Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban a hitelesítésszolgáltatók

Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban a hitelesítésszolgáltatók által végzett viszontazonosítás protokolljának műszaki specifikációjára

2005. december 6.

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja TARTALOMJEGYZÉK 1. Bevezetés ................................................................................................................................................................... 3 1.1 A dokumentum célja ............................................................................................................................................. 3 1.2 Alapfogalmak ....................................................................................................................................................... 4 1.3 A dokumentum hatóköre....................................................................................................................................... 4 1.4 Figyelembe vett mértékadó dokumentumok ......................................................................................................... 4 1.5 Alkalmazási terület, olvasóközönség.................................................................................................................... 5 1.6 A dokumentum felépítése...................................................................................................................................... 5 1.7 Alkalmazott jelölések............................................................................................................................................ 5 2. A viszontazonosítás folyamata ................................................................................................................................ 6 3. A viszontazonosítási szolgáltatás logikai működése .............................................................................................. 7 4. Viszontazonosítás interfész leírása ......................................................................................................................... 8 5. A viszontazonosítás üzeneteinek elektronikus aláírása....................................................................................... 16

2

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja

1. Bevezetés A közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény (a továbbiakban Ket.) 160. § (2) bekezdése kimondja, hogy ha az ügyfél elektronikus aláírással ellátott kérelmet nyújt be a központi rendszeren keresztül vagy közvetlenül hatósághoz, akkor a hatóság az érintett hitelesítés szolgáltatónál viszontazonosítás jelleggel az aláíró természetes azonosítóit ellenőrizheti. A közigazgatási hatósági eljárásokban felhasznált elektronikus aláírásokra és az azokhoz tartozó tanúsítványokra, valamint a tanúsítványokat kibocsátó hitelesítésszolgáltatókra vonatkozó követelményekről szóló 194/2005. (IX. 22.) Korm. rendelet 6. § (1) bekezdése szerint a közigazgatási hatósági eljárás során az ügyfél csak olyan, legalább fokozott biztonságú elektronikus aláírási tanúsítványt használhat, amelyhez tartozó hitelesítési rendben a hitelesítésszolgáltató vállalja a viszontazonosítási kötelezettség teljesítését. Magáról a viszontazonosításról, amely az ügyfél természetes személyazonosító adatainak ellenőrzésére szolgál, az elektronikus ügyintézés részletes szabályairól szóló 193/2005. (IX. 22.) Korm. rendelet rendelkezik részleteiben az alábbiak szerint: • • • • •

5. § - a regisztráció általános szabályai ügyfélkapu igénybevétele esetén 8. § - az azonosítás egyes sajátos módjai ügyfélkapu igénybevétele esetén 10. § - elektronikus aláírás útján történő azonosítás szabályai 12.-13. § - a viszontazonosítás módjai 14.-15. § - a viszontazonosítás elvégzése

1.1 A dokumentum célja Ezt a dokumentumot az Informatikai és Hírközlési Minisztérium (IHM) az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságának, együttműködési képességének és egységes használatának támogatása érdekében teszi közzé „Az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról” szóló 195/2005. (IX. 22.) Korm. rendelet 3. § (1) bekezdésében foglaltak alapján. A viszontazonosítási szolgáltatást az egyes hitelesítésszolgáltatók rendszereiben az azt igénybe vevő szervezetek információs rendszerei (célrendszerek) számára technikailag egységes specifikáció alapján, egységes kommunikációs protokollal célszerű kialakítani, annak érdekében, hogy a célrendszerben a folyamat kezelése független legyen az ügyfél tanúsítványát kibocsátó hitelesítésszolgáltatótól. A jelen dokumentum elsődleges célja tehát a közigazgatási hatósági eljárásokban az ügyfél által használt elektronikus aláírásokhoz kapcsolódó viszontazonosításra ajánlott egységes specifikáció meghatározása. A jogszabályi előírásoknak megfelelően a hitelesítésszolgáltatók felé a viszontazonosítás-kérés akár a központi rendszertől, akár közvetlenül a hatóság célrendszerétől érkezhet. Mindkét esetben a jelen ajánlásban meghatározott módon történik a viszontazonosítás-kérés összeállítása a központi rendszer, illetve az arra jogosult hatóság által; és a viszontazonosítást végző szervezet (hitelesítésszolgáltató) az itt leírt módon ad a jogszabályok által meghatározott tartalmú választ. Az egységesség érdekében a jelen dokumentum célja volt az is, hogy az ajánlott protokoll a Kormányzati Portál Ügyfélkapujához kialakított, és a Kormányzati Informatikai Egyeztető

3

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja Tárcaközi Bizottság (KIETB) 21. számú ajánlásában1 szereplő viszontazonosítás specifikációjával a lehető legnagyobb mértékben megegyezzen, ezért jelentős részben annak alapján készült. A specifikáció kidolgozása során az érintett hitelesítésszolgáltatók, ill. a Magyar Elektronikus Aláírás Szövetség (MELASZ) bevonása azt a célt szolgálta, hogy a specifikáció a lehető legszélesebb szakmai konszenzust tükrözze.

1.2 Alapfogalmak Jelen dokumentumban használt alapfogalmakat az elektronikus aláírásról szóló 2001. évi XXXV. törvény (a továbbiakban Eat.), a Ket., valamint a 193/2005. (IX. 22.) és 194/2005. (IX. 22.) Korm. rendeletek definiálják. A dokumentum felhasználja a 21. számú KIETB ajánlás terminológiáját is, az ott is alkalmazott XML, XSD és SOAP szabványok fogalmi rendszerét, valamint az IHM által a Magyar E-Közigazgatási Interoperabilitási Keretrendszer (MEKIK) alapjainak lerakása céljából lefolytatott projekt2 (MEKIK projekt) eredményeit. A tanúsítványokra vonatkozóan használt fogalmakat az 1.4 pontban felsorolt szabványok definiálják.

1.3 A dokumentum hatóköre Ez a dokumentum meghatározza a közigazgatási hatósági ügyek elektronikus úton történő intézése során az elektronikus aláíráshoz kapcsolódó viszontazonosítás protokollját.

1.4 Figyelembe vett mértékadó dokumentumok Ez az ajánlás az alábbi nemzetközi mértékadó dokumentumokon alapul: • • • • • • • • •

Extensible Markup Language (XML) W3C Recommendation [1] W3C XML Schema Specification [2] W3C SOAP Recommendation [3] SOAP Security Extensions: Digital Signature [4] Web Services Security: SOAP Message Security OASIS Standard [5] RFC 3280 Internet X.509 Public Key Infrastructure Certificate and CRL Profile [6] RFC 3739 Internet X.509 Public Key Infrastructure Qualified Certificates Profile [7] ETSI TS 102 280 X.509 Certificate Profile for Certificates Issued to Natural Persons [8] ETSI TS 101 862 Qualified Certificate Profile [9]

Felhasználjuk továbbá az alábbi hazai dokumentumokat: • MEKIK projekt eredményei • 21. számú KIETB ajánlás [10] • Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható hosszú távú és archív elektronikus aláírás formátumok műszaki specifikációjára [11] • Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható elektronikus aláírási szabályzatok készítésére [12] 1 2

http://misc.meh.hu/binary/7152_kietb_21.sz.aj_nl_s.pdf http://www.itktb.hu/engine.aspx?page=MEKIK 4

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja

1.5 Alkalmazási terület, olvasóközönség Ez az ajánlás elsősorban a közigazgatási szektor számára készült, mivel a személyes adatok kezelésével járó viszontazonosítás alkalmazására jelenleg az elektronikus hatósági ügyintézés esetén van törvényi felhatalmazás. A viszontazonosítás jogszerű alkalmazása esetén azonban az ajánlást használhatják a közszféra más területein, sőt a magánszférában is. A jogszerűség a mindenkori hatályos jogszabályok rendelkezései alapján dönthető el. Az első fejezet minden (elektronikus aláírás iránt) érdeklődő olvasónak szól, köztük az elektronikus aláírásokat felhasználóknak és a különböző elektronikus szolgáltatások rendszerfejlesztőinek is. A dokumentum további részei (a viszontazonosításra vonatkozó részletes műszaki specifikáció, illetve a magyarázó és szemléltető részek) elsősorban az alábbi szereplők műszaki szakemberei számára készültek: • viszontazonosítást használó alkalmazásokat fejlesztők, • viszontazonosítást használó alkalmazásokat értékelők és tanúsítók.

1.6 A dokumentum felépítése A dokumentum további része az alábbi szerkezetet követi: A 2. fejezet a viszontazonosítás folyamatát írja le A 3. fejezet a viszontazonosítás szolgáltatás logikai működését írja le. A 4. fejezet a viszontazonosítás interfész leírását tartalmazza. Az 5. fejezet a kérés és válasz elektronikus aláírásának specifikációját tartalmazza.

1.7 Alkalmazott jelölések Az adatstruktúra leírásokban az XML leíró nyelvet alkalmazzuk.

5

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja

2. A viszontazonosítás folyamata A 193/2005. (IX. 22.) Korm. rendelet értelmében a közigazgatási hatósági ügyek elektronikus úton történő intézése során az ügyfél előzetes viszontazonosítása szükséges abban az esetben, ha az ügyfél személyes adathoz, illetve adó-, bank-, biztosítási-, vagy értékpapírtitokhoz kíván hozzáférni. A viszontazonosítás során a hatóság az ügyfélről jogszerűen rendelkezésére álló és a viszontazonosítást végző szervezet által az éppen használt tanúsítvány kibocsátásakor ténylegesen rögzített személyazonosító adatok egyezőségét ellenőrzi. A folyamat lépései: 1. Célrendszeri azonosító adat(ok) megadása: Az ügyfél elektronikus aláírásával hitelesített kérelmében megadja a célrendszerben használt – törvényben meghatározott – egyedi azonosítót, vagy a célrendszerben jogszabály alapján kezelhető, az azonosításához szükséges személyes adatokat. 2. Ügyfél természetes azonosítóinak összeállítása: A célrendszer a megkapott azonosító adat(ok) alapján saját rendszerében előkeresi vagy összeállítja a személy természetes azonosító adatait (viselt név, születési név, anyja neve, születési helye, születési ideje, állampolgársága) vagy ezek egy részhalmazát. 3. Viszontazonosítás kérés: Az összeállított természetes személyazonosító adatok és az aláírásra használt digitális tanúsítvány alapján a célrendszer elküldi kérelmét viszontazonosítás céljából a hitelesítésszolgáltató felé. A viszontazonosítási kérést a hatóság elektronikus aláírással látja el. 4. Kérés fogadása: A hitelesítésszolgáltató fogadja a célrendszer által összeállított kérést viszontazonosítás elvégzésére. Ellenőrzi a kérés elektronikus aláírását és a kérő fél jogosultságát. 5. Ellenőrzés: A meghatározott tolerancia (lásd később) alapján az összehasonlítás elvégzése. 6. Viszontazonosítás válasz: A hitelesítésszolgáltató a viszontazonosítás eredményét IGEN / NEM formájú válasz üzenetben küldi vissza a kezdeményező célrendszer felé. A válasz üzenetet a hitelesítésszolgáltató saját elektronikus aláírásával látja el. Amennyiben nincs szükség viszontazonosításra, a folyamat az 1. pont után véget ér. Az ügyfél viszontazonosítását nemcsak a hatóság önálló célrendszere kérheti, hanem a központi rendszer is. Ennek folyamata teljesen hasonló a fent leírtakhoz, de a célrendszer helyét a központi rendszer veszi fel (a továbbiakban is értelemszerűen a célrendszer felcserélhető a központi rendszerrel).

6

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja Természetesen a viszontazonosítástól függetlenül történik az elektronikusan aláírt dokumentumok kezelése során az aláírás kezdeti és utólagos ellenőrzése, időbélyegzése (a közigazgatásban alkalmazható elektronikus aláírási szabályzatok készítéséről szóló IHM ajánlásnak [12] megfelelően).

3. A viszontazonosítási szolgáltatás logikai működése A viszontazonosítási szolgáltatást a hitelesítésszolgáltató automatikusan hajtja végre. A kérelem az OASIS Web Service Security: SOAP Message Security 1.0 (WS-Security 2004) szabványnak [5] megfelelő formátumú elektronikusan aláírt XML üzenet formájában az arra jogosult célrendszer felől érkezik. A kérelem tartalma a SOAP borítékba ágyazva kerül aláírásra. A kérés fogadása után a hitelesítésszolgáltató: - ellenőrzi a kérő fél jogosultságát, és a kérés elektronikus aláírását, - elvégzi az XML szintaktikai ellenőrzését, - ellenőrzi, hogy az ügyfél tanúsítványához tartozó hitelesítési rend szerepel-e az NHH által a közigazgatási hatósági eljárásokban felhasznált elektronikus aláírásokra és az azokhoz tartozó tanúsítványokra, valamint a tanúsítványokat kibocsátó hitelesítésszolgáltatókra vonatkozó követelményekről szóló 194/2005. (IX. 22.) Korm. rendelet előírásai szerint vezetett nyilvántartásban, - hiba (kérő nem jogosult, nem értelmezhető kérés vagy nem megfelelő hitelesítési rend) esetén visszaküldi a kapott üzenetet, - amennyiben az elektronikus aláírás ellenőrzése sikertelen, az [5] szabványnak megfelelő hibaválaszt küld, - szintaktikailag elfogadható, arra jogosult szakrendszertől érkező, hiteles aláírással rendelkező kérés esetében elvégzi az összehasonlítandó elemek átalakítását a tolerancia szabályoknak megfelelően, elvégzi saját adatbázisában a keresést, összeállítja a választ, ellátja elektronikus aláírásával, és az összeállított SOAP válasz üzenetet küldi vissza a célrendszernek. A hitelesítésszolgáltató IGEN választ ad, ha a megadott természetes személyazonosító adatok és az ellenőrző által kezelt (a tanúsítvány alapján beazonosított) természetes személyazonosító adatok az alkalmazott tolerancia szabályok alapján megegyeznek. Egyéb esetben a hitelesítésszolgáltató NEM választ ad. Eltérés esetén vagy a célrendszerbeli azonosító adatot/adatait adta meg hibásan az ügyfél, vagy a célrendszerbeli nyilvántartás és a hitelesítésszolgáltató nyilvántartása tér el. Ezen esetekben (illetve hiba válasz esetén) a kért szolgáltatás nem vehető igénybe, amennyiben az viszontazonosításhoz kötött. A szolgáltatást kérő célrendszer a viszontazonosítást az alábbi adatok megadásával kérheti: - viselt név (családi név, első utónév, további utónevek) - születési név (családi név, első utónév, további utónevek) - anyja születési neve (családi név, első utónév, további utónevek) - születési helye (születés ország neve, születés település neve) - születési ideje (év, hó, nap)

7

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja -

neme (férfi/nő) állampolgársága (elsődleges állampolgársága) tanúsítvány adatok

A felsorolt adatok közül az alábbiak megadása kötelező: - viselt név vagy születési név (családi név, első utónév) - anyja születési neve (családi név, első utónév) - születési helye (születés település neve) - születési ideje - tanúsítvány adatok A viszontazonosítást kérő célrendszer a viselt név helyett – amennyiben az rendelkezésére áll – a születési nevet is megadhatja a viszontazonosítás során. Az ellenőrzés algoritmusában az alább felsorolt tolerancia elemeket kell alkalmazni az összehasonlítás előtt a kérésben és a nyilvántartásban lévő adatokra. Nevek (viselt név, születési név, anyja neve) összehasonlításakor: - szóközök és egyéb speciális karakterek kivágása, - nagybetűkké konvertálás, - a doktorjelzők szűrése a családnevekből (dr, dr., Dr, Dr., DR, DR.), - az ékezetes betűk teljes körű helyettesítése ékezetmentes betűpárjaikkal (á-a, ä-a, é-e, í-i, ó-o, ö-o, ő-o, ú-u, ü-u, ű-u, Á-A, Ä-A, É-E, Í-I, Ó-O, Ö-O, Ő-O, Ú-U, Ü-U, Ű-U). A születés településnevének összehasonlításakor: - nagybetűkké konvertálás, - településnevek levágása balról az első szóköznél. Az alkalmazott toleranciaszint így megegyezik az ügyfélkapun keresztül azonosított felhasználók viszontazonosításánál alkalmazott megoldással.

4. Viszontazonosítás interfész leírása Ebben a fejezetben találhatók a szabványos csatlakozási felület XML mintái és séma definíciói, melyek elektronikus változatban az ajánlás részét képezik. A séma definíciók a SOAP üzenet tartalmának felépítését határozzák meg ("Body" elem tartalma). A SOAP üzenet elektronikus aláírását a következő fejezet írja le. Viszontazonosítás példa: <soap-env:Envelope xmlns:soap-env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns="http://www.iop.hu/2004" xmlns:hszva="http://www.melasz.hu/schema/hszva/hszva1.0"> <soap-env:Header/> <soap-env:Body soap-env:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">

8

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja RendszerAzonosító 2001-12-17T09:30:47-05:00 <Session>

Text String String String <SzuletesiNev EID="6"> Text String String String 1 <SzuletesiHely EID="11"> Text Text Text Text <SzuletesiIdo EID="12"> <SzuletesDatum>Text Text String String String Text R0lGODlhcgGSALMAAAQCAEMmCZtuMFQxDS8b String 0

<Parancs PID="String"> String <Szolgaltatas Module="String" FormID="AlairasViszontazonositas" Muvelet="String">String String

9

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja

Válasz üzenet sikeres viszontazonosítás esetén: <soap-env:Envelope xmlns:soap-env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns="http://www.iop.hu/2004" xmlns:hszva="http://www.melasz.hu/schema/hszva/hszva1.0"> <soap-env:Header/> <soap-env:Body soap-env:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"> RendszerAzonosító 2001-12-17T09:30:47-05:00 <Session>

1

<Parancs PID="String"> String <Szolgaltatas Module="String" FormID="String" Muvelet="String">String String

Válasz üzenet sikertelen viszontazonosítás esetén: <soap-env:Envelope xmlns:soap-env="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns="http://www.iop.hu/2004" xmlns:hszva="http://www.melasz.hu/schema/hszva/hszva1.0"> <soap-env:Header/> <soap-env:Body soap-env:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"> RendszerAzonosító 2001-12-17T09:30:47-05:00 <Session>

0 HibaLeírás

<Parancs PID="String">

10

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja String <Szolgaltatas Module="String" FormID="String" Muvelet="String">String String

Az alkalmazott XML struktúra leírása részletesen az alábbi hierarchiájú állományokban található meg: kerdes.xsd valasz.xsd tranzakciotypes.xsd va_kerdes.xsd va_valasz.xsd HSZTSZATypes.xsd IOP_ExtTypes.xsd

11

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja A struktúra magas szintű elemeit mutatják be az alábbi ábrák:

12

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja

13

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja

Elektronikusan aláírt adat viszontazonosításhoz szükséges tanúsítvány információk definíciója: <xs:element name="X509TanusitvanyAzonosito" type="hszva:CertIDType"/> <xs:complexType name="CertIDType"> <xs:sequence> <xs:element name="CertDigest" type="hszva:DigestAlgAndValueType"/> <xs:element name="IssuerSerial" type="ds:X509IssuerSerialType"/> <xs:attribute name="URI" type="xs:anyURI" use="optional"/> <xs:complexType name="DigestAlgAndValueType"> <xs:sequence> <xs:element ref="ds:DigestMethod"/> <xs:element ref="ds:DigestValue"/>

14

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja Az X509 Tanúsítvány azonosító struktúra XSD dokumentum definíció felépítése a következő:

15

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja Természetes személy IOP szerinti szabványos azonosító adatai:

5. A viszontazonosítás üzeneteinek elektronikus aláírása A viszontazonosítás során küldött kérést és választ elektronikus aláírással kell ellátni. A SOAP üzenetek elektronikus aláírásánál alapvetően két lényeges szabványt, ill. ajánlást kell figyelembe venni: i. Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható hosszú távú és archív elektronikus aláírás formátumok műszaki specifikációjára [11] ii. OASIS Web Service Security: SOAP Message Security 1.0 (WS-Security 2004) [5]

16

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja Jelen fejezetnek nem célja ezen szabványok részletes ismertetése, de taglalja a lényegesebb pontokat, valamint az esetleges pontosításokat, ill. eltéréseket. Az aláírás formátumára, ill. a SOAP (XML) dokumentumban az aláírással kapcsolatos szabályokat az (i) ajánlás tartalmazza. A viszontazonosítás során közlekedő elektronikusan aláírt üzenetnek meg kell felelnie ezen ajánlás előírásainak. (Signature elem, ill. tartalomhivatkozások – URI) A (ii) szabvány 8. fejezete foglalkozik részletesen a SOAP üzenetbe helyezett aláírással. A viszontazonosítás során közlekedő elektronikusan aláírt üzenetnek meg kell felelnie ezen szabvány előírásainak, az alábbi pontosításokkal, kivételekkel: 1. A SOAP fejléc Security elemének mustUnderstand attribútumát true értékre kell állítani, amikor a 193/2005. (IX. 22.) Korm. rendelet 15. § előírásainak megfelelően a viszontazonosítás kérést kötelező aláírni. 2. A SecurityTokenReference elem használata nem megengedett. 3. A fejléc Security elemben definiált gyermek elemek közül csak a UserNameToken és a Signature elem kezelése kötelező. (A többi elem használata opcionális, de nem várható el sem a viszontazonosítás kérőtől sem a hitelesítésszolgáltatótól, hogy értelmezze azokat.) 4. A Signature elem formátumának az (i) ajánlásban foglaltakat kell követni, így kötelező az xmldsig névtér mellett a XAdES névtér használata is. 5. A SOAP Body elemének kötelezően tartalmaznia kell egy Id attribútumot, mely a Signature elem SignedInfo elemében a referencia alapja. 6. Az aláírást a SOAP üzenet Body eleme "fölött" kell végrehajtani. 7. A (ii) szabványban ajánlottól eltérően a SignedInfo referenciában az aláírandó adatra alkalmazandó Transform algoritmus az Exclusive XML Canonicalization (http://www.w3.org/2001/10/xml-exc-c14n# ) helyett az i. ajánlásban engedélyezett Canonical XML (http://www.w3.org/TR/2001/REC-xml-c14n-20010315#) transzformáció. További előírások az aláírás kezeléssel kapcsolatban: • A viszontazonosítás üzeneteket fokozott biztonságú szervezeti aláíró tanúsítvánnyal kell aláírni. • A viszontazonosítási üzenetek aláírására vonatkozó elektronikus aláírási szabályzatot a hitelesítés-szolgáltatónak publikálnia kell. • Az aláírási szabályzatnak kötelezően elő kell írnia az időbélyeg használatát. • Az aláírási szabályzatban rögzíteni kell, hogy a "kivárási idő" 0 hosszúságú. • Az üzenet fogadó oldalán – amennyiben az elektronikus aláírás ellenőrzése sikertelen, vagy valamilyen okból nem lehet végrehajtani az aláírás ellenőrzést – az üzenetet vissza kell utasítani. (A hibajelzést a (ii) szabvány 12. fejezetének megfelelően kell végrehajtani.) • Az aláírás ellenőrzését az (i) ajánlásban megfogalmazott követelményeknek megfelelően kell végezni, azzal a megkötéssel, hogy a kivárási idő 0 hosszúságú.

17

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja (Az alábbi példákban szereplő mezőértékek nem valósak, az olvashatóság érdekében az aláírásban szereplő base64 kódolt mezők jelzésként szerepelnek.)

Elektronikusan aláírt viszontazonosítási kérés minta: <S11:Envelope xmlns:S11="http://schemas.xmlsoap.org/soap/envelope/" xmlns:S12="http://www.w3.org/2003/05/soap-envelope" xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis200401-wsswssecuritysecext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wsswssecurityutility-1.0.xsd" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:xades="http://uri.etsi.org/01903/v1.2.2#" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:iop="http://www.iop.hu/2004" xmlns:hszva="http://www.melasz.hu/schema/hszva/hszva1.0" xmlns="http://uri.etsi.org/01903/v1.2.2#" xmlns:xxx="http://xxx.xxx.xx/xx"> <S11:Header> <wsse:Security S11:mustUnderstand="true"> dyaB+5MRhI0AdF0BbsqVU+fXSb4= BmiWCA6Q06sOQ396+LBIOLz5QUI= lI7lgZ4N1hFhF07HaAAL7Ha7+Kk= D/lbynn0uAxIDWU56YtGb11R0MgCFEl7TN2esJZqjQ+ThHfB5ktpIWftPjp70b39M/rL+M1wFLVt 8gFbYMv7aXP5raUayk31BGNwAHJuXsjb+uyqeoWcmOaNN91IbGFoxwyFM3NZkcydT8djEN3yu/yC bbHthW7Xo3gshlGxoj8= serialNumber=3, CN=E-Group Certification Authority eNonRepudiation CA, OU=PKI Services, O=E-Group Hungary Plc., C=HU 61

18

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja MIIEeTCCA2GgAwIBAgIBPTANBgkqhkiG9w0BAQUFADCBjTELMAkGA1UE <SignedProperties Id="SignedProperties0"> <SignedSignatureProperties> <SigningTime>2005-11-04T10:45:07Z <SigningCertificate> v8dhtLIkq1LhJMhNOIBmVpduBZs= serialNumber=3, CN=E-Group Certification Authority eNon- Repudiation CA, OU=PKI Services, O=E-Group Hungary Plc., C=HU 61 <SignaturePolicyIdentifier> <SignaturePolicyId> <SigPolicyId> http://xxx.xxx.xx/xxx/xxx.xml <SigPolicyHash> lnRUDIsHoKxH0LFZVEXKz04R3jg= <SigPolicyQualifiers> <SigPolicyQualifier> <SPURI>http://xxx.xxx.xx/xxx/xxx.xml <SPUserNotice> <ExplicitText>Jelen dokumentum .... <SignedDataObjectProperties> <MimeType>text/xml <SignatureTimeStamp Id="SignatureTimeStamp0"> <EncapsulatedTimeStamp Id="EncapsulatedTimeStamp0">MIIFNDADAgEAMIIFKwYJKoZIhvcNAQcCoIIFHDCCBRgCAQMx

19

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja ylu+fXI+7GLEvTCbCKKkLFbr3M8= CN=E-Group Certification Authority ePrimary CA, OU=PKI Services, O=E-Group Hungary Plc., C=HU 3 jbiRejTy215zj7O7mKpnMU/ie7k= CN=E-Group Certification Authority ePrimary CA, OU=PKI Services, O=E-Group Hungary Plc., C=HU 0 h59L7gXfmFg742DWM+cNP/6Yca8= CN=NetLock Uzleti (Class B) Tanusitvanykiado, OU=Tanusitvanykiadok, O=NetLock Halozatbiztonsagi Kft., L=Budapest, C=HU 105 <EncapsulatedX509Certificate Id="EncapsulatedX509Certificate0">MIIFejCCBGKgAwIBAgIBAzANBgkqhkiG9w0BAQUFADB5MQswCQYDVQQ <EncapsulatedX509Certificate Id="EncapsulatedX509Certificate1">MIIFgTCCBGmgAwIBAgIBADANBgkqhkiG9w0BAQUFADB5MQswCQYD <EncapsulatedX509Certificate Id="EncapsulatedX509Certificate2">MIIFSzCCBLSgAwIBAgIBaTANBgkqhkstE3Kfq51hdcR0/jHTjrn9V7lagonhVK0dH QKwCXoOK <xxx:Object Id="XXXObject0"> <xxx:Valami>AAAAAAA

20

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja <S11:Body S11:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/" wsu:Id="SignedObject0"> RendszerAzonosító 2001-12-17T09:30:47-05:00 Text String String String Text String String String 1 Text Text Text Text Text Text String String String Text R0lGODlhcgGSALMAAAQCAEMmCZtuMFQxDS8b String 0 String

21

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja String String

Válasz üzenet sikeres viszontazonosítás esetén: <S11:Envelope xmlns:S11="http://schemas.xmlsoap.org/soap/envelope/" xmlns:S12="http://www.w3.org/2003/05/soap-envelope" xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis200401-wsswssecuritysecext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wsswssecurityutility-1.0.xsd" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:xades="http://uri.etsi.org/01903/v1.2.2#" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:iop="http://www.iop.hu/2004" xmlns:hszva="http://www.melasz.hu/schema/hszva/hszva1.0" xmlns="http://uri.etsi.org/01903/v1.2.2#" xmlns:xxx="http://xxx.xxx.xx/xx"> <S11:Header> <wsse:Security S11:mustUnderstand="true"> dyaB+5MRhI0AdF0BbsqVU+fXSb4= BmiWCA6Q06sOQ396+LBIOLz5QUI= lI7lgZ4N1hFhF07HaAAL7Ha7+Kk= D/lbynn0uAxIDWU56YtGb11R0MgCFEl7TN2esJZqjQ+ThHfB5ktpIWftPjp70b39M/rL+M1wFLVt 8gFbYMv7aXP5raUayk31BGNwAHJuXsjb+uyqeoWcmOaNN91IbGFoxwyFM3NZkcydT8djEN3yu/yC bbHthW7Xo3gshlGxoj8=

22

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja Repudiation CA,

serialNumber=3, CN=E-Group Certification Authority eNonOU=PKI Services, O=E-Group Hungary Plc., C=HU 61

MIIEeTCCA2GgAwIBAgIBPTANBgkqhkiG9w0BAQUFADCBjTELMAkGA1UE <SignedProperties Id="SignedProperties0"> <SignedSignatureProperties> <SigningTime>2005-11-04T10:45:07Z <SigningCertificate> v8dhtLIkq1LhJMhNOIBmVpduBZs= serialNumber=3, CN=E-Group Certification Authority eNon- Repudiation CA, OU=PKI Services, O=E-Group Hungary Plc., C=HU 61 <SignaturePolicyIdentifier> <SignaturePolicyId> <SigPolicyId> http://xxx.xxx.xx/xxx/xxx.xml <SigPolicyHash> lnRUDIsHoKxH0LFZVEXKz04R3jg= <SigPolicyQualifiers> <SigPolicyQualifier> <SPURI>http://xxx.xxx.xx/xxx/xxx.xml <SPUserNotice> <ExplicitText>Jelen dokumentum .... <SignedDataObjectProperties> <MimeType>text/xml <SignatureTimeStamp Id="SignatureTimeStamp0">

23

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja <EncapsulatedTimeStamp Id="EncapsulatedTimeStamp0">MIIFNDADAgEAMIIFKwYJKoZIhvcNAQcCoIIFHDCCBRgCAQMx ylu+fXI+7GLEvTCbCKKkLFbr3M8= CN=E-Group Certification Authority ePrimary CA, OU=PKI Services, O=E-Group Hungary Plc., C=HU 3 jbiRejTy215zj7O7mKpnMU/ie7k= CN=E-Group Certification Authority ePrimary CA, OU=PKI Services, O=E-Group Hungary Plc., C=HU 0 h59L7gXfmFg742DWM+cNP/6Yca8= CN=NetLock Uzleti (Class B) Tanusitvanykiado, OU=Tanusitvanykiadok, O=NetLock Halozatbiztonsagi Kft., L=Budapest, C=HU 105 <EncapsulatedX509Certificate Id="EncapsulatedX509Certificate0">MIIFejCCBGKgAwIBAgIBAzANBgkqhkiG9w0BAQUFADB5MQswCQYDVQQ <EncapsulatedX509Certificate Id="EncapsulatedX509Certificate1">MIIFgTCCBGmgAwIBAgIBADANBgkqhkiG9w0BAQUFADB5MQswCQYD <EncapsulatedX509Certificate Id="EncapsulatedX509Certificate2">MIIFSzCCBLSgAwIBAgIBaTANBgkqhkstE3Kfq51hdcR0/jHTjrn9V7lagonhVK0dH QKwCXoOK

24

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja <xxx:Object Id="XXXObject0"> <xxx:Valami>AAAAAAA <S11:Body S11:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/" wsu:Id="SignedObject0"> RendszerAzonosító 2001-12-17T09:30:47-05:00 1 String String String

Válasz üzenet sikertelen viszontazonosítás esetén: <S11:Envelope xmlns:S11="http://schemas.xmlsoap.org/soap/envelope/" xmlns:S12="http://www.w3.org/2003/05/soap-envelope" xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis200401-wsswssecuritysecext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wsswssecurityutility-1.0.xsd" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:xades="http://uri.etsi.org/01903/v1.2.2#" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:iop="http://www.iop.hu/2004" xmlns:hszva="http://www.melasz.hu/schema/hszva/hszva1.0" xmlns="http://uri.etsi.org/01903/v1.2.2#" xmlns:xxx="http://xxx.xxx.xx/xx"> <S11:Header> <wsse:Security S11:mustUnderstand="true"> dyaB+5MRhI0AdF0BbsqVU+fXSb4=

25

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja BmiWCA6Q06sOQ396+LBIOLz5QUI= lI7lgZ4N1hFhF07HaAAL7Ha7+Kk= D/lbynn0uAxIDWU56YtGb11R0MgCFEl7TN2esJZqjQ+ThHfB5ktpIWftPjp70b39M/rL+M1wFLVt 8gFbYMv7aXP5raUayk31BGNwAHJuXsjb+uyqeoWcmOaNN91IbGFoxwyFM3NZkcydT8djEN3yu/yC bbHthW7Xo3gshlGxoj8= serialNumber=3, CN=E-Group Certification Authority eNonRepudiation CA, OU=PKI Services, O=E-Group Hungary Plc., C=HU 61 MIIEeTCCA2GgAwIBAgIBPTANBgkqhkiG9w0BAQUFADCBjTELMAkGA1UE <SignedProperties Id="SignedProperties0"> <SignedSignatureProperties> <SigningTime>2005-11-04T10:45:07Z <SigningCertificate> v8dhtLIkq1LhJMhNOIBmVpduBZs= serialNumber=3, CN=E-Group Certification Authority eNon- Repudiation CA, OU=PKI Services, O=E-Group Hungary Plc., C=HU 61 <SignaturePolicyIdentifier> <SignaturePolicyId> <SigPolicyId> http://xxx.xxx.xx/xxx/xxx.xml <SigPolicyHash> lnRUDIsHoKxH0LFZVEXKz04R3jg= <SigPolicyQualifiers> <SigPolicyQualifier> <SPURI>http://xxx.xxx.xx/xxx/xxx.xml

26

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja <SPUserNotice> <ExplicitText>Jelen dokumentum .... <SignedDataObjectProperties> <MimeType>text/xml <SignatureTimeStamp Id="SignatureTimeStamp0"> <EncapsulatedTimeStamp Id="EncapsulatedTimeStamp0">MIIFNDADAgEAMIIFKwYJKoZIhvcNAQcCoIIFHDCCBRgCAQMx ylu+fXI+7GLEvTCbCKKkLFbr3M8= CN=E-Group Certification Authority ePrimary CA, OU=PKI Services, O=E-Group Hungary Plc., C=HU 3 jbiRejTy215zj7O7mKpnMU/ie7k= CN=E-Group Certification Authority ePrimary CA, OU=PKI Services, O=E-Group Hungary Plc., C=HU 0 h59L7gXfmFg742DWM+cNP/6Yca8=

27

Hitelesítésszolgáltatók által végzett viszontazonosítás protokollja CN=NetLock Uzleti (Class B) Tanusitvanykiado, OU=Tanusitvanykiadok, O=NetLock Halozatbiztonsagi Kft., L=Budapest, C=HU 105 <EncapsulatedX509Certificate Id="EncapsulatedX509Certificate0">MIIFejCCBGKgAwIBAgIBAzANBgkqhkiG9w0BAQUFADB5MQswCQYDVQQ <EncapsulatedX509Certificate Id="EncapsulatedX509Certificate1">MIIFgTCCBGmgAwIBAgIBADANBgkqhkiG9w0BAQUFADB5MQswCQYD <EncapsulatedX509Certificate Id="EncapsulatedX509Certificate2">MIIFSzCCBLSgAwIBAgIBaTANBgkqhkstE3Kfq51hdcR0/jHTjrn9V7lagonhVK0dH QKwCXoOK <xxx:Object Id="XXXObject0"> <xxx:Valami>AAAAAAA <S11:Body S11:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/" wsu:Id="SignedObject0"> RendszerAzonosító 2001-12-17T09:30:47-05:00 0 HibaLeírás String String String

28