Egy kormányzati elektronikus aláírási rendszer tipikus szervezési elvei
MTA Információtechnológiai Alapítvány 2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Bevezetés
Szerzői és szomszédos jogok védelme A kiadvány elsődleges célja, hogy segítse a BKÁE hallgatói az informatikai ismeretek elsajátításában. Természetesen minden más, a téma iránt érdeklődő tanuló számára hasznos ismereteket nyújthatnak. A kiadványt kizárólag a tanulóknak, a tanulás segítésére szántuk. A kiadvány más célú felhasználása, különösen profitszerző tevékenységhez történő felhasználása tilos. A kiadványról, vagy annak bármely részéről másolatot készíteni, vagy az előírt céltól eltérő bármely más módon az abban foglaltakat felhasználni csak a jogtulajdonos engedélyével szabad. ©
MTA Információtechnológiai Alapítvány 2002, www.mtaita.hu,
II. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Bevezetés
Tartalomjegyzék 1
Bevezetés........................................................................................................................ 6 1.1 Elektronikus aláírás, digitális tanúsítványok.......................................................... 6 2 Jogi szabályozás áttekintése ........................................................................................... 8 3 Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek .................. 8 3.1 A Kormányzati Hitelesítő Szervezet (HSz) működése és szerepe ......................... 9 3.1.1 Szabályozó Szervezet (PA, vagy PMA)......................................................... 9 3.1.2 A kormányzati kiadói HSZ feladatai:............................................................. 9 3.1.3 A Kormányzati Regisztrációs hatóság (RH) szerepe ................................... 10 3.1.4 A Kormányzati Kártya perszonalizációs alrendszer .................................... 10 3.1.5 A technikai architektúra ............................................................................... 10 3.2 A javasolt adat- és eljárási modell........................................................................ 12 3.2.1 Szervezeti tevékenység modell .................................................................... 12 3.2.1.1 Hitelesítés-szolgáltatás ............................................................................. 12 3.2.2 A regisztrációs hatóság működése ............................................................... 14 3.2.2.1 Regisztráció.............................................................................................. 14 3.2.2.1.1 Tanúsítvány kérés ............................................................................. 14 3.2.2.1.1.1 Az aláíró adatainak kezelése...................................................... 18 3.2.2.1.1.2 A regisztráció naplózása ............................................................ 19 3.2.2.1.2 Tanúsítvány előállítás ....................................................................... 19 3.2.2.1.2.1 Tanúsítvány előállítás ................................................................ 19 3.2.2.1.2.2 Tanúsítványfrissítés ................................................................... 20 3.2.2.1.2.3 Felülhitelesítés (kereszt-tanúsítvány) ........................................ 21 3.2.2.1.2.4 A tanúsítvány előállítás naplózása ............................................. 21 3.2.2.1.3 Tanúsítvány kibocsátás ..................................................................... 21 3.2.2.1.3.1 Kibocsátás kezelés ..................................................................... 22 3.2.2.1.3.2 Tanúsítványtár hozzáférése........................................................ 22 3.2.2.1.4 Visszavonás kezelés .......................................................................... 22 3.2.2.1.4.1 Tanúsítvány állapot változtatási kérelmek................................. 22 3.2.2.1.4.2 Tanúsítvány felfüggesztés/visszavonás ..................................... 23 3.2.2.1.4.3 A visszavonás kezelés naplózása ............................................... 24 3.2.2.1.5 Visszavonási állapot közzététel ........................................................ 24 3.2.2.1.5.1 Visszavonási állapot üzenetek ................................................... 25 3.2.2.1.5.2 Állapot kérés/válasz................................................................... 27 3.2.2.1.5.3 A visszavonási állapot naplózása............................................... 27 3.2.2.2 Időbélyegzés............................................................................................. 28 3.2.2.2.1 Kérelem helyességellenőrzése .......................................................... 28 3.2.2.2.1.1 Időadat előállítása ...................................................................... 28 3.2.2.2.1.2 Időbélyeg előállítása .................................................................. 29 3.2.2.2.1.3 Időbélyeg kiszámítása................................................................ 31 3.2.2.2.1.4 Az időbélyegzés naplózása ........................................................ 31 3.2.2.3 Aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése ........... 31 3.2.2.3.1 Aláírás-létrehozó eszköz előkészítés................................................. 32 3.2.2.3.2 Aláíró-eszköz kiadás ......................................................................... 32 3.2.2.3.3 Aktivizáló adatok létrehozása és kiadása.......................................... 32 3.2.2.4 Sifrírozó kulcsok biztonságos tárolása és visszaállítása .......................... 33 3.3 Regisztrálás .......................................................................................................... 34 3.3.1 Helyi és kormányzati regisztrációs ügyintéző.............................................. 34 III. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Bevezetés
3.3.2 Egyéni regisztráció....................................................................................... 34 3.3.3 Közigazgatási alkalmazás regisztrálása ....................................................... 34 3.3.4 Azonosság ellenőrzése ................................................................................. 35 3.3.5 Funkcióhoz kötött (közszolgálati szerv vagy magán cég felhatalmazottja) regisztráció ................................................................................................................... 36 3.3.6 Eredményes azonosság ellenőrzés igazolása................................................ 37 3.3.7 Elutasított azonosság ellenőrzés................................................................... 37 4 Szemelvények a vonatkozó jogszabályokból............................................................... 39 4.1.1.1 2001. évi XXXVI. Törvény, a köztisztviselők jogállásáról szóló 1992. évi XXIII. törvény, valamint egyéb törvények módosításáról....................................... 40 4.1.1.2 3. számú melléklet az 1992. évi XXIII. Törvényhez, .............................. 40 4.2 A rendszer külső kapcsolatai................................................................................ 41 4.3 Feladatok és hatáskörök ....................................................................................... 42 4.3.1 Az informatikai szervezet elvi felépítése ..................................................... 42 4.3.2 Szerepkörök a hitelesítés szolgáltatóval kapcsolatban................................. 44 4.4 A rendszer bevezetéssel kapcsolatos problémák.................................................. 48 5 A nyilvános kulcsú infrastruktúra fizikai biztonsági kérdései ..................................... 49 5.1 A tanúsítvány és a kulcsok ................................................................................... 49 5.2 A regisztrációs hatóság: ....................................................................................... 50 5.3 Címtár szolgáltatás. .............................................................................................. 51 5.4 A kulcsok tárolása és a tanúsítványok.................................................................. 52 5.5 Tanúsítvány visszavonás ...................................................................................... 52 5.6 Ideális fizikai elhelyezés biztonsági feltételei...................................................... 53 6 A hardver eszköz kibocsátásával összefüggő biztonsági kérdések.............................. 56 6.1 A hardvereszköz kibocsátó funkciója .................................................................. 56 6.2 Folyamatok........................................................................................................... 57 1. függelék Vonatkozó Jogszabályok.............................................................................. 58 1.A 1026/2002. (III. 26.) Korm. határozat .................................................................. 58 1.B 47/2002. (III. 26.) Korm. rendelet........................................................................ 58 1.C 2001. évi CVIII. törvény ...................................................................................... 58 1.D 2001. évi XXXV. törvény .................................................................................... 58 1.E 232/2001. (XII. 10.) Korm. rendelet .................................................................... 58 1.F 151/2001. (IX. 1.) Korm. rendelet........................................................................ 58 1.G 151/2001. (IX. 1.) Korm. rendelet........................................................................ 58 1.H 77/1999. (V. 28.) Korm. rendelet ......................................................................... 58 1.I 20/2001. (XI. 15.) MeHVM rendelet ................................................................... 58 1.J 16/2001. (IX. 1.) MeHVM rendelet ..................................................................... 58 1.K 15/2001. (VIII. 27.) MeHVM rendelet................................................................. 58 1.L 014/2001. (III. 5.) Korm. határozat ...................................................................... 58 1.M 1075/2000. (IX. 13.) Korm. határozat.................................................................. 58 1.N 2271/2001. (IX. 26.) Korm. határozat.................................................................. 59 1.O 2146/2000. (VI. 30.) Korm. határozat.................................................................. 59 1.P 2155/2001. (VI. 20.) Korm. határozat.................................................................. 59 1.Q (VI. 30.) Korm. határozat módosításáról.............................................................. 59 1.R 2/2002. (IV.26.) MeHVM irányelv ...................................................................... 59 1.S 7/2002. (IV.26.) MeHVM rendelet ..................................................................... 59 2. függelék Szolgáltatások kormányzati tanúsítványokkal ............................................. 59 3. függelék Kormányzati tanúsítványok típusai.............................................................. 64 IV. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Bevezetés
Ábrajegyzék 1. ábra A hitelesítő szervezet nagyvonalú architektúrája......................................................... 11 2. ábra A KEAR főbb folyamatai az Ügyfél szempontjából.................................................... 12 3. ábra A KEAR legfelső szintű tevékenységei ....................................................................... 13 4. ábra A KEAR működésének megteremtése és folyamatos fenntartása ............................... 14 5. ábra A KEAR alapszolgáltatási tevékenységei .................................................................... 14 6. ábra A regisztrációs hatóság adatfolyamai........................................................................... 15 7. ábra A tanúsítvány eljuttatása az intelligens eszközön (kártya) az igénylőhöz ................... 16 8. ábra A regisztráció egyszerűsített folyamata ....................................................................... 17 9. ábra A regisztrációs hatóság főbb folyamatai ...................................................................... 18 10. ábra Tanúsítvány életciklusa .............................................................................................. 21 11. ábra Tanúsítvány visszavonás ............................................................................................ 25 12. ábra Tanúsítvány visszavonás folyamata ........................................................................... 26 13. ábra Időbélyegzés ............................................................................................................... 28 14. ábra Időbélyeg előállítás folyamatábrája............................................................................ 30 15. ábra Hálózat biztonsági architektúra .................................................................................. 38 16. ábra A KEAR rendszer vázlatos felépítése a külvilág szempontjából ............................... 41 17. ábra A rendszer építőelemei............................................................................................... 42 18. ábra Egy lehetséges szervezeti felépítés............................................................................. 46 19. ábra A szervezet alternatív felépítése................................................................................. 47 20. ábra Publikus kulcsú infrastruktúra architektúrája............................................................. 53 21. ábra Üzemi rendszer telephelyei közötti adat szinkronizáció vázlata................................ 54 22. ábra Digitális aláírás használata ......................................................................................... 60 23. ábra A köztisztviselő által a digitális aláírással használható szolgáltatások ...................... 61 24. ábra A szervezet és kormányzati szervezetek kapcsolata .................................................. 62
V. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Bevezetés
Az önkormányzati pályázat eszközkészlete Bevezetés A számítógépes szövegszerkesztők és táblázatkezelők használata sok előnyös szolgáltatásuk folytán gyakorlatilag kiszorította az írógépeket az irodai munkából. Kétségtelen, hogy az állandóan rendelkezésre álló helyesírás ellenőrzés, gyors formázás, különböző szövegek előkeresése, másolása, összeszerkesztése gyorsabbá, egyszerűbbé teszi az ügyintéző munkáját. A számítógépek alkalmazása egy új, merőben más lehetőséget is biztosít az információk gyűjtése, rendezése, archiválása során, illetve a kommunikációhoz a távoli közigazgatási partnerekkel, állampolgárokkal. A számítógépes helyi hálózatok által biztosított, különböző alkalmazásokkal megvalósított munkafolyamat szervezés, a humán és számítógépes erőforrások rugalmas kezelhetősége, a központosított iratkezelés, adatbázisok és nem utolsó sorban az elektronikus kapcsolattartás, levelezés több önkormányzatnál már bevezetésre került. A hálózatok növekedésével, a különböző partnerek, állampolgárok hozzáférésének engedélyezésével az Interneten át, azonban jelentős mértékben megnövekednek a biztonsági kockázatok. A pénzügyi, személyes és más érzékeny adatok védelmére, csakúgy mind a naprakész vírusvédelemre intézkedéseket kell foganatosítani. A biztonságos internetes vagy egyéb hálózati kapcsolatokban, képesnek kell lenni saját magunk és a kapcsolat másik végének biztonságos azonosítására. A kockázat függvényében (pl. személyes adatok) nem elegendő a széles körben elterjedt jelszavas védelem. Az azonosításon túl biztosnak kell lenni a kapott információ eredetiségében, változatlanságában, és esetenként szükség lehet a letagadhatatlanság, illetve a bizalmasság garantálására is. Mindezeket az elektronikus aláírás technológiája képes biztosítani a közigazgatási, nyilvános kulcsú infrastruktúrában. A továbbiakban ismertetésre kerül, milyen eszközöket nyújt a közigazgatási, nyilvános kulcsú infrastruktúrába kapcsolódáshoz az önkormányzati pályázat. A közigazgatási, nyilvános kulcsú infrastruktúra mibenlétéről a Belügyminisztérium honlapján található információ. 1.1 Elektronikus aláírás, digitális tanúsítványok A Pályáztató a pályázatok nyilvántartását és a pályázatokkal kapcsolatos egyéb szükséges teendőket elektronikusan végzi. Ezért előnyben részesíti a pályázatok elektronikus formában történő benyújtását. A pályázati űrlapok a páláztató honlapjáról tölthetők le. A letöltéshez felhasználói azonosítóra és jelszóra van szükség, melyeket bárki, egy rövid kérdőív kitöltésével és visszaküldésével igényelhet. Miután az igénylő regisztrálásra került, elektronikus levelezési címére küldött visszaigazolásban megkapja jelszavát és megkezdheti a letöltést. A kérdőívet ugyancsak elektronikus levélben kell visszaküldeni. Azon pályázók, akiknek egyáltalán nincs módjuk az elektronikus levelezésre, az Internet elérésére, postai úton is igényelhetik a pályázati űrlapokat és így is küldjék vissza. A pályázat nyerteseivel a biztonságos kapcsolattartás és kommunikáció digitális tanúsítványokkal védett kulcsokkal történik. Ehhez a pályázat kezelésére és a kapcsolódó iratok kiadmányozására jogosult vezetőknek (a polgármester, a jegyző és maximum három önkormányzati tisztviselő) saját részükre digitális tanúsítványt kell személyesen igényelniük a Kormányzati Elektronikus Aláíró Rendszer központi Közigazgatási Hitelesítés Szolgáltató helyi regisztrációs szervétől. A digitális tanúsítványok, és ezzel a tanúsítványokhoz kapcsolt aláíró, kódoló kulcsok egy, az 6. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Bevezetés
ismert bank kártyákkal azonos méretű, intelligens kártyán kerülnek elhelyezésre. Az intelligens kártyák és ezzel a digitális tanúsítványok senkinek sem adhatók át, azoknak mindig azon személy rendelkezése alatt kell lenniük, akinek a nevére kiállították. Az intelligens kártya személyes átvételét megelőzően minden „előfizető”-nek (tanúsítványigénylőnek) aláírásával igazolnia kell a Hitelesítési Szabályzatban meghatározott kötelezettségek megértését és elfogadását. A Közigazgatási Hitelesítés Szolgáltató az intelligens kártyákra háromféle tanúsítványt helyez el, amelyek biztosítják a kulcs tulajdonosának azonosíthatóságát a számítógépes rendszerekbe belépésekor, az elektronikus aláírását, a bizalmasságot nyújtó kódolást/dekódolást és a letagadhatatlanságot. A tanúsítványokhoz a hozzáférést PIN kódok védik. A tanúsítványok érvényességi ideje két év. Az intelligens kártyán még további kulcs párok generálhatók, illetve tanúsítványok helyezhetők el. Az intelligens kártyák használatát a pályázatban biztosított személyi számítógéphez kapcsolt kártyaolvasó támogatja. A pályázatokkal kapcsolatos iratokat, üzeneteket így elektronikus aláírással lehet ellátni, szükség esetén, amennyiben ismert a címzett nyilvános kulcsa (pl. a pályázat nyertesei közül egy másik önkormányzat jegyzője, vagy a MeH ügyintézője) az üzenetet kódolni, titkosítani is lehet. Amikor az önkormányzat telefonvonalon, vagy az Interneten át el kívánja érni a Kormányzati Hálózat meghatározott számítógépeit, a hívást kezdeményező önkormányzati számítógép és a Kormányzati Hálózat között védett, senki más számára nem hozzáférhető adatátviteli csatorna jön létre. A kapcsolat felépítéséhez speciális szoftver szükséges, amely ugyancsak részét képezi a pályázatnak. A kormányzati számítógépre a belépéshez és a használati jogosultságokhoz szükséges azonosítót az intelligens kártya tanúsítványa tartalmazza, tehát ebben az esetben is használni kell a kártyát. A pályázat eredményeként rendelkezésre állnak az ekormányzat, e-demokrácia biztonságos kommunikációs feltételei. Biztosak lehetünk benne, ki küldte az üzenetet, az üzenet a megírása-aláírása óta nem változott, az üzentet más nem olvashatta el, csak a címzett és az üzenetet küldője nem tagadhatja le. A központi Közigazgatási Hitelesítés Szolgáltató további szolgáltatásként az iratok keletkezésének, elküldésének, illetve megérkezésének idejét is tanúsíthatja. A nyilvános kulcsú infrastruktúra használatának szélesebb körű elterjesztését támogató önkormányzatok alacsony biztonsági szintű digitális tanúsítványokat is igényelhetnek felhasználóik számára. Az alacsony biztonsági szintű tanúsítványok a felhasználó számítógépén szoftveres formában kerülnek tárolásra, így sokkal egyszerűbb, olcsóbb a kezelésük, azonban kevésbé védettek a visszaélésekkel szemben. Az ügyintézők közötti üzenetváltás a jelenleg megszokottnál azonban lényegesen biztonságosabbá válik használatával. A dokumentumok bizalmasságát biztosító kódoló, privát kulcsokat a szolgálati alkalmazások esetén a Közigazgatási Hitelesítés Szolgáltatónál speciális védelemmel biztosított letétbe lehet helyezni. Ezzel a kulcsok elvesztése, megsemmisülése esetén is dekódolhatja az önkormányzat a titkosírással készült iratot, amennyiben a kulcs visszaállítását hivatalból kezdeményezik. Célszerű megvizsgálni, melyek azok a területek, ahol az elektronikus levelezésen túl is alkalmazható az elektronikus aláírás technológiája a gyors, biztonságos, papírkímélő ügyintézés megteremtésére. Az erre vonatkozó ajánlások ugyancsak elolvashatók a Belügyminisztérium honlapján.
7. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Jogi szabályozás áttekintése
Jogi szabályozás áttekintése Az 1026/2002. (III. 26.) Kormány Határozat, és a 47/2002. (III. 26.) Kormány Rendelet meghatározza1, hogy − a KEAR felügyeletét az informatikai kormánybiztos látja el a Miniszterelnöki Hivatalt vezető miniszter irányításával, − az elektronikus aláíráshoz kapcsolódó szolgáltatások ellátásához egyetlen központi, minősített hitelesítés-szolgáltató felállítására kerül sor, és − a KEAR részét képező hitelesítés-szolgáltató felállítása a Belügyminisztérium feladata. A 2001. évi XXXV. törvény az elektronikus aláírásról (továbbiakban Törvény) adja meg az átfogó jogi alapjait az elektronikus aláírás alkalmazásának. A közigazgatásban történő alkalmazást a törvény az ágazati miniszterek és az önkormányzatok hatáskörébe utalja. A 16/2001. (IX. 1.) MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről, illetve a 15/2001. (VIII. 27.) MeHVM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről, és a kijelölésükre vonatkozó szabályokról írja elő a működés biztonságának, illetve annak bevizsgálásának követelményrendszerét. A 2/2002 MeHVM a minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről szól. A szükséges intézkedésekről szóló 1075/2000. (IX. 13.) Korm. határozat 6. pontja előírta, hogy meg kell vizsgálni az elektronikus aláírásnak a közigazgatásban, illetve az államigazgatásban történő fokozatos bevezetésének illetve használatának lehetőségeit az egyes tárcák által felügyelt területeken. Ennek a felmérésnek az eredményeit a MeH IKB kiértékeltette, és a tárcáknak megküldte.
Az elektronikus aláírással szereplők, szervezetek
kapcsolatban
megjelenő
A kommunikáló feleken túl a nyilvános kulcsú tanúsítványokat használó rendszerekben az alábbi szervezetek, szerepkörök kerülnek kialakításra: − tanúsítvány kibocsátó (HSz, Hitelesítő szervezet): felelős az általa kiadott tanúsítványok tartalmáért, a tanúsítványok kezeléséért (sorszámozás, visszavonás) a biztonsági politikának megfelelően, továbbá a tanúsítvány átadása az aláírónak, valamint a szolgáltató nyilvántartásában a tanúsítvány elérhetővé tétele az aláíró által meghatározott kör részére2 − névtár (címtár): egyedi felhasználóneveket kezel a rendszer felhasználóinak azonosítására. − regisztrációs hatóság (RH): a felhasználót (nem kriptográfiai módszerekkel) összekapcsolja egyrészt az egyedi felhasználónévvel, másrészt a felhasználó kulcsával. A kormányzati regisztrációs hatóság (KRH) a HSz része, de külön is megjelenhet. Az KRH-tól viszonylag függetlenek lehetnek a helyi regisztrációs hatóságok. (HRH), a személyügyi, humánpolitikai főosztályok részeként az illetékes tárcáknál. − kulcs előállító (generátor): létrehozza a nyilvános-magán kulcspárt/párokat. Lehet a felhasználó, a HSz, vagy egyéb megbízható rendszerkomponens. 1
A minisztériumok felsorolásáról a 2002. évi XI. tv.-ből adódóan ezeket a jogszabályokat módosítani kell. 2 16/2001. (IX. 1.) MeHVM rendelet 8. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei − −
− − −
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
adattár: a HSz és az RH belső, védett adatbázisai, a felhasználók regisztráció során begyűjtött adatainak és a kulcsmenedzsmenttel kapcsolatos adatok, naplózások tárolására. tanúsítványtár (egyfajta címtár).: Kétféle használatos: 1. A hitelesítő hatóság és a regisztrációs hatóság tevékenységével (előfizetők összes személyes. stb., adatai, visszavonás, frissítés információi) kapcsolatos adatok, naplófájlok, tanúsítvány, illetve kulcs archívumok, kulcs letétek biztonságos tárolására szolgáló védett adatbázis. 2. a nyilvános tanúsítványok és a visszavonási listák felhasználók által olvasható tanúsítvány adatbázisa, vagy szervere. Általában a HSz tartja karban, esetleg az KRH, HRH-k a megfelelő hozzáférési jogosultságok alapján. Valójában a kiadott tanúsítványok és visszavonási listák adatbázisa, valamint a tanúsítványok nyilvánosságra hozatalának forrása és egyik lehetséges eszköze. időbélyegző: aláírásával tanúsítja egy adott dokumentum létezését egy pillanatban azáltal, hogy az üzenethez hitelesen hozzáfűzi az üzenet időpontját. irányelv menedzselő hatóság: főként a nagyobb, pl. kormányzati rendszerekben lehet fontos. külső, belső auditorok, (informatikai ellenőrök, információrendszer ellenőrök), biztonsági felelősök, a 16/2001. (IX. 1.) MeHVM rendelet szerint: − biztonsági tisztviselő: a szolgáltatás biztonságáért általánosan felelős személy; − rendszeradminisztrátor: az informatikai rendszer telepítését, konfigurálását, karbantartását a regisztráció, a tanúsítványok előállítása, az aláírás-létrehozó eszközök szolgáltatása és a tanúsítványok visszavonása, felfüggesztése céljából végző személy; − rendszerüzemeltető: az informatikai rendszer folyamatos üzemeltetését, mentését és helyreállítását végző személy; − rendszervizsgáló: a szolgáltató naplózott, illetve archivált adatállományát kezelő személy;
1.2 A Kormányzati Hitelesítő Szervezet (HSz) működése és szerepe A kormányzati HSZ feladata a minősített tanúsítványok kiállítása a kormányzati felhasználók számára. Mivel maga a HSZ szerver már csak az előre ellenőrzött és megfelelően minősített felhasználók adatait kapja meg, ezért feladata a tanúsítvány kiadása és a visszavonás kezelése.
1.2.1 Szabályozó Szervezet (PA, vagy PMA) Testület, amelynek feladata a tanúsítási irányelvek készítésének és naprakész frissítésének felügyelete, döntés a kereszttanúsítási kérdésekben. Konszenzus alapján működik Áttekinti az audit beszámolókat és megfelelő intézkedésekre tesz javaslatot. A 47/2002. (III.26.) Korm. rendelet alapján közvetlen a MeHVM irányítása alá tartozik. Vezeti a HSZ vezetője, tagjai a KEAR-t használó szervezetek, minisztériumok szakmai irányítói.
1.2.2 A kormányzati kiadói HSZ feladatai: Tanúsítvány kiadási feladatok Tanúsítványok kiadása az ügyfeleknek Tanúsítványok visszavonása az ügyfelektől Adminisztrátori szerepkörök megkülönböztetése és kezelése Regisztrációs hatóság és a KEAR / HSz ügyintézői (Felhasználó Adminisztrátor) KEAR-hoz szorosan csatolt tanúsítványtár (címtár) adminisztrátor, ügyintéző 9. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
Auditor (informatikai rendszer belső ellenőr, vizsgáló) Visszavonásokért felelős operátor A biztonsági vezető Publikációs feladatok „Tanúsítvány visszavonási lista” (CRL) elkészítése és publikálása a „Törzs címtárban” A Tanúsítási Irányelvek és a Tanúsítvány Szolgáltatási Szabályzat publikálása a „Törzs címtárban”
1.2.3 A Kormányzati Regisztrációs hatóság (RH) szerepe A kormányzati RH komponensen keresztül érkeznek a rendszerbe a tanúsítványkérések, melyek elbírálása és feldolgozása után kezdhető meg a felhasználó számára a tanúsítvány kiadása és a kártya legyártása. Ugyanezen RH felületen keresztül kapcsolódhatnak a rendszerhez a tanúsítást végző operátorok, akiknek az a feladata, hogy a beérkezett kéréseknél az azonosítást, az igazoló adatok ellenőrzését, majd végül a tanúsítvány kiadásának jóváhagyását elvégezzék. Ez a felület tipikusan egy böngészővel elérhető felület, ahol a felhasználók az adataikat regisztrálják és a kérésüket ennek megfelelően bejuttatják a rendszerbe.
1.2.4 A Kormányzati Kártya perszonalizációs alrendszer Ez az alrendszer a Kormányzati RH által már fogadott és az adminisztrátorok által kiadhatónak minősített tanúsítványok és megadott személyes adatok alapján a felhasználó kártyáját megszemélyesíti, és esetlegesen a tanúsítványt a kártyára generálja és feltölti. (Amennyiben sifrírozó tanúsítványokat is alkalmaznak, akkor mindenképpen itt kell a sifrírozó kulcsokat generálni és archiválni, mert az esetlegesen elvesző, megsérülő kártyákkal magán, nem nyilvános adatok visszaállíthatóságának feltétele a sifrírozó tanúsítványok archiválása.)
1.2.5 A technikai architektúra
10. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
Ország CA sw
Idő Kiszolgáló Kormányzati gyökér CA sw
Üzemi CA sw
Üzemi CA sw
Kormányzati Regisztráció Kiszolgáló
Kormányzati Regisztráció Kiszolgáló
Időbélyeg Kiszolgáló
Tanúsítványtár
LDAP
Tanúsítványtár
LDAP
1. ábra A hitelesítő szervezet nagyvonalú architektúrája
11. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
1.3 A javasolt adat- és eljárási modell
1.3.1 Szervezeti tevékenység modell 1.3.1.1 Hitelesítés-szolgáltatás Egy hitelesítés-szolgáltatást folytató Szolgáltatónak kötelezően a következő funkciókat kell biztosítania: Regisztráció: a tanúsítást kérő azonosítása, identitásának, és amennyiben szükséges, speciális jellemzőinek ellenőrzése. A szolgáltatás eredménye a tanúsítvány előállítás szolgáltatás felé kerül továbbításra. Tanúsítvány előállítás: a regisztrációs szolgáltatásra alapozva tanúsítványok létrehozása és aláírása. Tanúsítvány kibocsátás: a HSZ által előállított tanúsítvány átadása a kérelmező, és – a kérelmező egyetértése esetén – az érintett felek részére, illetve az általános szerződési feltételekben és a szolgáltatási szabályzatban rögzített, kapcsolódó információk nyilvánosságra hozatala. Visszavonás kezelés: a kiadott tanúsítványok visszavonására, felfüggesztésére3 vonatkozó kérelmek, jelentések feldolgozása, a szükséges lépésekre vonatkozó döntések meghozatala. Visszavonási állapot közzététele: információ nyújtása a fogadó fél (címzett) számára a tanúsítványok visszavonásáról. A szolgáltatás lehet valós idejű, vagy az információk előre meghatározott időközönkénti aktualizálásán kell alapulnia. 4. Köztisztviselő megkapja a tanúsítványt Tanúsítványtár Kormányzati HSZ Tanúsítványtár
3. HSZ aláírja a
Köztisztviselő 1. Köztisztviselő kérelmezi a digitális aláírásának hitelesítését
tanúsítványt és nyilvánosságra hozza
HSZ
Hitelesítő szervezet ügyintéző
HSzÜ Hitelesítés KRH (Kormányzati Regisztrációs hatóság)
(Kormányzati Hitelesítő szervezet)
HRH Tárca, Minisztérium Személyzeti O.
RHÜ Regisztráció
2. Regisztrációs ügyintéző engedélyezi a tanúsítvány kibocsátását
Tömeges hitelesítés Kártya kibocsátás Alkalmi regisztráció
2. ábra A KEAR főbb folyamatai az Ügyfél szempontjából 3
2/ 2002 MeHVM iránylev: 192. Minden felfüggesztésre, felfüggesztés megszüntetésére és visszavonásra vonatkozó kérelmet megfelelő módon hitelesíteni és érvényesíteni kell. 193. A visszavonási és felfüggesztési kérelmeket haladéktalanul végre kell hajtani. Egy visszavonási, illetve felfüggesztési kérelem és a tanúsítvány állapot nyilvántartásban a változás átvezetése között eltelt idő nem lépheti túl a 24 órát. 12. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A szolgáltatási szabályzat és tanúsítvány típusok kidolgozása A müködés megtervezése
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
A szolgáltatás feltételeinek megteremtése
A szolgáltatás nyújtása
A szolgáltatás nyomon követése
Döntés a szükdséges módosításokról
A szolgáltatás ellenőrzése A tapasztalatok elemzése
3. ábra A KEAR legfelső szintű tevékenységei A SzMSz létrehozása
A szervezet felállítása
Az informatikai környezet megtervezése
Az informatikai környezet üzembehelyezése folyamatos müködtetése
A műszaki tervek elkészítése
A müködés, üzemeltetés nyomkövetése
Az építészeti.épületgépészeti és fiizkai biztonsági környezet létrehozása és folyamtos müködtetése
13. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
4. ábra A KEAR működésének megteremtése és folyamatos fenntartása
Tanúsítvány előállítás
Regisztráció
A visszavonásról a döntés nyilvánosságra hozatala
Tanúsítvány kibocsátás
Tanúsítvány életének nyomon követése
Tanúsítvány visszavonása iránti kérés
Döntés a visszavonásról
5. ábra A KEAR alapszolgáltatási tevékenységei
1.3.2 A regisztrációs hatóság működése 1.3.2.1 Regisztráció A regisztrációval kapcsolatos biztonsági követelményeket az alábbi bontásban foglaljuk össze: tanúsítvány kérés, az aláíró adatainak kezelése, a regisztráció naplózása. 1.3.2.1.1 Tanúsítvány kérés A tanúsítvány kérelmet a regisztrációs felelős kezeli, miután azonosította az aláírót (a kapcsolódó tanúsítvány típus által meghatározott követelményeknek megfelelően). Ha a tanúsítvány kérelem kényes, vagy bizalmas információt is tartalmaz az aláíróra vonatkozóan, a kényes, vagy bizalmas információt tartalmazó üzenet védelmét biztosítani kell, mielőtt az üzenetet a regisztrációs szolgáltatástól a tanúsítvány előállítás szolgáltatás felé továbbítaná a rendszer, biztosítva ezzel az üzenet bizalmasságát. A szolgáltatásnak megfelelő mechanizmust kell megvalósítania a birtoklás bizonyítására, mely azt biztosítja, hogy a tanúsítványt kérelmező személy valóban tulajdonosa annak a magánkulcsnak, melyhez tartozó nyilvános kulcsra kérelmezi a tanúsítványt.
14. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
Amennyiben a tanúsítvány kérelmet a kérelmező elektronikus úton nyújtja be, erre a mechanizmusra példa lehet, ha minden tanúsítvány kérelemhez egy aláíró blokk is tartozik, melyet a tanúsítványt igénylő a nyilvános kulcsához tartozó magánkulccsal hozott létre. Személyi igazolvány+ Vezetői engedély +Lakcím
1
RH
2
Kérelem feldolgozása
KNYVH
Taj Szám
RH
TAJ adatbázis (OEP)
A személyi adatok valóságának ellenőrzése
Tanúsítvány kérelem Szem élyi azonosító okmányok
Adóazonosító jel
Köztisztviselő
APEH
Személyi adatok 3 Kérelem Személyi adatok
Hitelesítő szervezet
Személyi adatok
Tanúsítvány előállítása Tanúsítvány D2
D1
HSz Tanúsítványtár
Kérelem
Kártya adatok
Nyomda 4
HSz
Megszemélyesítés Hardver eszköz (kártya)
5
RH
Szerződések, megállopodások, nyilatkozatok előállítása
Kátya, megállapodások kibocsátása
Regisztráció hatóság
Köztisztviselő
6. ábra A regisztrációs hatóság adatfolyamai A regisztrációs szolgáltatást úgy kell működtetni, hogy elegendő adatot lehessen összegyűjteni az aláíróról a Törvény 2. mellékletében meghatározott, a minősített tanúsítványokra vonatkozó alábbi követelmények kielégítéséhez: A minősített tanúsítványoknak tartalmazniuk kell az alábbiakat: az aláíró nevét, vagy egy álnevet, ennek jelzésével, az aláírónak külön jogszabályban, illetve a szolgáltatási szabályzatban, illetőleg az általános szerződési feltételekben meghatározott speciális jellemzőit, a tanúsítvány szándékolt felhasználásától függően, azt az aláírás-ellenőrző adatot, amely az aláíró által birtokolt aláírás-létrehozó adatnak felel meg, 15. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
más személy (szervezet) képviseletére jogosító elektronikus aláírás tanúsítványa esetén a tanúsítvány ezen minőségét és a képviselt személy (szervezet) adatait.
Kártyatestgyártás
Hitelesítő Szervezet Megszemélyesítés kezdeményezése
Személyes adatok
HSz Tanúsítványtár
Kátyatest Személyes adatok
Regisztrációs szervezet Kárya fizikai megszemélyesítése
Tanúsítvány adatok
HSz Elektronikus megszemélyesítés
Fizikailag megszemélyesített kártya
Kártya+tanúsítvány
Kormányzati Regisztrációs Hatóság Kártya és tanúsítvány kibocsátás
Kártya / Tanúsítvány Egyéb papír alapú dokumentumok
Helyi Regisztrációs Hatóság Kártya és tanúsítvány kibocsátás
Szerződés PIN/PUK átvétel
Hivatalos dokumentumok
7. ábra A tanúsítvány eljuttatása az intelligens eszközön (kártya) az igénylőhöz A kártya fizikai megszemélyesítése − Fogadja a HSz-ből a tanúsítványokat és a magán aláíró kulccsal illetve a (de)Sifrírozó magán kulccsal együtt „ráteszi” a kártyára, mint hordozóra − Szolgáltatja a kártyát, kártya perszonalizációt végez, PIN kódot generál 16. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei −
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
Biztonságos módon (útvonalon, futárszolgálattal) eljuttatja a borítékot és a kártyát a „kártyás” tanúsítványt igénylő felhasználók részére a helyi regisztrációs hatóságon, az illetékes személyügyi részlegen keresztül.
A megbízható rendszernek olyan mechanizmust kell biztosítania, mely lehetővé teszi a regisztrációs felelős számára a tanúsítvány kérelmek jóváhagyását, még mielőtt azokat továbbítaná a tanúsítványt előállító szervezeti egységhez. R e g is z tr á c ió K ö z t is z tv is e lő
k ö z t is z t v is e lő
R e g is t r á c ió s k é r e le m d ig it á lis a lá ír á s r a
R e g is z tr á c ió s h a tó s á g
P a rtn e r
T a n ú s ít v á n y k ib o c s á t á s e n g e d é ly e z é s e
Nem
k ö z t is z t v is e lő
H ite le s ítő h a t ó s á g
OK?
Ig e n
T a n ú s ít v á n y k é s z ít é s , a lá ír á s , p u b lik á lá s
K á rty a , h a rd v e r eszköz k ib o c s á t á s a
8. ábra A regisztráció egyszerűsített folyamata A kérelmeket el kell látni a következő adatokkal: a kérelem időpontja, közzétételi információ. A közzétételi információ azt a célt szolgálja, hogy a kérelmező ellenőrizhesse a minősített tanúsítvány kibocsátásának megtörténtét. A regisztráció során indított üzeneteket digitálisan alá kell írni infrastrukturális vagy kontroll kulccsal.
17. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
Regisztrációs hatóság folyamata Köztisztviselő Köztisztviselő
Humán politikai osztály
Kormányzati Regisztrációs Hatóság
Kormányzati Hitelesítő szervezet
Állami Nyomda
Éves kártya szükséglet igénylése
Tanúsítvány iránti kérelem
Személyi azonosító okmányok Személy azonosítás
Személyi adatok
Darabszám
Adatok ellenőrzése
Helyesek-e az adatok?
Nem
Igen Tanúsítvány előállításhoz szükséges adatok előkészítése
Tanúsítvány előállítása A hardver eszköz, kártya előállítása 'A' Tanúsítvány Kártya
A szerződés és fizikailag létező dokumentumok előállítása, kulcsok meggenerálása
Megszemélyesítés (Perszonalizáció)
Szerződés, Hardver eszköz
A tanúsítvány a hardver eszközön, szerződés, egyéb nyilatkozatok átadása, átvétele
9. ábra A regisztrációs hatóság főbb folyamatai 1.3.2.1.1.1 Az aláíró adatainak kezelése
A megbízható rendszereknek eleget kell tenniük a személyes adatok védelmét szolgáló általános, törvényi követelményeknek. 18. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
1.3.2.1.1.2 A regisztráció naplózása
A regisztráció keretében naplózni kell minden eseményt, azon belül is kiemelten: A tanúsítvány kérelmek és megújítási kérelmek (újra hitelesítés, kulcsfrissítés) benyújtását, a kérelmek jóváhagyását, minden üzenetet, melyet a rendszer a szolgáltatás nyújtása kapcsán küld és kap. 1.3.2.1.2 Tanúsítvány előállítás A tanúsítvány előállítással kapcsolatos biztonsági követelményeket az alábbi bontásban foglaljuk össze: tanúsítvány előállítás, tanúsítványfrissítés, felülhitelesítés, a tanúsítvány előállítás naplózása. 1.3.2.1.2.1 Tanúsítvány előállítás
A megbízható rendszerek, miután megkapták a regisztrációtól a tanúsítvány kérelmet, a regisztrációtól átvett nyilvános kulcs felhasználásával tanúsítványt állítanak elő. Ennek révén a HSZ összekapcsolja az aláíró nyilvános kulcsát és személyazonosságát. A megbízható rendszerek elküldhetik infrastrukturális és kontroll nyilvános kulcsaikat is a tanúsítvány előállításhoz tanúsítvány készítés céljából. Ez az infrastrukturális vagy kontroll tanúsítványokat eredményezi. A tanúsítvány előállítást követően a tanúsítvány közzétehető a tanúsítvány kibocsátás szolgáltatáson keresztül, az esetleges biztonságos aláíró-eszköz ellátás szolgáltatáson keresztül, vagy közvetlenül az aláírónak eljuttatva. Az infrastrukturális és kontroll tanúsítványok közvetlenül eljuttathatók a használatukat igénylő megbízható rendszerkomponensekhez. A tanúsítvány előállítás során biztosítani kell a tanúsítványt kérő üzenet sértetlenségét, az adatforrás hitelességét, és, ahol szükséges, annak bizalmasságát, illetve a személyiséghez fűződő jogok védelmét. Az üzenet feldolgozása során ellenőrizni kell, hogy az adatok megfelelnek-e az adott tanúsítvány típushoz kapcsolódó hitelesítési eljárásnak. A tanúsítvány előállítását megelőzően a megbízható rendszernek ellenőriznie kell a birtoklás bizonyítását, mely azt igazolja, hogy a tanúsítványt kérelmező személy valóban tulajdonosa annak a magánkulcsnak, melyhez tartozó nyilvános kulcsra kérelmezi a tanúsítványt A minősített tanúsítvány aláírására használt kulcsot csak minősített tanúsítványok aláírására szabad felhasználni. Ezen szolgáltatás keretében csak olyan tanúsítványokat szabad előállítani, amelyek megfelelnek a Szolgáltatási Szabályzatban meghatározott tanúsítvány típusoknak. A megbízható rendszer által kibocsátott minősített tanúsítványnak meg kell felelnie a Törvény 2. mellékletében meghatározott követelményeknek. Különösen az alábbi tulajdonságoknak kell meglenniük: a minősített tanúsítványban szerepelnie kell az aláíró nyilvános kulcsának, mely az aláíró magánkulcsának párja, a tanúsítványt a HSZ minősített tanúsítvány aláíró kulcsával kell aláírni, 19. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
a megbízható rendszer által adott tanúsítvány-azonosítónak, melynek a kibocsátó HSZ-re nézve egyedinek kell lennie, a minősített tanúsítványnak tartalmaznia kell egy érvényesség kezdetét, mely nem lehet az aktuális időpontnál korábbi, és egy érvényesség végét, mely nem lehet az érvényesség kezdete időpontnál korábbi, a megbízható rendszer által a minősített tanúsítvány aláírásához használt aláírási algoritmusoknak/kulcsoknak meg kell felelniük a 3. fejezetben leírt algoritmikus követelményeknek. A fentieken kívül a megbízható rendszer által kibocsátott minősített tanúsítványoknak ki kell elégíteniük a [ETSI TS 101 862]-ben meghatározott tanúsítvány profilokat. Ez a dokumentum meghatározza a megkövetelt alany (subject) és kibocsátó (issuer) mezőket, valamint az (opcionális) tanúsítvány kiterjesztéseket az alany könyvtárai, a tanúsítvány típus, a kulcshasználat, a biometrikus adatok tárolása és a minősített tanúsítvány deklarációja számára. 1.3.2.1.2.2 Tanúsítványfrissítés
Egy tanúsítvány frissíthető, mielőtt lejárna. A tanúsítvány frissítése a következőképpen történhet: újra hitelesítéssel – ekkor új tanúsítvány készül a már létező nyilvános kulcs felhasználásával, kulcs megújítással – ekkor új nyilvános kulcshoz készül tanúsítvány az előző tanúsítvány előállításakor rögzített regisztrációs információk felhasználásával. A tanúsítványfrissítés egyaránt vonatkozik az infrastrukturális, a kontroll és aláírói tanúsítványokra. A tanúsítványfrissítés során a megbízható rendszereknek garantálniuk kell a feldolgozás biztonságát a tanúsítvány helyettesítés támadás4 ellen. Az infrastruktúrális és kontroll tanúsítvány-megújításnak teljesítenie kell a kulcsfrissítés feltételeit is. Az infrastrukturális és kontroll kulcsok tanúsítványainak megújítása történhet on-line módon (kulcsfrissítéssel, vagy újra hitelesítéssel) illetve szokásostól eltérő (out-of-band) módon (azaz az informatikai rendszeren kívüli, pl. különböző szervezési, ügyrendi megoldásokkal). A minősített tanúsítvány aláíró kulcsokat, lejáratukat megelőzően meg kell újítani, (frissíteni kell). A megújított nyilvános kulcsoknak legalább az eredeti kibocsátásnak megfelelő megbízhatósági szintet kell biztosítani. Az új magánkulcs birtoklásának bizonyítását minimálisan az alábbi tanúsítványok egyikének kiadásával lehet elérni: egy olyan tanúsítvány kiadásával, melyben a régi nyilvános kulcsot az új magánkulcs írja alá, egy olyan tanúsítvány kiadásával, melyben az új nyilvános kulcsot a régi magánkulcs írja alá, egy új, önmagát aláíró tanúsítvány kiadásával (az új magán kulccsal aláírva). A megbízható rendszereknek biztonságos mechanizmusról kell gondoskodniuk az aláíró kulcsainak újrahitelesítésére és/vagy kulcsfrissítésre. Javasolt, hogy az aláírói tanúsítványok frissítésére a lejáratot megelőzően kerüljön sor, mivel ekkor az aláíró és a HSZ közötti üzenetek biztonságát a régi kulcsok/tanúsítványok támogathatják.
4
Ezt a támadás típust általában belső ember követheti el nem megfelelő biztonsági rezsimmel ellátott tanúsítványtár, címtár ellen 20. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
1.3.2.1.2.3 Felülhitelesítés (kereszt-tanúsítvány)
Ez a mechanizmus egyirányú vagy kölcsönös megbízható kapcsolatot tesz lehetővé két vagy több HSZ között. A válaszadó megbízható rendszer előállít egy kereszt-tanúsítványt a kérelmező megbízható rendszer számára, mely megadja saját nyilvános kulcsát a tanúsítványhoz. A válaszadó HSZ aláírói ezután megbízhatnak a kérelmező HSZ-ben (is). Ahol egy megbízható rendszer kereszt-tanúsítványt alkalmaz az egyirányú vagy a kölcsönös megbízhatóság kiépítésére más megbízható rendszerekkel, a folyamatnak biztosítania kell az alábbiakat: az üzenetek hitelességét és sértetlenségét mindkét megbízható rendszer számára; a kereszt-tanúsítvány üzenetek on-line módon végrehajtott, visszajátszáson alapuló támadása ne legyen lehetséges (pl. az üzenetben egyszer használt véletlen elemek közbeiktatásával). A kereszt-tanúsítványban szereplő nyilvános kulcs magánkulcs párjának – a kérelmező megbízható rendszer általi – birtoklásának bizonyítását. A válaszadó megbízható rendszernek tekintettel kell lennie arra, hogy a kérelmező megbízható rendszer által alkalmazott szabályzatban foglaltak elfogadhatóak-e a válaszadó megbízható rendszer aláírói/címzettjei számára. 1.3.2.1.2.4 A tanúsítvány előállítás naplózása Az alábbi, tanúsítvány előállítással kapcsolatos eseményeket kell naplózni:
minden olyan eseményt, amely a minősített tanúsítvány aláíró, infrastrukturális és kontroll kulcs tanúsítványainak életciklus kezeléséhez kapcsolódik, minden olyan eseményt, mely az aláíró tanúsítványainak életciklus kezelésével kapcsolatos minden kereszt-hitelesítési kérelmet és választ, minden üzenetet, melyet a rendszer a szolgáltatás nyújtása kapcsán küld és kap. 1.3.2.1.3 Tanúsítvány kibocsátás A tanúsítvány kibocsátással kapcsolatos biztonsági követelményeket az alábbi bontásban foglaljuk össze: kibocsátás kezelés, tanúsítványtár hozzáférés.
A tanúsítvány archiválása
A tanúsítvány érvényességének lejárása
Tanúsítvány iránti kérelem
A tanúsítvány visszavonása
Tanúsítvány iránti kérelem jogosságának vizsgálata
Tanúsítvány kibocsátása
A tanúsítvány életének újrakezdése A tanúsítvány felfüggesztése Ügyfél átveszi a tanúsítványt Ügyfél használja a tanúsítványt és a tanúsított kulcsot
10. ábra Tanúsítvány életciklusa 21. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
1.3.2.1.3.1 Kibocsátás kezelés
A megbízható rendszerek által történő tanúsítvány kibocsátásnak az aláíróra és azokra a címzett felekre kell korlátozódnia, akik megfelelnek az aláíró által meghatározott előírásoknak. 1.3.2.1.3.2 Tanúsítványtár hozzáférése
Tanúsítványtár létrehozatalakor meg kell határozni a hozzáférési jogosultságokat a tárolt adatokhoz való hozzáférés biztonságos kezeléséhez: olvasási jogosultságot kell kapniuk az aláíróknak, valamint a biztonsági szabályzatban meghatározott személyeknek, az írási jogosultságokat az arra jogosult munkakörökre kell korlátozni. 1.3.2.1.4 Visszavonás kezelés A visszavonás kezeléssel kapcsolatos biztonsági követelményeket az alábbi bontásban foglaljuk össze: tanúsítvány állapot változtatási kérelmek, tanúsítvány visszavonás/felfüggesztés, a visszavonás kezelés naplózása. 1.3.2.1.4.1 Tanúsítvány állapot változtatási kérelmek
Amennyiben egy aláíró megállapítja, hogy magánkulcsa kompromittálódhatott, a kulcs tanúsítványára vonatkozóan felfüggesztési kérelmet küld HSZ megbízható rendszerének. Az aláíró egy másik kérelemmel kezdeményezheti a tanúsítvány felfüggesztésének feloldását és (újra) használatba vételét. Ha az aláíró biztosan tudja, hogy magánkulcsa kompromittálódott, a tanúsítvány visszavonására küld kérelmet HSZ megbízható rendszerének. A HSZ ezen szolgáltatáson keresztül kérhet tanúsítvány állapot változtatást is. A tanúsítvány állapot változtatási kérelmek hitelesített üzenetek és a HSZ elfogadhatja vagy visszautasíthatja őket. A kontroll és infrastrukturális tanúsítványok állapotát is lehet e szolgáltatáson keresztül kezelni. A visszavonással és/vagy felfüggesztéssel kapcsolatos kérelmeket és jelentéseket haladéktalanul végre kell hajtani. Egy visszavonási, illetve felfüggesztési kérelem és a tanúsítvány állapot információban bekövetkező változás között eltelt maximális idő nem lépheti túl a 24 órát. Megjegyzés: Vhit + Vüt < 24 óra, így a megbízható rendszernek Vüt-ön belül kell képesnek lennie a kérés feldolgozására, ahol: Vhit a visszavonás hitelesítés időigénye (procedurális vagy automatikus), Vüt pedig a visszavonási üzenet közzétételi időigénye (a visszavonás kezelés szolgáltatástól a visszavonás státus szolgáltatásig). Minden felfüggesztésre, felfüggesztés megszüntetésére és visszavonásra vonatkozó kérelmet megfelelő módon hitelesíteni és érvényesíteni kell. A megbízható rendszernek biztosítania kell, hogy amennyiben egy tanúsítvány visszavonásra került, azt nem lehet újra használatba venni. A minősített tanúsítvány aláíró és infrastrukturális kulcsokhoz tartozó tanúsítványok visszavonása csak kettős ellenőrzés mellett hajtható végre. Az állapot megváltoztatását csak a következők kezdeményezhetik: 22. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
az infrastrukturális/kontroll tanúsítványokra vonatkozóan a biztonsági felelős, az aláírók tanúsítványaira vonatkozóan a regisztrációs / biztonsági felelős, saját tanúsítványaikra vonatkozóan az aláírók. A tanúsítvány állapot adatbázist azonnal frissíteni kell, ha egy kérelem feldolgozása befejeződött (Vhit leteltével). 1.3.2.1.4.2 Tanúsítvány felfüggesztés/visszavonás
Amennyiben a megbízható rendszer felfüggesztési vagy visszavonási kérelmet kap, a tanúsítvány állapotát megváltoztatja “felfüggesztett”5, vagy “visszavont” értékre (11. ábra Tanúsítvány visszavonás). A HSZ felelős a visszavonási állapot szolgáltatásban a tanúsítványok állapotának frissítéséért és közzétételéért (11. ábra Tanúsítvány visszavonás). Ezt a megbízható rendszerek az alábbi módon valósíthatják meg: időszakos üzenetekkel: a visszavonás kezelési rendszertől a visszavonás állapot közzétételhez időszakosan kerülnek át a frissítő üzenetek (pl. CRL-ek, ARL-ek használatával) valós idejű üzenetekkel: egy állapot kérelem révén a rendszer lekérdezi a tanúsítvány állapot adatbázist, a kérdés nyomán egy állapot válasz keletkezik, ennek alapján a visszavonás állapot közzététel az aktuális állapotot beállítja. Egy megbízható rendszernek képesnek kell lennie – üzemzavar esetén vagy katasztrófa helyzetben is – minden, általa kibocsátott tanúsítvány visszavonására. Időszakos frissítő üzenetek használata esetén a következő követelményeket kell kielégíteni a megbízható rendszernek: off-line állapottár esetén (pl. a CRL könyvtárakon keresztül érhető el) a tanúsítvány visszavonási állapotot legalább naponta frissíteni kell, on-line állapottár esetén (pl. OCSP válaszadó esetén) a tanúsítvány állapotot akkor kell frissíteni, amikor az állapotváltozás történik és ezen kívül legalább naponta, minden frissítő üzenetnek tartalmaznia kell az üzenet kibocsátójának nevét és digitális aláírását, a kibocsátónak a címzett számára vagy közvetlenül megbízhatónak kell lennie, vagy a visszavonási állapot közzététel által válik azzá, mely megbízható a címzett fél számára, az üzeneteknek elég pusztán csak azt jelölniük, hogy mely tanúsítványok vannak felfüggesztve ill. visszavonva, ajánlatos, hogy a lista minden tanúsítványa esetében a tanúsítvány sorszáma és az állapot megváltozásának oka szerepeljen az üzenetben. Valós idejű állapot üzenet használata esetén a megbízható rendszernek a következő követelményeket kell kielégítenie: ha a visszavonási állapot szolgáltatás kérdezi egy tanúsítvány állapotát, a tanúsítvány állapot adatbázisnak az adott tanúsítvány aktuális állapotának megadásával kell válaszolnia, a visszavonás kezelés szolgáltatás és a visszavonási állapot szolgáltatás között megbízható útvonalnak kell léteznie,
5
Felfüggesztett állapotúnak észlelt digitális aláírással ellátott elektronikus dokumentum kezelését jogilag szabályozni kell. Az időpecsét szerepét az elektronikus dokumentumon, a digitális aláírás tanúsítványának felfüggesztési tájékoztató információján. 23. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
ezt a megbízható útvonalat úgy kell kiépíteni, hogy az üzenetküldésre végrehajtható „szolgáltatás megtagadás”6 támadás kockázata minimális legyen, a kérés és válasz üzeneteket védeni kell a visszajátszáson alapuló támadások ellen (pl. egyszer használatos véletlen adatok felhasználásával). 1.3.2.1.4.3 A visszavonás kezelés naplózása
Az alábbi, a visszavonás kezelésre jellemző eseményeket kell naplózni: minden tanúsítvány állapot változási kérelmet, akár jóváhagyott, akár elutasított, minden (valós idejű, vagy időszakos) üzenetet, melyet a rendszer a szolgáltatás nyújtása kapcsán küld és kap. 1.3.2.1.5 Visszavonási állapot közzététel A visszavonási állapot közzététel biztosítja az érintett felek számára a tanúsítvány visszavonási állapotára vonatkozó információkat. A visszavonási állapot közzététellel kapcsolatos biztonsági követelményeket az alábbi bontásban foglaljuk össze: visszavonási állapot üzenetek, állapot kérés/válasz, a visszavonási állapot naplózása.
6
Túlterheléses támadás, angolul „denial of service”, a kiszolgáló gépek feldolgozási kapacitását kötik le valamilyen informatikai eszközökkel végrehajtott támadással 24. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek Informatikai alkalmazás kliens oldal
Informatikai alkalmazás kliens oldal
Tanúsítvány érvényesség ellenőrzési kérelem 1
Tanúsítvány érvényesség ellenőrzési kérelem 5
HSz
HSz
Nem valós idejű tanúsítvány érvényesség ellenőrzés
Valós idejű tanúsítvány érvényesség ellenőrzés
Tanúsítvány érvényesség ellenőrzési kérelem Köztisztviselő 1
4 Értesítés visszavonásrál
HSz
Tanúsítvány visszavonása
D1
Visszavonási lista
Köztisztviselő Értesítés Regisztrációs hatóság 2
Visszavonási kérelem 2 Értesítés 3
HSz
Visszavonás iránti kérelmek feldolgozása
HSz
Intézkedés a feldfüggesztésről
Értesítés a felfüggesztésről
Visszavonási kérelem
D2
Regisztrációs hatóság 2
Visszavonási kérelmek
11. ábra Tanúsítvány visszavonás 1.3.2.1.5.1 Visszavonási állapot üzenetek
A Visszavonási állapot közzététel tükrözi a tanúsítvány állapotának változásait a változtatási kérelmeknek megfelelően, függetlenül attól, hogy az aláíró vagy a HSZ kezdeményezte a szolgáltatást. A visszavonási állapot közzététel csak megbízható visszavonás kezelő rendszerektől származó valós idejű vagy időszakos üzeneteket vehet át feldolgozásra. 25. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
A szolgáltatásnak ellenőriznie kell a neki küldött valós idejű vagy időszakos frissítő üzenetek hitelességét és sértetlenségét. T a n úsítvá n y vissza von á s Ü gyfé l
R e gisztrá ció s H a tó sá g R e gisztrá ciós h ató s á g
H ite le sítő sze rve ze t
In fo rm a tika i a lka lm a zá s
V isszavon ás i kérele m
B árm e lyik k ezde m é nye z he ti
V isszavon ási ké re lem K ö ztisztvise ló
V is s zavon ás i k érele m H elyi re gisztrá ciós ha tósá g
K érele m fe ld olg ozás
Info rm áció k a ta nú sítván y á llap otá ró l K öztisztviselő F e lfüg ge szté s
In form á ciók a tan úsítvá ny álla po táról
A z in fo rm áció k h elyes s é g én ek elle nő rzése
V isszavon ási lista
D ön tés a vis s zavo ná s ról É rtesítés
Ig en / N em
K lie ns alk a lm a zá s
R e gisztrá ciós h atós á g V issza von ás i lista
T a nú sítván y e llen őrzés e irán ti kére lem
K ö ztisztvise ló II.
T an ús ítvá ny elle nő rzé se irá nti k érele m T an ús ítvá ny elle nő rzés
12. ábra Tanúsítvány visszavonás folyamata 26. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
On-line szolgáltatást nyújtó megbízható rendszernek meg kell győződnie arról is, hogy a visszavonási állapot adatbázistól kapott válaszok valóban a kért tanúsítványokra vonatkoznake. 1.3.2.1.5.2 Állapot kérés/válasz
Miután az érintett felek megkapták a tanúsítvány(oka)t a tanúsítvány kibocsátótól, ellenőrizniük kell az aláírást, s ehhez ezen tanúsítványok állapotának ellenőrzésére is szükségük van. A HSZ ehhez egy visszavonási állapot szolgáltatást biztosít. Ez a visszavonási állapot szolgáltatás lehet “on-line” szolgáltatás (valós idejű tanúsítvány állapotokat biztosítva) vagy “off-line” szolgáltatás (ahol a tanúsítvány állapot nem valós idejű). Amennyiben “on-line” szolgáltatás valósul meg, az érintett fél kommunikál a visszavonási állapot szolgáltatással, és részleteket közöl arról a tanúsítványról, melynek állapotát kéri. A visszavonási állapot szolgáltatás egy valós idejű üzenettel lekérdezést valósít meg a visszavonási állapot adatbázisra vonatkozóan, hogy megszerezze a kívánt tanúsítványra vonatkozó aktuális állapot információt. Ezután létrehozza a választ és elküldi az érintett félnek a kért tanúsítvány(ok)ra vonatkozó állapot információt. Off-line szolgáltatás esetén a visszavonási állapot szolgáltatás a legutolsó időszakos frissítés eredményét tartalmazza. Az érintett fél ezt kaphatja meg a tanúsítvány állapot ellenőrzésére. A megbízható rendszerek kérhetik, hogy az érintett felek digitálisan írják alá tanúsítvány állapotra vonatkozó kéréseiket. A megbízható rendszerek opcionálisan gondoskodhatnak e párbeszédek bizalmasságáról és sértetlenségéről is. Állapot-kérelmeket generálhatnak maguk a megbízható rendszerek is a minősített tanúsítvány aláíró-, infrastrukturális- és kontroll tanúsítványok állapotának megállapításához. A visszavonási állapot szolgáltatásnak minden tanúsítvány állapot választ digitálisan alá kell írnia saját infrastrukturális kulcsaival. A válasz aláírására használt kulcs lehet: az érintett fél által közvetlenül megbízhatónak minősített kulcs, vagy az érintett fél által megbízhatónak tekintett HSZ által kibocsátott kulcs. A válasz üzenetnek tartalmaznia kell azt az időt, amikor a visszavonási állapot szolgáltatás aláírta a választ. 1.3.2.1.5.3 A visszavonási állapot naplózása
Az alábbi, visszavonási státus szolgáltatásra jellemző eseményeket kell naplózni: minden tanúsítvány állapot kérelmet és választ, minden (valós idejű, vagy időszakos) üzenetet, melyet a rendszer a szolgáltatás nyújtása kapcsán küld és kap.
27. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
1.3.2.2 Időbélyegzés A 13. ábra mutatja be az időbélyegzés szolgáltatást nyújtó Szolgáltató (ISZ) funkcióit, e fejezetben hivatkozni fogunk erre az ábrára. Az időbélyegzéssel kapcsolatos biztonsági követelményeket az alábbi bontásban mutatjuk be: a kérelem helyességellenőrzése, az időadat előállítása, az időbélyeg előállítása, az időbélyeg aláírása, az időbélyegzés naplózása. 2 1
ISZ
Időparaméter előállítása
UTC /RFC
Időjel előállítás 3
ISZ
Időbélyeg előállítása D3
Szolgáltatási szabályzatok
D1
D4
Sorszám D2
5
Személy adatok Tanúsítványtár
ISZ
4
ISZ aláíró kulcsa
ISZ
Időbélyeg kiszámítása
Sorszám előállítás D5
5
HSz / ISz
A Kérés helyességének ellenőrzése
Lenyomatképző algoritmus
D6
ISZ tanúsítványa
D7
Visszavonási lista
Ügyfél
13. ábra Időbélyegzés
1.3.2.2.1 Kérelem helyességellenőrzése Ez a komponens a kérelem helyességének és teljességének az ellenőrzését végzi. Amennyiben az eredmény pozitív, az adatelem továbbításra kerül az időbélyeg előállításhoz. Az ISZ ellenőrizheti minden kérelem származását, mielőtt annak helyességét ellenőrizné. Egy lehetséges megoldás erre valamilyen adatforrás hitelesítési mechanizmus alkalmazása. Az ISZ-nek ellenőriznie kell, hogy az időbélyeg kérelem elfogadott lenyomatképző (hash) algoritmust használ-e. Az elfogadott lenyomatképző algoritmusok a 3. fejezetben kerülnek meghatározásra. 1.3.2.2.1.1 Időadat előállítása
Az időadatot megbízható időforrás szolgáltatja. Az ISZ által használt megbízható időforrással szembeni követelmény szigorúbb, mint az, amelyet „Időszinkronizáció követelmény” rögzít. 28. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
Az ISZ időforrását (vagy időforrásait) szinkronizálni kell az ú.n. összehangolt egységes idő (Co-ordinated Universal Time – UTC) 0,1 másodperces időtartamán belül. Ez a forrás ugyanaz is lehet. Időbélyegzéshez két független megbízható időforrást kell alkalmazni. 1.3.2.2.1.2 Időbélyeg előállítása
E funkció időbélyeget hoz létre úgy, hogy összeköti az aktuális időt (az időadatot), egy egyedi sorszámot és az időbélyeggel ellátni kívánt adatot, egyúttal biztosítja a betartandó biztonsági szabályzat követelményeit is. Az időbélyegben használt sorszámnak egyedinek kell lennie az ISZ-re nézve. Ezt a tulajdonságot meg kell őrizni a szolgáltatás lehetséges megszakadása (összeomlás) után is. Az időadaton kívül az időbélyegnek tartalmaznia kell a használt időforrások pontosságát is, amennyiben az jobb, mint az ISZ szabályzata által megkívánt pontosság. Jelezni kell az időbélyeg előállításával kapcsolatos szabályzatokat. E követelmény részletei kívül esnek jelen dokumentum hatókörén, de pl. megadhatják az időbélyeg alkalmazhatóságának feltételeit.
29. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
Időbélyeg előállítása Ügyfél
Köztisztviselő
Időbélyeg Szolgáltató
Hitelesítő szervezet
Időjel előállító
Időbélyeg kérése elektronikus dokumentumra
Időbélyeg kérelem fogadása
Nem Elutasítás
kérelem érvényességének ellenőrzése
Tanúsítványtár Személyi adatok
Időjel előállítása
A kérelem érvényes Időparaméter előállítása
Időbélyeg előálítása Igen Visszavonási lista
ISz aláíró kulcsa
Időbélyeg kiszámítása
ISZ tanúsítványa
Köztisztviselő
Időbélyeg Elelktronikus dokumentumon
Tanúsítványtár Személyi adatok
14. ábra Időbélyeg előállítás folyamatábrája
30. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
1.3.2.2.1.3 Időbélyeg kiszámítása
Ez a komponens számítja ki a klienshez visszatérő időbélyeget. Az időbélyeg előállítási funkció által visszaadott adatot kriptográfiailag hatékony módon aláírja. Megjegyzés: Az időbélyeg kiszámítása magában foglalhatja az ISZ tanúsítványát és más kapcsolódó tanúsítvány állapot információját, bár javasolt, hogy az érintett fél a visszavonási állapot szolgáltatást használja a tanúsítvány állapot információ elérésére. Az ISZ aláíró kulcsait biztonságos kriptográfiai modulban kell előállítani és tárolni. A TS4.1-ben említett kriptográfiai modulnak tanúsítvánnyal igazoltan meg kell felelnie az alábbi szabványok legalább egyikének: (FIPS 140-1), 4-es vagy magasabb szint, ITSEC E3-as vagy CC EAL 4-es, illetve ezeknél magasabb szint, (amennyiben az értékelt funkcionalitás tekintetében kimutatást nyert, hogy az megfelel az ISZ szolgáltatásait megvalósító kriptográfiai modul követelményeinek), [CEN HSM-PP]. Az ISZ kontroll kulcsait biztonságos kriptográfiai modulban kell tárolni. A kriptográfiai modulnak tanúsítvánnyal igazoltan meg kell felelnie az alábbi szabványok legalább egyikének: (FIPS 140-1), 4-es vagy magasabb szint, ITSEC E3-as vagy CC EAL 4-es, illetve ezeknél magasabb szint, (amennyiben az értékelt funkcionalitás tekintetében kimutatást nyert, hogy az megfelel az ISZ szolgáltatásait megvalósító kriptográfiai modul követelményeinek), [CEN HSM-PP]. Az időbélyegzéshez használt aláíró kulcsokat kizárólag az adott ISZ által létrehozott időbélyegek aláírására szabad használni. Az ISZ-nek biztosítania kell, hogy az időbélyeg válasz – az időbélyegzéssel összefüggésben hozzáadottaktól eltekintve – ugyanazokat az adatokat tartalmazza, melyeket a kérelem tartalmazott. 1.3.2.2.1.4 Az időbélyegzés naplózása
Az alábbi, időbélyegzésre vonatkozó műveleteket, ill. eseményeket kell naplózni: minden olyan eseményt, amely az ISZ tanúsítvány-, ill. kulcsfrissítési kérelméhez kapcsolódik, minden olyan eseményt, amely az ISZ aláíró kulcs életciklus kezelésével kapcsolatos, minden olyan hibát, mely a megbízható időforrást érinti, beleértve az elfogadott tűréshatáron kívüli időeltérést. 1.3.2.3 Aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése Az aláírás-létrehozó adat elhelyezésével kapcsolatos biztonsági követelményeket az alábbi csoportosításban foglaljuk össze: aláírás-létrehozó eszköz előkészítése, az aláíró eszköz kiadása, az aktivizáló adatok előállítása és kiadása. 31. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
1.3.2.3.1 Aláírás-létrehozó eszköz előkészítés Az ESZ megbízható rendszere előkészíti az aláírás-létrehozó eszközt, inicializálja, formázza és kialakítja a fájl struktúrát. Ezen kívül a megbízható rendszer: létrehozza a magán/nyilvános kulcspárt, és betölti a magánkulcsot az eszközbe, vagy amennyiben ez lehetséges, utasítást ad az eszköznek az eszközön belüli kulcspár létrehozásra. Amennyiben az aláírás-létrehozó eszközt harmadik fél biztosítja az ESZ-nek, az aláíráslétrehozó eszköz előkészítése előtt ellenőrizni kell, hogy az aláírás-létrehozó eszköz a Hírközlési Főfelügyelet által nyilvántartásba vett biztonságos aláírás-létrehozó eszköz-e. Az aláírás-létrehozó eszköz előkészítését biztonságos környezetben kell végrehajtani. Az inicializálás, formázás és fájl-struktúra kialakítás során biztonságos értékeket, paramétereket és hozzáférés ellenőrzési feltételeket kell használni, s ez által biztonságos konfigurációt kell kialakítani az eszközön. Ha a kulcspár előállítása az aláírás-létrehozó eszközön kívül történik, a kulcspárt előállító kriptográfiai eszköznek tanúsítvánnyal igazoltan meg kell felelnie az alábbi szabványok, szabványjellegű dokumentumok legalább egyikének: [FIPS 140-1], 4-es szint, [CEN HSM - PP], [CEN SSCD - PP]. Ha a kulcspár előállítása az aláírás-létrehozó eszközön kívül történik, a kulcspárt biztonságos módon kell az aláírás-létrehozó eszközbe juttatni, az alábbi értelemben: A kriptográfiai eszköz és az aláírás létrehozó eszköz között biztonságos útvonalnak kell lennie, melynek forráshitelesítést, sérthetetlenséget és bizalmasságot kell biztosítania megfelelő kriptográfiai mechanizmusok használatával. Ha a kulcspár előállítása az aláírás-létrehozó eszközön kívül történik, a kulcspárnak az aláírás-létrehozó eszközben történt elhelyezése után a kulcspárt biztonságos módon meg kell semmisíteni. 1.3.2.3.2 Aláíró-eszköz kiadás Az aláíró-eszköz kiadás funkció az aláíró-eszköz előkészítés utáni szétosztását jelenti a megbízható rendszer által, az aláíró részére. Az ESZ-nek biztosítania kell, hogy az aláírás-létrehozó eszköz a szándék szerinti, hitelesített aláíróhoz kerül. 1.3.2.3.3 Aktivizáló adatok létrehozása és kiadása Az aláíró-eszköz tartalmát aktivizáló (nem nyilvános, „titkos”) adatok védik. A megbízható rendszer felelős a kezdeti aktivizáló adatok előállításáért és ezeknek az aláíró számára történő biztonságos továbbításáért. A megbízható rendszernek a kezdeti aktivizáló adatokat biztonságos módon kell előállítania. Az aktivizáló adatokat az aláírás-létrehozó eszköztől elkülönítve kell eljuttatni az aláíróhoz. 32. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
A megbízható rendszernek biztosítania kell, hogy az ESZ alkalmazottai nem élhetnek vissza az aláírás-létrehozó eszközzel. Ez elérhető: az aláírás-létrehozó eszköz előkészítése és továbbítása során alkalmazott biztonsági eljárásokkal, vagy olyan eszközzel, melynek segítségével az aláíró ellenőrizheti, hogy a magánkulcsot használták-e azelőtt, mielőtt azt megkapta volna. 1.3.2.4 Sifrírozó kulcsok biztonságos tárolása és visszaállítása Az aláírásra használt kulcspár magán7 elemének tárolására és visszaállítására semmi szükség nincs, sőt egy ilyen eljárás alapjaiban rengetné meg a digitális aláíráshoz kötődő bizalmi rendszert. Ha az aláíró kulcs sérül, elveszik, nyilvánosságra kerül, akkor a helyes eljárás új kulcsok és tanúsítványok kibocsátása. Az elektronikus levelek, dokumentumok védelmére használt Sifrírozó kulcsok visszafejtésre használt párját (a kulcs privát, magántulajdonnak tekintendő részét) célszerű megfelelő biztonságos körülmények között tárolni arra az esetre, ha az elveszne, a hordozó, tároló eszköz megsemmisülne, stb.
7
Ld. 16/2001 19§. 33. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
1.4 Regisztrálás A kormányzati hitelesítés szolgáltató a hozzá csatlakozó regisztrációs szolgáltatók közreműködésével regisztrációt biztosít az egyének és cég képviselők számára. Ezek a közigazgatásban dolgozók köréből kerülnek ki. A kormányzati hitelesítés szolgáltató és a különböző regisztrációs szervezetek (közigazgatási szervezetek humánpolitikai részlegei) közötti információcsere csak kölcsönös azonosítást és a védett adatátvitelt biztosító hálózatokon (VPN) folyhat. A kormányzati hitelesítés szolgáltató akkor fogadja az egyén regisztrációs kérelmét, ha − a közigazgatási szervezet munkáltatói jogot gyakorló vezetője ezt írásban és/vagy elektronikus dokumentumban kéri a humánpolitikai egységén, mint helyi regisztrációs szervezeten keresztül; − egy hiteles közigazgatási alkalmazáshoz kíván hozzáférni, és ezen kitöltötte az előzetes on-line felhasználói jogosultság kérő űrlapot (amely másolatát megkapja a kormányzati hitelesítés szolgáltató központi regisztrációs szervezete is).
1.4.1 Helyi és kormányzati regisztrációs ügyintéző A regisztrációs feladatokat célszerű az illetékes, minisztérium, tárca, hivatal, stb. személyügyi részlegéhez telepíteni. A hitelesítő szolgáltatás informatikai rendszerének általában része egy olyan regisztrációs eszköz, amely egy böngészőn keresztül (WEB-es) használható informatikai felületen keresztül segíti a regisztráció folyamatát. Ennek használatára ki kell képezni egy ügyintézőt, megfelelő aláírás készítő eszközzel el kell látni, a feladatához illeszkedő tanúsítványt és a tanúsítvány szintjéhez és feladathoz kötődő jogosítványokkal kell ellátni. Ennek az ügyintézőnek lesz a feladata a „regisztrációs ügyintéző” munkakörének ellátása.
1.4.2 Egyéni regisztráció Amikor egy személy kormányzati tanúsítványért folyamodik a kormányzati regisztrációs szervezet, illetve a hitelesítés szolgáltató köteles: − Azonosítania magát (amennyiben a regisztráció on-line kerül lebonyolításra), mielőtt bármilyen személyes adatot megkérdezne. (Ez a közigazgatáson belül, illetve az okmányirodáknál történő személyes igénylésnél magától értendő folyamat). − Tájékoztatnia kell a tanúsítvány igénylőt, hogy a megadott/bemutatott személyi azonosító információk ellenőrzését első fokon a kapcsolatot tartó regisztrációs szervezet végzi. − A tanúsítványigénylőnek nyilatkoznia kell, hogy beleegyezik a bemutatott személyi azonosító információk regisztrációs szervezet által történő ellenőrzésébe. − Biztosítani kell a személy minden átadott/adatátviteli hálózaton továbbított információjának védelmét a regisztrációs folyamat teljes tartama alatt.
1.4.3 Közigazgatási alkalmazás regisztrálása Amikor egy személy a közigazgatási alkalmazás megbízott felelőseként kormányzati tanúsítványért folyamodik a kormányzati regisztrációs szervezet, illetve a hitelesítés szolgáltató köteles: − Azonosítania magát a közigazgatási alkalmazás megbízott felelőse előtt (amennyiben a regisztráció on-line kerül lebonyolításra), mielőtt bármilyen azonosító adatot megkérdezne. − Tájékoztatnia kell a közigazgatási alkalmazás megbízott felelősét, hogy a megadott/bemutatott személyi, munkajogi azonosító információk ellenőrzését első fokon a kapcsolatot tartó regisztrációs szervezet végzi.
Egy kormányzati elektronikus rendszer tipikus szervezési elvei − −
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
A tanúsítványigénylőnek nyilatkoznia kell, hogy beleegyezik a bemutatott személyi és munkajogi azonosító információk regisztrációs szervezet által történő ellenőrzésébe. Biztosítani kell a közigazgatási alkalmazás megbízott felelőse által átadott/adatátviteli hálózaton továbbított minden információ védelmét a regisztrációs folyamat teljes tartama alatt.
1.4.4 Azonosság ellenőrzése A kormányzati regisztrációs hatóság (KRH) az egyének (köztisztviselők) által megadott azonosító információkat köteles leellenőrizni, még abban az esetben is ha helkyi regisztrációs hatóságok bizonyos ellenőrzéseket már elvégeztek. Ez utóbbi esetben a tanúsítvány, illetve az intelligens kártya alapú igazolvány kibocsátásához minden elégséges információ rendelkezésre áll, az adatok ellenőrzését az igénylést támogató/kezdeményező szerv végzi, ezért az ellenőrzési adatokat sem kell központilag tárolni. A közigazgatási alkalmazások hiteles tanúsításának feltételeit azonban ellenőriznie kell a kormányzati hitelesítő központnak. A tanúsítvány igénylő azonosító adatainak vételét követően a kormányzati hitelesítő központ a BM Központi Hivatal nyilvántartásaiban, illetve más állami nyilvántartásokban leellenőrzi az adatok helytállóságát. A szóba jövő nyilvántartások: − APEH, adóazonosítójel alapján; − OEP / ONYF TAJ szám alapján; − Nemzetbiztonsági szolgálatok, − Felmerülhetnek esetleg egyéb priorálások is. A tanúsítvány igénylő azonosságát az alábbiak alapján kell ellenőrizni: − Az azonosító adatok keresztellenőrzése több, egymástól független forrású adatbázisban; − A tanúsítvány igénylő által megadott alábbi adatokat kell ellenőrizni: − Vezetéknév, utónév (utónevek). − Lakcím (helység, utca, házszám, (emelet, ajtó), postai irányítószám, telefonszám). − A kormányzati hitelesítő központ elsődleges regisztrációs szervezetei a tanúsítvány igénylő által bemutatott (hivatkozott) minimum három igazolás alapján kell elvégezzék az ellenőrzést. A bemutatott igazolások közül legalább egy valamely megelőző személyi azonosítási eljárás alapján vagy ezzel ekvivalens eljárás szerint kiadott okmány legyen. A szóba jöhető kiinduló ellenőrzési adatok: − Személyi igazolvány (személyi azonosító) szám. − Útlevélszám. Érvényes gépjárművezetői igazolvány száma. − Társadalombiztosítási szám. − Adószám. − Magyarigazolvány, menekült, illetve letelepedési igazolvány száma. − Jelenlegi munkaadó neve, címe (helység, utca, házszám, (emelet, ajtó), postai irányítószám) és a telefonszám (és/vagy munkáltató azonosító, illetve adószáma). − Születési idő. − Születési hely. Amennyiben az igénylő cég képviseletében, annak megbízottjaként kéri a tanúsítványt a regisztrációs szervezet, meg kell, győződjön arról, hogy az igénylő, mint alkalmazott, partner, tag, ügynök, vagy más minőségben a cég hivatalosan megbízott képviselője. A kormányzati hitelesítő központ elsődleges regisztrációs szervezetei a cég képviselő azonosításához az alábbiakat kell, ellenőrizze: 35. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei −
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
A cég/szervezet érvényes címe (helység, utca, házszám, (emelet, ajtó), postai irányítószám) és a telefonszám. − A cég bejegyzett, hivatalos megnevezése. − A cég, vállalkozás típusa. − Az alapítási év. − A cég vezetőinek, tisztségviselőinek neve. − Jelenlegi címe (helység, utca, házszám, (emelet, ajtó), postai irányítószám) és a telefonszám. − A működés jelenlegi állapota. A mennyiben a tanúsítványt közigazgatási alkalmazáshoz igénylik a kormányzati hitelesítő központ elsődleges regisztrációs szervezetei az alábbiakat kell, ellenőrizze: − Az igénylőnek megvan a felhatalmazása, hogy eljárjon közigazgatási alkalmazás ügyeiben. − A tanúsítványigénylő és a közigazgatási alkalmazás szervezeti (biztonsági), munkajogi kapcsolata.
1.4.5 Funkcióhoz kötött (közszolgálati felhatalmazottja) regisztráció
szerv
vagy
magán
cég
Amikor egy közszolgálati szerv vagy magán cég megbízottja kormányzati tanúsítványért folyamodik a kormányzati regisztrációs szervezet, illetve a hitelesítés szolgáltató köteles: − Azonosítani magát (amennyiben a regisztráció on-line kerül lebonyolításra), mielőtt bármilyen azonosító adatot megkérdezne. (Ez a közigazgatáson belül, illetve a regisztrációs hivatal helyiségében történő személyes igénylésnél magától érthető, és kölcsönös folyamat). − Tájékoztatni kell az igénylőt, hogy a megadott/bemutatott személyi, munkajogi azonosító információk ellenőrzését első fokon a kapcsolatot tartó helyi regisztrációs szervezet (LRA) végzi. − A tanúsítványigénylőnek nyilatkoznia kell, hogy beleegyezik a bemutatott személyi és munkajogi azonosító információk regisztrációs szervezet (RH) által történő ellenőrzésébe. − Biztosítani kell az igénylő minden átadott/adatátviteli hálózaton továbbított információjának védelmét a regisztrációs folyamat teljes tartama alatt. Amennyiben az előfizető tanúsítványával jogosultságot szerez olyan közigazgatási alkalmazás használatához, melyre jogszabályi rendelkezés költségtérítést, díjat ír elő, a kormányzati hitelesítő központ a tanúsítványért pénzt kérhet. Bármilyen hasonló díj beszedése esetén a begyűjtött összeget a közigazgatási alkalmazás és a kormányzati hitelesítő központ között elszámolásra kerülő üzemeltetési/fejlesztési költség fedezésére kell fordítani. Funkcióhoz kötött előfizetői tanúsítvány (közszolgálati szerv vagy magán cég felhatalmazottja)
Egyén (közigazgatási kiadmányozási joggal rendelkező egyén, illetve közigazgatási alkalmazói rendszer adminisztrátora, vagy privát cég képviselője), aki felhatalmazással rendelkezik a kormányzati alkalmazás (az üzleti vállalkozás) ügyeiben eljárni.
Lehetővé teszi, hogy egy közigazgatási szerv vagy magáncég képviselője elektronikus eszközökkel hitelesen azonosíthassa magát a közigazgatási alkalmazásokkal kapcsolatban üzleti vonatkozású tevékenységet folytasson, valamint ellenőrizni lehessen az elektronikus aláírásával ellátott dokumentumokon/tranzakciókon az elektronikus aláírás 36. oldal, összesen: 65
MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek hitelességét, ezzel a dokumentum/tranzakció teljességét és letagadhatatlanságát.
1.4.6 Eredményes azonosság ellenőrzés igazolása Amennyiben a kormányzati hitelesítő központ a tanúsítványigénylő azonosságának ellenőrzését sikeresnek találja, értesítenie kell a az igénylőt erről és legalább az alábbi tranzakciós adatokat rögzítenie kell: − Az igénylő neve, olyan formában, ahogy a tanúsítvány jellemző név (Common Name) mezőjében meg fog jelenni. − Az igénylés módja (azaz, on-line, személyesen). − Minden ellenőrzésre elfogadott adatelemre, beleértve az elektronikus formát is: − Az azonosság ellenőrzésre bemutatott okmány, dokumentum megnevezése. − A kiadó hatóság. − A kiadás dátuma. − Az érvényesség (lejárat) dátuma. − Az ellenőrzött adatok felsorolása − Az ellenőrzés forrása (pl. milyen adatbázisokat használt a keresztellenőrzéshez). − Az ellenőrzés módja (pl. on-line, személyesen). − Az ellenőrzés ideje (év/hó/nap, óra:perc). − Az ellenőrzést végző regisztrációs szervezet megnevezése. − Az ellenőrzéssel kapcsolatos minden hibaüzenet és kód. − Az ellenőrzési folyamat befejezésének dátuma/ideje. − Az ellenőrzést végzők neve, azonosító száma.
1.4.7 Elutasított azonosság ellenőrzés Amennyiben a kormányzati regisztrációs szervezet és a hitelesítő központ a tanúsítványigénylő azonosságának ellenőrzésekor az igénylőt nem találja alkalmasnak, az ellenőrzési hiba okáról értesítenie kell. Az értesítést az ellenőrzési folyamattól függetlenül, papíralapon az igénylő értesítési (lak)címére továbbított levélpostai formában kell elküldeni. A regisztrációs szervezet fel kell függessze az igénylő regisztrációs eljárását a Szolgáltatási Szabályzatban, (CPS-ben) meghatározottak szerint, és legalább az alábbi tranzakciós adatokat meg kell küldenie az igénylőnek: − Az ellenőrzési folyamat hibájának megnevezése. − A fellebbezés módja a regisztráció folytatásához. A regisztrációs szervezet köteles rögzíteni az alábbi tranzakciós adatokat: − Az igénylő neve, olyan formában, ahogy a tanúsítványigénylési űrlapon szerepel. − Az igénylés módja (azaz on-line, személyesen) − Minden ellenőrzésre elfogadott adatelemre, beleértve az elektronikus formát is: − Az azonosság ellenőrzésre bemutatott okmány, dokumentum megnevezése. − A kiadó hatóság. − A kiadás dátuma. − Az érvényesség (lejárat) dátuma. − Az ellenőrzött adatok felsorolása. 37. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Az elektronikus aláírással kapcsolatban megjelenő szereplők, szervezetek
− Az ellenőrzés forrása (pl. milyen adatbázisokat használt a keresztellenőrzéshez). − Az ellenőrzés módja (pl. on-line, személyesen). − Az ellenőrzés ideje (év/hó/nap, óra:perc). Az ellenőrzést végző regisztrációs szervezet megnevezése. Az ellenőrzés során hibásnak talált mezők. A jelen ellenőrzési folyamat állapot jellemzője (felfüggesztve vagy lezárva) Minden az igénylő által az azonosítás ellenőrzéshez megadott adat. − Az ellenőrzéssel kapcsolatos minden hibaüzenet és kód. − Az ellenőrzési folyamat befejezésének vagy felfüggesztésének dátuma/ideje. − Az ellenőrzést végzők neve, azonosító száma.
− − − −
Hálózat biztonság IBÉ, IP VPN
Külső szervezet
Távmunka, Otthoni munka
Illetéktelen behatolás érzékelés
Illetéktelen behatolás érzékelés IBÉ
Távközlési szolgáltatók Intranet
IBÉ, IP VPN Tűzfal
Router IBÉ LDAP Szerver
Tűzfal
DHCP Alkal Szerver mazá sok
Külső szervezet
Illetéktelen behatolás érzékelés
HSz
Mobil felhasználó alagút klienssel, IBÉ, Tűzfal
15. ábra Hálózat biztonsági architektúra
38. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Szemelvények a vonatkozó jogszabályokból
Szemelvények a vonatkozó jogszabályokból 2001. évi XXXV. Törvény a szolgáltatásról ezt mondja: 6. § (1) Az elektronikus aláírással kapcsolatos szolgáltatások (a továbbiakban: szolgáltatás) a következők: a) elektronikus aláírás hitelesítés-szolgáltatás (a továbbiakban: hitelesítés-szolgáltatás), b) időbélyegzés, c) aláírás-létrehozó eszközön az aláírás-létrehozó adat elhelyezése. (2) A hitelesítés-szolgáltatás keretében a hitelesítés-szolgáltató azonosítja az igénylő személyét, tanúsítványt bocsát ki, nyilvántartásokat vezet, fogadja a tanúsítványokkal kapcsolatos változások adatait, valamint nyilvánosságra hozza a tanúsítványhoz tartozó szabályzatokat, az aláírás-ellenőrző adatokat és a tanúsítvány aktuális állapotára (különösen esetleges visszavonására) vonatkozó információkat. (3) Időbélyegzés során a szolgáltató az elektronikus dokumentumhoz időbélyegzőt kapcsol. Az időbélyegzőre a tanúsítványra, a minősített időbélyegzőre a minősített tanúsítványra vonatkozó rendelkezéseket kell megfelelően alkalmazni. (4) Az (1) bekezdés a)-c) pontjai szerinti szolgáltatásokat egyenként vagy azok közül többet együttesen is lehet nyújtani. A minősített hitelesítés-szolgáltató jogosult nem minősített tanúsítványt is kibocsátani. A hitelesítés-szolgáltató jogosult arra, hogy tanúsítványokat különböző feltételekkel (pl. felelősségvállalás mértéke) bocsásson ki (a továbbiakban: tanúsítványtípus). (5) Az időbélyegző-szolgáltatóra és az (1) bekezdés c) pontja szerinti aláírás-létrehozó adat elhelyezőjére, valamint e szolgáltatások megkezdésére, végzésére, befejezésére a hitelesítésszolgáltatóra és a hitelesítés-szolgáltatás megkezdésére, végzésére, befejezésére vonatkozó rendelkezéseket kell megfelelően alkalmazni. (6) Szolgáltatási szerződés érvényességéhez a szerződés írásba foglalása szükséges.
A hitelesítés-szolgáltatási tevékenység 9. § (1) A szolgáltató a szerződéskötést megelőzően köteles tájékoztatni a szolgáltatást igénylőt a szolgáltatás felhasználásának módjáról, biztonsági fokáról, szolgáltatási szabályzatáról, valamint a szerződés feltételeiről, különösen a (2) bekezdés szerinti korlátozásokról. (2) A hitelesítés-szolgáltató a minősített tanúsítványban meghatározhatja a tanúsítvány felhasználásának tárgybeli, földrajzi vagy egyéb korlátait, illetve az egy alkalommal vállalható kötelezettség legmagasabb értékét. (3) A hitelesítés-szolgáltató a 12. §-ban foglalt jogosítványaival élve azonosítja az igénylő személyét, majd a saját elektronikus aláírásával aláírt tanúsítvánnyal hitelesíti az igénylő elektronikus aláírását. (4) A tanúsítványnak az e törvény 2. számú mellékletében foglalt adatokat a valóságnak megfelelően kell tartalmaznia. A szolgáltatás igénylője jogosult kérni, hogy a tanúsítványban a hitelesítés-szolgáltató álnevet tüntessen fel. (5) A hitelesítés-szolgáltatónak biztosítania kell, hogy az aláírás-létrehozó adat, illetve az aláírásellenőrző adat egyedi legyen, és egymást kiegészítő módon legyen használható, ha mindkettő a hitelesítés-szolgáltatótól származik. (6) A hitelesítés-szolgáltató fogadja és feldolgozza a tanúsítványokkal kapcsolatos változások adatait, nyilvántartást vezet a tanúsítványok aktuális helyzetéről, esetleges felfüggesztéséről, illetve visszavonásáról. Ezeket, valamint a tanúsítvány kibocsátásra vonatkozó saját szabályzatait és az aláírás-ellenőrző adatokat, továbbá a visszavont tanúsítványok nyilvántartását közcélú távközlő hálózatok segítségével bárki számára hozzáférhető és folyamatosan elérhető módon közzéteszi. (7) A hitelesítés-szolgáltató a tanúsítványokkal kapcsolatos elektronikus információkat - beleértve az azok előállításával összefüggőket is - és az ahhoz kapcsolódó személyes adatokat legalább a tanúsítvány érvényességének lejártától számított tíz évig, illetőleg az elektronikus aláírással, illetve az azzal aláírt elektronikus dokumentummal kapcsolatban felmerült jogvita jogerős lezárásáig megőrzi, valamint ugyanezen határidőig olyan eszközt biztosít, mellyel a kibocsátott tanúsítvány tartalma megállapítható. 11. § (1) A hitelesítés-szolgáltatók csak az aláírótól közvetlenül, vagy annak egyértelmű előzetes hozzájárulásával gyűjthetnek személyes adatokat és csak olyan mértékben, ami a tanúsítvány kiadásához szükséges. Az adatokat az adatalany beleegyezése nélkül nem lehet más célra gyűjteni, felhasználni, valamint - a (2)-(3) bekezdésben foglaltak kivételével - harmadik személynek továbbítani. 39. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Szemelvények a vonatkozó jogszabályokból
12. § (1) A hitelesítés-szolgáltató jogosult az aláíró személyazonosító igazolványa, útlevele, gépjárművezetői engedélye vagy egyéb, személyazonosításra alkalmas okmánya alapján személyazonosságát megállapítani. (2) A hitelesítés-szolgáltató - megnevezésének és az adatfelhasználás céljának feltüntetése mellett - adategyeztetést végez: a) az aláíró személyazonosságának ellenőrzése céljából legalább eggyel a következő szervezetek közül: személyi adat- és lakcímnyilvántartás, úti okmány nyilvántartás gépjárművezetői nyilvántartás közül, b) az aláírási jogosultság ellenőrzése céljából a cégnyilvántartással.
1.4.7.1 2001. évi XXXVI. Törvény, a köztisztviselők jogállásáról szóló 1992. évi XXIII. törvény, valamint egyéb törvények módosításáról 7. § (1) A Ktv. 7. §-ának (1) bekezdése helyébe a következő rendelkezés lép: "(1) Közszolgálati jogviszony büntetlen előéletű, cselekvőképes és legalább középiskolai végzettséggel rendelkező magyar állampolgárral létesíthető és tartható fenn. Jogszabály által meghatározott fontos és bizalmas munkakörre közszolgálati jogviszony csak azzal létesíthető, aki a munkakörre előírt, az állami élet és a nemzetgazdaság jogszerű működéséhez szükséges biztonsági feltételeknek megfelel. A jelentkezőnek írásban nyilatkoznia kell arról, hogy ezeknek a követelményeknek megfelel, és hozzájárul ahhoz, hogy ezt az illetékes nemzetbiztonsági szolgálat ellenőrizze. Az ellenőrzéshez való hozzájáruláshoz a külön törvényben meghatározott hozzátartozó nyilatkozatát is csatolni kell. Ha az érintett úgy nyilatkozik, hogy a fontos és bizalmas munkakörrel együtt járó kötelezettségeknek nem kívánja magát alávetni, vele fontos és bizalmas munkakörre közszolgálati jogviszony nem létesíthető." (3) A Ktv. 11. §-ának (4)-(6) bekezdése helyébe a következő rendelkezés lép: "(4) A (2)-(3) bekezdés alapján kinevezett köztisztviselőt a 23. § szerint be kell sorolni, illetményét a 42-49. §-ok alapján kell megállapítani. Ha a kinevezés időtartama az egy évet nem haladja meg, a köztisztviselő előmenetelére e törvény rendelkezéseit nem kell alkalmazni. (5) A közszolgálati jogviszony létesítéséhez és a köztisztviselő besorolásához szükséges, illetve a jogviszony fennállása alatt, azzal összefüggésben keletkezett adatokat és tényeket a köztisztviselőnek igazolnia kell. A köztisztviselő legkésőbb a munkába lépése napján köteles átadni a közigazgatási szervnek a korábbi foglalkoztatási jogviszonyának megszűnésekor részére kiállított igazolásokat. (6) A kinevezési okmánynak tartalmaznia kell a köztisztviselő besorolásának alapjául szolgáló besorolási osztályt, besorolási és fizetési fokozatot, illetményét, annak a besorolása szerinti alapilletményéhez viszonyított beállási szintjét, továbbá a munkakörét és meghatározott feladatkörét, a munkavégzés helyét, az előmenetelhez előírt kötelezettségeket. A kinevezési okmány a közszolgálati jogviszonyt érintő egyéb kérdésekről is rendelkezhet. A kinevezési okmányhoz csatolni kell a köztisztviselő munkaköri leírását."
1.4.7.2 3. számú melléklet az 1992. évi XXIII. Törvényhez, A KÖZSZOLGÁLATI ALAPNYILVÁNTARTÁS ADATKÖRE A köztisztviselő I/A. - neve (leánykori neve) - születési helye, ideje - anyja neve - lakóhely, lakáscím, tartózkodási hely, telefonszám - családi állapot - adóazonosító jele - társadalombiztosítási azonosító jele - bankszámlaszáma (49/A. § (1) bek.] II. - legmagasabb iskolai végzettsége (több végzettség esetén valamennyi) - szakképzettsége(i) - iskolarendszeren kívüli oktatás keretében szerzett szakképesítése(i), valamint meghatározott munkakör betöltésére jogosító okiratok adatai - tudományos fokozata 40. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Szemelvények a vonatkozó jogszabályokból
- idegennyelv-ismerete - képzésre, továbbképzésre, vezetőképzésre, átképzésre vonatkozó adatai III. - korábbi munkaviszonyban [72. § (1) bek.] töltött időtartamok megnevezése a munkahely megnevezése beosztás besorolás a megszűnés módja IV. - a közszolgálati jogviszony kezdete, a kiszámításánál figyelmen kívül hagyandó időtartamok - állampolgársága - erkölcsi bizonyítvány száma, kelte - közigazgatási alapvizsga adatai - közigazgatási szakvizsga adatai - a jubileumi jutalom és a végkielégítés mértéke kiszámításának alapjául szolgáló időtartamok, - esküokmány száma, kelte. V. - az alkalmazó közigazgatási szerv neve, székhelye, statisztikai számjele - e szervnél a közszolgálati jogviszony kezdete - köztisztviselő jelenlegi besorolása, besorolásának időpontja - munkakör(ök) megnevezése és a betöltés időtartama, FEOR szám - vezetői megbízása, a megbízás megszűnésének adatai - címadományozás, jutalmazás, kitüntetés adatai - a minősítések időpontja - hatályos fegyelmi büntetés
1.5 A rendszer külső kapcsolatai Hitelesítő szerver
Kártya, zseton, hardver eszköz
Tükrözött címtár
Köztisztviselő Világháló (Internet)
Belső hálózat (Intranet)
Szervezet külső határa
Tanúsítványtár, Címtár
Tűzfal Tűzfal
Biztonsági alkalmazás szerver •portál • Kormányzati Portál
Alkalmazás szerver • gépjármű ügyintézés •Adóügyek •Gazdaságmozgósítás • távoktatás Regisztrációs hatóság szervere
16. ábra A KEAR rendszer vázlatos felépítése a külvilág szempontjából
41. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Szemelvények a vonatkozó jogszabályokból
Kormányzati regisztrációs hatóság Böngészők
Adeatbázis
Regisztrációs hatóság munkaállomása Ellenőr kliens alkalmazás
Hitelesítő szervezet ügyfél alkalmazása (kliens)
Fizikailag védett környezetben
Kormányzati hitelesítő szervezet / hatóság
Bizonságos Adeatbázis
Adeatbázis
Biztonságos hw modul Kriptográfia hw
KEAR belső ellenőrzés kiszolgáló gépe
Ellenőr kliens alkalmazás
Tanúsítványtár (LDAP)
17. ábra A rendszer építőelemei 1.6 Feladatok és hatáskörök
1.6.1 Az informatikai szervezet elvi felépítése 42. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Szemelvények a vonatkozó jogszabályokból
Beosztás Informatikai vezető / igazgató Minőségbiztosítás Adatbázis és biztonsági üzemeltetési felelős (LDAP címtár) Informatikai ellenőrzés Felhasználói szolgáltatásokért felelős Alkalmazási programok fejlesztésért felelős Rendszer programozási felelős Számítógéprendszer üzemeltetési felelős Adatvagyon felelős Adatbázis adminisztrátor Adat kommunikáció hálózat felelős Informatikai rendszerelemzők szervezők Alkalmazási programokért felelős Adatbevitel, -rögzítés Személyzeti anyag feldolgozása Számítógép üzemeltetés (4 műszak, szabadság, rotáció) Számítástechnikai segítés Forró drót szolgáltatás Program könyvtáros KEAR ügyintéző (Kormányzati) Regisztrációs hatóság ügyintéző Titkárnő A Ktv. összeférhetetlenségi szabályait fokozottan illetve sokkal szigorúbban kell alkalmazni a KEAR szervezet vezetőjének: A fizetési besorolása helyettes államtitkári, illetve államtitkári szint Más feladatot munkakört engedéllyel sem vállalhat Üzleti társaságban tulajdonos semmilyen formában nem lehet. Egyedül a szerzői és szomszédos jogok által védett tevékenységeket, könyv, tanulmány írás, oktatás végezhet a munkaköre mellett.
43. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Szemelvények a vonatkozó jogszabályokból
1.6.2 Szerepkörök a hitelesítés szolgáltatóval kapcsolatban Szerepkörök
Telephelye, munkahelye
Az irányelvek, politikák kialakításáért felelős hatóság
Feladat és felelősségi kör
!
Elkészíti, megvalósítja és folyamatosan kézben tartja a nyilvános kulcsú infrastruktúrával kapcsolatos irányelveket, szabályozásokat, politikákat
Üzemeltetésért, működtetésért felelős hatóság
HSz
!
A HSz működésért teljes felelősséget viselő hatóság
KEAR kiemelt felhasználó Adatbázis és biztonsági üzemeltetési felelős
HSz
!
A szoftver rendszer kezdeti paramétereinek beállítása és a folyamatos karbantartása, a HSz alkalmazási programjainak és hardver elemeknek folyamatos kézben tartása A HSz szolgáltatásainak elindítása és leállítása A KEAR ügyintézők bejelentkezési adatainak és jogosultságainak bevitele a rendszer indítás kezdetén.
! !
KEAR Felhasználói felelős
szolgáltatásokért
HSz
!
! !
!
KEAR ügyintéző
Kormányzati regisztrációs hatóság
KEAR rendszergazdák, a regisztrációs hatóság ügyintézőinek adminisztrálása (rendszer felhasználói nyilvántartásába felvétel, módosítása, törlése) Az KEAR, HSz rendszerek üzemeltetési naplóinak rendszeres átvizsgálása AZ egyes tanúsítvány típusokra vonatkozó irányelvek és szabályozások helyességének ellenőrzése, a megfelelőség vizsgálata a szabályzatokban, politikákban leírtaknak Az ügyfelek magán, nem nyilvános, kulcsának visszaállítása (amit az ügyfél a számára küldött és nyilvános kulccsal siffrirozott dokumentumok elolvasására használ egyébként)
!
A KEAR ügyfelek ügyeinek intézése, adminisztrálása, a HSz-nél helyben
Kormányzati ! regisztrációs hatóság, HSZ védett lokális hálózatán kívül
A HSz telephelyétől esetleg földrajzilag távol eső adminisztrációs, ügyintézői feladatok vitele
HSZ védett lokális hálózatán belül
44. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Szerepkörök
Szemelvények a vonatkozó jogszabályokból
Telephelye, munkahelye
Feladat és felelősségi kör
Kormányzati ! regisztrációs hatóság, HSZ védett lokális hálózatán kívül
A HSz telephelyétől esetleg földrajzilag távol eső adminisztrációs, ügyintézői feladatok vitele a KEAR ügyfeleivel kapcsolatban egy olyan helyi RH alkalmazáson keresztül, amely interaktív, állandó vonali, kapcsolatban áll a HSz és az összes lényeges adatot információt valós időben közli a HSz-el.
Ügyfél munkáltatója Illetékes ! A kormányzati szervezet személyzeti minisztérium, osztálya hatóság, stb. Humán erőforrás gazdálkodás
Értesíti a HSz-t illetve a (helyi) kormányzati regisztrációs szervezetet arról, hogy egy ügyfél (köztisztviselő) jogosult-e egy tanúsítványhoz hozzájutni, valamint ellenőrzi minden előírt, figyelembe vehető személyi azonosító okmányait a személyazonosság megállapítása végett Értesíti, figyelmezteti HSz-t, RH-t arra, hogy a tanúsítványt meg kell újítani, vagy vissza kell vonni.
Kormányzati ügyintéző
regisztrációs
hatóság
!
Tanúsítványtár (címtár) rendszergazdája Tanúsítványtár !
A címtár rendszergazdai feladatokat látja el, HSz-hez közvetlenül hozzátartozó tanúsítványtárral (címtárral) kapcsolatban, az ügyfelek / köztisztviselők nyilvántartási bejegyzéseinek létrehozását és aktualizálását végzi.
!
A műszaki informatikai berendezések (hardver) beállítása, üzembe helyezése, valamint az operációs rendszer üzembe állítása a feladata.
Rendszergazda
HSz, RH
45. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Szemelvények a vonatkozó jogszabályokból
Informatikai vezető / igazgató 1 fő Minőségbiztosítás 1 fő
Adatbázis és biztonsági üzemeltetési felelős 1 fő
Informatikai ellenőrzés 1 fő
Felhasználói szolgáltatásokért felelős 1 fő
Gazdasági részleg, pénzügyi / személüuygi részleg vezetője
Alkalmazási programok fejlesztésért felelős 1 fő
Adatvagyon felelős 1 fő
Adatbázis adminisztrátor 3 fő
Rendszer programozási felelős 1 fő
Adat kommunikáció hálózat felelős (2 fő)
Informatikai rendszerelemzők szervezők 3 fő
Számítógéprendszer üzemeltetési felelős
Alkalmazási programokért felelős 2 fő
Adatbevitel, -rögzítés 12 fő
Számítógép üzemeltetés 12
18. ábra Egy lehetséges szervezeti felépítés
46. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Számítástechnikai segítés Forró drót szolgáltatás 4 fő
Titkárnő 1 fő
Program könyvtáros 1 fő
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Szemelvények a vonatkozó jogszabályokból KEAR szervezet lehetséges felépítése KEAR Vezető
Üzemeltetési felelős Hálózat Rendszergazda Mentés és visszaállítás Dokumentumok
Operatív vezető Azonosítás Rendszer azonosítás Operátor azonosítás
Regisztráció RH rendszere RH operátor RH protokoll
Tanúsítványok
Telephely felelős
Tanúsítványtár
HSz rendszer Rendszer HSz kulcskezelés Kulcskezelés HSz operátor HSz protokoll HSz felhasználói felelős
Időbélyegzés Rendszer Kulcs kezelés Operátor
Megszemélyesítés
Megszemélyesítő rendszre Felhasználó kulcs kezelés Operátor Protokoll
19. ábra A szervezet alternatív felépítése
47. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Telephely felügyelet
Belső ellenőr, vizsgáló
Gazdasági részleg
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
Szemelvények a vonatkozó jogszabályokból
1.7 A rendszer bevezetéssel kapcsolatos problémák − (1.R. 11) A HSZ vezessen be MSZ EN ISO 9001 [6] minőségbiztosítási rendszert, amit a felügyeleti minősítés megszerzése előtt külső akkreditált tanúsító cég (szerv) auditáltat, majd az auditált állapotot folyamatosan fenntartania. − Irányelv: A HSz bizalmi szerepköreit a tévedés és visszaélés lehetőségét minél jobban kizáró szervezeti rendben dolgozó, külön-külön személyes felelősséggel rendelkező személyeknek kell betölteniük. Amennyiben a szerepkört nem egy személy tölti be, úgy biztosítani kell az azonos funkciójú személyek által végzett részfolyamatok pontos megkülönböztetését és későbbi visszakereshetőségét. − Megjegyzés: Útmutatásként lásd a ISO/IEC DIS 17799 dokumentumot. − (1.R. 8) A szolgáltatónak három különböző bizalmi munkakört (biztonsági tisztviselő, rendszeradminisztrátor, rendszervizsgáló)8 kell megvalósítania, és biztosítania kell, hogy − Egy alkalmazott sem jogosítható fel az összes bizalmi…… − (1.R. 20) A Szolgáltató biztonsági műveleteit az üzemi műveletektől el kell különíteni. − (1.R. 21) A Szolgáltató biztonsági műveleteivel kapcsolatos felelősségek közé tartoznak az alábbiak: − üzemeltetési eljárások és felelősségek kialakítása; − biztonsági rendszerek tervezése és elfogadása; − káros szoftver elleni védelem; − rendszeradminisztráció; − hálózat menedzselés; − audit napló, esemény elemzések és nyomon követések aktív monitoringja; − adathordozók, eszközök besorolása, kezelése és biztonsága; − adat és szoftver javítása, cseréje. − (1.R. 21) E feladatokat felügyelet mellett végrehajthatja az üzemeltető személyzet is, a megfelelő biztonsági szabályzatban és a szerepkörökkel és felelősségekkel foglalkozó dokumentumokban meghatározottak szerint
8
16/ 2001: 2. § : a) bizalmi munkakör az alább felsorolt munkakörök egyike: 1. biztonsági tisztviselő: a szolgáltatás biztonságáért általánosan felelős személy; 2. rendszeradminisztrátor: az informatikai rendszer telepítését, konfigurálását, karbantartását a regisztráció, a tanúsítványok előállítása, az aláírás-létrehozó eszközök szolgáltatása és a tanúsítványok visszavonása, felfüggesztése céljából végző személy; 3. rendszerüzemeltető: az informatikai rendszer folyamatos üzemeltetését, mentését és helyreállítását végző személy; 4. rendszervizsgáló: a szolgáltató naplózott, illetve archivált adatállományát kezelő személy; 17. § (1) A minősített szolgáltatónál egy személy többféle bizalmi munkakört nem tölthet be. (2) A biztonsági tisztviselők a tanúsítványok előállítását, kibocsátását, felfüggesztését és visszavonását nem végezhetik. 2/ 2002: 8. A Szolgáltatónak legalább három különböző bizalmi munkakört (biztonsági tisztviselő, rendszeradminisztrátor, rendszervizsgáló) kell megvalósítania, és biztosítania kell, hogy a) egy alkalmazott sem jogosítható fel az összes bizalmi munkakör betöltésére, b) a biztonsági tisztviselő és rendszervizsgáló munkakört nem töltheti be ugyanaz az alkalmazott, c) a rendszeradminisztrátor nem kaphat biztonsági tisztviselő vagy rendszervizsgáló jogokat. 48. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
A nyilvános kérdései
kulcsú
aláírási
A nyilvános kulcsú infrastruktúra fizikai biztonsági kérdései
infrastruktúra
fizikai
biztonsági
A nyilvános kulcsú infrastruktúra – amely a kormányzati elektronikus aláírási rendszer igényeit is ki tudja szolgálni - egy olyan összetett fogalom, amely több különböző alkotóelemből áll össze mint például: hardver, szoftver, szervezési irányelvek és szabályzatok, stb. A legfontosabb négy alkotóelem: − A tanúsítvány, amely a jogosultság bizonyítását jelenti; − A hitelesítő szoftver (CA) és szervezet (HSz, Hitelesítő szervezet), amely meghozza a tanúsítvány kibocsáthatóságáról a végleges döntést; − A regisztrációs feladatokat ellátó szoftver és a szervezet (Regisztrációs hatóság), amely a végfelhasználók tanúsítvány kibocsátása iránti kérelmeket fogadja és dolgozza fel; − A tanúsítványtár, amely a címtár technológián (LDAP, Lightweight Directory Access Protocol) alapul, és amely a nagyközönség számára rendelkezésre álló tanúsítványokkal kapcsolatos információkat tárolja. 1.8 A tanúsítvány és a kulcsok A tanúsítványok nyilvánosságra hozatalával, a világhálón történő publikálásával semmilyen bizalmas, érzékeny vagy titkos információ nem kerül napvilágra. Azonban a nyilvános kulcsú technológia fontos elem egy (titkos) magánkulcs, amely egy nagyon hosszú számjegy sorozat (pl. 1024 byte), és amelyet a végfelhasználónak biztonságos körülmények között kell tárolnia; pl. saját merevlemezének egy jól védett területén. A biztonsági intézkedések következő rétege, hogy ezt a kulcsot valamilyen jelszóval védik. Ez azt jelenti, hogy ha egy alkalmazási programban (pl. elektronikus levelezés, mint tipikus alkalmazás) használni kívánjuk a magánkulcsot, akkor az alkalmazás kéri a jelszót a használat előtt, csak akkor végzi el az adat helyességének ellenőrzését, vagy desiffrírozását (megfejtését) a magánkulcs felhasználásával, ha a jelszó megfelelő. A magánkulcsot védő jelszóra alkalmazni kell a jelszó kiválasztására és védelmére kialakult gyakorlatot, biztonsági rezsim technikákat (nem lehet könnyen kitalálható, nem lehet leírni, rendszeresen változtatni kell, és eredetileg véletlenszerűen kell meggenerálni, stb.) A magán kulcsot célszerű egy másodlagos adathordozón tárolni, pl. hajlékony lemezen, vagy más hardver eszközön (USB kulcs, intelligens vagy chip kártya)9 , amelyek valamilyen olvasó eszközbe beilleszthetők akkor, amikor egy aláírást kell létrehozni, ellenőrizni, vagy egy üzenetet kell megfejteni. A magánkulcsnak lehetőleg nem szabad elérhetővé válnia, vagy kikerülnie a biztonságos hardverhordozó eszközről. A hitelesítési, megbízhatósági piramis tetején álló hitelesítő rendszert (gyökér HSz) (hardver, szoftver platform) általában kikapcsolt állapotban, biztonságos védett helyen tárolják, és arra használják, hogy egyéb más, nem nagy számú további hitelesítő, tanúsítványokat kibocsátó rendszernek bocsát ki tanúsítványokat, amelyek feljogosítják ezeket a rendszereket tanúsítvány kibocsátásra és aláírás hitelesítésre. Mivel ennek a gyökér HSz rendszer magánkulcsától függ a teljes rendszer, a rendszer piramis megbízhatósága, ezért ennek a magánkulcsnak a védelme nagy jelentőségű. Hiszen ha egy illegális behatoló meg tudja szerezni ezt a kulcsot, akkor hamis tanúsítványokat tud kibocsátani nem létező entitások10 számára, amelyben azonban az adott nyilvános kulcsú infrastruktúrát használó végfelhasználók feltétlenül megbíznának. 9
Természetesen az alkalmazott megoldások különböző biztonsági szinteknek felelnek meg. Jogi vagy nem jogi személyiségű gazdasági társaságok, személyek, kiszolgáló számítógépek, stb.
10
49. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A nyilvános kulcsú infrastruktúra fizikai biztonsági kérdései
Egy ilyen támadásból eredő következmények11 felszámolása szervezési és technikai szinten is komoly gondolat okoz, amire egy üzleti folytonossági tervben fel kell készülni, de jobb az ilyen rendkívüli eseményeket megelőzni. Ezért egy megfelelő biztonsági rezsim és szabályzat kialakítására van szükség, amely a HSz rendszert befogadó létesítmény fizikai és logikai, informatikai rendszer védelmére vonatkozik. A HSz magánkulcsa biztonságának kiemelkedő fontossága indokolja, hogy nagyon szigorú biztonsági intézkedésekre van szükség a magánkulcs sérthetetlenségének megőrzésére. Tehát a HSz informatikai rendszerét kikapcsolt állapotban úgy kell tárolni, hogy az szemmel láthatóan is elszigetelt legyen a környezetétől, sem vezetékes sem vezeték nélkül telekommunikációs kapcsolata nem lehet a külvilággal. Amikor a HSz informatikai rendszernek alá kell írnia egy tanúsítványt, akkor a HSz ügyintézőnek, operátornak egy biztonságos hardver eszközön kell betáplálnia az aláírásra váró tanúsítványt, és aláírt tanúsítványt arra kell visszakapnia. A HSz magánkulcsát tároló biztonságos adathordozó eszköznek a tárolását a HSz informatikai rendszerétől elkülönülten kell megoldani, ideális esetben valamilyen páncélteremben vagy széfben kell eltárolni. A HSz magánkulcsához a hozzáférhetőséget biztosító jelszót nem szabad sehová sem leírni, sem tárolni. A magánkulcsot megfelelő kriptográfiai algoritmussal fel kell darabolni és az illetékes személyek között ki kell osztani valamilyen biztonságos adathordozó eszközön. Ennek révén ehhez a magánkulcshoz egy személy, egyedül nem férhet hozzá. A kulcs előállításához, alkalmazásához két vagy több személy jelenlétére és adathordozó eszközére, és a fejükben tárolt jelszóra van szükség. A logikai, informatikai rendszer védelem tekintetében, az összes elérési, behatolási próbálkozást naplózni kell. Ezt a naplót rendszeresen ellenőrizni kell. Az informatikai rendszert minden informatikai esemény után auditálni kell, mint például szoftver üzembe helyezés, szoftver verzió frissítés, és ellenőrizni kell az informatikai rendszer konfigurációjára vonatkozó rendszer állományok épségét és helyességét. A HSz rendszer mentéseit tároló informatikai létesítmény fizikai biztonságára a fentebb felvázolt biztonsági rezsimnek kell érvényesnek lennie. A leselejtezendő rendszer mentéseket tartalmazó szalagokat a szervezet biztonsági felelősének jelenlétében kell megsemmisíteni. Minden olyan eljárásnál, amikor a HSz magánkulcsával valamilyen tevékenység folyik, két vagy több HSz ügyintézőnek, vagy rendszer operátornak kell jelen lennie; ezzel teremtve meg a számon kérhetőség feltételét bármilyen rendellenesség felmerülése esetére. 1.9 A regisztrációs hatóság: A HSz informatikai rendszerétől eltérően a regisztrációs hatóság feladatait kiszolgáló informatikai rendszert a végfelhasználóknak el kell tudniuk érni a hálózatokon a Világhálón keresztül. Hiszen a végfelhasználók aláírt tanúsítványokat kérelmeznek annak bizonyítása végett, hogy a Világhálón ők azonosak önmagukkal, és ezt egy nagy tekintélyű hitelesítő szervezet tanúsítja. A kormányzati rendszer esetében a humánpolitikai, személyügyi részlegek bizonyos alkalmazottai lesznek arra feljogosítva, hogy ilyen kérelmeket intézzenek a náluk dolgozó vagy felvételt nyert személyek számára a szokásos személyi, munkaügyi eljárások keretén belül, ugyanúgy mint amikor szolgálati igazolványokat, vagy beléptető kártyákat bocsátanak ki. A személyügyi ügyintéző előtt személyes megjelenés és a dokumentumok bemutatása előírt lépés ahhoz, hogy magas biztonságú fokozatú tanúsítvány kibocsátására sor kerüljön. A személyügyi ügyintéző által kezdeményezett tanúsítvány kérelmet a Világhálón keresztül 11
A HSZz magán és nyilvános kulcs párját újra elő kell állítani, a gyökér tanúsítványokat újra ki kell osztani, és az összes előzőleg kibocsátott tanúsítványt illetve annak érvényességét törölni kell. 50. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A nyilvános kulcsú infrastruktúra fizikai biztonsági kérdései
például a nyilvános kulcsú titkosírás segítségével feladott üzenettel lehet elíndítani (PKCS#10). Az ajánlott Hitelesítő szervezet / Regisztrációs hatóság informatikai rendszer architektúra a következő: a regisztrációs hatóság informatikai rendszere fogadja és eltárolja az érkező kérelmeket. A kormányzati rendszer esetében az eltárolt kérelmekben megadott személyazonosító adatok alapján priorálást hajt végre a BM-nél jogszabályi alapon létező adatbázisokban. Az eljárás hasonló az erkölcsi bizonyítvány, vagy a nemzetbiztonsági vizsgálatnál történő tevékenységhez. Célszerű adategyeztetést végezni az APEH-el és a TBvel is, a KTv alapján a köztisztviselőről bekért adatok helyességének ellenőrzésére. Az adategyeztetések és priorálások megtörténte után a kérelmek átkerülnek HSZ informatikai rendszerének adattárolójába. A HSz informatikai rendszerében megtörténik a tanúsítványok előállítása, majd ezeket a tanúsítványokat betöltik a nyilvánosság számára látható tanúsítványtárba, ahonnan a átkerülnek az ágazati, tárca, minisztérium és / vagy a Központi Kormányzati Címtárba. A kérelmezőhöz pedig a személyzeti ügyintézőn keresztül biztonságos szállítási vonalon és biztonságos adathordozó eszközön eljuttatják a tanúsítványt és / vagy kulcs párokat. A központi kormányzati regisztrációs hatóság informatikai rendszerét immunissá kell tenni a túlterheléses12 támadással szemben, amely akadályozná a rendszer üzemszerű elérhetőségét. Ha a kérelmeket Web-es felületen keresztül is fel lehet adni, akkor figyelni kell arra, hogy a regisztrációs hatóság informatikai rendszerének fizikai és informatikai logika biztonságát garantálni kell, továbbá a rajta futó Web kiszolgálós szoftverét is. A hasonlóan nagy fontosságú hálózati kiszolgáló gépeknek alkalmazott megoldásokkal a regisztrációs hatóság informatikai rendszerét megfelelő határvédelmi mechanizmussal kell ellátni13 (pl tűzfal és útvonalirányító hozzáférés engedélyezési listákal [Access Control Lists, ACLs])annak érdekében, hogy csak a megengedett hálózati protokollok léphessenek kapcsolatba a regisztrációs hatóság informatikai rendszerével. Minden más egyéb hálózati szolgáltatást le kell tiltani és el kell távolítani az RH informatikai rendszeréből. 1.10 Címtár szolgáltatás. Általában a nyilvános címtárakban tárolt adatok nyilvánosságra kerülését nem kell akadályozni, viszont a rendelkezésre állásukat és sértetlenségüket garantálni kell. Ugyanis a címtár szolgáltatás felfüggesztését kierőszakoló illegális behatoló eredményesen blokkolja a PKI (publikus kulcsú infrastruktúra) azon szolgáltatását, mellyel a végfelhasználók hitelesítését, azonosságuk tanúsítását végzi. Ennek következménye az lehet, hogy a végfelhasználók általában elvesztik a bizalmukat ebben a rendszerben, kevésbé megbízható hitelesítő és tanúsító módszerekhez folyamodnak, és összességében ennek olyan következménye lehet, hogy sérülnek az adatok azokban az alkalmazásokban, amelyek erre a PKI rendszerre alapozva végezték a személyek azonosítását. Az adatok sértetlensége szintén fontos kérdés, egy behatoló esetleg módosíthatja a digitális tanúsítványok tartalmát, vagy össze vissza cserélgetheti a rendszeren belül, ennek következtében az egész rendszer használhatatlanná válik. Noha a HSz magánkulcsának ismerete nélkül hamis digitális tanúsítványt gyakorlatilag lehetetlen előállítani, azonban a behatoló esetleg úgy tudja módosítani a digitális tanúsítványok tartalmát, hogy a valójában érvényes tanúsítványokra a hitelesítés ellenőrzés sikertelenül zajlik le, a rendszer hamis, vagy érvénytelen tanúsítványként értékeli. 12 13
Denial of Service (DoS) perimeter, Demilitarised Zone 51. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A nyilvános kulcsú infrastruktúra fizikai biztonsági kérdései
Ezért a tanúsítványtárféle címtárszolgáltatást egy kizárólagosan erre a célra kijelölt platformon kell futtatni, amelyre a kiszolgáló gépekre vonatkozó szokásos biztonsági intézkedéseket érvényesíteni kell. Először is egy megbízható, biztonsági szempontból bevizsgált és az idő folyamán bizonyított, robusztus operációs rendszert kell választani. Másodszor az összes fölösleges hálózati szolgáltatást le kell tiltani. Harmadszor minden fölösleges felhasználói bejelentkezési lehetőséget meg kell szüntetni. Negyedszer be kell kapcsolni az összes lehetséges alkalmazási és rendszer szintű naplózási szolgáltatást. Végül pedig rendszeres ellenőrzéseket, auditokat kell végrehajtani az operációs rendszer és az egyéb alkalmazások szintjén. 1.11 A kulcsok tárolása és a tanúsítványok A nyilvános kulcsú infrastruktúra jellegétől függően, a végfelhasználó magánkulcsát központi helyen, biztonságos körülmények között kell tárolni. Ez közigazgatás környezetben elvárt szolgáltatás a nyilvános kulcsú infrastruktúrától, hiszen egy részletesen szabályozott eljárásrendben bizonyos esetekben szükség lehet a végfelhasználó magánkulcsának felhasználására bizonyos meghatalmazott személyek révén. Ezt kulcs „letétnek”, vagy biztonsági mentésnek, tárolásnak lehet nevezni. Ezt kényelmesen úgy lehet megoldani, hogy a nyilvános magán kulcs párt azelőtt készítik el, hogy azt a hordozó eszközre feltennék, ez a legkedvezőbb megoldás szervezési szempontból. Illetve az is lehetőség, hogy a végfelhasználó saját maga hozza létre a kulcspárt és eljuttatja a tárolási helyre valamilyen módon. Ebben az esetben különös gondossággal kell eljárni a magánkulcs továbbításánál azért, hogy a megfelelő védelem biztosítható legyen és a magánkulcs titkossága ne sérüljön. Továbbá, a kulcs letét kezeléséért felelős HSz ügyintézőhöz, a magánkulcshoz kiválasztott titkos jelszót is el kell juttatni. Egy másik lehetőség az ha egy közös, általánosan használt jelszót választanak az első menetben, majd ezt a jelszót egyszer megváltoztatják, miután a kulcsot letétbe helyezték. Akkor, amikor kulcs letétkezelést alkalmaznak, ugyanazokat a szigorú fizikai, hálózati, informatikai logikai védelmeket kell alkalmazni, amelyek érvényesek a HSz magánkulcsát tároló adatbázisra, és ezeket az előírásokat érvényesíteni kell a végfelhasználók magánkulcsait tároló adatbázisra is. A végfelhasználóknak ismerniük a kulcs letétbe helyezéssel kapcsolatos eljárásrendet és a mint a Hitelesítő szervezet által nyújtott szolgáltatást és annak elvárt szinvonalát. 1.12 Tanúsítvány visszavonás Egy nyilvános kulcsú infrastruktúrával kapcsolatban kialakított szabályozásnak és eljárásrendnek ki kell térnie a tanúsítványok visszavonásának rendjére. Erre akkor van különösen szükség, amikor a HSz informatikai rendszerének magánkulcsa nyilvánosságra kerül, vagy egyéb más módon sérül a titkossága, illetve akkor, ha tanúsítvány alanya, a végfelhasználó nem tekinthető már a tanúsítvány kibocsátás és fenntartás feltételeinek megfelelő személynek (pl. a köztisztviselő kilép az adott közszolgálati szervezetből azelőtt, mielőtt a tanúsítvány érvényessége lejárna). A „Tanúsítvány visszavonási lista” (Certification Revocation List, CRL) a legszélesebb körben használt és elfogadott megoldás ennek a problémának a kezelésére azért, hogy idejekorán megtörténhessenek a tanúsítványok visszavonása. A „Tanúsítvány visszavonási listákat” a HSz rendszeresen nyilvánosságra hozza, és az összes olyan tanúsítvány azonosítóját tartalmazza, amelynek megbízhatósága valamilyen formában sérült. Ezt a tanúsítvány azonosító halmazt a Hsz magánkulcsával aláírják, ezzel bizonyítva ennek a hitelességét, majd az összes, a nyilvános kulcsú infrastruktúrában érintett fél 52. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A nyilvános kulcsú infrastruktúra fizikai biztonsági kérdései
rendelkezésére bocsátják. A tipikus technológiai megoldás egy erre a célra szánt LDAP címtár szolgáltató kiszolgáló alkalmazása, amelyen keresztül mindenki számára elérhetővé válik a lista. A fő biztonsági rés ebben „Tanúsítvány visszavonási lista” esetében az a kiszolgáló gép, amelyen az LDAP címtár szolgáltatás működik. Egy ellenséges szándékú behatoló hosszan tartó túlterheléses támadást (Denial of Service, DoS) indíthat a nyilvános LDAP címtár szolgáltatás ellen, mivel ekkor a kiszolgáló gép tartósan nem érhető el a nagyközönség számára, ennek révén a behatoló eléri azt a célját, hogy érvénytelenített tanúsítványt a nyilvános kulcsú infrastruktúra szereplői továbbra is érvényesnek fogják elfogadni. Ez a veszélyforrás úgy kezelhető, hogy a végfelhasználói alkalmazások csak akkor fogadhatnak el egy tanúsítványt érvényesnek, ha aktuális „Tanúsítvány visszavonási listát” töltöttek le. A „Tanúsítvány visszavonási lista” szolgáltatást megvalósító LDAP címtár kiszolgálóra ugyanazokat a biztonsági előírásokat kell érvényesíteni, amelyeket a tanúsítványtárolást megvalósító LDAP címtár kiszolgálóra előírtak. 1.13 Ideális fizikai elhelyezés biztonsági feltételei A hitelesítő szervezet, a publikus kulcsú infrastruktúra üzemi informatikai rendszerének ideális felépítése a következő:
LDAP tanúsítványtár
Hitelesítő szervezet kiszolgáló gépe
Regisztrációs hatóság
Felhasználó2
Felhasználó1
Regisztrációs ügyintéző
20. ábra Publikus kulcsú infrastruktúra architektúrája – Két teljesen azonos rendszer, egyik élő, a másik forró tartalékban készen áll. – A két telephely között folytonos replikáció / adattükrözés folyik, két külön vonalon, a vonalakon titkosírással, sifrírozott kommunikáció folyik. 53. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A nyilvános kulcsú infrastruktúra fizikai biztonsági kérdései
– Távoli rendszerfelügyelettel, és a telephelyek kölcsönösen figyelik egymás állapotát, készenlétét. Nagy kapacítású megbízható adattárolás Adatok
Adatok Aszinkron replikáció
1. telephely
2. telephely
éles adatok
éles adatok
Forró tartalék adatok
Forró tartalék adatok
Mentésekben tárolt adatok
Mentésekben tárolt adatok
21. ábra Üzemi rendszer telephelyei közötti adat szinkronizáció vázlata Főbb elvek: – Egyetlen kritikus fontosságú rész meghibásodása sem okozhatja a teljes rendszer leállását; – Egyetlen titokba tartandó, magán kulcs sem kerülhet ki a biztonságos hardver modulokon kívülre; – Minden titokba tartandó kriptográfiai kulcsot több részre kell felbontani úgy, hogy ne legyen egyetlen olyan személy sem, aki a teljes kulcshoz egymagában hozzájuthat; – Nem lehet olyan személy, akinek önmagában, egyedül joga lenne bármilyen biztonsági intézkedést feloldani; – Az összes alkalmazott technológiának, a technológia gyártók / forgalmazók által kibocsátott termékek egy jelentősebb verziójából kell származni, amely a piacon jelenleg rendelkezésre áll. Azaz viszonylag stabil, már bevált technológiát érdemes csak választani. A gyökér kulcs generálása: – A gyökér kulcs biztonsága kimagasló és első rendű fontosságú; – A generálás helyszíne célszerű ha egy NATO katonai objektum, illetve bank páncélterem biztonságának megfelelő helyszín. – Az egész folyamatot videó és hangfelvevő magnókkal követni és rögzíteni kell. – A folyamatnál független személyek és a szervezethez tartozó belső emberek mint tanúk legyenek jelen. – A kriptográfiai hardver, a biztonságos hardver modulok a FIPS 140-1 4. szintnek feleljenek meg; 54. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A nyilvános kulcsú infrastruktúra fizikai biztonsági kérdései
– A kulcsokat 5/15 komponensre bontsák fel (háromszoros redundancia); – Az egyes kulcs komponenseket megbízható személyeknek kell kiosztani, alkalmas adathordozó eszközön. Az üzemi (operacionális) szintű kulcsok generálása: – 3/9 komponensre bontják; – két független kulcs komponens őrző kört alakítanak ki; – A regisztrációs hatóság / szervezet kulcsát 2/4 komponensre bontják fel; A több biztonsági zóna kialakítása szükséges, nevezetesen: ! Gyökér; ! Üzemi; ! Regisztrációs szervezet, informatikai rendszer; ! Infrastruktúra; A kulcsok tárolása: – A kriptográfiai hardver, a biztonságos hardver modulok a FIPS 140-1 4. szintnek feleljenek meg; – Jelszóval védett intelligens kártya a kulcs komponensek tárolására; – Szabványokkal összhangban legyen (PKCS); – A kulcs komponensek felbontására a (K /n) séma szerint történjen; – A biztonsági kérdéseket az üzemeltető szervezet mindenek fölé helyezze. Fizikai biztonság: – A teljes létesítményt videó kamerás figyelés alatt kell tartani; – 24 órás (7napos) folyamatos őrzés; – 1. biztonsági zóna: korlátozott belépés, valamilyen hardver eszközzel (token, zseton) végzett azonosításhoz kötött; – 2. biztonsági zóna: Hálózati felügyeleti központ: ! Biometriai azonosítás (pl. kézalak felismerés, stb.) ! hardver eszközzel (token, zseton) végzett azonosításhoz kötött kiléptetés ( a zseton kétszer kell !!); ! Kisugárzás védelem (Farady kalitka, rézháló, fólia, NATO szabványoknak megfelelő és BS 17799 szabványnak megfelelő, C tipusú cég által telepítve). – 3. biztonsági zóna: adat központ ! hardver eszközzel (token, zseton) végzett azonosításhoz kötött beléptetés az egymással kizáró alternatív módon kapcsolt ajtókkal határolt térbe („embercsapda”); ! Csak egy személy férhet be a kapuk közé; ! Súlymérés és egy másik biometriai azonosító kell a belépéshez a 3. zónába; ! A kiléptetésnél a hardver eszközre ismét szükség van; ! Kisugárzás ellen védett; – Az adat központba való belépéshez a hardver eszközt ötször ellenőrizték, a biometriai azonosítót kétszer, a súlyt egyszer; öt alkalommal történt videó rögzítés és a rendszerbe beléptető azonosító jelszóra még szükség van, ahhoz, hogy az informatikai rendszerbe is be tudjon valaki lépni. Informatikai logikai védelem: – Több tűzfal réteg; – Switched hálózat nem hub-ot használ; – Behatolás észlelő rendszer (IDS) 55. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A hardver eszköz kibocsátásával összefüggő biztonsági kérdések
– A DMZ-ben a kliensek kiszolgálására dedikált kiszolgáló gépek.(client facing servers). – A DMZ és belső biztonsági, elsődleges zónákat szétválasztó tűzfalak; – Az üzemi (operacionális) rendszerek, hitelesítő szervezetek informatikai rendszereinek elválasztása az elsődleges zónától és a DMZ-től; – Az alkalmazott operációs rendszerek biztonsági felkeményítését el kell végezni (operating system hardening). – Az összes kritikus komponens bármilyen beállításainak megváltoztatásához fizikai hozzáférés szükséges, távfelügyelettel nem megoldható, nem kezelhető!! Tanúsítványtár, címtár szolgáltatás (LDAP): – Az összes tanúsítványt egy biztonságos zónában elhelyezett törzs tanúsítványtárban kell tárolni, amelynek egyik tükrözött példányát a DMZ.ben érdemes tartani; – Az ügyfelek egy terhelés kiegyensúlyozásával optimalizált, átjáró címtár szolgáltatáson keresztül tudják a kérdéseikre a választ megtalálni; – A címtárak bizonyos részeit le lehet tölteni az ügyfelekhez; – Ennek a szolgáltatásnak ki kell elégítenie: ! (Tanúsítvány) Érvényesség ellenőrzést; ! Web szolgáltatásokat (SSL, stb.) ! Elektronikus levelezés; ! Stb. Példa: Entrust PKI (publikus kulcsú infrastruktúra jellemzői): – Entrust : ex Nortel – BNR (Bell Northern Research) – Az egyik piacvezető termék; – Multiplatform (Win NT, WIN 2K, Solaris, AIX, HP-UP, True64 UNIX) – Szabványoknak megfelel (X.509, IETF PKIX4, ISO 15408, FIPS 140, …)
A hardver eszköz kibocsátásával összefüggő biztonsági kérdések A megbízható hardver eszközök valamilyen integrált áramkörön alapulnak, amelyek megfelelnek a kriptográfia és a PKI egyéb biztonsági követelményeiknek. Ölthetnek kártya vagy USB memória formát (ICC- Integrated Circuit Card). 1.14 A hardvereszköz kibocsátó funkciója A kártya illetve hardvereszköz kibocsátónak a következő szolgáltatásokat kell nyújtania: − Az üzemi / tanúsítvány kibocsátó Hitelesítő szolgáltató kulcs-párjának a létrehozása (aszimmetrikus kulcs-pár); − A kibocsátó Hitelesítő szolgáltató nyilvános kulcsának továbbítása az illetékes felettes Hitelesítő szolgáltatóhoz aláíratás végett; − A felettes Hitelesítő szolgáltató nyilvános kulcsának tárolása és a kibocsátó Hitelesítő szolgáltató tanúsítványának tárolása; − A hardver hordozó eszközhöz tartozó kulcsok, kulcs-párok előállítása és biztonságos eljuttatása; − A kibocsátó Hitelesítő szolgáltató Magánkulcsának felhasználása a hardver eszköz (IC kártya, USB memória, stb.) nyilvános kulcsának hitelesítéshez, tanúsításához − A kibocsátó Hitelesítő szolgáltató Magánkulcsának előállítása. 56. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A hardver eszköz kibocsátásával összefüggő biztonsági kérdések
Ezek a tevékenységek valójában kiegészítik a felettes Hitelesítő szolgáltató által nyújtott szolgáltatásokat, nevezetesen: − A felettes Hitelesítő szolgáltató kulcs párjainak előállítása, kézben tartása és biztonságos tárolása (aszimmetrikus kulcs párok); − A felettes Hitelesítő szolgáltató magánkulcsával a kibocsátó Hitelesítő szolgáltató nyilvános kulcsának a hitelesítése, tanúsítása; − A felettes Hitelesítő szolgáltató nyilvános kulcsának biztonságos szállítási útvonalon történő eljuttatása azokra a helyekre, ahol a nyilvános kulcs publikálására szükség van. 1.15 Folyamatok A következőkben leírjuk a legfontosabb biztonsággal összefüggő szolgáltatásokat, amelyek végrehajtásáért a kibocsátó Hitelesítő szolgáltató felelős: − Előkészítő lépések. A hardver eszköz kibocsátása előtt mindenképp végrehajtandó tevékenységek. − Hardver eszköz előállítása. Azokat a lépéseket foglalja magában, amely a hardver eszköz kibocsátásakor szükségesek ahhoz, hogy a rajta tárolt adatok dinamikus helyesség és hitelesség ellenőrzését végrahjthassák. − A hardver eszköz kibocsátása: azokat a lépéseket értjük ezalatt, amiket annak érdekében kell végrehajtani, hogy a kártya tulajdonost egy új kártyával ellássák. − Folyamatos hardver eszköz kezelés. Azok a tevékenységek tartoznak ide, amelyek a hardver eszköz folyamatos használatához kötődnek. Idetartoznak a vonalon keresztül végrehajtott, kriptográfiai algoritmussal sifrírozott üzenetek cseréje, amelyek a lehetővé teszik az élő vonalon keresztül történő dinamikus helyesség és hitelesség ellenőrzést, és ennek révén a hardver eszközt birtokló azonosságának értékelését.
57. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A hardver eszköz kibocsátásával összefüggő biztonsági kérdések
1. függelék Vonatkozó Jogszabályok Az alábbi felsorolás érinti a kormányzatban felmerülő szolgáltatási igényeket és azok jogszabály megalapozását. 1.A 1026/2002. (III. 26.) Korm. határozat a kormányzati elektronikus aláírási rendszer kiépítésével összefüggő egyes feladatokról és a kormányzati hitelesítés-szolgáltató felállításáról 1.B 47/2002. (III. 26.) Korm. rendelet a kormányzati elektronikus aláírási kormányrendeletek módosításáról
rendszer
kiépítésével
összefüggő
egyes
1.C 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről 1.D 2001. évi XXXV. törvény az elektronikus aláírásról 1.E 232/2001. (XII. 10.) Korm. rendelet a pénzforgalomról, a pénzforgalmi szolgáltatásokról és az elektronikus fizetési eszközökről 1.F 151/2001. (IX. 1.) Korm. rendelet a Hírközlési Főfelügyeletnek az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól 1.G 151/2001. (IX. 1.) Korm. rendelet a Hírközlési Főfelügyeletnek az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól 1.H 77/1999. (V. 28.) Korm. rendelet az elektronikus fizetési eszközök kibocsátására és használatára vonatkozó egyes szabályokról 1.I 20/2001. (XI. 15.) MeHVM rendelet a Hírközlési Főfelügyeletnek az elektronikus aláírással összefüggő minősítéssel és nyilvántartással kapcsolatos tevékenységéért fizetendő díjakról 1.J 16/2001. (IX. 1.) MeHVM rendelet az elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó részletes követelményekről 1.K 15/2001. (VIII. 27.) MeHVM rendelet az elektronikus aláírási termékek tanúsítását végző szervezetekről, illetve a kijelölésükre vonatkozó szabályokról 1.L 014/2001. (III. 5.) Korm. határozat az elektronikus aláírásról szóló törvény szabályozási alapelveiről és az ezzel kapcsolatban szükséges intézkedésekről szóló 1075/2000. (IX. 13.) Korm. határozat módosításáról 1.M 1075/2000. (IX. 13.) Korm. határozat az elektronikus aláírásról szóló törvény szabályozási alapelveiről és az ezzel kapcsolatban szükséges intézkedésekről 58. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A hardver eszköz kibocsátásával összefüggő biztonsági kérdések
1.N 2271/2001. (IX. 26.) Korm. határozat az elektronikus kereskedelmi szolgáltatások, valamint egyéb információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló törvény végrehajtása érdekében szükséges intézkedésekről 1.O 2146/2000. (VI. 30.) Korm. határozat az elektronikus közbeszerzés rendszerének koncepciójáról és a létrehozásával kapcsolatban szükséges intézkedésekről 1.P 2155/2001. (VI. 20.) Korm. határozat az elektronikus közbeszerzés rendszerének koncepciójáról és a létrehozásával kapcsolatban szükséges intézkedésekről szóló 2146/2000. 1.Q (VI. 30.) Korm. határozat módosításáról A Kormány az elektronikus közbeszerzés rendszerének koncepciójáról és a létrehozásával kapcsolatban szükséges intézkedésekről szóló 2146/2000. (VI. 30.) Korm. Határozatot 1.R 2/2002. (IV.26.) MeHVM irányelv A minősített elektronikus aláírással kapcsolatos szolgáltatásokra és ezek szolgáltatóira vonatkozó biztonsági követelményekről. 1.S
7/2002. (IV.26.) MeHVM rendelet
2. függelék Szolgáltatások kormányzati tanúsítványokkal − − − − − − − − − − − − −
Távoli számítógép azonosságának igazolása, ellenőrzés, bizonyítása A szóban forgó köztisztviselő azonosságának igazolása távoli számítógépeken A szoftver módosítás elleni védelme közzététele után E-mail üzenetek védelme Digitális aláírással Sifrírozással (fedéssel, fátyolozással) Adatok aláírásának engedélyezése az aktuális időponttal Engedély a megbízható bizonyítványok, tanúsítványok listájának digitális aláírására Biztonságos kommunikáció az Interneten, virtuális magánhálózatban személy egyértelmű azonosítása (VPN) A lemezen lévő adatok „titkosítása” (fedése, fátyolozás, siffrirozása) Intelligens kártyás bejelentkezés Digitális engedélyek E-demokrácia feladatainak kiszolgálása − Elektronikus választási rendszer megvalósítása − Elektronikus szavazás − Elektronikus véleménynyilvánítás
59. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A hardver eszköz kibocsátásával összefüggő biztonsági kérdések
Digitális aláírás használata Köztisztviselő
Regisztrációs hatóság
Hitelesítő hatóság
Digitális dokumentum fogadása
e-levél, digitálisan aláírt dokumentum küldése, egyéb adatfeldolgozási tevékenység
köztisztviselő
Tanúsítvány hitelesítésének kezdeményezése
Tanúsítvány ellenőrzés
OK?
Partner
Nem
Értesítés a problémáról
Az intézkedés, ügy nem folytatható
Igen
Értesítés a tanúsítvány helyességéről
22. ábra Digitális aláírás használata Web hozzáférés: Az Internet böngészők és a Web szerverek PKI rendszert alkalmaznak a hitelesség megállapításához, a bizalmasság megőrzéséhez és olyan applikációkhoz, mint az online-banking, vagy online-shopping. A biztonságos Web honlapok tipikusan Secure Sockets Layer (SSL) –t használnak adataik és felhasználóik védelmére, illetve a két fél azonosítására. − Elektronikus üzenetek siffrirozása és digitális aláírása: a PKI rendszer együttműködik az ismert levelező szerverekkel és kliensekkel. Például: Microsoft Exchange /Outlook/ Outlook Express, a Netscape Messanger és a Lotus Notes. − Ezek teljes mértékben támogatják a legelterjedtebb biztonságos üzenetküldési protokoll a Secure Multipurpose Internet Mail Extensions (S/MIME), amely kiegészíti a MIME elektronikus levelezési szabványt. − Fájlok digitális aláírása, fedése, fátyolozása, siffrirozása: A letöltött programok megbízhatósága jelentősen növelhető biztonsági szempontból, amennyiben azt egy digitális aláírás kíséri, amivel ellenőrizhető a csomag teljessége, érintetlensége. A bizalmas anyagok sifrírozására, fedésére is van lehetőség szerver, vagy kliens oldalon is (pl. a könnyen eltulajdonítható laptopban). 60. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A hardver eszköz kibocsátásával összefüggő biztonsági kérdések
Testre szabott alkalmazások Alkalmazás szerver • gépjármű ügyintézés •Adóügyek •Gazdaságmozgósítás • távoktatás
Web kiszolgáló •központosított közbeszerzés • védett (siffrirozott)
Böngésző
Web kiszolgáló •Megbízható forrásból letöltött alkalmazások végrehajtása
Böngésző
Köztisztviselő Levelező rendszer
Biztonságos levelezés • Mindkét fél megbízható azonosítása •védett (siffrirozott) üzenetváltás
Távoli hozzáférés ügyfél oldali alkalmazás
Szövegszerkesztő
Tűzfal
Biztonságos hálózat • Biztonságos hálózati kommunikáció Belső hálózat (Intranet)
Digitálisan aláírt dokumentumok • elektronikus szerződések
Tűzfal
Időpecsét szerver • időpecsét adatbázis
Alkalmazás kiszolgáló − Schengeni rendszer
23. ábra A köztisztviselő által a digitális aláírással használható szolgáltatások
61. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
BM
Informatikai minisztérium
aláírási
A hardver eszköz kibocsátásával összefüggő biztonsági kérdések
Egyéb tárcák
Központi kormányzati elektronikus aláírás rendszer felügyelő bizottság
• Szabályozási irányelvek jóváhagyása
Központi kormányzati elektronikus aláírás rendszert megvalósító és működtető szervezet
• Szabályozás módosítások kezdeményezése
• Szabályozási irányelvek leképezése a gyakorlatra •Szolgáltatási Szabályzatok jóváhagyatása
Központi kormányzati elektronikus aláírás rendszer munkabizottsága
24. ábra A szervezet és kormányzati szervezetek kapcsolata
62. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A hardver eszköz kibocsátásával összefüggő biztonsági kérdések
2.A Web-en elérhető „Hitelesítő szolgáltató” informatikai rendszerének funkciói A hitelesítés-szolgáltatás keretében egy Web-en keresztül elérhető alkalmazáshoz nyújtnak hozáférést, mely felhasználható: − Digitális tanúsítványok igénylésére (regisztráció keretében). − Tanúsítvány-kérelmek feldolgozására − A HSz által kibocsátott tanúsítványok letöltésére − Tanúsítványok keresésére (LDAP technológiájú tanúsítványtár) − Tanúsítvány státuszának ellenőrzésére − Visszavont tanúsítványok listájának generálására, letöltésére (CRL, visszavont tanúsítványok listája) − Tanúsítványok visszavonására − A „Root HSz” (győkér, alap hitelesítő szolgáltató) tanúsítványának letöltésére
63. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei
aláírási
A hardver eszköz kibocsátásával összefüggő biztonsági kérdések
3. függelék Kormányzati tanúsítványok típusai A kormányzati tanúsítványok és jellemzőik összefoglalója A tanúsítvány típusa Előfizető A tanúsítvány alkalmazása A kormányzati központ A kormányzati hitelesítő A közigazgatási nyilvános kulcsú gyökér tanúsítványa központ saját tanúsítványa infrastruktúrák elsődleges tanúsítványa, a hitelesítés szolgáltató saját aláírását tartalmazza Alárendelt, illetve Közigazgatási hitelesítés Az egységes „Kormányzati kereszt tanúsított szolgáltató elektronikus aláírási rendszeren” hitelesítés szolgáltató belül az egyes tárcák, tanúsítványa minisztériumok, más közigazgatási szervek saját hitelesítés szolgáltatóinak aláíró tanúsítványa Egyéni Egyéni (köztisztviselő vagy Lehetővé teszi, hogy az egyén állampolgár) elektronikus eszközökkel hitelesen azonosíthassa magát a közigazgatási alkalmazásoknál információ szerzés, vagy információ feltöltés esetén, valamint, ellenőrizni lehessen az elektronikus aláírásával ellátott dokumentumokon/tranzakciókon az elektronikus aláírás hitelességét, ezzel a dokumentum/tranzakció teljességét és letagadhatatlanságát. Funkcióhoz kötött Egyén (közigazgatási Lehetővé teszi, hogy egy (közszolgálati szerv vagy kiadmányozási joggal közigazgatási szerv vagy magán cég rendelkező egyén, illetve magáncég képviselője felhatalmazottja) közigazgatási alkalmazói elektronikus eszközökkel hitelesen rendszer adminisztrátora, azonosíthassa magát a vagy privát cég képviselője), közigazgatási alkalmazásokkal aki felhatalmazással kapcsolatban üzleti vonatkozású rendelkezik a kormányzati tevékenységet folytasson, alkalmazás (az üzleti valamint ellenőrizni lehessen az vállalkozás) ügyeiben eljárni. elektronikus aláírásával ellátott dokumentumokon/tranzakciókon az elektronikus aláírás hitelességét, ezzel a dokumentum/tranzakció teljességét és letagadhatatlanságát. Közigazgatási Közigazgatási alkalmazások, Lehetővé teszi, hogy a alkalmazások, eszközök kiszolgálók, honlapok közigazgatási alkalmazás, eszköz azonosítsa magát az egyének, vagy a cég képviselők számára, valamint ellenőrizni lehessen az 64. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002
Egy kormányzati elektronikus rendszer tipikus szervezési elvei A tanúsítvány típusa
aláírási
A hardver eszköz kibocsátásával összefüggő biztonsági kérdések
Előfizető
A tanúsítvány alkalmazása alkalmazás elektronikus aláírásával ellátott dokumentumokon/tranzakciókon az elektronikus aláírás hitelességét, ezzel a dokumentum/tranzakció teljességét és letagadhatatlanságát.
65. oldal, összesen: 65 MTA Információtechnológiai Alapítvány
2002