Sertifikavimo paslaugu teikejai
Download
Report
Transcript Sertifikavimo paslaugu teikejai
Elektroninio parašo infrastruktūra
Dr. Adomas Birštunas
2014-10-13
Sertifikavimo paslaugų
teikėjai
2014-10-13
VU, MIF
Pagrindinės sertifikavimo
paslaugų tarnybos
•
•
•
•
•
•
•
Registravimo tarnyba
Parašo formavimo įrangos tarnyba
Sertifikatų sudarymo tarnyba
Sertifikatu duomenų teikimo tarnyba
Sertifikatu atšaukimo tarnyba
CRL teikimo tarnyba
OCSP teikimo tarnyba
2014-10-13
VU, MIF
Pagrindinės sertifikavimo
paslaugų tarnybos
Asmuo
Teisėsaugos ar kt.
institucijos
Prašymas
Prašymas atšaukti
sertifikatą
Registravimo tarnyba
(RA)
Sertifikatas,
CA paslaugų
sąlygos
Sertifikatų sudarymo
tarnyba
Nutartis atšaukti
sertifikatą
SSCD
Viešasis
raktas
Parašo formavimo
įrangos tarnyba
Sertifikatų atšaukimo
tarnyba
CRL/OCSP teikimo tarnyba
(repository)
Sertifikatų duomenų
teikimo tarnyba
(repository)
Sertifikatas,
CA paslaugų
sąlygos
2014-10-13
Sertifikato
statusas
Parašų tikrintojai
VU, MIF
Papildomos sertifikavimo
paslaugų tarnybos
• Laiko žymų tarnyba (Time Stamping Authority, TSA):
–
–
–
–
Paskirtis
Reikalavimai
Susiejimas su atominiu laikrodžiu
Standartai: ETSI TS 101861 ir ETSI TS 102023
• Laiko žymių tarnyba (Time Marking Authority, TMA):
– Paskirtis
– Teisinis galiojimas ir praktinis taikymas
2014-10-13
VU, MIF
Sertifikato taisyklės
• Sertifikato taisyklės (Certificate Policy, CP) –
lakoniškos taisyklės, nurodančios bendruosius
reikalavimus, taikomus išduodant sertifikatus
• Sertifikato taisykles rengia sertifikatų centras
arba elektroninio parašo naudotojų grupė
• Sertifikato taisyklės registruojamos ir joms
suteikiamas identifikatorius (Object Identificator).
• Sertifikavimo taisyklės skelbiamos viešai
2014-10-13
VU, MIF
Sertifikavimo veiklos nuostatai
• Sertifikavimo veiklos nuostatai (Certification
Practice Statement, CPS) – reikalavimai sertifikatų
centro veiklai, kuriuose detaliai nurodoma kaip
įgyvendinamos konkrečios sertifikatų taisyklės
• Vieni sertifikavimo veiklos nuostatai gali
įgyvendinti kelias sertifikatų taisykles
• Sertifikato taisyklės gali būti apibrėžtos ir
įgyvendintos kelių sertifikatų centrų
2014-10-13
VU, MIF
CPS ir CP informacija
•
CPS ir CP turėtų aprašyti:
•
informacijos teikimas ir teikėjo atsakomybė
•
asmenų tapatybės ir duomenų autentiškumo tikrinimas
•
sertifikatų tvarkymo reikalavimai
•
techninis saugumas
•
sertifikatų, CRL ir OCSP profiliai (struktūra)
•
atitikties auditas ir įvertinimas
2014-10-13
VU, MIF
Saugi sertifikatų tvarkymo
sistema
• CA veiklai keliami aukšti reikalavimai
• CA savo veikloje turi naudoti patikimą
kompiuterinę sistemą sertifikatams tvarkyti
• Sistemos reikalavimai kvalifikuotų sertifikatų
atveju yra didesni už nekvalifikuotų
• Gamintojai turi tiekti, o CA diegti CWA 14167-1
standarte nustatytus saugumo reikalavimus
atitinkančias sistemas
2014-10-13
VU, MIF
Saugumo reikalavimai
• Sistemos saugumo reikalavimų lygiai
– nekvalifikuotų sertifikatų atveju
– kvalifikuotų sertifikatų atveju
• Sistemos saugumo reikalavimų grupės
– Bendrieji saugumo reikalavimai
– Pagrindiniai saugumo reikalavimai
– Papildomi saugumo reikalavimai
(jei teikiama SSCD ar laiko žymos)
2014-10-13
VU, MIF
Bendrieji sistemos saugumo
reikalavimai
• Bendrieji reikalavimai susiję su:
–
–
–
–
–
–
–
–
saugumo užtikrinimu
sistemos veikimu
identifikavimu ir autentifikavimu
patekimo į sistemą kontrole
raktų tvarkymu
apskaita ir auditu
duomenų archyvavimu
duomenų kopijų darymu ir sistemos atstatymu
2014-10-13
VU, MIF
Saugumo užtikrinimo
reikalavimai
• Turi būti priemonės įgalinančios nustatyti ir
kontroliuoti dirbančių asmenų teises ir pareigas.
• Sistemą eksploatuoti ir prižiūrėti gali šie
darbuotojai:
–
–
–
–
–
saugumo pareigūnai
registratoriai (RA darbuotojai)
sistemos administratoriai
operatoriai
auditoriai
2014-10-13
VU, MIF
Sistemos veikimo reikalavimai
• Naudojimas
– sistema turi būti eksploatuojama teisingai, kad būtų
minimizuota sutrikimų rizika, apsaugota nuo virusų,
nuo nesankcionuotų pakeitimų.
• CA veiklos nenutrūkstamumas
– sistema turi veikti ir įvykus gedimui; turi būti
rezervinė sistema
• Veiksmų sinchronizavimas laike
– turi būti sinchronizuota su standartiniu laiku (UTC)
2014-10-13
VU, MIF
Identifikavimo ir autentifikavimo
reikalavimai
• Vartotojų autentifikavimas
– sistema gali naudotis tik įgalioti asmenys
– darbuotojai identifikuojami iki jų veiksmų su sistema
• Autentiškumo nepripažinimas
– fiksuotas maksimalus nesėkmingų autentifikavimo
bandymų kiekis; vartotojų blokavimas
• Slaptųjų elementų tikrinimas
– slaptažodžių, PIN kodų atitikimas reikalavimams
2014-10-13
VU, MIF
Patekimo į sistemą kontrolės
reikalavimai
• Sistema gali naudotis tik identifikuoti ir tam
įgalioti asmenys
• Sistema turi užtikrinti, kad niekas negautų
nesankcionuotos
prieigos
prie
viešai
neskelbiamos informacijos
2014-10-13
VU, MIF
Raktų tvarkymo reikalavimai
• Skiriamos trys CA raktų kategorijos:
– raktai sertifikatams pasirašyti
– infrastruktūriniai
raktai
saugiam
duomenų
perdavimui tarp sistemos dalių arba saugomiems
duomenims pasirašyti
– CA darbuotojų kontroliniai raktai prieigai prie
sistemos.
• Saugus duomenų perdavimas gali būti
realizuojamas simetriniu ar asimetriniu šifravimu
2014-10-13
VU, MIF
Raktų tvarkymo reikalavimai
• Raktų generavimas
– raktai sertifikatams pasirašyti turi būti generuojami ir
saugomi saugiame kriptografiniame modulyje
kontroliuojant bent dviem asmenims
– kriptografinis modulis turi atitikti CWA 14167-2
– infrastruktūriniai ir kontroliniai raktai turi būti
laikomi aparatinėje kriptografinėje įrangoje
• Raktų tiekimas
– privatūs raktai asmenims negali būti tiekiami atvirai
2014-10-13
VU, MIF
Raktų tvarkymo reikalavimai
• Raktų naudojimas
– raktai sertifikatams pasirašyti turi būti laikomi
saugiuose kriptografiniuose moduliuose ir prieinami
tik įvedus slaptažodį, PIN ar kt.
– raktai turi būti naudojami tik pagal paskirtį
• Raktų keitimas
– infrastruktūriniai ir kontroliniai raktai turi būti
keičiami kasmet
– nusilpus algoritmams raktai keičiami nedelsiant
2014-10-13
VU, MIF
Raktų tvarkymo reikalavimai
• Raktų naikinimas
– pasibaigus sertifikatams pasirašyti naudojamų
raktų galiojimo terminui, jie turi būti sunaikinti
• Raktų saugojimas, kopijavimas ir atstatymas
– raktus tvarko CA saugumo pareigūnas
– sertifikatams pasirašyti naudojamas privatus raktas
tvarkomas tik dalyvaujant bent dviem asmenims
• Raktų archyvavimas
– draudžiama archyvuoti abonentų privačius raktus
2014-10-13
VU, MIF
Apskaitos ir audito reikalavimai
• Audito duomenys
– turi būti audituojami sistemos įrangos, šifravimo
raktų ir sertifikatų tvarkymo darbų duomenys
• Prieigos prie audito duomenų garantijos
– audito duomenys automatiškai netrinami
– audito duomenims turi būti skirta pakankamai vietos
• Audito duomenų parametrai
– turi būti fiksuojamas įvykis, laikas, atsakingas asmuo
2014-10-13
VU, MIF
Apskaitos ir audito reikalavimai
• Audito duomenų pasirinktinė peržiūra
– galimybė peržiūrėti filtruotus audito duomenis
• Audito duomenų peržiūros apribojimai
– audito duomenys nekeičiami
– audito duomenis gali peržiūrėti tik įgalioti asmenys
• Pavojaus signalų generavimas
– turi būti pranešama apie užfiksuotus bandymus
pažeisti sistemos saugumą
2014-10-13
VU, MIF
Apskaitos ir audito reikalavimai
• Audito duomenų vientisumo garantija
– turi būti galimybė aptikti audito duomenų pakeitimus
• Audito atlikimo laiko garantija
– audito atlikimo laikui
patikimas laiko šaltinis
2014-10-13
užfiksuoti
naudojamas
VU, MIF
Duomenų archyvavimo
reikalavimai
• Archyvuojami duomenys
– archyvuojami sertifikatai, CRL, audito duomenys
– kritinio saugumo duomenys turi būti šifruojami
• Pasirinktinė duomenų paieška archyve
– galimybė surasti archyve filtruotus duomenis
• Archyvo duomenų vientisumas
– turi būti galimybė aptikti archyve saugomų duomenų
pakeitimus
2014-10-13
VU, MIF
Duomenų kopijų darymo ir
sistemos atstatymo reikalavimai
• Kopijų darymas
– turi būti daromos kopijos tik tų duomenų, kurių
reikia sistemos stoviui atstatyti (pvz., po gedimų)
– gali atlikti tik administratorius su saugumo pareigūnu
• Kopijų informacijos vientisumas
– turi būti galimybė aptikti kopijų pakeitimus
• Sistemos atstatymas
– turi būti galima atstatyti sistemą iš kopijų
– gali atlikti tik administratorius su saugumo pareigūnu
2014-10-13
VU, MIF
Pagrindiniai sistemos saugumo
reikalavimai
• Pagrindiniai sistemos saugumo reikalavimai
susiję su:
–
–
–
–
–
–
bendrojo pobūdžio dalykais
abonentų registravimu
sertifikatų sudarymu
sertifikatų duomenų teikimu
sertifikatų atšaukimu
atšauktų sertifikatų sąrašų (CRL) teikimu
2014-10-13
VU, MIF
Bendrojo pobūdžio reikalavimai
• Visi CA tarnybų siuntinėjami pranešimai turi
būti apsaugoti kriptografinėmis ar kitomis
priemonėmis
• Pranešimuose turi būti nurodomas sukūrimo
laikas ir turi būti naudojamas atsitiktinis skaičius
skirtas komunikacijos patikimumui užtikrinti
(angl. nonce)
2014-10-13
VU, MIF
Abonentų registravimo
reikalavimai
• Prašymai sertifikatams gauti
– registracijos pareigūnas turi patikrinti prašytojo
tapatybę ir jo pateiktus duomenis
– gauti prašymai tvirtinami registravimo pareigūno
– registravimo tarnybos siunčiami pranešimai
turi
būti autentifikuoti arba pasirašyti (infrastruktūriniu
arba kontroliniu raktu)
2014-10-13
VU, MIF
Abonentų registravimo
reikalavimai
• Abonento duomenų tvarkymas
– abonento duomenys turi būti apsaugoti nuo
iškraipymo ir užtikrinamas jų konfidencialumas
• Registravimo tarnybos auditas
– turi būti registruojami visi prašymai sertifikatams
gauti ar raktams pakeisti
2014-10-13
VU, MIF
Sertifikatų sudarymo
reikalavimai
• Sertifikatų sudarymo procedūra
– sertifikatas sudaromas po RA prašymo gavimo
– į sudarytą sertifikatą įtraukiamas viešas raktas
– sertifikatai perduodami juos užsakiusiems asmenims
tiesiogiai per sertifikatų duomenų teikimo tarnybą
arba per parašo formavimo įrangos teikimo tarnybą
– tikrinami pareigūno įgaliojimai sudaryti sertifikatą
– CA privatus raktas turi būti naudojamas tik pagal
paskirtį
2014-10-13
VU, MIF
Sertifikatų sudarymo
reikalavimai
• Sertifikatų atnaujinimas.
– gali būti atnaujintas nesibaigus galiojimo terminui
– atnaujinus sertifikatą išduodamas naujas sertifikatas
su tuo pačiu arba su naujai sugeneruotu raktu
– sistema turi apsaugoti nuo neleistinų pakeitimų
– CA sertifikatai (ir raktai) sertifikatams pasirašyti turi
būtų atnaujinami nesibaigus jų galiojimo terminui
– abonentų sertifikatus rekomenduojama atnaujinti
nesibaigus jų galiojimo terminui
2014-10-13
VU, MIF
Sertifikatų sudarymo
reikalavimai
• Kryžminis sertifikavimas
– kryžminis sertifikavimas įgalina sukurti vienos
krypties arba abipusį pasitikėjimo mechanizmą tarp
dviejų arba daugiau CA
– CA-atsakovo sistema sudaro sertifikatą CA-prašytojo
sistemai su CA-prašytojo pateiktu viešuoju raktu
– pasitikintys CA-atsakovu dabar pasitikės ir CAprašytojo išduotais sertifikatais
2014-10-13
VU, MIF
Sertifikatų sudarymo
reikalavimai
– kryžminio sertifikavimo metu turi būti užtikrintas
siunčiamų pranešimų autentiškumas ir vientisumas
– pranešimuose turi būti naudojamas atsitiktinis
skaičius skirtas komunikacijos patikimumui užtikrinti
(angl. nonce)
– CA-atsakovo sistema turi užtikrinti, kad CAprašytojo sistemos įgyvendinamos sertifikato
taisyklės ir sertifikavimo veiklos nuostatai būtų
priimtini tiek CA-atsakovo abonentams, tiek CAatsakovu pasitikinčioms šalims
2014-10-13
VU, MIF
Sertifikatų sudarymo
reikalavimai
• Sertifikatų sudarymo auditas
– sertifikatų sudarymo tarnyba turi audituoti:
• CA veikloje naudojamų sertifikatų tvarkymo duomenis
• CA raktų, skirtų sertifikatams pasirašyti, tvarkymo
duomenis
• visus asmenų sertifikatų tvarkymo duomenis
• visus kryžminio sertifikavimo duomenis
2014-10-13
VU, MIF
Sertifikatų duomenų teikimo
reikalavimai
• Sertifikatų duomenų teikimo valdymas
– sertifikatų duomenys
susitarimų su abonentu
teikiami
nepažeidžiant
• Duomenų importas/eksportas
– turi būti nustatytos duomenų išrinkimo saugumo
taisyklės
– skaityti ir rašyti duomenis į duomenų saugyklą gali
tik įgalioti asmenys ir laikantis priimtų saugumo
taisyklių
2014-10-13
VU, MIF
Sertifikatų atšaukimo valdymo
reikalavimai
• Prašymai pakeisti sertifikato statusą
– visi prašymai atšaukti sertifikatą turi būti tinkamai
patikrinti ir patvirtinti
– sistema turi neleisti atstatyti atšauktą sertifikatą
– prašymai atšaukti sertifikatą turi būti įvykdomi laiku
– atšaukus sertifikatą turi būti pakoreguotas atšauktų
sertifikatų sąrašas
2014-10-13
VU, MIF
Sertifikatų atšaukimo valdymo
reikalavimai
• Sertifikatų atšaukimas
– CA yra atsakingas už sertifikatų statuso keitimą ir
informacijos perdavimą CRL teikimo tarnybai
– sertifikatų atšaukimo tarnyba siunčia pranešimus
CRL teikimo tarnybai periodiškai arba realiu laiku
– gedimai neturi sutrikdyti sertifikatų atšaukimo
• Atšauktų sertifikatų tvarkymo auditas
– turi būti fiksuojami visi sertifikato statuso pakeitimo
prašymai (patenkinti ir nepatenkinti)
2014-10-13
VU, MIF
CRL teikimo reikalavimai
• Informacija apie atšaukimą
– sertifikatų statuso informaciją teikia CRL teikimo
tarnyba
– informacija apie atšaukimą teikiama periodiškai arba
realiu laiku
– turi būti užtikrintas perduodamų pranešimų
vientisumas ir autentiškumas
– sistema turi teikti sertifikatų statuso informaciją tik
apie užklausoje nurodytus sertifikatus
2014-10-13
VU, MIF
CRL teikimo reikalavimai
• Užklausos/atsakymai dėl sertifikato statuso
– CRL teikimo tarnyba sertifikatų statuso informaciją
gali teikti dviem būdais: on-line arba off-line
– gali būti reikalaujamas užklausų pasirašymas
– atsakymai turi būti pasirašyti
– turi būti nurodytas atsakymo pasirašymo laikas
• CRL teikimo auditas
– CRL teikimo tarnyba turi fiksuoti visus su sertifikatų
statuso užklausomis ar atsakymais susijusius įvykius
2014-10-13
VU, MIF
Papildomi sistemos saugumo
reikalavimai
• Papildomi sistemos saugumo reikalavimai susiję:
– su laiko žymų teikimu
– su parašo formavimo įrangos (SCDev ar SSCD)
teikimu
• Laiko žymas teikia laiko žymų tarnybos (Time
Stamping Authority, TSA)
– dažnai jų funkciją atlieka pats sertifikatų centras
– laiko žymų tarnybos reglamentuojamos nacionaliniu
mastu – Lietuvoje privalomas ETSI-TS-102023
2014-10-13
VU, MIF
Laiko žymų teikimo reikalavimai
• Užklausų korektiškumo tikrinimas
– turi būti tikrinama ar užklausa laiko žymai gauti
atitinka reikalavimus (svarbūs santraukos algoritmai)
• Laiko parametrų generavimas
– turi būti naudojamas patikimas laiko šaltinis
sinchronizuotas su universaliuoju laiku (UTC)
– tikslumas turi būti ne mažesniu kaip 1 sekundė
2014-10-13
VU, MIF
Laiko žymų teikimo reikalavimai
• Laiko žymos formavimas.
– laiko žymoje turi būti nurodyta: laikas, unikalus
žymos serijinis numeris, duomenų santrauka, laiko
žymos taisyklės, kt.
• Laiko žymos pasirašymas
– laiko žyma turi būti pasirašyta TSA privačiu raktu
– privatus raktas laiko žymoms pasirašyti negali būti
naudojamas kitiems tikslams
2014-10-13
VU, MIF
Laiko žymų teikimo reikalavimai
• Laiko žymų teikimo auditas
– turi būti fiksuojami visi su laiko žymų teikimu susiję
įvykiai
– turi būti fiksuojami ir visi su raktų tvarkymu bei
laikrodžio sutrikimais susiję įvykiai
2014-10-13
VU, MIF
Parašo formavimo įrangos
teikimo reikalavimai
• SCDev (ar SSCD) rengimas
– sistema turi sukurtą privatų raktą užrašyti į SCDev
arba raktus sugeneruoti įrenginyje
– turi būti įsitikinta, kad SCDev pusfabrikatis yra
tinkamas ir gautas iš sertifikuoto gamintojo
– raktų porų generavimo kriptografinis įrenginys turi
būti patikrintas ir sertifikuotas pagal CWA 14169
– perkėlus raktų porą į SCDev, raktų pora išoriniame
kriptografiniame įrenginyje turi būti sunaikinta
2014-10-13
VU, MIF
Parašo formavimo įrangos
teikimo reikalavimai
• SCDev teikimas abonentams
– SCDev (su raktais) turi būti atiduotas numatytam
autentifikuotam abonentui
• Aktyvavimo duomenų kūrimas ir perdavimas
– SCDev esančiu privačiu raktu turi būti galima
pasinaudoti tik įvedus SCDev aktyvavimo duomenis
– pradiniai aktyvinimo duomenys turi būti generuojami
saugiai
2014-10-13
VU, MIF
Parašo formavimo įrangos
teikimo reikalavimai
– turi būti užtikrinta, kad CA darbuotojai negalėtų
neteisėtai panaudoti parengtais SCDev
– turi būti nustatytos ir naudojamos saugios SCDev
rengimo ir teikimo procedūros, įgalinančios
patikrinti, ar privatusis raktas nebuvo panaudotas iki
SCDev gavimo
• SCDev teikimo abonentams auditas
– turi būti fiksuojami visi saugumui poveikį turintys
įvykiai
2014-10-13
VU, MIF
Standartai
• RFC 5280 – aprašo X.509 sertifikatų struktūrą,
saugomą informaciją bei naudojimą
• ETSI TS 102042 – reikalavimai sertifikatų
centrams
• ETSI TS 101 862 – reikalavimai kvalifikuotiems
sertifikatams
• ETSI TS 101 456 – reikalavimai kvalifikuotus
sertifikatus išduodantiems sertifikatų centrams
2014-10-13
VU, MIF
TSL
• TSL (Trusted Service Provider List) – patikimų
paslaugų teikėjų sąrašas
• Kiekviena ES šalis leidžia savo šalies TSL, kurie
apjungiami į bendrą Europos TSL
• Lietuvos TSL leidžia Ryšių reguliavimo tarnyba
• Lietuvos TSL URL:
– http://www.rrt.lt/failai/LT-TSL.xml
2014-10-13
VU, MIF
TSL
• TSL aprašo kokie paslaugų tiekėjai ir kokias
patikimas paslaugas teikia:
–
–
–
–
Kvalifikuotų sertifikatų paslaugas (privaloma),
Nekvalifikuotų sertifikatų paslaugas (neprivaloma),
CRL, OCSP paslaugas (neprivaloma),
Laiko žymų tarnybų paslaugas (neprivaloma)
• TSL nurodo:
– sertifikatus naudojamus paslaugoms teikti
– teikiamų paslaugų internetinius adresus
2014-10-13
VU, MIF