Digitální podpisy ve spektru úkolů Spolkového úřadu pro bezpečnost informační techniky (BSI) Bezpečnost i.t.: úkol BSI Podle § 3 zákona BSI ze dne 17.12.1990 má Spolkový úřad za úkol provádět „vyšetřování bezpečnostních rizik při použití informační techniky“ a vyvinout „bezpečnostní opatření, především pro informačně technické postupy a přístroje, pro bezpečnost v informační technice, pokud je to potřebné ke splnění úkolů svazu.“ Spektrum úkolů BSI doplňuje „kontrola a vyhodnocení bezpečnosti informačně technických systémů nebo komponentů a udělování bezpečnostních certifikátů“ a „poradenství pro výrobce, prodejce a uživatele v otázkách bezpečnosti v informační technice při zohlednění možných následků chybějících nebo nedostatečných bezpečnostních opatření.“ Zákon o digitálních podpisech a jeho cíle „Zákon o digitálních podpisech si klade za cíl vytvořit administrativní rámec, jehož dodržení umožní používání bezpečných digitálních podpisů, takže budou moci platit jako bezpečné před paděláním a označená data budou bezpečná před falšováním.“ Týká se úprav celospolkové infrastruktury pro přiřazování podpisových klíčů fyzickým osobám, využití vhodných technických komponent a vzdělávání vlastníků certifikátů pro podpisové klíče ohledně bezpečnostních opatření, která mají ve vlastním zájmu provádět. Vybudování a provoz infrastruktury má proběhnout ve volné soutěži, ale pod úřední kontrolou. Tento úkol a příslušný mandát přiznal zákonodárce Regulačnímu úřadu pro telekomunikace a poštu (RegTP). Ustanovil ho příslušným úřadem podle § 3 zákona o digitálních podpisech (SigG) ze dne 22.07.1997 k praktickému výkonu zákona o digitálních podpisech a nařízení o digitálních podpisech (SigV) ze dne 22.10.1997. Cílem zákona je nabídnout v rámci spolkových kompetencí spolehlivý základ pro vytváření dynamicky se rozvíjejících nabídek v oblasti informačních a komunikačních služeb a vytvořit rovnováhu mezi volnou soutěží, oprávněnými potřebami uživatelů a veřejným zájmem na pořádku, a tím také právní bezpečnost. V rámci tohoto spektra úkolů byly Spolkovému úřadu pro bezpečnost v informační technice (BSI) přiděleny zákonem o digitálních podpisech a příslušným nařízením o digitálních podpisech podstatné technické úlohy. Úkoly BSI BSI má podle § 16 (6) – za spolupráce expertů z průmyslu a vědy – vytvořit údaje pro katalog vhodných opatření, na nějž se má brát zřetel při posuzování požadavků na technické komponenty. Analogicky k tomu má BSI podle § 12 (2) – za spolupráce expertů z průmyslu a vědy – vytvořit údaje pro katalog vhodných opatření, na nějž se má brát zřetel při posuzování požadavků na koncept bezpečnosti certifikačních pracovišť. Regulační úřad pro telekomunikace a poštu (RegTP) zveřejnil (podle § 17 odst. 4 SigV) ve Spolkovém věstníku (Bundesanzeiger) ze 14.02.1998 (č. 31, str. 1787), že kromě předběžně uznaných míst je zatím BSI jediné pracoviště, které bylo s konečnou platností pověřeno potvrzováním technických komponent (podle § 14 odst. 4 SigG), kontrolou a potvrzováním aplikace bezpečnostních konceptů (podle § 4 odst. 3 věta 3 SigG) a prováděním kontroly bezpečnosti technických komponent (podle § 14 odst. 4 SigG ve spojení s § 17 odst. 1 SigV).
Podle § 17 odst. 2 SigV je BSI pověřen kontrolou způsobilosti algoritmů a příslušných parametrů, které jsou považovány za vhodné k vytváření podpisových klíčů, k hašování dat, jež mají být označena podpisem a k vytváření a kontrole digitálních podpisů. Zároveň stanoví BSI časový bod, do kterého zůstává způsobilost v platnosti. Způsobilost se určuje podle údajů BSI při zohlednění mezinárodních standardů, ve spolupráci s experty z průmyslu a vědy. Podle § 16 odst. 6 SigV vede RegTP katalog vhodných bezpečnostních opatření, která zveřejňuje ve Spolkovém věstníku (Bundesanzeiger). Tato opatření mají být u technických komponent zohledněna. Katalog se vytváří podle údajů BSI, ve spolupráci s experty z průmyslu a vědy. V rámci poradenských služeb poskytne BSI diskusní a informační fórum na téma „Digitální podpisy“, aby se tak s tímto tématem seznámila široká veřejnost. Relevantní informace k tématu budou jsou volně k dispozici, aby se dosáhlo odpovídající osvěty a aby výrobcům, certifikačním pracovištím, kontrolnám a schvalovacím pracovištím, poskytovatelům, uživatelům a všem zájemcům bylo dostatečně objasněno zacházení s novou technologií. Navíc mohou být využity určité informace od potenciálních uživatelů, v zájmu usnadnit zavedení digitální podpisů odpovídajících zákonu v jejich oboru. Podle § 14 odst. 5 a 15 odst. 1 a 2 SigV „Uznání zahraničních certifikátů“ je BSI partnerem pro dialog týkající se všech technických otázek ohledně aktivit EU a dalších početných bilaterálních a multinárodních požadavků a vzájemného uznání certifikátů mezi Německem a Itálií, Španělskem, Rakouskem, USA, Japonskem, UNO a dalšími zeměmi. Provádění úkolů BSI Provádění výše uvedených úkolů BSI se uskuteční v rámci projektu, který bude přesahovat kompetence jednotlivých oddělení. Kontrolu technických komponent, jak už bylo zmíněno, bude provádět kontrolní pracoviště uznané Regulačním úřadem pro telekomunikace a poštu. Momentálně existuje kromě BSI ještě osm dalších míst, na kterých se provádí kontrola bezpečnosti technických komponent podle § 14 odst. 4 SigG „Kritérií pro hodnocení bezpečnosti systémů informační techniky – ITSEC“ (viz Bundesanzeiger ze 14.02.1998). Referát V 1 p. Roger Rudeloff 0228-9582-338
[email protected] Výsledky kontrol bude potvrzovat uznané schvalovací pracoviště. BSI je momentálně vedle tří předběžně uznaných schvalovacích pracovišť jediné pracoviště uznané definitivně (viz Bundesanzeiger ze 14.02.1998). Referat II4 Dr. Thomas Schöller 0228-9582-115
[email protected] Kontrolu a schvalování aplikace bezpečnostních konceptů (podle § 4 odst. věta 3 SigG) se provádí na kontrolních a schvalovacích pracovištích uznaných Regulačním úřadem pro telekomunikaci a poštu. BSI je vedle tří předběžně uznaných kontrolních a schvalovacích pracovišť (viz Bundesanzeiger ze 14.02.1998) jediné pracoviště uznané definitivně. Referát VI3 Dr. Hartmut Isselhorst 0228-9582-219
[email protected] p. Andre Reisen 0228-9582-366
[email protected] Způsobilost kryptografických metod pro digitální struktury určuje každoročně nebo podle potřeby nově skupina kryptologů z vědy, průmyslu a úřadů. Připuštěny budou jen ty metody,
u nichž v jistém časovém horizontu (minimálně šest let) může být podle stavu vědy a techniky s pravděpodobností hraničící s jistotou vyloučeno nezjistitelné padělání podpisů nebo falšování označených dat. Podle § 17 odst. 2 SigV je BSI pověřeno kontrolou způsobilosti algoritmů a příslušných parametrů. Referat III 5 Dr. Liebetrau 0228-9582-646
[email protected] Katalog vhodných bezpečnostních opatření, který vydává RegTP, byl vytvořen podle údajů BSI. Existuje i podstatně rozšířené technické vydání s názvem „BSI-Handbuch zur digitalen Signatur“ (BSI-příručka k digitálním podpisům). www.bsi.bund.de
Kromě těchto úkolů provádí BSI celou řadu dalších konkrétních projektů a záměrů, především: • BSI-kancelář projektu „Digitální podpisy“ • Informační služby týkající se tématu „Digitální podpisy“ • Dosažení synergických efektů pomocí informací, dělby úkolů a spoluprací • Podpora interoperabilních metod • Poradenství a podpora – elektronická hotline
[email protected] • Realizace informačních podniků •
Vypracování podkladů jako: • Vytvoření specifikací interoperability • Vývoj speciálních uživatelských řešení • Vytvoření/vývoj pilotních technických komponent • Vytvoření bezpečnostních profilů pro technické komponenty a bezpečnostní politiku
• • • •
Vytvoření a aktualizace německo-anglické příručky k digitálním podpisům Příklady formálních bezpečnostních modelů a referenčních technických modelů Podpora spolkových ministerstev při řešení mezinárodních úkolů v technických otázkách Spolupráce s technickými institucemi jiných států v otázkách spolehlivých digitálních podpisů a uznávání cizích certifikátů
Služby projektové kanceláře pro digitální podpisy v BSI S ohledem na zákon o digitálních podpisech, který vstoupil v platnost 1. července 1997, považuje BSI za nutné podporovat veřejnou správu (na spolkové a zemské, popř. i komunální úrovni) při realizaci a implementování metod digitálních podpisů odpovídajících zákonu. Tak chce podpořit jejich zavedení v Německu. K tomu zřídil BSI projektovou kancelář. Tato projektová kancelář si momentálně klade následující úkoly: 1. Poradenství a servis pro potenciální uživatele z veřejné správy při zavádění digitálních podpisů. 2. Podpora využití digitálních podpisů odpovídajících zákonu a především interoperabilních metod. Přitom mají být podporováni m.j. uživatelé při výběru odpovídajících komponentů pro aplikaci digitálních podpisů odpovídajících zákonu. BSI nechá nyní vytvořit specifikaci k vývoji interoperabilních metod a komponentů podle SigG/SigV (ještě o ní bude řeč), která bude sloužit jako základ pro jejich výběr. Tato specifikace bude formulována na základě specifikace MailTrust, takže bude zajištěna migrace metod MailTrust pro použití odpovídající sigG. Navíc má tato specifikace umožnit použití digitálních podpisů bez předcházejícího použití speciálních metod MailTrust. 3. Servis pro pilotní projekty pro spolkovou správu 4. Realizace informačních služeb k tématu „Digitální podpisy“ Zmíněné informační služby nabízejí - za prvé informace na WWW, pod adresou http://www.bsi.bund.de/pbdigsig: Na serveru BSI jsou volně přístupné aktuální informace k digitálním podpisům odpovídajícím zákonu. Nabídku informací rediguje BSI. Měla by obsahovat: - Informace o oblastech využití - Informace o aktuálním vývoji - Informace o poskytovatelích (výrobci, certifikační pracoviště, kontrolní a schvalovací pracoviště) - za druhé elektronickou hotline s adresou
[email protected] Navíc se momentálně plánuje každoroční výměna zkušeností potenciálních uživatelů, kterou by moderovalo BSI, a zvažuje se workshop k aktuálním tématům týkajícím se digitálních podpisů na kongresu BSI v roce 1999. Všechny poskytované informace mají sloužit třem cílům: 1. Informace může využívat celá veřejnost, čili všichni potenciální uživatelé. 2. Pokud budou zájemci využívat výsledky ostatních pilotních uživatelů, nebo když si uživatelé z různých oblastí (průmysl, správa na spolkové úrovni, obec, svaz atd) mezi sebou rozdělí úkoly, je možno dosáhnout synergických efektů. 3. Možná se najdou pilotní uživatelé, kteří by chtěli otestovat a realizovat společný projekt nebo interoperabilitu mezi svými projekty. Zmíněná specifikace rozhraní je nutná, protože zákon a nařízení o digitálních podpisech nestanovují žádný technický rámec, jenž by zajišťoval interoperabilitu mezi komponenty různých výrobců. BSI z tohoto důvodu zadala zakázku na specifikaci rozhraní k vývoji interoperabilních metod a komponent podle SigG a SigV. Produkty vyrobené podle této specifikace umožní, aby „Alice“, účastník(ce) certifikačního pracoviště X, mohl(a) žádat
služby certifikačního pracoviště Y a příslušných úřadů pro verifikaci podpisu účastníka „Bob“ nebo časového razítka pracoviště Y. Neboli krátce: Libovolní účastníci, kteří použijí produkty podle této specifikace, jsou interoperabilní.
