Irányelv általános és kormányzati hitelesítésszolgáltatáshoz
1/29.
Tartalomjegyzék
1. AZ IRÁNYELV CÉLJA ÉS KERETEI ................................................................ 3 2. AZ IRÁNYELV KONCEPCIÓJA ...................................................................... 3 2.1 FELHASZNÁLÁS ................................................................................................ 3 2.2 MÓDSZERTAN ................................................................................................. 4 3. ALKALMAZÓI KÖR ....................................................................................... 4 4. JOGSZABÁLYI KÖRNYEZET ......................................................................... 4 5. MÉRTÉKADÓ SZABVÁNYOK ÉS AJÁNLÁSOK ................................................ 5 6. IKT SZABÁLYOZÁSI KÖRNYEZET ................................................................ 7 6.1 FOGALMAK ..................................................................................................... 7 6.2 FELÉPÍTÉS .................................................................................................... 13 6.3 TERVEZÉS .................................................................................................... 14 7. FUNKCIONÁLIS KÖVETELMÉNYEK ............................................................ 14 8. NEM FUNKCIONÁLIS KÖVETELMÉNYEK .................................................... 21 9. GARANCIÁLIS KÖVETELMÉNYEK .............................................................. 23 10. AZ IRÁNYELV ALKALMAZÁSÁNAK FELTÉTELEI ......................................... 23 1. SZ. MELLÉKLET: HIVATKOZÁSOK JEGYZÉKE ............................................. 25 2. SZ. MELLÉKLET: NYILATKOZAT (MINTA) .................................................. 28 3. SZ. MELLÉKLET: VÁLTOZÁSKEZELÉS ......................................................... 29
2/29.
1. AZ IRÁNYELV CÉLJA ÉS KERETEI A 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól (Ket.) az állam által kötelezően nyújtandó szabályozott elektronikus ügyintézési szolgáltatások között szerepel (168. §) a kormányzati hitelesítésszolgáltatás, valamint a Ket. 172. § j) pontja szerint, a szabályozott elektronikus ügyintézési szolgáltatáshoz kapcsolódó, a kormányzati rendszerrel együttműködő hitelesítés-szolgáltatás. A Ket. 175. § (2) bekezdés g)-h) pontjai alapján felhatalmazást kap a Kormány, hogy rendeletben adja meg, a kormányzati hitelesítés-szolgáltató működésének részletes szabályait, valamint az elektronikus ügyintézés céljaira felhasználható elektronikus aláírásokra, az elektronikus aláíráshoz tartozó tanúsítványokra, illetve az azokkal összefüggésben nyújtott elektronikus aláírással kapcsolatos szolgáltatásokra vonatkozó sajátos követelményeket. Szükséges továbbá megfogalmazni a kapcsolódó felügyeleti munka szakmai tartalmát. Ezek jelölik ki a jelen dokumentum célját és kereteit.
2. AZ IRÁNYELV KONCEPCIÓJA Ebben az irányelvben szerepelnek azok a lényegi technikai ismeretek, amelyek szükségesek egy magyarországi kormányzati célú elektronikus aláírás hitelesítésszolgáltatás, valamint az elektronikus aláíráshoz kapcsolódó szolgáltatások tervezéséhez és ellenőrzéséhez, a felügyeleti munka hatékony ellátásához. A jelen dokumentum úgy lett szerkesztve, hogy az egyes technikai elvárások azonosító-jelekkel vannak ellátva, ennek alapján a tételes egyeztetés és ellenőrzés megvalósulhat. Az irányelv támaszkodik azokra az ajánlásokra és ismertetőkre is, amelyek a kormányzati rendszer továbbfejlesztése során, a tárgykör szerint figyelembe vehető. (Ld. 1. sz. mellékletet.) Szükséges, hogy ez az irányelv több lépcsőben, időről-időre megvitatásra kerüljön mind a kormányzati oldal, mind az üzleti/szállítói oldal szakértői, (moderátorként) a független szakértők által. Ennek megfelelően ez az irányelv képes lesz hatékonyan követni a fejlődést, az EU és magyar kormányzat elvárásait. Felhasználás
2.1
A jelen irányelv alkalmas arra, hogy egy kijelölt szakértő, vagy szakértőkből álló csoport felmérje és értékelje egy adott rendszer tervanyagának és működési jellemzőinek megfelelését
a mértékadó EU szabványok és ajánlások érvényesítése, valamint a magyar kormányzati rendszer jogszabályi elvárásainak technikai szintű teljesítése, és a rendszer együttműködési képessége tárgyában.
A megfelelés mértékét egy olyan nyilatkozatban kell megfogalmazni, amely módot ad a döntéshozók számára a rendszer elfogadását illetően. A nyilatkozat mintáját a 2. sz. melléklet tartalmazza. 3/29.
2.2
Módszertan
Jelen dokumentum a "Szeüsz sztenderdek módszertana" (módszertani útmutató; készítette: Tóth Elemér, 2013. június 28.) alapján készült.
3. ALKALMAZÓI KÖR Ez az irányelv felhasználható a jogalkotásban, a megrendelői elvárások megfogalmazásában, a tárgy szerinti informatikai rendszerek értékelésében, a felügyeleti munka támogatásában.
4. JOGSZABÁLYI KÖRNYEZET Az alábbiakban a jelen irányelvhez kapcsolódó jogszabályok megjelölései láthatók. Magyar jogszabályok: 2004. évi CXL. törvény a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól 83/2012. (IV. 21.) Korm. rendelet a szabályozott elektronikus ügyintézési szolgáltatásokról és az állam által kötelezően nyújtandó szolgáltatásokról 85/2012. (IV. 21.) Korm. rendelet az elektronikus ügyintézés részletes szabályairól 2001. évi XXXV. törvény az elektronikus aláírásról 3/2005. (III. 18.) IHM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről A Kormány 78/2010. (III. 25.) Korm. rendelete az elektronikus aláírás közigazgatási használatához kapcsolódó követelményekről és az elektronikus kapcsolattartás egyes szabályairól (78/2010 Korm. R.) 45/2005. (III. 11.) Korm. rendelet a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól 9/2005. (VII. 21.) IHM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról 7/2002. (IV. 26.) MeHVM rendelet Az elektronikus aláírással kapcsolatos szolgáltatási szakértő nyilvántartásba vételéről. 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról 90/2010. (III. 26.) Korm. rendelet a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről
Mértékadó Európai Uniós jogszabályok: Az Európai Parlament és a Tanács 1999/93/EK irányelve (1999. december 13.) az elektronikus aláírásra vonatkozó közösségi keretfeltételekről
4/29.
Commission Decision of 14 July 2003 on the publication of reference numbers of generally recognised standards for electronic signature products in accordance with Directive 1999/93/EC of the European Parliament and of the Council (2003/511/EC) Commission Decision 2011/130/EU of 25 February 2011 establishing minimum requirements for the cross-border processing of documents signed electronically by competent authorities under Directive 2006/123/EC of the European Parliament and of the Council on services in the internal market. Mandate M460: "Standardisation Mandate to the European Standardisation Organisations CEN, CENELEC and ETSI in the Field of Information and Communication Technologies Applied to Electronic Signatures".
5. MÉRTÉKADÓ SZABVÁNYOK ÉS AJÁNLÁSOK Az alábbiakban a jelen irányelvhez kapcsolódó szabványok és ajánlások megjelölései láthatók. ETSI TS 102 176-1 Electronic Signatures and Infrastructures (ESI);Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms ETSI TS 102 176-2 Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 2: Secure channel protocols and algorithms for signature creation devices ETSI EN 319 401 Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers supporting Electronic Signatures ETSI EN 319 411-2 Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Policy requirements for certification authorities issuing qualified certificates ETSI EN 319 411-3 ETSI EN 319 411-3 V1.1.1 (2013-01) Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 3: Policy requirements for Certification Authorities issuing public key certificates ETSI EN 319 412-5 Electronic Signatures and Infrastructures (ESI);Profiles for Trust Service Providers issuing certificates;Part 5: Extension for Qualified Certificate profile ETSI TS 102 280 X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons ETSI TS 101 456 Policy Requirements for Certification Authorities Issuing Qualified Certificates ETSI TS 101 862 Qualified Certificate Profile ETSI TR 102 045 Electronic Signatures and Infrastructures (ESI);Signature policy for extended business model ETSI TR 102 041 Signature Policies Report
5/29.
ETSI TR 102 272 Electronic Signatures and Infrastructures (ESI); ASN.1 format for signature policies ETSI TR 102 038 TC Security - Electronic Signatures and Infrastructures (ESI); XML format for signature policies CEN CWA 14167-1 Security requirements for trustworthy systems managing certificates for electronic signatures — Part 1: System Security Requirements CEN CWA 14167-2 Security requirements for trustworthy systems managing certificates for electronic signatures — Part 2: Cryptographic module for CSP signing operations — Protection Profile (MCSO-PP) CEN CWA 14169 Secure signature-creation devices ITU-T Recommendation X.509, ISO/IEC 9594-8: "Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks". RFC 3647 Certificate Policy and Certification Practices Framework RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile; módosítva: RFC 6818 Updates to the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (2013. január) RFC 3739 Internet X.509 Public Key Infrastructure: Qualified Certificates Profile RFC 3560 Use of the RSAES-OAEP Key Transport Algorithm in the Cryptographic Message Syntax (CMS) RFC 5758 Internet X.509 Public Key Infrastructure: Additional Algorithms and Identifiers for DSA and ECDSA RFC 4050 Using the Elliptic Curve Signature Algorithm (ECDSA for XML Digital Signatures RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP RFC 3161 Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) RFC 2986 PKCS #10: Certification Request Syntax Specification Version 1.7 RFC 4043 Internet X.509 Public Key Infrastructure Permanent Identifier RFC 3125 Electronic Signature Policies RFC 2315 PKCS #7: Cryptographic Message Syntax, Version 1.5 RSA PKCS#12 / Microsoft PFX file format konténer
6/29.
Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban a hitelesítés-szolgáltatók által végzett viszontazonosítás protokolljának műszaki specifikációjára, 2005. december 6. ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary ISO/IEC 27002 Information technology — Security techniques — Code of practice for information security management ISO/IEC 27005 Information technology — Security techniques — Information security risk management ISO/IEC 27007 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
6. IKT SZABÁLYOZÁSI KÖRNYEZET Magyarországon már kialakult és jól működik az elektronikus aláíráshoz kapcsolódó szolgáltatások rendszere, ennek körében a rendek (politikák), szabályozási dokumentumok és egyéb dokumentációra vonatkozó elvárások, a kijelölt hatóság és felügyelet hatékonyan látja el feladatait. Az elmúlt években (2001-től) a Hírközlési Felügyelet (később NMHH) munkatársai és a nyilvántartásba vett hitelesítés-szolgáltatók szorosan együttműködve, a MeHVM 2/2002 irányelve, továbbá az Informatikai és Hírközlési Minisztérium (IHM) és a Magyar Elektronikus Aláírás Szövetség (MELASZ) specifikációi, az aláró szoftverek fejlesztői közösen biztosították azt, hogy az EU elvárások fő vonalainak megfelelő, Magyarországon mértékadónak tekintett, együttműködő és biztonságos szolgáltatások és rendszerek jöjjenek létre. Jelen irányelv az eddig elért eredmények továbbvitelét, az elektronikus aláírás megújítását, a kormányzati ügyvitelei rendszer kiteljesítését kívánja szolgálni. 6.1
Fogalmak
HSZ-01 A jelen dokumentumhoz kapcsolódó fogalmak az alábbiak: Fogalom Föderációs azonosítási rendszer
Rövidítés
Leírás Felhasználó autentikálási logikai rendszer, mely átível a hálózati tartományokon (domain) keresztül több IT rendszert. Jellemzői: a Webes egyszeri bejelentkezési módszer (Single-Sign-On; SSO), hozzáférési adatok kezelése, jogosultság kezelés biztosítása. Támogatott EU projekt: STORK 2. Jellemző protokollok: SAML v2, XACML v2 (ill. v3)
Föderációs azonosítás szolgáltató
A föderációs rendszerben a felhasználók azonosítását, az azonosító adatok kezelését végző szolgáltató. Alapszolgáltatást nyújt. Egy rendszerben egyszerre több azonosítás
7/29.
szolgáltató is dolgozhat. Identity Provider
IdP
Föderációs felhasználói szolgáltató
Service Provider
Föderációs azonosítás szolgáltató A föderációban a felhasználóknak értéket (nem a föderáció működtetéséhez szükséges alapszolgáltatásokat) nyújtó szolgáltató.
SP
Föderációs irányító szolgáltató
Föderációs felhasználói szolgáltató A föderációs rendszer azonosítás szolgáltatóihoz kapcsolódó irányítási szolgáltatást biztosít. Alapszolgáltatást nyújt.
Discovery Service Provider
DSP
Föderációs irányító szolgáltató
Publikus kulcsú infrastruktúra
PKI
A PKI (Public Key Infrastructure) olyan platformot biztosít, amely lehetővé teszi az elektronikus aláírás használatát, részletesebben: a hitelesítési, hozzáférési és adatbiztonsági eljárások (ezek között a letagadhatatlanság, integritás és bizalmasság) igénybe vételét a különféle informatikai és kommunikációs technológiai alkalmazások számára.
Digitális aláírás
A PKI szabályai szerint megvalósuló aláírási funkció fájlok (ld. tanúsítványok) valamint technikai üzenetek (ld. az authentikáció) esetében.
Elektronikus aláírás
Digitális aláírás elektronikusan rögzített dokumentumokhoz. Ld. továbbá a 2001. évi XXX. törvényt.
Titkosítás
Jelen irányelv a PKI-vel megvalósított titkosítást tárgyalja
Entitás
Természetes személy; jogi, vagy jogi személyiséggel nem rendelkező szervezet, személyként kezelt technikai eszköz. (Ld. még objektum-nyilvántartás)
Névképzési szabályzat
Személyek és technikai eszközök, dokumentumok regiszterét meghatározó dokumentum. Meghatározza többek között a nevek jellemzőit és kapcsolatait (fastruktúrát képez).
Hitelesítés-szolgáltatás
A 2001. évi XXX. törvény 6. § (1) a) pontjában, valamint a 9. § - 12. § -okban meghatározott szolgáltatás.
Kormányzati célú hitelesítésszolgáltatás
A Ket. és végrehajtási rendeletei alapján, az elektronikus ügyintézésben alkalmazható
8/29.
tanúsítványok életciklus szerint menedzselő szolgáltatása. Hitelesítés-szolgáltató
HSZ
Kormányzati hitelesítés-szolgáltató
Az entitások számára tanúsítványokat kibocsátó, a 2001. évi XXX. törvény 6. § (2) pontjában megadott szolgáltató. Kormányzati ügyfeleket kiszolgáló HSZ.
Kormányzati Gyökér Hitelesítés Szolgáltató
KGYHSZ
A 78/2010 Korm. R. által meghatározott, technológiailag az elektronikus ügyintézésben igénybe vehető hitelesítés- és más elektronikus aláíráshoz kapcsolódó szolgáltatások rendszereit felülhitelesítő szolgáltatás. A tanúsítványlánc felépítésében és kiértékelésében van szerepe.
Trusted Service List
TSL
Az EU által létrehozott és menedzselt lista, amely megadott formátumban, egy állam TSLadatok megadására kijelölt szervezetének az adatait, valamint az adott állam által megbízhatóként nyilvántartott szolgáltatókat tartalmazza.
Certificate Service Provider
CSP
Hitelesítés-szolgáltató; megfelel a HSZ-nek.
Szolgáltatói menedzsment (egység)
Menedzseli és működteti a hitelesítésszolgáltatás(okat), valamint az elektronikus ügyintézés céljaira felhasználható aláírásokkal összefüggésben nyújtott elektronikus aláírással kapcsolatos szolgáltatásokat (ld. időbélyeg szolgáltatás)
Ügyfél-menedzsment
A szolgáltató ügyfeleinek (szolgáltatás igénybe vevőinek) a kezelése, az ügyfél és a szolgáltató kapcsolattartásának teljes életciklusában (magába foglalja a leendő ügyfél információkkal történő ellátásától kezdve, a szolgáltatás megszűnéséig tartó időszakot.) Ellátja a számlázáshoz kapcsolódó feladatokat is.
Ügyfél-nyilvántartás
A szolgáltató ügyfeleinek (szolgáltatás igénybe vevőinek) kapcsolattartási adatait, ezek között az ügyfelek személyes adatait tartalmazza. Szerepe van a nevek pontosításában, pl. a viszontazonosítás során.
Regisztrációs egység
RA
A tanúsítványkéréshez kapcsolódó eljárást bonyolító szervezet (pl. alvállalkozó), vagy szervezeti egység, amely ehhez a tevékenységhez megfelelő infrastruktúrával és eszközökkel, valamint jól képzett szakemberekkel rendelkezik.
9/29.
Kihelyezett regisztrációs egység
XRA
Regisztrációs rendszer
Batch regisztrációs rendszer
A tanúsítványkéréshez kapcsolódó eljárást bonyolító szervezet (pl. alvállalkozó), vagy szervezeti egység, amely ehhez a tevékenységhez - adott időszakra, - megfelelő infrastruktúrát vesz birtokba, és megfelelő mobil eszközökkel, valamint mobilizálható, jól képzett szakemberekkel rendelkezik. A regisztrációs egység(ek) informatikai rendszerei, melyeket a szolgáltató egy alvállalkozója is, saját rendszerében működtethet.
BRA
Regisztrációs adatok nyilvántartása
Nagytömegű (kötegelt) tanúsítványkibocsátáshoz használt regisztrációs rendszer. Az egyes tanúsítványokhoz kapcsolódó ügyfelek adatait tartalmazza.
ITU X.509 certificate
X.509
A PKI tanúsítvány formátuma.
Aláíró tanúsítvány
PC
Technikailag egy nyilvános kulcsot és a kulcs birtokosának a megjelölését tartalmazó X.509 szerkezetű adatstruktúra, a jog szempontjából a 2001. évi XXX. törvény 2. § 21. pontjában van meghatározva.
Tanúsítvány-politika
CP
PKI szabványos dokumentum, amely egy szolgáltató számára leírja a tanúsítványhoz kapcsolódó elvárásokat.
Hitelesítési rend
HR
Megfelel a tanúsítány-politikának.
Tanúsítvány-kibocsátó egység
CA
A regisztrációs egység(ek) - ide értve a batchrendszert működtető egység(ek)et is, - által megadott adatok alapján létrehozzák az entitásokhoz rendelt X.509-es tanúsítványokat, valamint menedzselik a tanúsítványok állapotait, azok teljes életciklusa szerint.
Tanúsítvány-kibocsátó rendszer
Adott tanúsítvány-politikához (hitelesítési rendhez) tartozó informatikai rendszer.
Tanúsítvány-nyilvántartás
A tanúsítványokat, azok adatait és állapotait (létrejött, érvényes, felfüggesztve, visszavonva) rögzítő nyilvántartás.
Tanúsítványstátusz információ
A tanúsítvány-nyilvántartásból vett, egy tanúsítványra vonatkozó kivonat.
Tanúsítvány lekérdező rendszer
Tanúsítványstátusz információ lekérdezését biztosító rendszer. Lehet humán (pl. webfelületen), vagy gépi (pl. LDAP, vagy DAP) lekérdezés.
10/29.
Elektronikus aláírás politika
Szabványos formátumú dokumentum, vagy számítógépes fájl (ASN.1, vagy XML), amely a politika kibocsátója által meghatározott elektronikus aláírás jellemzőket rögzíti.
Electronic Signature Policy
SP
Elektronikus aláírás politika
Elektronikus aláírás rendje
AR
Elektronikus aláírás politika
Publikációs egység
Általánosságban web-es szolgáltatás, amely biztosítja a szolgáltatáshoz kapcsolódó nyilvános dokumentumok lekérdezhetőségét, a tanúsítványstátusz információkat, ide értve a CRL és OCSP felhasználásával történő átadást is, valamint a szolgáltató által menedzselt egyéb információkat is.
Publikációs rendszer
A publikációs egység(ek) informatikai rendszerei, melyeket a szolgáltató egy alvállalkozója is, saját rendszerében működtethet.
Visszavonási lista
CRL
Nemzetközi standardok által meghatározott formátumú fájl, amely a visszavont, ill. felfüggesztett tanúsítványok adatait tartalmazza. A fájl a publikációs rendszerből tölthető le.
On-line tanústvány-státusz infó
OCSP
Nemzetközi standardok által meghatározott formátumú üzenetváltás, amely a visszavont, ill. felfüggesztett tanúsítványok adatait adja meg. Az üzenetváltást a publikációs rendszer menedzseli.
Viszontazonosítás
Magyar megoldás egy aláíró személyadatainak a pontosítására, egy HSZ ügyfélnyilvántartásának lekérdezése alapján.
Viszontazonosítási rendszer
A viszontazonosítás üzenetváltással működik, melyet a publikációs rendszer menedzsel.
Hitelesítési szolgáltatási szabályzat
HSZSZ
A hitelesítés-szolgáltatás részletes leírása, amely megadja, hogy a szolgáltató, mely tanúsítvány-politikák (hitelesítési rendek) alapján biztosítja a szolgáltatást, és ebből a szabályzatból kiolvashatók mindazon technikai részletek, amelyek szükségesek a szolgáltatás igénybe vételéhez, ill. az esetleges vitás kérdések rendezéséhez.
Certificate Practice Statement
CPS
Hitelesítési szolgáltatási szabályzat; megfelel a HSZSZ-nek.
11/29.
Szolgáltatás regiszter
A szolgáltató által biztosított szolgáltatások tételek megnevezése és leírása, a technikai paraméterekkel együtt.
HSZ intrastruktúra egység
Működteti és menedzseli a szolgáltatási rendszerek hardver, szoftver és kommunikációs elemeit, biztosítja a megfelelő funkciók használatát; működteti és menedzseli a biztonsági eszközöket és berendezéseket; működteti és menedzseli a naplózási rendszert.
Kulcsmenedzsment rendszer
Az elektronikus aláíráshoz kapcsolódó szolgáltatásokhoz szükséges, hogy az egyes entitások a kriptográfiai kulcsaik menedzsmentjét, ide értve pl. az aláíró kulcsokat, a PIN-kódokat, valamint a rendszer elemeihez kapcsolódó hozzáférési adatokat is, a kulcsok teljes életciklusában ellássák. Az ilyen eljárások végrehajtását megfelelő informatikai eszközökkel kell biztosítani.
Kártyamenedzsment rendszer
Az elektronikus (illetve digitális) aláírás létrehozásához adott esetben célhardver szükséges. Ilyen hardver lehet például egy alkalmassá tett chipkártya. A kártyák menedzsmentjét (nyilvántartását, életciklus szerinti kezelését) biztosítja ez a rendszer.
HSM-menedzsment rendszer
Az elektronikus (illetve digitális) aláírás létrehozásához adott esetben célhardver szükséges. Ilyen hardver lehet például egy "hardware security modul" (HSM). A HSM-ek menedzsmentjét (nyilvántartását, életciklus szerinti kezelését) biztosítja ez a rendszer.
Kriptofájl-kezelő rendszer
Az elektronikus (illetve digitális) aláírás létrehozásához adott esetben egy kriptofájl is elegendő lehet. A kriptofájlok menedzsmentjét (nyilvántartását, életciklus szerinti kezelését) biztosítja ez a rendszer.
Szereptanúsítvány
AC
Attribútumokat és jogosultságokat tartalmazó X.509 szabványos tanúsítvány, amely publikus kulcsot nem tartalmaz, viszont hivatkozik egy aláíró tanúsítványra.
Szereptanúsítványt kibocsátó egység
AA
Egy adott felhasználói kör számára bocsátja ki a szereptanúsítványokat.
Szereptanúsítványt kibocsátó rendszer
A hitelesítés-szolgáltató által adott kulcsok és tanúsítvány(ok) alapján működő rendszer, amely szereptanúsítványokat bocsát ki. A hitelesítés-szolgáltatás mellett működtethető.
12/29.
Időbélyegzés
A 2001. évi XXX. törvény 6. § (3) pontjában meghatározott szolgáltatatás.
Időbélyegzési rend
Dokumentum, amely egy szolgáltató számára leírja az időbélyegzéshez kapcsolódó elvárásokat.
Időbélyegzési egység
TSP
A beérkező időbélyeg-kéréseket kiszolgáló egység.
e-Pecsét
SEAL
Szervezeti elektronikus aláírás, amely egy szervezet által használt bélyegző (ld. hatósági bélyegző, cégbélyegző) szerepét tölti be.
Szolgáltatói belső ellenőrzés
Objektum azonosító
Független szervezeti egység, amely kikényszeríti a kézi eseménynaplók és gépi naplózás használatát, a naplóadatok célszerű kigyűjtését, valamint a menedzsmentnek szóló jelentések hiteles, pontos és tárgyszerű elkészítését. OID
Rationalised Framework for Electronic Signature Standardisation
Az ITU-T és az ISO/IEC szabványosítási szervezetek által létrehozott nemzetközi azonosítási szisztéma szám-kódja. Az OIDnyilvántartásben objektumok, ill. entitások szerepelnek. Ld. http://www.oid-info.com/ Az EU által indított kezdeményezés, amely az elektronikus aláíráshoz kapcsolódó szabványok és ajánlások új rendszerét fogja létrehozni. Ld. ETSI SR 001 604.
Felépítés
6.2
HSZ-02: A kormányzati hitelesítés-szolgáltató, valamint az elektronikus ügyintézés céljaira felhasználható elektronikus aláíró tanúsítványokat létrehozó szolgáltatókra, illetve az elektronikus ügyintézés céljaira felhasználható aláírásokkal összefüggésben nyújtott elektronikus aláírással kapcsolatos szolgáltatásokat biztosító szervezetek technikailag az alábbi egységekből épülnek fel:
Szolgáltatói menedzsment (HSZM) Ügyfél-menedzsment (HSZU) Regisztrációs egység (HSZR) Kihelyezett regisztrációs egység (HSZX) Tanúsítvány-kibocsátó egység (HSZT) Publikációs egység (HSZP) Szolgáltatói belső ellenőrzés (HSZE) Időbélyegzési egység (HSZB) HSZ infrastruktúra egység (HSZI)
13/29.
6.3
Tervezés
HSZ-03: A magyar kormányzati informatikai rendszer architektúrájának ismeretében, meg kell vizsgálni az Európai Unió rendszereihez történő integráció lehetőségeit, elő kell készíteni a technikai együttműködést, megfelelő körülmények fennállása esetén el kell kezdeni beépíteni az EU által támogatott föderációs azonosítási rendszer (ld. ESZ-01 pont) elemeit. A jelen dokumentum követelményeit ennek megfelelően kell értelmezni.
7. FUNKCIONÁLIS KÖVETELMÉNYEK Az alábbi követelmények a felelős szolgáltatási egységek szerint vannak jelölve. HSZM-01: A szolgáltatás vezetése az elfogadott szolgáltatási dokumentumok szerint, folyamatosan ellenőrizze az alkalmazott PKI rendszer, a kriptográfiai eszközök, valamint a kriptográfiai kulcsok felhasználására vonatkozó előírások betartását. HSZM-02: A szolgáltatói dokumentumokat (esetleg csak ezek szabványokban meghatározott részét), vagy ezek hiteles másolatait egyenként olyan objektum azonosítóval (OID) kell ellátni, amely illeszkedik a kormányzati objektumnyilvántartásba. Az felhasználható OID tartományt, valamint a tartomány használatára vonatkozó szabályokat az Elektronikus Ügyintézési Felügyelet (ld. Ket. 161. §; továbbiakban Felügyelet) határozza meg1. A szolgáltatási szabályzatban szerepeltetni kell a következőket: "Azzal, hogy a szolgáltató az általa létrehozott adatok között referenciaként a magyar kormányzati nyilvántartásban megtalálható egyik objektum azonosítóját szerepelteti, azt állítja, hogy menedzseli az objektum azonosító által meghatározott objektumot. Amennyiben az objektum azonosító egy dokumentumra mutat, a szolgáltató azt állítja, hogy megfelel az ezen dokumentumban rögzített adatoknak, leírásoknak, elvárásoknak és feltételeknek." HSZM-03: A szolgáltató az EU Trusted List nyilvántartásában, melynek Magyarországra vonatkozó részét az NMHH egyik szervezeti egysége menedzseli, legalább az alábbi adatokkal szerepeljen: TSP a szervezet neve: (angolul és magyarul) TSP márkanév (angolul és magyarul) TSP postai címe (angolul, utca, város, irányítószám, országazonosító: "HU"; weblap címe ; e-mail címe TSP információ-URI (weblapcím): (angol és magyar nyelvű) TSP szolgáltatások Szolgáltatás típus azonosítója: http://uri.etsi.org/TrstSvc/Svctype/CA/QC (=minősített HSZ), vagy
1
Magyarország számára a {joint-iso-itu-t(2) country(16) hu(348)}, OID 2.16.348 le van foglalva. 14/29.
http://uri.etsi.org/TrstSvc/Svctype/CA/PKC (=nem minősített HSZ), vagy http://uri.etsi.org/TrstSvc/Svctype/TSA (=időbélyegzés) A szolgáltatás megnevezése: (angolul és magyarul) A szolgáltatás digitális azonosítója (tanúsítványadatok) * tanúsítvány verziószáma: 3 * tanúsítvány sorszáma * a tanúsítvány birtokosának megnevezése (DN) * a tanúsítvány kibocsátójának megnevezése (DN): cn=KGYHSZ (Public Administration Root CA - Hungary), c=HU * a tanúsítvány birtokosának kulcsazonosítója (Subject key ID) * a tanúsítvány kibocsátó kulcsazonosítója (Authority key ID) * a tanúsítvány érvényességi ideje (Valid from, Valid to) * a kibocsátó kulcshasználata: keyCertSign, cRLSign * a kibocsátó aláírói kötelezettség (Basic constraints): cA=TRUE * a kibocsátó által meghatározott tanúsítványlánc hossza * a kibocsátó ujjlenyomata (SHA256) értéke * a kibocsátó nyilvános kulcs algoritmusa, kulcshossza * a kibocsátó hitelesítési rendje (URI;0.2.216.1.100.42.1.200.2): cPSuri= * a kibocsátó felhasználó-értesítése (userNotice) * a kibocsátó CRL elérési pontja (URI)
HSZM-04: A tanúsítvány-kibocsátókénti egyedi név (DN) meghatározásának a szabályait, illetve a névképzési szabályzatot egyeztetni kell a Felügyelettel, annak érdekében, hogy a kormányzati névképzés egységes legyen, és a kormányzati nyilvántartásba (névfa) illeszkedjen. HSZM-05: A tanúsítványok és visszavonási állapot üzenetek profilja az alábbi lényeges elvárásoknak feleljen meg: a. a tanúsítványok formátuma: X.509, az ITU-T X.509, Information technology - Open systems interconnection - The Directory: Public-key and attribute certificate frameworks, valamint az RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile; módosítva: RFC 6818 Updates to the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (2013. január) szerint b. az ügyfél DN a következő elemekből áll: CN, SN, O, OU, E c. a szolgáltató DN a következő elemekből áll: CN, O, OU, E d. a tanúsítvány egyedi sorszáma a tanúsítvány-kibocsátó rendszer nyilvántartásában e. előírás a kriptográfiai kulcsokra: - RSA (RFC 3447 Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography, Specifications Version 2.1), aláírási algoritmus: SHA256withRSA (OID: 1.2.840.113549.1.1.11), kulcshossz min. 2048 bit, vagy - ECDSA (RFC 5758 Internet X.509 Public Key Infrastructure: Additional Algorithms and Identifiers for DSA and ECDSA), ), aláírási algoritmus: SHA256withECDSA (OID: 1.2.840.10045.4.3.2), kulcshossz min. 256 bit; 15/29.
-
tömörítő algoritmus: SHA-256 (RFC 3560 Use of the RSAES-OAEP Key Transport Algorithm in the Cryptographic Message Syntax (CMS), OID: 2.16.840.1.101.3.4.2.1) f. kiterjesztett kulcskezelés megadása g. ügyfelek minősített tanúsítványának speciális beállítása (tanúsítvány-kiterjesztés) h. CRL címe i. OCSP címe
HSZM-06: Az OCSP üzenet profilja az alábbi lényeges elvárásoknak feleljen meg: a. RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP) b. tartalmazza az üzenetet kibocsátó rendszer aláíró tanúsítványát.
HSZM-07: Az időbélyeg profilja az alábbi lényeges elvárásoknak feleljen meg: a. RFC 3161 Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) b. az időbélyeg tartalmazza a bélyeget kibocsátó rendszer aláíró tanúsítványát.
HSZM-08: A szolgáltató és az együttműködő szervezetek rendelkezzen másodlagos, tartalék rendszerekkel, amelyek biztosítják a szolgáltatási szabályzatban rögzített rendelkezésre állást. HSZM-09: Biztosítani kell mind az elsődleges (produktív rendszer), mind a másodlagos (tartalék rendszer) vonatkozásában a. b. c. d. e.
a tanúsítványok, kriptográfiai eszközök, kriptográfiai kulcsok életciklusához kapcsolódó események az időbélyegek életciklusához kapcsolódó események az OCSP üzenetek életciklusához kapcsolódó események a PKI rendszerhez történő hozzáférési tevékenységek a PKI rendszer működésével kapcsolatos események
a szolgáltatási dokumentációban előírt lényeges adatainak a rögzítését, a rögzítés hitelesítését. HSZU-01: Az ügyfélmenedzsment gondoskodjon az ügyfelek kielégítő szintű tájékoztatásáról, valamint az ügyfél jogos kéréseinek a teljesítéséről. Az ügyfelek által kezdeményezett eseti kommunikációk számát és jellegét (pl. érdeklődés, hibajelzés, visszavonásra és felfüggesztésre vonatkozó igény), az átvett paraméterekkel (pl. az ügyfél neve, telefonszáma) napi bontásban, a pontos idő (óra, perc, másodperc) rögzítésével együtt kell nyilvántartani. Hibajelzés esetén eseménynaplóba kell rögzíteni az átvett információkat. HSZU-02: Az ügyfélnyilvántartás az alábbi személyre vonatkozó ügyféladatok közül legalább az alábbiakat kell kezelje:
2
a személyazonosító okmányban szereplő név pszeudonim (személyazonosító okmányban szereplő névhez kapcsolható álnév)2 viselt név (családi név, első utónév, további utónevek) anyja születési neve (családi név, első utónév, további utónevek)
Anonim személy nem kezelhető! 16/29.
születési helye (születés ország neve, születés település neve) születési ideje (év, hó, nap) neme (férfi/nő) képviselt szervezet és azon belül a szervezeti egység(ek) megnevezése állampolgársága (elsődleges állampolgársága) illetőségi hely: ország és város értesítési címek: postacím, elektronikus levélcím (e-mail), telefonszámok tanúsítvány adatok ügyfél tanúsítvány felfüggesztési és visszavonási jelszava (ügyfél telefonos azonosítása a szolgáltató részére) ügyfélszolgálat tanúsítvány felfüggesztési és visszavonási jelszava (szolgáltató telefonos azonosítása az ügyfél részére)
HSZU-03: A jogszabályokban meghatározott keretek között, az ügyfélnyilvántartás adatait ellenőrizni lehet egy, vagy több kormányzati szolgáltatás igénybe vételével. HSZU-04: Az ügyfél tanúsítvány felfüggesztési és visszavonási kérését kölcsönös jelszó váltással kell hitelesíteni. Ld. HSZU-01 tanúsítvány felfüggesztési és visszavonási jelszavak. HSZU-05: A közigazgatás szervezetei által kezdeményezett kommunikációk számát és jellegét (pl. érdeklődés, hibajelzés, visszavonásra és felfüggesztésre vonatkozó igény) napi bontásban, a pontos idő (óra, perc, másodperc) rögzítésével együtt kell nyilvántartani. HSZU-06: Az ügyfélnyilvántartás a viszontazonosítást az alábbi protokoll leíró dokumentum alapján bonyolítja:
Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban a hitelesítésszolgáltatók által végzett viszontazonosítás protokolljának műszaki specifikációjára, 2005. december 6.
HSZU-07: Az ügyfélnyilvántartás az alábbi tanúsítvány-adatokat kezeli:
a tanúsítvány-kibocsátó rendszer neve a tanúsítvány sorszáma
HSZR-01: A regisztrációs egység(ek) (regisztrációs egység, ill. kihelyezett regisztrációs egység) végzik a tanúsítványba kerülő adatok rögzítését a 78/2010. Korm. R. előírásainak megfelelően. Az adatfelvételről eseménynapló kell készüljön. Az ügyféllel történő kommunikáció során meg kell állapítani a számlázás típusát, amely lehet számlás fizetés, vagy elszámoló feljegyzés (pl. kimutatás készítéshez). HSZR-02: A regisztrációs egység az alábbi, természetes személyre vonatkozó tanúsítvány-adatokat kezeli:
személyazonosító okmányban szereplő név (CN; OID: 2.5.4.3) vezetéknév (SN; OID: 2.5.4.4) pszeudonim (személyazonosító okmányban szereplő névhez kapcsolható álnév; OID: 2.5.4.65) egyedi sorszám (2.5.4.5) város (L; OID: 2.5.4.7)
17/29.
ország (C= személyazonosság igazolására alkalmas hatósági igazolvány alapján megállapított országkód az ISO 3166-1 szerint; OID: 2.5.4.6) képviselt szervezet (O; OID: 2.5.4.10) és azon belül a szervezeti egység(ek) megnevezése (OU; OID: 2.5.4.11) elektronikus levélcím (e-mail; E; OID: 1.2.840.113549.1.9.1) tanúsítvány típusa
HSZR-03: A regisztrációs egység az alábbi, gépi entitásra vonatkozó tanúsítványadatokat kezeli:
a gép egyedi neve (CN; OID: 2.5.4.3) pszeudonim (személyazonosító okmányban szereplő névhez kapcsolható álnév; OID: 2.5.4.65) egyedi sorszám (2.5.4.5) város (L; OID: 2.5.4.7) ország (C= a hiteles meghatalmazásban megadott ország kódja az ISO 3166-1 szerint; OID: 2.5.4.6) szervezet (O= a hiteles meghatalmazásban megadott szolgáltató neve; OID: 2.5.4.10) és azon belül a szervezeti egység(ek) megnevezése (OU; OID: 2.5.4.11) a hiteles meghatalmazásban megadott szolgáltató elektronikus levélcím (e-mail; E; OID: 1.2.840.113549.1.9.1) tanúsítvány típusa
HSZR-04: Az országkód nem adja meg az állampolgárságot sem, és a vonatkozó joghatóság jelzését sem. HSZR-05: A regisztrációs egység az alábbi, magyar szolgáltatói entitásra vonatkozó tanúsítvány-adatokat kezeli:
a gép egyedi neve (CN; OID: 2.5.4.3) pszeudonim (személyazonosító okmányban szereplő névhez kapcsolható álnév; OID: 2.5.4.65) egyedi sorszám (2.5.4.5) város (L; OID: 2.5.4.7) ország (C= HU; OID: 2.5.4.6) szervezet (O= a hiteles meghatalmazásban megadott szolgáltató neve; OID: 2.5.4.10) és azon belül a szervezeti egység(ek) megnevezése (OU; OID: 2.5.4.11) elektronikus levélcím (e-mail; E; OID: 1.2.840.113549.1.9.1) tanúsítvány típusa
HSZR-06: Az ország és a város megadja meg a szolgáltató székhelyének helyét, ennek megfelelően a joghatóság jelzését. HSZR-07: A regisztrációs egység vagy egy szabványos fájlból (RFC 2986; PKCS #10) átveszi az ügyfél nyilvános kulcsát és adatait, vagy a kulcsot kiolvassa az ügyfél kriptográfiai hardveréből (pl. chipkártyából), vagy egy megfelelő (SSCD/BALE) kriptográfiai hardverben létrehozza a kulcspárt, és ennek a nyilvános kulcsát használja fel a tanúsítványkérés összeállítására. HSZR-08: A regisztrációs egység egyszerre több szabványos fájl kezelését is megvalósíthatja (kötegelt feldolgozást alkalmaz; batch regisztrációs rendszer).
18/29.
HSZR-09: A szabványos fájlban megadott tanúsítványkérés (RFC 2986; PKCS #10) esetén a tanúsítvány és a kulcsok szabványos fájlban (RFC 2315 PKCS #7, RSA PKCS#12 / Microsoft PFX file format konténerben) is átadhatók. HSZT-01: A tanúsítvány-kibocsátó az alábbi tanúsítvány-adatokat kezeli:
a regisztrációs egység által átadott adatokat (ld. HSZR-02, HSZR-03 és HSZR-05) tanúsítvány sémákban meghatározott egyéb adatokat, például: kulcsfelhasználás (ld. DS, NR bitek), kiterjesztett kulcshasználat (OID: 2.5.29.37; kód-aláírás OID 1.3.6.1.5.5.7.3.3; időbélyegzés OID: 1.3.6.1.5.5.7.3.8, OCSP aláírás OID 1.3.6.1.5.5.7.3.9, stb.) ezen felül a tanúsítvány állapotinformációkat: a tanúsítvány felfüggesztésére, illetve visszavonására vonatkozóan CRL szétosztási pont (OID: 2.5.29.31), OCSP-cím szolgáltatói információ elérése (OID: 1.3.6.1.5.5.7.1.1; a szolgáltatói tanúsítvány közléséhez) a minősített tanúsítvánnyal kapcsolatos bejegyzések (OID: 1.3.6.1.5.5.7.1.3): – a tanúsítvány minősített tanúsítvány (OID: 0.4.0.1862.1.1) – a tanúsítványhoz kapcsolódó tranzakciós limit értéke (OID: 0.4.0.1862.1.2) – nyilatkozat, hogy a szolgáltató a tanúsítványhoz kapcsolódó adatokat a tanúsítvány lejárta után 10 évig megőrzi (OID: 0.4.0.1862.1.3). – nyilatkozat arra vonatkozóan, hogy a tanúsítványhoz tartozó aláírókulcs SSCD eszközön van elhelyezve (OID: 0.4.0.1862.1.4).
HSZT-02: A tanúsítvány életciklusához kapcsolódó funkciók:
tanúsítványgenerálás érvényes tanúsítvány menedzselése felfüggesztett tanúsítvány menedzselése visszavont tanúsítvány menedzselése
HSZT-03: A tanúsítvány-kibocsátó egység három típusú tanúsítványt hozhat létre ki:
minősített aláíró tanúsítványt (kulcshasználat: NR bit) autentikációs tanúsítványt (kulcshasználat: DS bit) titkosító tanúsítványt (kulcshasználat: kulcstitkosítás, adattitkosítás bitek)
HSZT-04: A tanúsítvány-kibocsátó egység legfeljebb 24 óránként visszavonási listát
(CRL) generál és ad át a publikációs egységnek. HSZP-01: A publikációs egység az alábbi tanúsítvány-adatokat kezeli:
CRL sorszáma (OID: 2.5.29.20) tanúsítvány sorszáma visszavonás dátuma (OID: 2.5.29.24)
19/29.
HSZP-02: A tanúsítvány életciklusához kapcsolódó funkciók:
a szolgáltatáshoz kapcsolódó nyilvános dokumentumok publikálása ügyfeleknek szóló szolgáltatói üzenetek megjelenítése tanúsítványtár-lekérdezési szolgáltatás (személyes, vagy gépi) visszavonási lista publikációja valósidejű tanúsítvány-állapot lekérdezése OCSP-vel
HSZP-03: A publikációs egység az alábbi adatokat kezeli:
a valósidejű tanúsítvány-állapot üzenetet kérő ügyfél azonosító adatait a szolgáltatási szerződés szerint a valósidejű tanúsítvány-állapot üzenetet kérő ügyfél kérésként küldött üzenetében tárolt technikai adatokat az RFC 2560 szerint
HSZP-04: Az ügyfél számára küldött válaszüzenetben a publikációs egység megadja az aláírói tanúsítványát (OCSP szerver-tanúsítvány). HSZB-01: Az időbélyegzési egység az alábbi adatokat kezeli:
az időbélyeget kérő ügyfél azonosító adatai a szolgáltatási szerződés szerint az időbélyeget kérő ügyfél üzenetében tárolt technikai adatokat az RFC 3161 szerint
HSZB-02: Az ügyfél számára küldött időbélyegben az időbélyegzési egység megadja az aláírói tanúsítványát. HSZI-01: A HSZ infrastruktúra egység biztosítsa a szolgáltatási dokumentumokban megadott működtetési és menedzselési feladatokat, és folyamatosan ellenőrizze a PKI rendszer, a kriptográfiai eszközök, valamint a kriptográfiai kulcsok felhasználására vonatkozó előírások betartását. HSZI-02: Kiemelt feladatként, HSZ infrastruktúra egység folyamatosan biztosítsa a hiteles gépi naplózás feltételeit, a naplóelemzésekhez és kimutatásokhoz szükséges eszközök rendelkezésre állását. HSZI-03: A HSZ infrastruktúra egység - a feladatai között - lássa el a mentési és hiteles archiválási tevékenységeket, ide értve az adatok biztonságos megőrzését is. HSZE-01: A szolgáltatói belső ellenőrzés által megbízott és felhatalmazott munkatársak végzik el az egységek és rendszerek eseménynaplóinak és naplófájlainak ellenőrzését. Az ellenőrzést az üzleti elvárásoknak és a jogszabályoknak megfelelő, kellően hatékony naplóolvasó eszközök (számítógép és szoftver) végezzék. Az ellenőrzés eredményéről jelentés készül, amit a szolgáltatás menedzsmentnek adnak át. HSZE-02: Jelentést kell készíteni a jellemző szolgáltatási adatokról. Ennek körében, össze kell vetni a. b.
a kibocsátott tanúsítványok számát, a regisztráció által meghatározott tanúsítványkérések számával a kibocsátott tanúsítványok számát, a visszavont tanúsítványok számával
20/29.
c. d.
követni kell a felfüggesztett tanúsítványok idejét, a felfüggesztés alatt álló tanúsítványállapot beállításától kezdve, a megadott várakozási idő leteltéig, időtúllépés esetén a tanúsítványt vissza kell vonni a szolgáltatási dokumentumokban előre meghatározott időkorlátokkal a felfüggesztési és visszavonási kérések beérkezési idejét, valamint az érintett tanúsítványállapot publikációjáig (CRL esetén a fájl kibocsátásának idejéig, OCSP esetén a szerverbe érkezés idejéig) eltelt időt.
HSZE-03: Ellenőrizni kell a publikált visszavonási listák (CRL) megfelelőségét a hiteles, pontos és folyamatos információszolgáltatás érdekében. HSZE-04: A naplófájlok szerint, össze kell vetni a publikált visszavonási listák számát a generált visszavonási listák számával. HSZE-05: Ellenőrizni kell a kibocsátott a. b.
időbélyegek és OCSP üzenetek
számát a beérkezett kérések és az esetleges elutasítások, valamint hibajelzések darabszámának a figyelembe vételével.
8. NEM FUNKCIONÁLIS KÖVETELMÉNYEK HSZM-50: Az elektronikus aláírási termékek (kriptográfiai eszközök, szoftvertermékek) megfelelőségét igazoló dokumentumokat, a szolgáltató kockázatmenedzsmentje alapján bizalmas dokumentumnak tekintettek kivételével, publikálni kell. HSZM-51: A hitelesítési rend, időbélyegzési rend és szolgáltatási szabályzat dokumentumokat az RFC 3647 Certificate Policy and Certification Practices Framework szabvány alapján kell elkészíttetni. HSZM-52: A hitelesítési rend, időbélyegzési rend és szolgáltatási szabályzat dokumentumok tartalmát az ügyfelek aláírás- és titkosítási politika dokumentumainak figyelembe vételével kell meghatározni. HSZM-53: A szolgáltató elektronikus aláírási és titkosítási szabályzata adja meg mindazon aláírási információkat, melyeket a szolgáltatás biztosításához a szolgáltató felhasznál, és a szolgáltatási szabályzatban nem szerepelnek. Ilyennek tekinthetők a szolgáltató elektronikus dokumentumainak aláírására vonatkozó, valamint az autentikációs tanúsítványokra és titkosító tanúsítványok használatára vonatkozó információk. Ezt a dokumentumot RFC 3125 és a megfelelő ETSI szabványdokumentumok (ld. 5. Mértékadó szabványok és ajánlások pont) szerint kell elkészíteni. HSZM-54: Folyamatosan el kell látni az eseménynaplók működőképességének és használhatóságának monitorozását, az események meghatározott rend szerinti elemzését, az eredményekről jelentést kell készíteni. HSZM-55: A szolgáltatási dokumentációban megadott biztonsági kritériumok szerint kell riasztani az érintett munkatársakat a beavatkozásra. 21/29.
HSZM-56: A szolgáltatói menedzsment a belső ellenőrzést végző munkatársak által készített jelentések alapján irányítsa a jobbító és hibaelhárító tevékenységeket, valamint a változáskezelést. HSZM-57: A naplók és jelentések elemzésének eredménye szerint, a biztonsági elvárások alapján a szükséges beavatkozásokat írásban kell elrendelni. HSZM-58: A kibocsátott tanúsítványok, érvényes tanúsítványok, felfüggesztett, illetve visszavont tanúsítványok, tanúsítvány-megújítások, kulcscserék, időbélyegek, OCSP üzenetek, a jelzett hibák darabszámainak alapján rendszeres kimutatást kell készíteni. HSZM-59: Figyelemmel kell kísérni a szolgáltatások rendelkezésre állásának napi, havi és éves időszakának a mértékét, valamint az elrendelt beavatkozások és változtatások idejét, továbbá a hatóság által határozatban megjelölt határidőket. HSZM-60: A szolgáltatói menedzsment úgy lássa el a 45/2005. Korm. R. megfelelő mellékletében meghatározott feladatokat, hogy a nyilatkozatot az egyes szakterületért felelős vezető hitelesített jelentésével támasztja alá. A választható mellékletek: 1. sz. melléklet a 45/2005. (III. 11.) Korm. rendelethez, Megfelelőségi nyilatkozat minősített elektronikus aláírással kapcsolatos szolgáltatás nyújtásának nyilvántartásba vételéhez 2. számú melléklet a 45/2005. (III. 11.) Korm. rendelethez, Megfelelőségi nyilatkozat nem minősített elektronikus aláírással kapcsolatos szolgáltatás nyújtásának nyilvántartásba vételéhez
HSZM-61: A hitelesítés-szolgáltatás megfelelőségéért a tanúsítványokat kibocsátó szervezet felel. Ennek megfelelően, az együttműködő szervezetek és az esetleges alvállalkozók el kell, hogy fogadják a tanúsítványt kibocsátó szervezet általános felelősségét, vezetési és irányítási elsőbbségi szerepét. A tanúsítványt kibocsátó szervezet jogosult felfüggeszteni az együttműködést, amennyiben a hitelesítésszolgáltatás egy része, vagy egésze veszélybe kerül, vagy a szolgáltatási paraméterek romlása miatt a jogszabályokban rögzített szolgáltatási minőség nem biztosítható. HSZM-62: A szolgáltatói menedzsment készítesse el a nyilvános hitelesítési rend, a szolgáltatási szabályzat, a névképzési szabályzat, a tanúsítvány- és visszavonási állapot üzenetek profilja (részletes leírás az adatok szerkezetéről és tartalmáról), időbélyegzési rend, időbélyeg-profil, elektronikus aláírási és titkosítási szabályzat, valamint a rövid (néhány oldal) szolgáltatási ismertető dokumentumokat; vegye nyilvántartásba és őrizze meg az elektronikus aláírási termékek (kriptográfiai eszközök, szoftvertermékek) megfelelőségét igazoló dokumentumokat; a nem publikus dokumentumok közül a szolgáltatás regisztert, rendszerterveket, a rendszerismertetőket és kezelési kézikönyveket, oktatási anyagokat, együttműködési megállapodásokat, alvállalkozói szerződéseket, tesztelési terveket és tesztjegyzőkönyveket, a belső szabályozási dokumentumokat, a kockázatmenedzsment dokumentumokat készítesse el. HSZM-63: A szolgáltatás beindítását követő 3 hónapon belül készüljön előzetes terv a szolgáltatás leállítására. HSZM-64: A rendszeres, független szolgáltatói ellenőrzések (auditok) a HSZM-58 és HSZM-65: pontokban megadott dokumentumok megfelelőségét állapítsák meg, és ezen dokumentumokból kiindulva legyenek végrehajtva az ellenőrzések.
22/29.
9. GARANCIÁLIS KÖVETELMÉNYEK HSZG-01: A jelen dokumentumban szereplő szolgáltatások EU szintű megfelelését az 5. pontban megadott mértékadó szabványok és ajánlások alapján kell értelmezni. HSZG-02: A jelen dokumentumban szereplő szolgáltatások biztonságos működését az ISO/IEC 27000 szabványcsoportban meghatározottak szerint, független szakértő (auditor) igénybe vételével kell értékelni. HSZG-03: A kriptográfiai algoritmusok és digitális aláíró eszközök megfelelőségét az EU szabályok és eljárások szerint kell kezelni, ezek: a. A kriptográfiai algoritmusok vonatkozásában az Nemzeti Média- és Hírközlési Hatóság határozatait, valamint az ETSI TS 102 176-1 Electronic Signatures and Infrastructures (ESI);Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms, valamint a ETSI TS 102 176-2 Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 2: Secure channel protocols and algorithms for signature creation devices dokumentumai b. a kriptográfiai eszközök EU szintű tanúsítására és adminisztrációjára vonatkozó Nemzeti Média- és Hírközlési Hatóság elvárásai c. CEN ajánlások: CWA 14167-1 Security requirements for trustworthy systems managing certificates for electronic signatures — Part 1: System Security Requirements CWA 14167-2 Security requirements for trustworthy systems managing certificates for electronic signatures — Part 2: cryptographic module for CSP signing operations — Protection Profile (MCSO-PP) CWA 14169 Secure Signature-reation Devices
HSZG-04: Az egyéb elektronikus aláírási, elektronikus aláírás ellenőrzési, valamint az elektronikus aláíráshoz kapcsolódó szolgáltatásokban használt hardver és szoftvertermékek megfelelőségét az EU valamely országában kiadott tanúsítvány, vagy a hazai MIBÉTS módszertan szerint kell meghatározni. HSZG-05: A szervezeti működést, valamint a kockázatkezelést a COBIT módszertan alapján, független szakértő (auditor) igénybe vételével javasolt auditáltatni.
10.
AZ IRÁNYELV ALKALMAZÁSÁNAK FELTÉTELEI
Jelen irányelvet a tervezés, a felügyeli munka, az auditok támogatására akkor lehet eredményesen felhasználni, ha egy jogszabály erre lehetőséget ad. A névképzés szabályozását is javasolt megoldani. Szükséges, hogy a PKI rendszerekben kezelt adatok megfelelő címtárba kerüljenek, egyrészről a nevek lokális egyediségének biztosítása, másrészről a strukturáltság előnyeinek a kihasználása, nem utolsó sorban a szabályozott nyomonkövethetőség érdekében. A PKI rendszerekben elterjedten használják az ITU-T and ISO/IEC objektum-azonosítási szisztémáját, ebben a címtár (~ névtár) kezelést. A nemzetközileg elfogadott rendszerben Magyarország számára a {joint-iso-itu-t(2) country(16) hu(348)} jelzésű, OID: 2.16.348 kódszámú cím le van foglalva. Célszerű lenne ezt kihasználni! Azt 23/29.
nyernénk vele, hogy gyakorlatilag felleltároznánk az együttműködő eszközeinket; elosztott, jól áttekinthető regiszterbe gyűjtenénk a PKI ügyfelek adatait is. (Az így kezelt, megfelelő adatvédelemmel ellátott rendszer jobb, mint a szétszórt adatkezelés.) Magyarország számára jelentős előny származna abból, ha a 2.16.348 kódszámmal kezdődően megjelennének azok a dokumentum-azonosító számok, amelyeket a gépi feldolgozás során is használni kívánunk. Mert amennyiben egy gépi feldolgozáshoz szükséges egy hivatkozás egy dokumentumra, akkor azt a 2.16.348.x.y.z OID-vel lehetne megadni (x,y,z számjegyek, egy fastruktúra elágazási pontjait jelölik, vagyis rögzíthető például, hogy az adott dokumentum milyen körben kezelhető, ki bocsátotta ki, stb.). Egy ilyen rendszer kezelni tudná a dokumentumok verzióit is (ld. 2.16.348.x.y.z.v, ahol v a verziószám lenne). A jogszerű kezelés érdekében, minden olyan dokumentum, amely rendelkezik OID számmal, tartalmaznia kell a következő szöveget: "Azzal, hogy a szolgáltató az általa létrehozott adatok között referenciaként a magyar kormányzati nyilvántartásban megtalálható egyik objektum azonosítóját szerepelteti, azt állítja, hogy menedzseli az objektum azonosító által meghatározott objektumot. Amennyiben az objektum azonosító egy dokumentumra mutat, a szolgáltató azt állítja, hogy megfelel az ezen dokumentumban rögzített adatoknak, leírásoknak, elvárásoknak és feltételeknek." Ezen irányelv továbbfejlesztését a már működő rendszerek dokumentációja alapján, továbbá az érintett szolgáltatói szakértők és az NMHH nyilvántartásában szereplő elektronikus aláírás szakértők, valamint a MELASZ szakértőinek véleménye alapján célszerű elvégezni. Olyan módosításokat kell elhatározni, amelyek előre mutatók, nem olyanokat, amely egy-egy többé-kevésbé elszigetelt rendszer, vagy rendszerelem (elektronikus aláírási termék) üzleti terve, illetve bevezetési gyakorlata szerint vetődik fel. Lényeges szempont, hogy hatékonyan együttműködő szolgáltatási rendszerek működjenek a kormányzati elektronikus ügyintézés, valamint az EU kapcsolatok komplex, egyre inkább kiteljesedő rendszerében. Az új irányelv verziók létrehozása során követni kell az EU tárgybeli jogszabályi változásait (ld. 1999/93/EK irányelv lecserélése; Mandate M460), és a szabványosítást (ld. EN szabványok; Rationalised Framework for Electronic Signature Standardisation/ETSI SR 001 604).
24/29.
1. SZ. MELLÉKLET: HIVATKOZÁSOK JEGYZÉKE A Jogszabályi környezet, a Mértékadó szabványok és ajánlások és az IKT szabályozási környezet pontokban nem szereplő dokumentumokra vonatkozó hivatkozások, amelyek figyelembe vétele javasolt az olvasók számára:
25/29.
Ssz. 1.
Tárgykör audit
Dokumentum megnevezése Útmutató rendszer értékelőknek
Készítette HunGuard, BME IK BME IK
Tartalmi jellemzők a rendszer értékelők számára biztosít kiegészítő útmutatást az értékelési módszertan néhány kiemelten fontos részterületéhez a dokumentum az interoperabilitási bevizsgálás lehetőségeit és módszereit ismerteti a dokumentum azokat a különböző nemzetközi és nemzeti sémákban megszerezhető, informatika biztonságra vonatkozó tanúsítási eredményeket (tanúsítványokat) tekinti át és hasonlítja össze, melyeket az e-közigazgatási szolgáltató rendszerek biztonság értékelési módszertana elfogad, illetve felhasznál a biztonságos informatikai rendszerek hazai kialakításához nyújt segítséget a szabványtár nemzetközileg értékelt védelmi profilokat és biztonsági előirányzatokat ismertető része
2.
interop
Interoperabilitási bevizsgálási módszertan
3.
audit
Létező tanúsítások megfeleltetése
HunGuard, BME IK
4.
interop
Common Criteria szerint értékelt védelmi profilok és biztonsági előirányzatok feldolgozása, áttekintése
HunGuard, BME IK
5.
interop
IDOM 2000 Konzulens Rt., IHM
egységes követelményrendszer és ezen alapuló megoldási módszertan a közigazgatási információs rendszerek és nyilvántartások közötti együttműködés biztosítására
6.
ajánlás
IHM
az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságának, együttműködési képességének és egységes használatának támogatására készült specifikáció
7.
ajánlás
IHM
meghatározza az együttműködő elektronikus közigazgatási szolgáltatások egyedi aláírási szabályzatainak létrehozásához javasolt közös, kiinduló alapot
8.
ajánlás
Közigazgatási informatikai rendszerek együttműködéséhez szükséges adatmodellek és adatkommunikációs sémák specifikációja és az ehhez szükséges módszertan Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható elektronikus aláírás formátumok műszaki specifikációjára Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható elektronikus aláírási szabályzatok készítésére Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható végfelhasználói tanúsítványok szerkezetének és adattartalmának műszaki specifikációjára
IHM
meghatározza a közigazgatás informatikai rendszereiben biztonságos azonosításnál, elektronikus aláírásnál, valamint titkosításnál alkalmazható végfelhasználói tanúsítványok ajánlott szerkezetének és adattartalmának
26/29.
9.
ajánlás
10.
ajánlás
11.
ajánlás
12.
ajánlás
13.
ajánlás
14. 15.
irányelv
Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható időbélyegzés formátum műszaki specifikációjára Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható kulcsvisszaállítási rend irányelveire (tervezet) Interoperabilitási szabványtár a közigazgatás elektronikus rendszereinek fejlesztéséhez (Tervezet) 2006. április 4.
IHM
meghatározza az elektronikus közigazgatási szolgáltatásokban alkalmazott időbélyegek egységes formátumát, s ezen keresztül szabályozza az időbélyeg kérés és időbélyeg biztosítás folyamatait
IHM
Az Informatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható hitelesítési rendekre Magyar Informatikai Biztonsági Ajánlások (MIBA; KIB 25) Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma (MIBÉTS; KIB 25/2)
IHM
a dokumentum célja a közigazgatás és ügyfelei számára titkosító tanúsítványokat kibocsátó hitelesítés-szolgáltatók támogatása a közigazgatási felhasználásra vonatkozó követelményeknek megfelelő kulcsvisszaállítási rend meghatározásában ajánlás az elektronikus ügyintézést lehetővé tevő informatikai rendszerek együttműködési képességének, és egységes használatának támogatására, a használatra ajánlott szabványok és szabványjellegű előírások összegyűjtése, rendszerezése és publikálása. A dokumentum egyik elemét képezi a Magyar EKözigazgatási Interoperabilitási Keretrendszernek (MEKIK) a dokumentum az elektronikus közigazgatásban alkalmazható hitelesítési rendekre fogalmaz meg ajánlásokat
Miniszterelnöki Hivatalt vezető miniszter 2/2002. (IV. 26.) MeHVM irányelve a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről
MeHVM
IHM
MeH, NFÜ
összefoglaló ismertető anyag
MeH
alapvetően az informatikai termékek és rendszerek biztonsági értékelését és tanúsítását végző szakemberek számára készült, de használhatják az érdeklődő szervezeti vezetők is Az irányelv funkcionális és biztonsági ajánlásokat fogalmaz meg megbízható rendszerekre és ezek technikai komponenseire vonatkozóan. Az irányelvben foglalt előírások a szolgáltatókra nem kötelezőek, amennyiben azonban egy minősítést kérelmező az ebben foglalt előírásoknak igazoltan megfelel, a Felügyelet a minősítési kérelem elbírálása során a Szolgáltatót megfelelő szolgáltatónak tekinti.
27/29.
2. SZ. MELLÉKLET: NYILATKOZAT (MINTA) ikt. sz. .... NYILATKOZAT
Alulírott ...................................................... szakértő a(z) .......................................................................................... (szervezet neve) általános és kormányzati hitelesítés-szolgáltatás rendszerének a rendszer megkülönböztető azonosítója: .................................................................. értékelésére kijelölt szakértőként, a mellékelt megbízási szerződés alapján nyilatkozom arról, hogy a rendszer (az alábbi megállapításban a megfelelő rész aláhúzandó) teljesíti részben teljesíti; az eltéréseket a nyilatkozat melléklete tartalmazza nem teljesíti; az indoklást a nyilatkozat melléklete tartalmazza az "Irányelv általános és kormányzati hitelesítés-szolgáltatáshoz" dokumentumban megadott technikai elvárásokat. Nyilatkozatomat a .................... (év.hó.nap) - .................... (év.hó.nap) időszakban végzett vonatkozó vizsgálataim alapján adom ki.
helység, év. hó. nap
................................................................
aláírás
Szakértői nyilvántartási szám: ..........................
28/29.
3. SZ. MELLÉKLET: VÁLTOZÁSKEZELÉS Sor
Változás leírása
Módosítás ideje
Dok. verzió
Módosítást végezte
Ellenőrizte
1.
** Ez itt a dokumentum vége **
29/29.
