíče CA SZR.
7.1.2 Číslo verze
CA SZR vydává certifikáty podle normy X.509 verze 3.
7.1.3 Rozšiřující položky certifikátu
Soukromý klíč má v certifikátech vydaných CA SZR stejnou dobu platnosti jako certifikát vydaný k jeho
veřejnému klíči.
7.1.3.1 Authority key identifier
Identifikace klíče CA SZR.
Obsah pole ‘Subject key identifier’ certifikátu, kterým CA SZR certifikát podepsala.
7.1.3.2 Subject key identifier
Identifikace předmětu, pro který byl certifikát vydán.
7.1.3.3 CRL Distribution Points
Distribuční místa seznamu odvolaných certifikátů. Definuje URL, na kterých lze CRL získat.
7.1.3.4 Key usage
Použití klíče.
„Digital Signature“ – digitální podpis.
„Key Encipherment“ – šifrování klíčů.
www.szrcr.cz
Strana: 34 / 44
7.1.3.5 Enhanced key usage
Rozšířené použití klíče.
„Server Authentication“ – autentizace serveru.
„Client Authentication“ – autentizace klienta.
7.1.3.6 Authority information access
Distribuční místa certifikátu CA, která certifikát vydala. Definuje URL, na kterých lze certifikát získat.
7.1.3.7 Certificate template name
Označení šablony, podle které byl certifikát vydán.
7.1.3.8 Application policies
Politiky aplikování.
„Server Authentication“ – autentizace serveru.
„Client Authentication“ – autentizace klienta.
7.1.4 Objektové identifikátory (OID) algoritmů
Pro vydávání certifikátů se používá schéma sha256WithRSAEncryption (OID 1.2.840.113549.1.1.11).
7.1.5 Způsoby zápisu jmen a názvů
Všechny názvy a texty se uvádí bez diakritiky. Viz kapitolu 3.1.4 „Pravidla pro interpretaci různých
forem jmen“.
7.1.6 Omezení jmen a názvů
Omezení pro jméno subjektu jsou popsána v kapitole 3.1.5 „Jedinečnost jmen“.
7.1.7 OID Certifikační politiky
OID je uvedeno v kapitole 1.2 „Název a identifikace dokumentu“.
V certifikátech vydávaných CA SZR se nepoužívá.
7.1.8 Rozšiřující položka „Policy Constraints“
7.1.9 Syntaxe a schémata rozšiřující položky „Policy Qualifiers“
7.1.10 Způsob zápisu kritické rozšiřující položky „Certificate Policies“
www.szrcr.cz
Strana: 35 / 44
7.2 Profil CRL
7.2.1 Položky CRL
7.2.1.1 Version
„2“
7.2.1.2 Signature algorithm
„sha256RSA“
7.2.1.3 Issuer
Identifikace CA, která CRL vydala.
CN = „ISZR AIS CA“
O = „SZR CR“
L = „Praha“
C = „CZ“
7.2.1.4 This update
CA SZR dosadí čas vydání CRL.
7.2.1.5 Next update
CA SZR dosadí předpokládaný čas vydání příštího CRL.
7.2.1.6 Revoked certificates
CA SZR dosadí seznam zneplatněných certifikátů. Může být prázdný.
7.2.2 Rozšiřující položky CRL a záznamů v CRL
7.2.2.1 Authority key identifier
Hash, tj. obsah pole ‘Subject key identifier’ certifikátu, kterým vydávající CA CRL podepsala.
7.2.2.2 CRL number
Pořadové číslo seznamu zneplatněných certifikátů.
7.2.2.3 Delta CRL indicator
Rozšíření informuje o tom, že jde o rozdílový seznam zneplatněných certifikátů.
Hodnotu dosadí CA SZR v případě, že jde o rozdílový seznam zneplatněných certifikátů.
www.szrcr.cz
Strana: 36 / 44
7.2.3 Rozšiřující položky záznamů v CRL
Jde o nepovinná rozšíření k jednotlivým zneplatněným certifikátům. Nemusí být uvedena.
7.2.3.1 Reason code
Může obsahovat důvod zneplatnění certifikátu.
7.2.3.2 Invalidity date
Může obsahovat čas, kdy RA SZR byla nahlášena kompromitace soukromého klíče, příslušejícího ke
zneplatněnému certifikátu.
7.3 Profil OCSP
Služba OCSP není poskytována.
7.3.1 Číslo verze
7.3.2 Rozšiřující položky OCSP
www.szrcr.cz
Strana: 37 / 44
8. Hodnocení shody a jiné audity
8.1 Periodicita hodnocení nebo okolnosti pro provedení hodnocení
O provedení auditu PKI SZR rozhoduje ředitel SZR. Provádí se v případě vážného bezpečnostního
incidentu, v případě významných změn v oblasti kryptografie, v případě významných změn uvnitř SZR
a dále podle potřeby.
8.2 Identita a kvalifikace auditora
Auditor musí mít prokazatelnou praxi a kvalifikaci v oblasti bezpečnosti informačních technologií.
V oblasti kvalifikace se vyžaduje vlastnictví některé z následujících certifikací:
a) CISA
b) CRISC
c) CISSP
8.3 Vztah auditora k hodnocenému subjektu
Auditor se nesmí podílet na provozu PKI SZR.
8.4 Hodnocené oblasti
Hodnocenými oblastmi jsou zejména:
a) Certifikační politika CA;
b) ostatní navazující bezpečnostní dokumentace;
c) uplatňování ustanovení CP a ostatní navazující bezpečnostní dokumentace;
d) technické aspekty provozu CA SZR;
e) generování klíčových párů pro podepisování vydávaných certifikátů;
f) nakládání s klíčovými páry pro podepisování vydávaných certifikátů (export, import, záloha);
g) všechny činnosti, související s životním cyklem certifikátů;
h) generování, publikace a update CRL;
i) všechny procesní záležitosti, update politik a předpisové základny;
j) identifikační, autentizační a autorizační mechanismy pro přístup k CA a RA SZR.
8.5 Postup v případě zjištění nedostatků
Jakékoli neshody s bezpečnostní dokumentací musí být zdokumentovány, předloženy SZR a musí být
zjednána náprava.
SZR upraví nastavení a / nebo postupy a příslušnou dokumentaci.
8.6 Sdělování výsledků hodnocení
Výsledek auditu je sdělován řediteli SZR v písemné formě bez zbytečného prodlení po ukončení
auditu.
www.szrcr.cz
Strana: 38 / 44
9. Ostatní obchodní a právní náležitosti
9.1 Poplatky
Žadatelům o certifikát CA SZR nejsou účtovány žádné poplatky.
9.1.1 Poplatky za vydání nebo obnovení certifikátu
9.1.2 Poplatky za přístup k certifikátu na seznamu vydaných certifikátů
9.1.3 Poplatky za informace o statutu certifikátu nebo o zneplatnění certifikátu
9.1.4 Poplatky za další služby
9.1.5 Jiná ustanovení týkající se poplatků
9.2 Finanční odpovědnost
SZR není finančně nijak odpovědná uživatelům certifikátů vydaných CA SZR.
9.2.1 Krytí pojištěním
9.2.2 Další aktiva a záruky
9.2.3 Pojištění nebo krytí zárukou pro koncové uživatele
9.3 Citlivost obchodních informací
9.3.1 Výčet citlivých informací
Za citlivé informace SZR považuje zejména:
•
Soukromé klíče všech certifikačních autorit SZR používané při vydávání certifikátů.
•
Certifikační prováděcí směrnici.
•
Technickou dokumentaci PKI SZR.
•
Interní systémovou bezpečnostní politiku a havarijní plány.
www.szrcr.cz
Strana: 39 / 44
•
Žádosti o vydání certifikátů (formuláře i vlastní technické žádosti), žádosti o zneplatnění
certifikátů.
•
Rozhodnutí o vydání certifikátů (formuláře i vydané certifikáty), rozhodnutí o zneplatnění
certifikátů.
•
Auditní záznamy.
•
Veškeré osobní údaje.
9.3.2 Informace mimo rámec citlivých informací
Jde o informace, které nejsou přímo označeny jako důvěrné či neveřejné a mohou být zveřejněny.
9.3.3 Odpovědnost za ochranu citlivých informací
Za ochranu citlivých informací je zodpovědný každý, kdo se z pověření SZR podílí na provozu PKI
SZR.
9.4 Ochrana osobních údajů
9.4.1 Politika ochrany osobních údajů
Politika ochrany osobních údajů se řídí platnou legislativou.
9.4.2 Osobní údaje
Definice osobních údajů vychází z platné legislativy.
9.4.3 Údaje, které nejsou považovány za citlivé
Za citlivé nejsou považovány ty osobní údaje, k jejichž zveřejnění dala osoba svolení.
9.4.4 Odpovědnost za ochranu osobních údajů
Za ochranu osobních údajů je zodpovědný každý, kdo se z pověření SZR podílí na provozu PKI SZR.
9.4.5 Oznámení o používání důvěrných informací a souhlas s používáním
citlivých informací
Pokud nějaký subjekt uvede v žádosti o certifikát osobní údaje, dává tím SZR právo je používat pro
interní potřebu v souvislosti s vydáváním a správou certifikátů.
9.4.6 Poskytování citlivých informací pro soudní nebo správní účely
Poskytovatel certifikačních služeb nezpřístupní žádné certifikáty nebo informace spojené s certifikáty
třetím stranám, mimo strany:
a) jež jsou jmenovány v certifikační politice;
b) které požadují zpřístupnění těchto informací v souladu se zákonnými ustanoveními;
c) stranám, autorizovaným vlastníkem těchto informací v případech, kdy jsou tyto informace
potřebné pro ověření obsahové správnosti certifikátu.
9.4.7 Jiné okolnosti zpřístupňování osobních údajů
Řídí se platnou legislativou.
www.szrcr.cz
Strana: 40 / 44
9.5 Práva duševního vlastnictví
Certifikáty CA SZR a root CA SZR a jim odpovídající soukromé klíče, Certifikační politika, Certifikační
prováděcí směrnice a veškeré dokumenty související s provozem PKI jsou chráněny autorskými
právy.
Autorskými právy jsou chráněny i veřejně dostupné informace publikované SZR v souvislosti
s provozem PKI SZR, např. obsah příslušných webových stránek.
9.6 Zastupování a záruky
9.6.1 Zastupování a záruky RA
SZR zaručuje, že bude vydávat a odvolávat certifikáty v souladu s touto Certifikační politikou.
9.6.2 Zastupování a záruky CA
SZR zaručuje, že bude vydávat a odvolávat certifikáty v souladu s touto Certifikační politikou.
9.6.3 Zastupování a záruky držitele certifikátu
9.6.4 Zastupování a záruky spoléhajících se stran
9.6.5 Zastupování a záruky ostatních zúčastněných subjektů
9.7 Zřeknutí se záruk
9.8 Omezení odpovědnosti
Odpovědnost SZR je vymezena zákony a touto CP.
9.9 Odpovědnost za škodu, náhrada škody
9.10 Doba platnosti a ukončení platnosti
9.10.1 Doba platnosti
Doba platnosti Certifikační politiky je od data vydání do odvolání.
9.10.2 Ukončení platnosti
Ukončení platnosti této Certifikační politiky nastává:
a) vydáním nové verze CP;
www.szrcr.cz
Strana: 41 / 44
b) ukončením činnosti CA SZR.
9.10.3 Důsledky ukončení a přetrvávání závazků
9.11 Komunikace mezi zúčastněnými subjekty
Pro komunikaci se subjekty, které využívají služeb PKI SZR, se používají datové schránky, osobní
komunikace, e-mail, telefon, fax, portál SZR.
9.12 Změny
Chyby, návrhy upřesnění nebo doporučené změny této CP musí být od třetích stran hlášeny na
komunikační kontakty, uvedené na webových stránkách Správy základních registrů ČR
http://www.szrcr.cz. Taková hlášení musí obsahovat popis navrhované změny, její zdůvodnění a
kontaktní informace na osobu požadující danou změnu.
9.12.1 Postup při změnách
SZR navrhované změny posoudí a v případě jejich akceptace je zařadí do příští verze CP.
9.12.2 Postup při oznamování změn
Nová verze CP bude oznámena a publikována na webových stránkách Správy základních registrů ČR
http://www.szrcr.cz
9.12.3 Okolnosti, za kterých musí být změněn OID
V případě vydání nové verze CP jí musí být přiděleno nové OID.
OID této Certifikační politiky nejsou registrovány, protože odkazy na ně se nevyskytují ve vydávaných
certifikátech.
9.13 Řešení sporů
Držitelé certifikátů se v případě sporů obrátí na RA SZR.
9.14 Rozhodné právo
V souvislosti s výklady a platností této Certifikační politiky budou uplatňovány právní normy České
republiky.
9.15 Shoda s právními předpisy
Činnost CA SZR podle této Certifikační politiky je v souladu s právními normami České republiky.
www.szrcr.cz
Strana: 42 / 44
9.16 Další ustanovení
9.16.1 Rámcová dohoda
9.16.2 Postoupení práv
9.16.3 Oddělitelnost ustanovení
Tato politika platí jako celek a oddělitelnost jednotlivých jejích ustanovení se nepřipouští.
9.16.4 Zřeknutí se práv
9.16.5 Vyšší moc
9.17 Další opatření
www.szrcr.cz
Strana: 43 / 44
10. Závěrečná ustanovení
Tato Certifikační politika je platná ode dne vydání.
Počínaje dnem vydání vydává a odvolává CA SZR certifikáty podle této politiky.
www.szrcr.cz
Strana: 44 / 44

certifikační politice - Správa základních registrů

Transkript

Podobné dokumenty

Podepisování elektronické pošty (Mozzila Thunderbird)

Instalace certifikátu v prohlížeči Mozilla Firefox (FF

4.1 Certifikáty - Nakladatelství Forum

Podepisování elektronické pošty (MS Outlook)

Odinstalování certifikátu z prohlížeče Mozilla Firefox (FF)

Při vstupu na portál RWE online servis mi internetový

Správa SSL certifikátu v Symantec End User Portálu

Import / instalace certifikátu z neznámé certifikační autority (CA)

Instalace certifikátu v prohlížeči Mozilla Firefox (FF