Az Educatio Társadalmi Szolgáltató Közhasznú Társaság EDUAP-1 jelő elektronikus aláíráspolitikája v2.00

Az Educatio Társadalmi Szolgáltató Közhasznú Társaság EDUAP-1 jelő elektronikus aláíráspolitikája v2.00 Hatálybalépés dátuma: 2007.07.10.

Idıpont 2007.06.25.

Idıpont 2007.06.18.

Jóváhagyta

Aláírás

Kerekes Gábor ügyvezetı

Készítette

Aláírás

Tóth Elemér Fejérvári Bence

1/27

Változáskövetés Idıpont

Referencia

Tartalom

2007.05.18.

Tóth Elemér, Fejérvári Bence

üzenetstruktúra módosítása, kapcsolati címek pontosítása, technikai válaszüzenetek rögzítése

2007.06.04.

Tóth Elemér, Fejérvári Bence

5.3.1 faxszám; 7.5.1 jogosultságkezelés; 8.1.1 aláírás ellenırzés és aláírási folyamat-elemek módosítása és egyéb stilisztikai változtatások

2007.06.08.

Tóth Elemér

politika azonosítása: 1 melléklet szerint; 5.2 web-hely pontosítása; user notice megadása

2007.06.18

Tóth Elemér, Fejérvári szervezeti fogalmak egységesítése; 3. alkalmazott Bence szabványok bıvítése; 7.1 jogszabályok pontosítása; 7.5 pontosítása tekintettel a technológiai- és rendszer követelményekre; kötelezettségvállalás megnevezésének technikai formátuma: 2. melléklet szerint

2/27

Tartalom 1.

AZ ALÁÍRÁSPOLITIKA CÉLJA......................................................................................................... 5 1.1 AZ ALÁÍRÁSPOLITIKA MEGJELENÉSI FORMÁI .................................................................................... 5

2.

AZ ALÁÍRÁSPOLITIKA HATÓKÖRE .............................................................................................. 5

3.

ALKALMAZOTT SZABVÁNYOK, ELİÍRÁSOK ............................................................................ 5

4.

FOGALMAK ........................................................................................................................................... 7

5.

AZ ALÁÍRÁSPOLITIKA KIBOCSÁTÓJA......................................................................................... 8 5.1 A POLITIKA HATÁLYA ........................................................................................................................ 8 5.2 A DOKUMENTUM MEGNEVEZÉSE ÉS AZONOSÍTÓI .............................................................................. 9 5.3 AZ ALÁÍRÁSPOLITIKA ADMINISZTRÁLÁSA ........................................................................................ 9 5.3.1 Az aláíráspolitika adminisztrációs szervezete ......................................................................... 9 5.3.2 Az aláíráspolitika elfogadási eljárása.................................................................................... 10 5.3.3 Az aláíráspolitika módosítási eljárása................................................................................... 10

6.

SZEREPKÖRÖK................................................................................................................................... 10 6.1 6.2 6.3 6.4 6.5 6.6 6.7

7.

AZ ALÁÍRÁS LÉTREHOZÓJA (ALÁÍRÓ; SIGNER) ................................................................................ 10 AZ ALÁÍRÁS ELFOGADÓJA (ALÁÍRÁST ELLENİRZİ FÉL; VERIFIER) ................................................ 11 A HITELESÍTÉSSZOLGÁLTATÓK (CERTIFICATE AUTHORITY/CERTIFICATE PROVIDER) .................... 11 AZ IDİBÉLYEGSZOLGÁLTATÓK (TIME STAMPING PROVIDER)......................................................... 12 KRIPTOGRÁFIAI ESZKÖZKIBOCSÁTOK (CARD ISSUER)..................................................................... 12 ELEKTRONIKUS ALÁÍRÁS TERMÉKEK SZÁLLÍTÓI ............................................................................. 12 SZAKÉRTİI TÁMOGATÁS ................................................................................................................. 12

AZ ELEKTRONIKUS ALÁÍRÁSOKHOZ KAPCSOLÓDÓ KÖVETELMÉNYEK .................... 13 7.1 JOGI KÖRNYEZET ............................................................................................................................. 13 7.2 AZ ALKALMAZHATÓ ALGORITMUSOK ÉS PARAMÉTEREIK............................................................... 13 7.3 ALKALMAZHATÓ TANÚSÍTVÁNY FORMÁTUMOK ............................................................................. 14 7.3.1 Tanúsítvány típusok ............................................................................................................... 14 7.3.2 A tanúsítványkiadók megfelelısége ....................................................................................... 14 7.3.3 Az aláíró tanúsítványok azonosítása...................................................................................... 15 7.3.4 A tanúsítványok érvénytelensége ........................................................................................... 15 7.3.5 A tanúsítvány állapota ........................................................................................................... 15 7.3.6 Kivárási idı ........................................................................................................................... 15 7.4 AZ ALÁÍRÁS-LÉTREHOZÓ TERMÉKEK ÉS ALKALMAZÁS SZOLGÁLTATÓK IGÉNYBE VÉTELE ........... 15 7.5 AZ ELEKTRONIKUS ALÁÍRÁSSAL KAPCSOLATOS RENDELKEZÉSEK ................................................. 16 7.5.1 A felsıoktatási intézmények rektorai és megbízottjaik aláírása ............................................ 16 7.5.1.1 Megnevezési konvenciók az aláíró tanúsítványban............................................... 17 7.5.1.2 A tanúsítványban szereplı név típusok.................................................................. 17 7.5.1.3 A kulcshasználat szabályai.................................................................................... 17 7.5.1.4 Kötelezettségvállalásra vonatkozó bejegyzés........................................................ 18 7.5.1.5 Tanúsítvány visszavonási állapot lekérdezés formátumok és paraméterek........... 18 7.5.1.6 Idıbélyeg formátumok és paraméterek ................................................................. 19 7.5.2 Az OFIK aláírása................................................................................................................... 19 7.5.2.1 Megnevezési konvenciók az aláíró tanúsítványban............................................... 20 7.5.2.2 A tanúsítványban szereplı név típusok.................................................................. 20 7.5.2.3 A kulcshasználat szabályai.................................................................................... 20

3/27

7.5.2.4 Kötelezettségvállalásra vonatkozó bejegyzés........................................................ 20 7.5.2.5 Tanúsítvány visszavonási állapot lekérdezés formátumok és paraméterek........... 21 7.5.2.6 Idıbélyeg formátumok és paraméterek ................................................................. 21 7.6 AZ ALÁÍRÁS-ELLENİRZİ TERMÉKEK .............................................................................................. 22 7.7 AZ INFORMATIKAI BIZTONSÁGI KÖRNYEZETRE VONATKOZÓ ELVÁRÁSOK .................................... 22 8.

AZ ALÁÍRÁS LÉTREHOZÁSÁNAK ÉS AZ ALÁÍRÁS ELLENİRZÉSÉNEK ELJÁRÁSA .... 22 8.1.1 Az aláírás kezelése a felsıoktatási intézmények rektorai és megbízottjaikkal történı kommunikáció során .............................................................................................................. 22

9.

A VITÁS KÉRDÉSEK RENDEZÉSE ................................................................................................. 24

1.

MELLÉKLET: A SIGNATURE POLICY IDENTIFIER ELEM (TECHNIKAI ISMERTETİ) 25

2.

MELLÉKLET: A COMMITMENTTYPEINDICATION ELEM (TECHNIKAI ISMERTETİ) 26

4/27

1. AZ ALÁÍRÁSPOLITIKA CÉLJA Az elektronikus aláíráspolitika célja olyan értelmezési, kezelési és jogi ismereteket nyújtani az elektronikus aláíráshoz kötött eljárásokban, amely biztosítja az együttmőködés helyességét az aláíró és az aláírás-ellenırzı felek között, beleértve a harmadik felekkel (3rd party szolgáltatókkal) kapcsolatos szabályokat is.

1.1

Az aláíráspolitika megjelenési formái Az elektronikus aláíráspolitika szöveges formában (ez a jelen dokumentum) áll rendelkezésre. Gépi feldolgozásra alkalmas változat (ASN.1 vagy XML formában) nem áll rendelkezésre.

2. AZ ALÁÍRÁSPOLITIKA HATÓKÖRE Jelen aláíráspolitika, az Educatio Társadalmi Szolgáltató Közhasznú Társaság (továbbiakban: Educatio Kht.) szervezeti egysége, az Országos Felsıoktatási Információs Központ (továbbiakban: OFIK) által kialakított Felsıoktatási Információs Rendszer (továbbiakban: FIR, nyilvántartási azonosító: 011860006) elektronikus aláírásainak használatát szabályozza. Ez a politika az OFIK, valamint azokra a résztvevıkre vonatkozik, amelyek az alább felsorolt eljárásokban az elektronikus aláírást alkalmazzák: •

a felsıoktatási intézmények rektorai és megbízottjaik adatszolgáltatása az OFIK felé.

Az elektronikus aláíráspolitika az OFIK iratkezelési eljárásaihoz kapcsolódik, annak kiegészítéseként értelmezendı.

3. ALKALMAZOTT SZABVÁNYOK, ELİÍRÁSOK A politika az alábbi nemzetközi mértékadó dokumentumokon alapul: Azonosító

Megnevezés

ETSI TR 102 041

Signature Policies Report

ETSI TR 102 045

Electronic Signatures and Infrastructures (ESI); Signature policy for extended business model

ETSI TR 102 038

XML format in signature policies

ETSI TS 101 733

Electronic Signature Formats

ETSI TS 101 903

XML Advanced Electronic Signatures (XAdES)

IETF RFC 3125

Electronic Signature Policies

IETF RFC 3126

Electronic Signature Formats for long term electronic signatures (ES, …, ES-A)

5/27

IETF RFC 3280

Internet X.509 Public Key Infrastructure - Certificate and CRL Profile

IETF RFC 2633

S/MIME Version 3 Message Specification

IETF RFC 3851

S/MIME Version 3.1 Message Specification

IETF RFC 3634

Enhanced Security Services for S/MIME

IETF RFC 3852

Cryptographic Message Syntax (CMS)

ISO/IEC 9594-8

Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks 1. táblázat

A jogszabályi megfelelésre vonatkozó hivatkozások a jelen dokumentum 7.1 pontjában találhatók. Az alábbi dokumentumok figyelembe lettek véve a jelen politika elkészítése során. Azonosító 193/2005. (IX. 22.) Korm. rendelet

Megnevezés Az elektronikus ügyintézés részletes szabályairól.

2. táblázat

A politika a további magyar mértékadó dokumentumokra is támaszkodik: Azonosító

Megnevezés

Közigazgatásban alkalmazható elektronikus aláírás formátumok

Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható elektronikus aláírás formátumok mőszaki specifikációjára, 2005. november 22.

Közigazgatásban alkalmazható idıjelzés

Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható idıbélyegzés formátum mőszaki specifikációjára, 2005. november 1.

Közigazgatásban alkalmazható tanúsítvány formátumok

Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható végfelhasználói tanúsítványok szerkezetének és adattartalmának mőszaki specifikációjára, 2005. november 1.

3. táblázat

6/27

4. FOGALMAK Az alábbiak a jelen anyagban megjelenı speciális fogalmak magyarázata, különösen a kritikusnak ítélt fogalmakat magyarázzák. Az egyéb, az elektronikus aláíráshoz kapcsolódó fogalmakat a magyar jogszabályok, elsısorban az elektronikus aláírás törvény szerint kell értelmezni.

Fogalom

Referencia

Leírás

egyszerő aláírás

Eat., EU 1999/93/EK irányelv

formaságok nélküli aláírás; szöveg végére odaírt név, vagy azonosító

elektronikus aláírás

Eat., EU 1999/93/EK irányelv

elektronikusan aláírt elektronikus dokumentumhoz azonosítás céljából logikailag hozzárendelt vagy azzal elválaszthatatlanul összekapcsolt elektronikus adat

elektronikus aláírás a 2001. évi XXXV. törvény; röv: Eat. törvény

az EU 1999/93/EK irányelv alapján megalkotott magyar törvény

hitelesítés szolgáltató

az Eat. szerinti szolgáltatásokat nyújtó szervezet

Eat.

tanúsítványkiadó

gyökért-hitelesítés szolgáltató

a hitelesítés szolgáltatás keretében elvégzett tanúsítvány létrehozás és kibocsátás ellátására létrehozott rendszer, ill. szolgáltatás; a neve a tanúsítványban az issuer/cn mezıben jelenik meg Közigazgatási Gyökér-hitelesítés Szolgáltató; röv. KGYHSZ

felügyelt automatizmus

a Nemzeti Hírközlési Hatóság által fenntartott tanúsítványkiadó megnevezése; a közigazgatásban használható tanúsítványok kiadóit a KGYHSZ kell hitelesítse olyan szerver-szolgáltatás, amely például nagytömegő elektronikus aláírásokra elvégzésére alkalmas; a felügyelet személyhez, vagy szervezethez köthetı

4. táblázat

Közigazgatásban alkalmazható elektronikus aláírás formátumok szerinti fogalmak:

Fogalom

Referencia

Leírás

pillanatnyi aláírás

XAdES-EPES

elektronikus aláírás, amelynek az élettartama rövidebb az aláírást követı elsı visszavonási állapot információ kiadásánál; sem visszavonási információkat, sem idıbélyegzést nem tartalmaz

(Explicit Policy based Electronic Signature)

rövid távú aláírás

XAdES-T

elektronikus aláírás, amelynek az ellenırzése nem szükséges az aláíró tanúsítványának lejárta

7/27

(Electronic Signature with Validation Data; Electronic signature with time)

után; idıbélyeghez kapcsolódik, de nem tartalmaz visszavonási információkat; a kezdeti ellenırzés során az esetlegesen hiányzó idıbélyeget pótolni lehet

hosszú távú aláírás XAdES-C

elektronikus aláírás, amelynek az ellenırzése szükséges a tanúsítványlánc bármely elemének (Electronic Signature with Validation a lejárta után is; idıbélyeghez kapcsolódik, Data; Electronic Signature with Complete tartalmaz visszavonási információkat; a kezdeti ellenırzés során az esetlegesen hiányzó validation data references) információkat pótolni lehet

archív aláírás

elektronikus aláírás, amelynek az ellenırzése szükséges az aláírás során használt algoritmusok kriptográfiai elavulása után is.

XAdES-A

5. táblázat

5. AZ ALÁÍRÁSPOLITIKA KIBOCSÁTÓJA Jelen aláíráspolitikát az Educatio Társadalmi Szolgáltató Közhasznú Társaság bocsátotta ki.

5.1

A politika hatálya Jelen politika tárgyi hatálya az Educatio Kht. jelen dokumentum 2. pontjában megadott résztvevıkre, illetve a jelen dokumentum 8. pontjában meghatározott aláírási, hitelesítési és azonosítási eljárásokra, aláírásokra terjed ki. Az elektronikus aláírások vonatkozásában a 2001. évi XXXV. törvényhez (Eat.) és a kapcsolódó, illetve más jogszabályokhoz kell igazodni. Az idıbeli hatály a változáskezelés táblázatban feltüntetett, jelen dokumentum-verzióra érvényes hatálybalépés dátumától kezdıdıen, határozatlan idıre szól. A hatály megszőnik a 2. pontban felsorolt eljárások megszőnésekor, vagy ezek olyan megváltoztatása esetén, amely szerint az elektronikus aláírás alkalmazása nem történik meg, illetve egy újabb dokumentum-verzió hatályba lépésekor. A politika a vonatkozó aláírási idıszak kezdetét a hatályba lépés dátumával, továbbá 0 (nulla) óra 0 (nulla) perc 0 (nulla) másodperc kezdıidıponttal határozza meg. A személyi hatály a tárgyi hatály körében eljáró Educatio Kht. munkatársakra és az együttmőködı, a szerzıdéses, valamint a szerzıdésen kívüli, jogszabályban meghatározott partnerekre vonatkozik. A szerepköröket a 6. pont tartalmazza.

8/27

5.2

A dokumentum megnevezése és azonosítói

Dokumentum neve:

Az Educatio Társadalmi Szolgáltató Közhasznú Társaság elektronikus aláíráspolitika, v2.00

Azonosító az Educatio Kht. dokumentumkezelı rendszerében:

EDUAP-1 v2.00

A dokumentum publikálása:

www.educatio.hu web-helyen

Kibocsátás dátuma:

ld. a fedlapon

Jóváhagyta:

ld. a fedlapon

OID: 1.3.6.1.4.1.27537.3.1

6. táblázat

5.3

Az aláíráspolitika adminisztrálása

5.3.1

Az aláíráspolitika adminisztrációs szervezete

Jelen Hitelesítési rend adminisztrációját ellátó szervezet adatai:

A szervezet adatai Szervezet neve:

EDUCATIO Társadalmi Szolgáltató Közhasznú Társaság

Szervezet címe:

1134 Budapest, Váci út 37.

Cégjegyzékszám:

01-14-000308

Telefonszám:

+36(1)477-3100

Faxszám:

+36(1)477-3111

Email cím:

[email protected]

Honlap:

http://www.educatio.hu/download/alairaspolitikav2.00.pdf 7. táblázat

9/27

5.3.2

Az aláíráspolitika elfogadási eljárása

Az aláíráspolitikát az Educatio Kht. ügyvezetıje hagyja jóvá. Csak az Educatio Kht ügyvezetıjének aláírásával ellátott politika kinyomtatott változata tekinthetı hitelesnek. Az aláíráspolitika alapján az Educatio Kht. és az intézmények elkészítik, illetve módosítják saját, belsı szabályzataikat. A jelen aláíráspolitikát valamint az ebben meghatározott üzenetformátumra és a kapcsolódó szolgáltatásokra vonatkozó követelményeket az Educatio Kht. ingyenesen és nyilvánosan, a http:/www.educatio.hu honlapján hozzáférhetıvé teszi. 5.3.3

Az aláíráspolitika módosítási eljárása

Az aláíráspolitika módosítását hivatalos levélben, az Educatio Kht. ügyvezetıjének címezve lehet kérni. Az Educatio Kht. szakértık véleménye alapján dönt a módosítási kérés elfogadásáról. A döntés eredményérıl az ügyvezetı hivatalos levélben, 15 napon belül értesíti a kérelmezıt. A módosított aláíráspolitika dokumentumát a hatályba lépés elıtt 15 nappal az Educatio Kht. a http:/www.educatio.hu honlapján közzéteszi.

6. SZEREPKÖRÖK Az elektronikus aláírás használatához az alábbi szerepköröket kell megkülönböztetni:

6.1

o

az aláírás létrehozója,

o

az aláírás elfogadója,

o

hitelesítés szolgáltatók,

o

idıbélyegszolgáltatók,

o

kriptográfiai eszközkibocsátók,

o

elektronikus aláírás termékek szállítói,

o

szakértıi támogatás.

Az aláírás létrehozója (aláíró; signer) Az aláíró az a természetes személy, aki az aláírás-létrehozó adatot és az aláírás-létrehozó eszközt birtokolja, valamint a saját vagy más személy (természetes, illetve jogi személy vagy jogi személyiség nélküli szervezet) nevében, vagy egy felügyelt automatizmusra (aláíró szerverre) vonatkozó szabályozás alapján aláírásra jogosult. Az OFIK az egyes szolgáltatásainak igénybe vétele céljából regisztrálja és nyilvántartásba veszi a jogosult aláírókat1. A regisztráció során az intézményi aláíró nyilatkozik az OFIK-nál történı,

1

Követi a 193/2005. (IX.22) Korm. r. 3.§ (1) bekezdését.

10/27

személyéhez kapcsolódó azonosító adatainak a kezelésrıl, és megadja az azonosító adatait, valamint a jogosultságát igazoló rektori meghatalmazást. Az OFIK jogosult elutasítani minden olyan szolgáltatásra vonatkozó igényt, amelyet regisztrációhoz és nyilvántartásba vételhez, valamint az adatkezeléshez kötött, de ezeket az igénylı hitelesen nem teljesítette, vagy az OFIK nyilvántartásából – a jogosultság megszőnése, vagy az OFIK rendszerének a védelme érdekében – törölték. Az OFIK rendszerének a védelme érdekében törölt aláírók azonosító adatait az OFIK a kizárt alanyok nyilvántartásában 5 évig kezeli.

6.2

Az aláírás elfogadója (aláírást ellenırzı fél; verifier) Az aláírást ellenırzı fél az a személy, vagy felügyelt aláíró automatizmus, aki/amely az elektronikusan aláírt elektronikus üzenetek aláíráskori, illetve ellenırzéskori tartalmát összeveti, továbbá az aláíró személyét azonosítja az üzenet, illetve a hitelesítés-szolgáltató által közzétett aláírás-ellenırzı adat, tanúsítvány visszavonási információk, valamint a tanúsítvány felhasználásával. Az OFIK az egyes szolgáltatásainak igénybe vétele céljából regisztrálja és nyilvántartásba veszi azokat a jogosult aláírást ellenırzı feleket, akik az Educatio Kht. zártkörő hitelesítés szolgáltatását veszik igénybe (ld. a 6.3. pontban). A regisztráció során az aláírást ellenırzı fél nyilatkozik az OFIK-nál történı, személyéhez kapcsolódó adatkezelésrıl, és megadja az azonosító adatait, valamint a jogosultságát igazoló nyilatkozatot. Az OFIK jogosult elutasítani minden olyan szolgáltatásra vonatkozó igényt, amelyet regisztrációhoz és nyilvántartásba vételhez, valamint az adatkezeléshez kötött, de ezeket az igénylı hitelesen nem teljesítette, vagy az OFIK nyilvántartásából – a jogosultság megszőnése, vagy az OFIK rendszerének a védelme érdekében – törölték.

6.3

A hitelesítésszolgáltatók (certificate authority/certificate provider) A hitelesítés szolgáltató az elektronikus aláírással kapcsolatos szolgáltatást nyújtó természetes személy, jogi személy vagy jogi személyiség nélküli szervezet. A hitelesítés szolgáltatókra vonatkozó kötelezettségeket az Eat. és a kapcsolódó jogszabályok rögzítik. A tételes szolgáltatási jellemzık értékelésekor az OFIK a jelen politika szerint jár el. Az OFIK az egyes szolgáltatásainak igénybe vétele céljából regisztrálja és nyilvántartásba veszi az általa elfogadható hitelesítés szolgáltatókat. A regisztráció és az aláírások ellenırzése során az OFIK fenntartja magának a jogot, hogy megvizsgálja az egyes szolgáltatók által követett, az adott aláíró tanúsítványban megadott hitelesítési rendet, esetenként a hitelesítés szolgáltatási szabályzatot is. Az OFIK elfogadja az alábbi hitelesítési rendeket: o a Nemzeti Hírközlési Hatóság által nyilvántartásba vett és hatályos, a közigazgatásban alkalmazható tanúsítvány hitelesítési rendek, o az Educatio Kht. zártkörő hitelesítés szolgáltatását hitelesítési rendjét. Az OFIK elfogadja az alábbi szolgáltatókat: o a közigazgatásban alkalmazható (a KGYHSZ által hitelesített) tanúsítványt kibocsátókat, o az Educatio Kht. zártkörő hitelesítés szolgáltatását.

11/27

6.4

Az idıbélyegszolgáltatók (time stamping provider) Az idıbélyegzés szolgáltató egy megbízható, hiteles szolgáltató a piacon, amely az elektronikusan aláírt üzenethez kapcsolódó idıbélyegzéshez hiteles idıbélyegzıt állít elı. Az idıbélyegzés szolgáltató az elektronikus aláírással kapcsolatos szolgáltatást nyújtó természetes személy, jogi személy vagy jogi személyiség nélküli szervezet. Az idıbélyegzés szolgáltatókra vonatkozó kötelezettségeket az Eat. és a kapcsolódó jogszabályok rögzítik. A tételes szolgáltatási jellemzık értékelésekor az OFIK a jelen aláíráspolitika szerint jár el. Az OFIK az egyes szolgáltatásainak igénybe vétele céljából regisztrálja és nyilvántartásba veszi az általa elfogadható idıbélyegzés szolgáltatókat. A regisztráció és az aláírások ellenırzése során az OFIK fenntartja magának a jogot, hogy megvizsgálja az egyes szolgáltatók által követett hitelesítési rendet, esetenként a hitelesítés szolgáltatási szabályzatot is. Az OFIK elfogadja az alábbi idıbélyegzési rendeket: o a Nemzeti Hírközlési Hatóság által nyilvántartásba vett és hatályos idıbélyegzési rendek. Az OFIK elfogadja az alábbi szolgáltatókat: o a közigazgatásban alkalmazható (a KGYHSZ által hitelesített) idıbélyegszolgáltatókat Az Educatio Kht. saját célra, idıjelzés szolgáltatást üzemeltet. Ez a szolgáltatás biztosítja az Educatio Kht. által elhelyezett idıbélyegek létrehozását.

6.5

Kriptográfiai eszközkibocsátok (card issuer) Az aláírónak, vagy a felügyelt automatizmusnak, megfelelı gondosságot kell tanúsítania annak érdekében, hogy megelızze aláírás-létrehozó adatának (kriptográfiai magánkulcsának) illetéktelen felhasználását. Az OFIK a kriptográfiai eszközkibocsátásra egyéb kikötést nem tesz.

6.6

Elektronikus aláírás termékek szállítói Jelen aláíráspolitika útmutatóul szolgál az elektronikus aláírás termékek fejlesztıinek, illetve az ilyen termékek szállítóinak és rendszerintegrátorainak is. Az OFIK és az intézmények csak olyan aláírási termékeket használhatnak, amelyek alkalmasak a magyar közigazgatás által elfogadható elektronikus aláírás kezelésére.

6.7

Szakértıi támogatás Az OFIK az elektronikus aláírás során felmerülı vitás technikai megoldások kezelésére szakértıin keresztül támogatást nyújt. Ezen szakértıket az Educatio Kht. ügyfélszolgálatán keresztül lehet elérni.

12/27

7. AZ ELEKTRONIKUS ALÁÍRÁSOKHOZ KAPCSOLÓDÓ KÖVETELMÉNYEK 7.1

Jogi környezet 1993. évi LXXIX. törvény a közoktatásról 20/1997. (II. 13.) korm. rendelet - a közoktatásról szóló 1993. évi LXXIX. törvény végrehajtásáról 2005. évi CXXXIX. törvény a felsıoktatásról 79/2006. (IV. 5.) korm. rendelet a felsıoktatásról szóló 2005. évi CXXXIX. törvény egyes rendelkezéseinek végrehajtásáról 17/2005. (II. 8.) korm. rendelet a diákigazolványról 100/1997. (VI. 13.) korm. rendelet az érettségi vizsga vizsgaszabályzatának kiadásáról 237/2006. (XI. 27.) Korm. Rendelet a felsıoktatási intézmények felvételi eljárásairól 2001. évi XXXV. törvény az elektronikus aláírásról 9/2005 (VII.21.) IHM rendelet az elektronikus aláírási termékek tanúsítását végzı szervezetekrıl, illetve a kijelölésükre vonatkozó szabályokról 45/2005 (III. 11.) kormányrendelet a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatáskörérıl, valamint eljárásának részletes szabályairól Az Európai Parlament és a Tanács 1999/93/EK számú irányelve az elektronikus aláírással kapcsolatos közösségi keretrendszerrıl 1992. évi LXIII. törvény a személyes adatok védelmérıl és a közhasznú adatok nyilvánosságáról A közigazgatási hatósági eljárás és szolgáltatás szabályairól szóló 2004. évi CXL. törvény és az elektronikus ügyintézéshez kapcsolódó végrehajtási rendeletek, azaz a 193/2005 (IX.22.), 194/2005 (IX.22.) és 195/2005 (IX.22.) számú kormányrendeletek.

7.2

Az alkalmazható algoritmusok és paramétereik Az OFIK a jelen aláíráspolitikában, a Nemzeti Hírközlési Hatóság által a biztonságos kriptográfiai algoritmusokra és ezek meghatározott paraméterekkel történı alkalmazására vonatkozó követelmények alapján, továbbá az ETSI TS 102 176 figyelembe vételével, az alábbiak szerint korlátozza az elektronikus aláírás alkalmazását. Kizárólag a következı aláíró algoritmus alkalmazható: RSA-SHA1.

13/27

A fentiek szerint ez az aláíró algoritmus jelenleg az alábbi minimális bitszámmal alkalmazható: S.

Megnevezés

Érték

1.

Az aláíró által létrehozott aláírásokra

1024

2.

Az aláírói (végfelhasználói) tanúsítványok aláírására

1024

3.

A megbízható szolgáltatást nyújtó szervezetek (tanúsítványkiadók, idıbélyegszolgáltatók, stb.) szolgáltatói tanúsítványainak aláírására

2048

8. táblázat

7.3

Alkalmazható tanúsítvány formátumok Az OFIK olyan tanúsítványokat fogad el, amelyek megfelelnek o

az Informatikai és Hírközlési Minisztérium által kiadott, a közigazgatásban alkalmazható végfelhasználói tanúsítványok szerkezetének és adattartalmának mőszaki specifikációjára tett ajánlásának,

ezen túlmenıen, elfogadhatóak az Educatio Kht. által zárt körben alkalmazott, „Az Educatio Kht. elektronikus aláíráshoz kapcsolódó hitelesítés szolgáltatásának, CERTP-1 tanúsítvány-profilja” címő dokumentumban meghatározott tanúsítványformátumok. 7.3.1

Tanúsítvány típusok

Az OFIK az alábbi tanúsítvány-típusokat fogadja el: o

fokozott biztonságú (nem minısített) hitelesítés szolgáltatótól származó, személynek szóló tanúsítványok,

o

minısített hitelesítés szolgáltatótól származó tanúsítványok,

o

tanúsítványkiadók, és idıbélyegzés szolgáltatók által kezelt szerverek tanúsítványai,

o

fokozott biztonságú (nem minısített) hitelesítés szolgáltatótól származó felügyelt automatizmusok tanúsítványai,

o

Az Educatio Kht. zárt körben kibocsátott fokozott biztonságú, személyes tanúsítványok

amennyiben a szolgáltatók megfelelnek a 6.3 pontban meghatározott követelményeknek. 7.3.2

A tanúsítványkiadók megfelelısége

Amennyiben a tanúsítványt nem az Educatio Kht. zártkörő hitelesítés szolgáltatásában adták ki, az OFIK csak olyan tanúsítványkiadót fogad el, amelyet2 a közigazgatási gyökér-hitelesítés szolgáltató egy megfelelı tanúsítvánnyal hitelesített.

2

(amelynek a szolgáltatói kulcsát)

14/27

7.3.3

Az aláíró tanúsítványok azonosítása

A felsıoktatási intézmények vezetık és megbízottjaik aláírási jogosultságát az OFIK a tanúsítványaik azonosítóinak felhasználásával tartja nyilván, és ennek alapján kezeli. A felhasznált azonosítók a következık: az intézmények azonosítói és az aláíró tanúsítványok SHA-1 lenyomatképzı algoritmussal képzett lenyomata (DigestValue). 7.3.4

A tanúsítványok érvénytelensége

Az OFIK az alábbi esetekben tekinti a tanúsítványokat érvénytelennek: a) kompromittált, amikor a tanúsítványhoz kapcsolódó érvényességi lánc bármely eleméhez tartozó adat bizalmassága sérült, b) az alkalmazott aláírási algoritmusok nem megfelelıek, vagy nem biztonságosak (ld. Eat. 18. §; az aláírás-ellenırzı adatból származtatható az aláírás-létrehozó adat, vagy egy elıre meghatározott lenyomathoz utólag elkészíthetı egy e-üzenet), c) a tanúsítványban feltüntetett adatok nem a valóságnak megfelelıen szerepelnek (Eat. 9. §), d) a tanúsítvány lejárt („notAfter” szerinti érvényességi idı elmúlt) vagy ha a tanúsítvány még nem érvényes („notBefore” szerinti érvényességi idı meg nem kezdıdött el) Az OFIK fenntartja magának a jogot, hogy tiltó listájára tegye és ezzel az adatkezelésbıl kizárja azokat a tanúsítványokat, amelyekhez az informatikai rendszerének védelme érdekében jogos érdeke főzıdik. 7.3.5

A tanúsítvány állapota

Az aláírás ellenırzése szempontjából a tanúsítvány lehet a) megfelelı (aktív), b) visszavont. A tanúsítványok állapotának meghatározásához a CRL visszavonási állapot információ-ellenırzést kell használni. 7.3.6

Kivárási idı

A kivárási idı az a legrövidebb idıtartam, amelyet a tanúsítványt kibocsátó hitelesítés szolgáltató a tanúsítvány állapotának ellenırzéséhez megad, annak érdekében, hogy az aláíró vagy egy más erre feljogosított szereplı által esetlegesen kért visszavonási kérelem megtörténte biztonságosan értékelhetı legyen a hitelesítés szolgáltató által biztosított tanúsítvány visszavonási állapot információk (CRL, vagy OCSP adatok) szerint. Az ellenırzést végzı alkalmazásokban beállítandó tanúsítványállapot lekérdezési idıket az aláírás ellenırzı felek a kivárási idın túl szabhatják meg.

7.4

Az aláírás-létrehozó termékek és alkalmazás szolgáltatók igénybe vétele Az aláírók az aláírás-létrehozó termékek (aláírás termékek) és az alkalmazás szolgáltatók vonatkozásában az elektronikus aláírás törvény alapján viselnek felelısséget.

15/27

Az OFIK csak a saját környezetében (telephelyein) mőködtetett aláírás-létrehozó termékekért, illetve rendszerekért vállal felelısséget. Az OFIK rendszereiben az aláíró automatizmusoknál, az idıjelzés szolgáltatásnál, valamint a védett kommunikációs csatornák esetében a kriptográfiai kulcsok védelme megoldott, az alkalmazott eszközök és eljárások nem publikusak. Az ügyfélszolgálatot teljesítı munkatársak megfelelıen biztonságos aláírás-létrehozó eszközt (ALE chipkártyát) használnak.

7.5

Az elektronikus aláírással kapcsolatos rendelkezések Az OFIK csak olyan elektronikus aláírást fogad el, amely megfelel az alábbi követelményeknek:

7.5.1

A felsıoktatási intézmények rektorai és megbízottjaik aláírása

A felsıoktatási intézmények rektorai és megbízottjaik adatszolgáltatása az OFIK felé a 79/2006. (IV. 5.) korm. rendelet felhatalmazása alapján elkészített, és az OFIK által kiadott XSD specifikáció szerint történhet, az OFIK által biztosított, védett kommunikációs csatornán keresztül. A védett kommunikációs csatorna használatára jogosultak adatait a rektori meghatalmazás alapján az OFIK nyilvántartásba veszi. A jogosult a meghatalmazásban megadott e-mail címrıl CMS - S/MIME 3 formátumú elektronikus aláírt üzenetet küld az OFIK-nak. Az OFIK az elektronikus aláírás alapján a tanúsítvány lenyomatának (SHA-1) értékét ellenırzési célból átveszi és eltárolja. A felsıoktatási intézmények rektorai és megbízottjaik aláíró alkalmazásának a közigazgatásban alkalmazható elektronikus aláírás formátumok egyikét kell támogatnia. Az intézmények a FIR számára egy ds:Signature gyökér elemet tartalmazó XML állományt beküldenek az alábbi 9. táblázat szerint. Kezelt aláírás-struktúrák: XML elektronikus aláírás-típusok

W3C megnevezés

A jelen politika szerint kezelendı

XML elektronikus aláírás elembe ágyazott XML elem, amely az aláírt enveloping signature adatokat XML-ként formában tartalmazza; a Reference Transform elemének kötelezı tartalma: http://www.w3.org/TR/2001/REC-xmlc14n-20010315

igen

XML elektronikus aláírás elembe ágyazott XML elem, amely az aláírt enveloping signature adatokat BASE64 kódolással tartalmazza; A Reference Transform elemének tartalma: http://www.w3.org/2000/09/xmldsig#base64

igen

Ld. továbbá: Közigazgatásban alkalmazható elektronikus aláírás formátumok, 4.1.1.3.2 pontban. az XML tartalomtól elválasztott XML elektronikus aláírás

detached signature

4

nem

9. táblázat

3 4

Például ilyen a Microsoft Outlook levelezı program által elıállított formátum. Jelenleg az OFIK ilyen aláírás-típust nem kezel!

16/27

Az intézmények az OFIK felsıoktatási információs rendszer felé az üzeneteket többszörös aláírással nem láthatják el. Csatolt állományok küldése nem megengedett. Az aláírók tanúsítványait csak a 6.3 pontban megadott szolgáltatók adhatják ki. Az OFIK a 6.1 pont szerint korlátozza az aláírásra jogosultságot. Az OFIK nyilvántartást vezet az elfogadott tanúsítványokról (a 6.1 pont szerint) és a nem elfogadható formátumú, vagy tartalmú, ennek következtében az OFIK által letiltott tanúsítványokról is. Az OFIK nem veszi igénybe közigazgatásban alkalmazott viszontazonosítási eljárást. Az aláírást a jelen aláíráspolitikához kell kapcsolni, az aláírás formátumban meghatározott hivatkozás (SignaturePolicyIdentifier) felhasználásával. Az aláíráspolitika referenciájának explicit szerepelnie kell az aláírásmezıben. (Ld. azonosító adatok, OID, web-hely; 5.2 pont és az 1. Mellékletben a technikai ismertetıt.) Az OFIK a kötelezettségvállalásra vonatkozó bejegyzést (CommitmentTypeIndication) a 7.5.1.4 pontban leírtak alapján, az OID ellenırzésével kezeli. A technikai megoldást a 2. melléklet ismerteti. A különbözı felek által képviselt aláíráspolitikákat egyeztetni kell az Educatio Kht. jelen aláíráspolitikájával. Az OFIK szakértıi támogatást nyújt a problémák felderítéséhez és a harmonizált mőködés biztosításához is. 7.5.1.1

Megnevezési konvenciók az aláíró tanúsítványban

Az ékezetes magánhangzók használatánál az OFIK a magyar helyesírás szabályait alkalmazza, ennek megfelelıen, a nevekben szereplı ékezetes betőket eredeti írásmódjuk szerint feltüntetve, az UTF-8 kódolásban kezeli. 7.5.1.2

A tanúsítványban szereplı név típusok

A hitelesítés-szolgáltató által kiállított tanúsítványokra a következı névkonvenció érvényes: o

érvénytelen minden tanúsítvány, amelyben a tanúsítvány alanya (Subject DN) hiányzik

o

nevek értelmezése: Aláírók

Az egyedi név alkotói

Korlátozások

tanúsítványkiadó

dn= nincs megkötés

ld. a 7.4 pontot

aláíró személy

dn= nincs megkötés

álnév használata nem megengedett, kivéve akkor, ha a tanúsítványt az Educatio Kht. zártkörő hitelesítés szolgáltatásának tanúsítványkiadója adta ki

10. táblázat

o

7.5.1.3

tanúsítási útvonal képzése (RFC 3280 szerint): megbízható felsı szintő tanúsítványok, közbensı tanúsítványok, végfelhasználói tanúsítványok kezelése A kulcshasználat szabályai

A kulcshasználat beállítás (keyUsage) a „nonRepudiation” kijelölését mutatja (NR-bit: true).

17/27

7.5.1.4

Kötelezettségvállalásra vonatkozó bejegyzés

Az OFIK felsıoktatási intézmények rektorai és megbízottjaik adatszolgáltatása során az alábbi kötelezettségvállalásra vonatkozó aláírási információkat kezeli:

S.

Aláírás-típus

Kötelezettségvállalás-típus

1.

Adatszolgáltatás Elismerem, hogy a üzenetet (dokumentumot) én készítettem és azt elküldtem. A tartalmat jóváhagyom.”

Azonosító

OID

Proof of origin

1.2.840.113549.1.9.16.6.1

11. táblázat

7.5.1.5

Tanúsítvány visszavonási állapot lekérdezés formátumok és paraméterek

A tanúsítvány visszavonási lista (CRL) az IETF RFC 3280 ajánlás 2. verziójának kell megfeleljen. CRL ellenırzés paraméterei: S.

Elvárás

Érték

0.

CRL ellenırzés

engedélyezve

0.a delta-CRL ellenırzés

Referencia

nincs engedélyezve

1.

az ellenırzési idıpont legyen nagyobb az aktuális frissítési értékénél

thisUpdate

2.

a kibocsátást követı hány napig tekinthetı aktuálisnak: az ellenırzési idıpont legyen kisebb vagy egyenlı az aktuális frissítési érték + az aktuális érvényességi értéknél

thisUpdate , CRLThisUpdateLimit

2.a CRLThisUpdateLimit értéke 3.

2 nap

a következı kibocsátási dátumot követıen hány napig tekinthetı aktuálisnak: az ellenırzési idıpont legyen kisebb vagy egyenlı a következı frissítési érték + következı érvényességi értéknél

3.a CRLNextUpdateLimit értéke

nextUpdate , CRLNextUpdateLimit

0 nap 12. táblázat

18/27

7.5.1.6

Idıbélyeg formátumok és paraméterek

Az idıbélyeg paraméterei: S.

Elvárás

Érték

Referencia

1.

aláíró algoritmus

RSA

ETSI TS 102 176

2.

lenyomatképzı

SHA-1

ETSI TS 102 176

3.

egyszer használható kérdés-válasz azonosító

legyen

nonce (session key)

4.

az idıbélyegszolgáltató tanúsítványát küldeni kell igen

5.

kritikus kiterjesztésre vonatkozó korlátozás

certReq

van 13. táblázat

7.5.2

Az OFIK aláírása

Az OFIK az intézmények felé az általa biztosított, védett kommunikációs csatornán keresztül küldi a válaszüzeneteit. Ezek XML aláírást tartalmaznak. Az OFIK a közigazgatásban alkalmazható elektronikus aláírás formátumok egyikét kell támogassa. A jelen aláíráspolitika az OFIK által küldött XML üzenet ds:Signature elemére vonatkozik, az alábbiak szerint: Kezelt aláírás-struktúrák: XML elektronikus aláírás típusok

W3C megnevezés

A jelen politika szerint kezelendı

XML elektronikus aláírás elembe ágyazott XML elem, amely az aláírt enveloping signature adatokat XML formában tartalmazza; a Reference Transform elemének kötelezı tartalma: http://www.w3.org/TR/2001/REC-xmlc14n-20010315

igen

XML elektronikus aláírás elembe ágyazott XML elem, amely az aláírt enveloping signature adatokat BASE64 kódolással tartalmazza; A Reference Transform elemének tartalma: http://www.w3.org/2000/09/xmldsig#base64

nem

Ld. továbbá: Közigazgatásban alkalmazható elektronikus aláírás formátumok, 4.1.1.3.2 pontban. 14. táblázat

Az OFIK az intézmények felé az üzeneteket többszörös aláírással nem láthatja el. Csatolt állományok küldése nem megengedett. Az aláírók tanúsítványait csak a 6.3 pontban megadott szolgáltatók adhatják ki.

19/27

Az aláírást a jelen aláíráspolitikához kell kapcsolni, az aláírás formátumban meghatározott hivatkozás (SignaturePolicyIdentifier) felhasználásával. (Az aláíráspolitika referenciájának szerepelnie kell az aláírásmezıben. Ld. az 1. Mellékletben szereplı technikai ismertetıt.) Az OFIK a kötelezettségvállalásra vonatkozó bejegyzést (CommitmentTypeIndication) a 7.5.2.4 pontban leírtak alapján, az OID megadásával kezeli. A technikai megoldást a 2. melléklet ismerteti. 7.5.2.1

Megnevezési konvenciók az aláíró tanúsítványban

Az ékezetes magánhangzók használatánál az OFIK a magyar helyesírás szabályait alkalmazza, ennek megfelelıen, a nevekben szereplı ékezetes betőket eredeti írásmódjuk szerint feltüntetve, az UTF-8 kódolásban kezeli. 7.5.2.2

A tanúsítványban szereplı név típusok

A hitelesítés-szolgáltató által kiállított tanúsítványokra a következı névkonvenció érvényes: o

érvénytelen minden tanúsítvány, amelyben a tanúsítvány alanya (Subject DN) hiányzik

o

nevek értelmezése: Aláírók

Az egyedi név alkotói

Korlátozások

tanúsítványkiadó

dn= nincs megkötés

ld. a 7.4 pontot

aláíró személy

dn= nincs megkötés

álnév használata nem megengedett, kivéve akkor, ha a tanúsítványt az Educatio Kht. zártkörő hitelesítés szolgáltatásának tanúsítványkiadója adta ki

15. táblázat

o

7.5.2.3

tanúsítási útvonal képzése (RFC 3280 szerint): megbízható felsı szintő tanúsítványok, közbensı tanúsítványok, végfelhasználói tanúsítványok kezelése A kulcshasználat szabályai

A kulcshasználat beállítás (keyUsage) a „nonRepudiation” kijelölését mutatja (NR-bit: true). 7.5.2.4

Kötelezettségvállalásra vonatkozó bejegyzés

Az OFIK felsıoktatási intézmények rektorai és megbízottjaik adatszolgáltatása során, valamint az archiváláskor az alábbi kötelezettségvállalásra vonatkozó aláírási információkat kezeli: S.

Aláírás-típus

1.

2.

Kötelezettségvállalás-típus

Azonosító

OID

Adatszolgáltatás Elismerem, hogy a üzenetet (dokumentumot) én készítettem és azt elküldtem. A tartalmat jóváhagyom.”

Proof of origin

1.2.840.113549.1.9.16.6.1

Nyugta

Proof of receipt 1.2.840.113549.1.9.16.6.2

Elismerem, hogy az általam aláírt elektronikus üzenetet (dokumentumot) megkaptam, átvettem.”

20/27

16. táblázat

7.5.2.5

Tanúsítvány visszavonási állapot lekérdezés formátumok és paraméterek

A tanúsítvány visszavonási lista (CRL) az IETF RFC 3280 ajánlás 2. verziójának kell megfeleljen. CRL ellenırzés paraméterei: S.

Elvárás

Érték

0.

CRL ellenırzés

engedélyezve

0.a delta-CRL ellenırzés

Referencia

nincs engedélyezve

1.

az ellenırzési idıpont legyen nagyobb az aktuális frissítési értékénél

thisUpdate

2.

a kibocsátást követı hány napig tekinthetı aktuálisnak: az ellenırzési idıpont legyen kisebb vagy egyenlı az aktuális frissítési érték + az aktuális érvényességi értéknél

thisUpdate , CRLThisUpdateLimit

2.a CRLThisUpdateLimit értéke 3.

2 nap

a következı kibocsátási dátumot követıen hány napig tekinthetı aktuálisnak: az ellenırzési idıpont legyen kisebb vagy egyenlı a következı frissítési érték + következı érvényességi értéknél

3.a CRLNextUpdateLimit értéke

nextUpdate , CRLNextUpdateLimit

0 nap 17. táblázat

7.5.2.6

Idıbélyeg formátumok és paraméterek

Az idıbélyeg paraméterei: S.

Elvárás

Érték

Referencia

1.

aláíró algoritmus

RSA

ETSI TS 102 176

2.

lenyomatképzı

SHA-1

ETSI TS 102 176

3.

egyszer használható kérdés-válasz azonosító

legyen

nonce (session key)

4.

az idıbélyegszolgáltató tanúsítványát küldeni kell igen

5.

kritikus kiterjesztésre vonatkozó korlátozás

certReq

van 18. táblázat

21/27

7.6

Az aláírás-ellenırzı termékek Az aláírást ellenırzı felek (érintettek) az aláírás-ellenırzı termékek (aláírás termékek) és az alkalmazás szolgáltatók vonatkozásában az elektronikus aláírás törvény alapján viselnek felelısséget. Az Educatio Kht. csak a saját környezetében (telephelyein) mőködtetett aláírás-ellenırzı termékekért, illetve rendszerekért vállal felelısséget.

7.7

Az informatikai biztonsági környezetre vonatkozó elvárások Az Educatio Kht. az elektronikus aláíráshoz kapcsolódó tevékenységeit az informatikai biztonsági szabályzatai, és más belsı szabályozásai szerint végzi. Az Educatio Kht. nem vállal felelısséget azokért a károkért, amelyek a felhasználóknál a nem megfelelı funkciók és adatok használatával, valamint a védelmi megoldások gyengesége miatt következtek be.

8. AZ ALÁÍRÁS LÉTREHOZÁSÁNAK ÉS AZ ALÁÍRÁS ELLENİRZÉSÉNEK ELJÁRÁSA A jogosult aláírókat és aláírás-ellenırzıket az OFIK nyilvántartja. A jogosultak a kapcsolatfelvétel során az OFIK honlapján jelentik be igényüket, valamint adják meg azonosító adataikat, de arra is van lehetıség, hogy az igénylık személyesen jelenjenek meg az Educatio Kht. ügyfélszolgálatánál, és ott intézzék az igénybejelentésüket. Az intézményvezetı szabályszerően aláírt meghatalmazásával kell rendelkeznie minden igénybejelentınek ahhoz, hogy az OFIK az igénylésüket teljesítse. Az OFIK a jogosult aláírók tanúsítványait letárolja, a jogosultság ellenırzésekor kezeli.

8.1.1

Az aláírás kezelése a felsıoktatási intézmények rektorai és megbízottjaikkal történı kommunikáció során

A felsıoktatási intézmények adatszolgáltatása XML formátumban, a jelen aláíráspolitikában meghatározott XML aláírással történik. Ld. a 7.5.1 pontot. Az üzenetek kommunikációja az OFIK és az intézmények között védett kommunikációs csatornán keresztül valósul meg. Az OFIK az intézményi felelısök számára biztosítja az üzenetkezelı szerverhez történı hozzáférést (megadja a kapcsolat authorizációs kódjait, a szükséges paramétereket, beleértve a titkosítási és tömörítési adatokat is)5,. Emellett az OFIK a kommunikáció hatékony megteremtése érdekében, az érdeklıdık számára a Java, valamint a .NET rendszerekhez metódusgyőjteményt és dokumentációt is ad.

5

Az OFIK az intézmények számára egy technikai leírásban („A kommunikáció technikai paraméterei”, verzió: 1.0; kiadás dátuma: 2006. november 2.) ismertette a message queue használatának módját, megadta a biztonságos igénybevételhez szükséges metódusokat, beállítási paramétereket, valamint támogatást nyújtott a kapcsolat megteremtéséhez.

22/27

Az üzenetek mérete korlátozva van.6 Az intézmény a felsıoktatási információs rendszer felé az adatokat (XML tartalmat) az OFIK által kiadott XSD formátumban küldi meg. Az OFIK aláírás érkeztetési folyamata: o

Az OFIK az bemeneti üzeneteinek (message queue) sorába a 7.5.1 pont szerint kapja az XML tartalmat.

o

A beérkezı XML aláírást az OFIK idıbélyeggel (ds:SignatureTimeStamp) bıvíti.

Az OFIK aláírás ellenırzési folyamata: o

az üzenet struktúrájának az ellenırzése "Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható elektronikus aláírás formátumok mőszaki specifikációjára" ajánlás (ld. 3. táblázat), valamint a 7.5.1 pont szerint (az XML üzenet-validáció elsı szakasza); az XSD szerinti érvényesség-ellenırzés

o

az aláíró-tanúsítvány kiadójának ellenırzése az érvényességi lánc felépítésével, a KGYHSZ, vagy az Educatio Kht. zártkörő hitelesítés szolgáltatásának tanúsítványkiadója alapján

o

az aláíráspolitika azonosító adatainak (ld. 5.2 pont) az ellenırzése az XML aláírásban (SignaturePolicyIdentifier elem)

o

a kötelezettségvállalásra vonatkozó bejegyzés azonosító adatainak (ld. 7.5.1 pont) az ellenırzése az XML aláírásban (CommitmentTypeIndication elem)

o

az aláíró-tanúsítvány érvényesség-ellenırzése

o

az XML tartalom megfelelıségének ellenırzése az OFIK által kiadott specifikáció (XSD) szerint (a XML üzenet-validáció második szakasza)

o

az aláíró jogosultságának az ellenırzése az OFIK kezelt jogosultsági adatok (ld. 7.5.1 pontban), ezek között az aláíró-tanúsítvány lenyomatának (SHA-1 érték) felhasználásával történik

o

integritás-ellenırzés az XML aláírás felhasználásával

Az OFIK aláírási folyamata: A 7.2.5 alapján az OFIK

6

o

XAdES-T aláírással technikai üzenetet (hibaüzenet, vagy feldolgozáshoz történı továbbításra vonatkozó üzenetet) küld az intézménynek az ellenırzés elsı ütemének lezárásáról (kivárási idıt az OFIK nem alkalmaz)

o

az aláíró-tanúsítvány állapotának ellenırzése, a visszavonási lista (CRL) szolgáltatás alkalmasságának, valamint a kivárási idı leteltével, a visszavonási információk értékelése alapján fellelt esetleges hibákra vonatkozóan, XAdES-T aláírással küld üzenetet (kötelezettségvállalás-típus: adatszolgáltatás)

A további információkat a megfelelı mőszaki dokumentumok tartalmazzák.

23/27

o

a feldolgozás kimenetelérıl, vagy az adatterítésre (intézménytörzs és személyes adatok) XAdES-C, vagy egyes esetekben XAdES-A aláírással küld üzenetet (kötelezettségvállalás-típus: adatszolgáltatás és/vagy nyugta).

A kezelt üzenetek archiválásra kerülnek. A megfelelı XML aláírással küldött tartalom, a kivárási idıt követıen, XAdES-A aláírás-formátummal kerül letárolásra. A hibás üzenet – egy erre a célra elkülönített adatterületre – kerül.

9. A VITÁS KÉRDÉSEK RENDEZÉSE Az Educatio Kht. az esetleges vitás kérdések megtárgyalása, valamint a felmerülı problémák meghatározásának és megoldásának érdekében a 6.7 pont szerint támogatást nyújt.

24/27

1. MELLÉKLET: A SIGNATURE POLICY IDENTIFIER ELEM (TECHNIKAI ISMERTETİ) Az aláíráspolitika megadása az aláírás formátumban az alábbiak szerint történik.

<SignaturePolicyIdentifier> <SignaturePolicyId> <SigPolicyId> web-elérés OID: 1.3.6.1.4.1.27537.3.1 <SigPolicyHash> hash-érték <SigPolicyQualifiers> <SigPolicyQualifier> <SPURI> web-elérés <SPUserNotice> <ExplicitText> Az aláíráspolitikát az Educatio Kht. adta ki. A politika a magyar elektronikus aláírás törvény (2001. XXXV tv.) szerint készült. A politika dokumentuma megtalálható a következı címen: http://www.educatio.hu/download/; OID: 1.3.6.1.4.1.27537.3.1 The electronic signature policy was issued by Educatio Kht. This signature policy has been prepared in accordance with the Hungarian e-Signature Law (2001. XXXV. tv.). The policy document can be found at http://www.educatio.hu/download/; OID: 1.3.6.1.4.1.27537.3.1

Megjegyzés: web-elérés hash-érték

– http://www.educatio.hu/download/alairaspolitikav2.00.pdf – http://www.educatio.hu/download/alairaspolitikav2.00.pdf.sha állományban szereplı érték

25/27

2. MELLÉKLET: A COMMITMENTTYPEINDICATION ELEM (TECHNIKAI ISMERTETİ)

A kötelezettségvállalás az intézmények által küldött aláírásban:

urn:oid:1.2.840.113549.1.9.16.6.1

A kötelezettségvállalás az OFIK által küldött aláírásban, ha az válaszként hibajelzést tartalmaz:

urn:oid:1.2.840.113549.1.9.16.6.1 hivatkozás a Reference elemre (Id attributumára), amelyhez ez a (proof of origin) kötelezettségvállalás tartozik

26/27

A kötelezettségvállalás az OFIK által küldött aláírásban, ha az választ és nyugtát is tartalmaz:

urn:oid:1.2.840.113549.1.9.16.6.1 hivatkozás a Reference elemre (Id attributumára), amelyhez ez a (proof of origin) kötelezettségvállalás tartozik urn:oid:1.2.840.113549.1.9.16.6.2 hivatkozás a Reference elemre (Id attributumára), amelyhez ez a (roof of receipt) kötelezettségvállalás tartozik

27/27