EUROPESE COMMISSIE DIRECTORAAT-GENERAAL PERSONEELSZAKEN EN ADMINISTRATIE Directoraat SPS - Dienst Protocol en beveiliging Informaticabeveiliging
Europese Commissie BESCHRIJVING VAN CERTIFICERINGSPRAKTIJKEN (Versie 1.0 gedateerd 25.02.2002)
Jean Monnetgebouw, rue Alcide de Gasperi, L-2920 Luxembourg. Tel. (352) 43011. Wetstraat 200, B-1049 Brussel - België. Tel. (32)(0)2 299 11 11.
Inhoudsopgave (Versie 1.0 gedateerd 25.02.2002) .............................................................................. 1 1.
INLEIDING................................................................................................................. 8 1.1. Overzicht ........................................................................................................... 8 1.2. Identificatie........................................................................................................ 9 1.3. Gebruikersgroep en toepasbaarheid ................................................................ 10 1.3.1.
Certificeringsautoriteit (CA) ............................................................. 10
1.3.2.
Registratieautoriteiten (RA’s) ........................................................... 11
1.3.3.
Bewaarplaatsen.................................................................................. 12
1.3.4.
Abonnees ........................................................................................... 12
1.3.5.
Vertrouwende partijen ....................................................................... 12
1.3.6.
Toepasbaarheid.................................................................................. 13
1.4. Contactgegevens.............................................................................................. 13 2.
ALGEMENE BEPALINGEN ................................................................................... 14 2.1. Verplichtingen ................................................................................................. 14 2.1.1.
Verplichtingen van de CA ................................................................. 14
2.1.2.
Verplichtingen van de RA en de LRA’s............................................ 15
2.1.3.
Verplichtingen van de abonnees........................................................ 16
2.1.4.
Verplichtingen van de vertrouwende partijen ................................... 17
2.1.5.
Verplichtingen van de bewaarplaats.................................................. 18
2.2. Aansprakelijkheid [te reviseren door de Juridische dienst]............................. 18 2.2.1.
Garanties en garantiebeperkingen ..................................................... 19
2.2.2.
Exoneraties en beperkingen van aansprakelijkheid........................... 19
2.2.3.
Overige voorwaarden ........................................................................ 20
2.3. Financiële verantwoordelijkheid ..................................................................... 20 2.3.1.
Vrijwaring door vertrouwende partijen............................................. 20
2.3.2.
Fiduciaire relaties .............................................................................. 20
2.4. Interpretatie en handhaving ............................................................................. 20 2.4.1.
Toepasselijk recht.............................................................................. 20
2.4.2.
Scheidbaarheid, voortbestaan, fusie, kennisgeving........................... 20
2.4.3.
Geschillenbeslechtingsprocedures..................................................... 21
2.5. Kosten.............................................................................................................. 21 2.6. Publicatie en bewaarplaats .............................................................................. 21 2.6.1.
Publicatie van CA-informatie............................................................ 21
2.6.2.
Frequentie van publicatie .................................................................. 21 2
2.6.3.
Toegangscontrole .............................................................................. 22
2.6.4.
Bewaarplaatsen.................................................................................. 22
2.7. Nalevingsaudit [te implementeren] [te herzien bij implementatie]................. 23 2.7.1.
Frequentie van de nalevingsaudit ...................................................... 23
2.7.2.
Identiteit/kwalificaties van de CA-auditor ........................................ 23
2.7.3.
Relatie van de auditor tot de geauditeerde CA.................................. 23
2.7.4.
Voorwerp van de audit ...................................................................... 23
2.7.5.
Maatregelen genomen als gevolg van de audit ................................. 23
2.7.6.
Mededeling van de resultaten............................................................ 24
2.8. Beleid inzake geheimhouding ......................................................................... 25 2.8.1.
Soorten informatie die niet mogen worden bekendgemaakt ............. 25
2.8.2.
Soorten informatie die als publiek worden beschouwd..................... 26
2.8.3.
Bekendmaking van informatie betreffende ingetrokken certificaten ......................................................................................... 26
2.8.4.
Bekendmaking aan rechtshandhavingsambtenaren........................... 26
2.8.5.
Andere omstandigheden waarin informatie wordt bekendgemaakt .................................................................................. 26
2.9. Intellectuele-eigendomsrechten....................................................................... 26 3.
IDENTIFICATIE EN AUTHENTICATIE ............................................................... 27 3.1. Initiële registratie............................................................................................. 27 3.1.1.
Naamgeving....................................................................................... 27
3.1.2.
Zinvolle naamgeving ......................................................................... 27
3.1.3.
Regels voor het interpreteren van de naamgeving ............................ 27
3.1.4.
Unieke naamgeving ........................................................................... 27
3.1.5.
Geschillenbeslechting ten aanzien van de naamgeving .................... 28
3.1.6.
Erkenning, authenticatie en rollen van handelsmerken..................... 28
3.1.7.
Methode om het bezit van een privé-sleutel aan te tonen ................. 28
3.1.8.
Authenticatie van de identiteit van de organisatie............................. 28
3.1.9.
Authenticatie van de individuele identiteit........................................ 29
3.1.10. Authenticatie van de dienstbetrekking van de abonnee .................... 29 3.1.11. Authenticatie van de identiteit van de abonnee................................. 29 3.1.12. Authenticatie van apparaten of toepassingen .................................... 29 3.2. Routinematige heruitgifte................................................................................ 29 3.3. Heruitgifte na intrekking ................................................................................. 30 3.4. Verzoek om intrekking .................................................................................... 30 4.
OPERATIONELE VEREISTEN .............................................................................. 30 3
4.1. Aanvraag van certificaten................................................................................ 30 4.2. Uitgifte van certificaten................................................................................... 31 4.3. Acceptatie van certificaten .............................................................................. 33 4.4. Schorsing en intrekking van certificaten ......................................................... 33 4.4.1.
Omstandigheden waarin intrekking plaatsvindt ................................ 33
4.4.2.
Wie kan verzoeken om intrekking?................................................... 33
4.4.3.
Procedure voor een verzoek om intrekking [te implementeren] [te herzien bij implementatie] ................................. 34
4.4.4.
Respijtperiode voor verzoeken om intrekking .................................. 35
4.4.5.
Omstandigheden waarin schorsing plaatsvindt ................................. 35
4.4.6.
Wie kan verzoeken om schorsing? .................................................... 35
4.4.7.
Procedure voor een verzoek om schorsing........................................ 35
4.4.8.
Beperking van de schorsingstermijn ................................................. 35
4.4.9.
Uitgiftefrequentie CRL...................................................................... 35
4.4.10. Vereisten inzake controle van de CRL.............................................. 35 4.4.11. Beschikbaarheid on-linecontrole van intrekking/status .................... 36 4.4.12. Vereisten voor on-linecontrole van intrekking.................................. 36 4.4.13. Andere beschikbare vormen van bekendmaking van intrekking........................................................................................... 36 4.4.14. Controlevereisten voor andere vormen van bekendmaking van intrekking.................................................................................... 36 4.4.15. Bijzondere vereisten bij sleutelcompromittering .............................. 36 4.5. Procedures voor de beveiligingsaudit [te implementeren] [te herzien bij implementatie]............................................................................................ 36 4.5.1.
Soorten gebeurtenissen die worden geregistreerd ............................. 36
4.5.2.
Frequentie van de verwerking van auditlogs..................................... 37
4.5.3.
Bewaartermijn voor auditlogs ........................................................... 37
4.5.4.
Beveiliging van auditlogs .................................................................. 37
4.5.5.
Procedures voor de back-up van auditlogs........................................ 38
4.5.6.
Auditverzamelsysteem ...................................................................... 38
4.5.7.
Kennisgeving aan het subject dat de gebeurtenis teweegbrengt...................................................................................... 38
4.5.8.
Evaluatie van kwetsbare elementen................................................... 38
4.6. Archivering van informatie [te implementeren] [te herzien bij implementatie]................................................................................................. 38 4.6.1.
Soorten informatie die worden gearchiveerd .................................... 38
4.6.2.
Bewaartermijn voor het archief ......................................................... 39
4.6.3.
Beveiliging van het archief................................................................ 39 4
4.6.4.
Procedures voor de back-up van het archief ..................................... 40
4.6.5.
Archiefverzamelsysteem ................................................................... 40
4.6.6.
Procedures om archiefinformatie te verkrijgen en te verifiëren........ 40
4.7. Verandering van sleutel................................................................................... 40 4.8. Compromittering en herstel na calamiteit [te implementeren] [te herzien bij implementatie]............................................................................... 40 4.8.1.
Computerhulpmiddelen, software en/of gegevens zijn beschadigd ......................................................................................... 40
4.8.2.
Recuperatie van sleutels van entiteiten ............................................. 41
4.8.3.
Herstel na calamiteit .......................................................................... 44
4.9. Beëindiging van de werkzaamheden van de CA............................................. 44 5.
FYSIEKE, PROCEDURELE EN PERSONELE BEVEILIGINGSMAATREGELEN ......................................................................... 44 5.1. Fysieke beveiligingsmaatregelen .................................................................... 44 5.1.1.
Locatie en inrichting.......................................................................... 44
5.1.2.
Fysieke toegang ................................................................................. 44
5.1.3.
Stroomvoorziening en airconditioning .............................................. 45
5.1.4.
Wateroverlast..................................................................................... 45
5.1.5.
Brandpreventie en -beveiliging ......................................................... 45
5.1.6.
Opslag van gegevensdragers ............................................................. 45
5.1.7.
Afvalverwijdering.............................................................................. 45
5.1.8.
Externe backup [niet van toepassing]................................................ 45
5.2. Procedurele beveiligingsmaatregelen.............................................................. 46 5.2.1.
Vertrouwde rollen.............................................................................. 46
5.2.2.
Aantal benodigde personen per taak ................................................. 48
5.2.3.
Identificatie en authenticatie voor elke rol ........................................ 48
5.3. Personele beveiligingsmaatregelen ................................................................. 48
6.
5.3.1.
Vereisten inzake antecedenten, kwalificaties, ervaring en bevoegdheidsverklaring..................................................................... 48
5.3.2.
Procedures voor het antecedentenonderzoek .................................... 48
5.3.3.
Opleidingseisen ................................................................................. 48
5.3.4.
Verdere opleiding: frequentie en eisen.............................................. 49
5.3.5.
Functieroulering ................................................................................ 49
5.3.6.
Sancties wegens ongeautoriseerde handelingen................................ 49
5.3.7.
Tijdelijk personeel ............................................................................. 49
5.3.8.
Aan het personeel verstrekte documentatie....................................... 49
TECHNISCHE BEVEILIGINGSMAATREGELEN ............................................... 50 5
6.1. Genereren en installeren van het sleutelpaar................................................... 50 6.1.1.
Genereren van het sleutelpaar ........................................................... 50
6.1.2.
Aflevering van de privé-sleutel aan de entiteiten.............................. 50
6.1.3.
Aflevering van de publieke sleutel aan de uitgever van het certificaat ........................................................................................... 50
6.1.4.
Aflevering van de publieke sleutel van de CA aan de gebruikers .......................................................................................... 50
6.1.5.
Asymmetrische sleutellengten........................................................... 50
6.1.6.
Genereren van de parameters voor publieke sleutels ........................ 50
6.1.7.
Controle van de kwaliteit van de parameters .................................... 50
6.1.8.
Genereren van de sleutels in hardware-/software.............................. 51
6.1.9.
Gebruik van de sleutels (volgens X.509v3-veld) .............................. 51
6.2. Bescherming van de privé-sleutel ................................................................... 51 6.2.1.
Normen voor de cryptografische module .......................................... 51
6.2.2.
Controle over de privé-sleutel door verschillende personen ............. 51
6.2.3.
Escrow van de privé-sleutel .............................................................. 51
6.2.4.
Back-up van de privé-sleutel ............................................................. 51
6.2.5.
Archivering van de privé-sleutel ....................................................... 52
6.2.6.
Invoer van de privé-sleutel in de cryptografische module ................ 52
6.2.7.
Methode om de privé-sleutel te activeren ......................................... 52
6.2.8.
Methode om de privé-sleutel te deactiveren...................................... 52
6.2.9.
Methode om de privé-sleutel te vernietigen ...................................... 52
6.3. Overige aspecten van sleutelpaarbeheer.......................................................... 52 6.3.1.
Archivering van publieke sleutels ..................................................... 52
6.3.2.
Gebruiksduur voor de publieke en de privé-sleutels ......................... 52
6.4. Activeringsgegevens ....................................................................................... 52 6.4.1.
Activeringsgegevens voor genereren en installeren.......................... 52
6.4.2.
Beveiliging van de activeringsgegevens ........................................... 53
6.4.3.
Overige aspecten van activeringsgegevens ....................................... 53
6.5. Computerbeveiligingsmaatregelen .................................................................. 53 6.5.1.
Specifieke technische eisen inzake computerbeveiliging ................. 53
6.5.2.
Kwalificatie van de computerbeveiliging.......................................... 54
6.6. Beveiligingsmaatregelen gedurende de levenscyclus ..................................... 54 6.6.1.
Maatregelen betreffende de systeemontwikkeling ............................ 54
6.6.2.
Beveiligingsmaatregelen op het gebied van beheer .......................... 54
6.7. Netwerkbeveiligingsmaatregelen .................................................................... 54 6
6.8. Veiligheidsmaatregelen betreffende het ontwerp van de cryptografische module ................................................................................... 54 7.
CERTIFICAAT- EN CRL-PROFIEL ....................................................................... 55 7.1. Certificaatprofiel ............................................................................................. 55 7.1.1.
Versienummer ................................................................................... 55
7.1.2.
Certificaatextensies ........................................................................... 55
7.1.3.
Object-ID’s van de algoritmen .......................................................... 55
7.1.4.
Naamgeving....................................................................................... 56
7.1.5.
Beperkingen aan de naamgeving....................................................... 56
7.1.6.
Objectidentificatiecode van het certificaatbeleid .............................. 56
7.1.7.
Gebruik van de extensie voor beleidsbeperkingen............................ 56
7.1.8.
Syntaxis en semantiek van beleidsqualifiers ..................................... 56
7.1.9.
Verwerkingssemantiek voor het kritische certificaatbeleid .............. 56
7.2. CRL-profiel [te herzien bij implementatie]..................................................... 56
8.
7.2.1.
Versienummer ................................................................................... 56
7.2.2.
Extensies voor de CRL en de CRL-ingang ....................................... 57
ADMINISTRATIEVE BEPALINGEN .................................................................... 58 8.1. Procedures voor wijziging van de specificaties .............................................. 58 8.1.1.
Punten die zonder kennisgeving kunnen worden gewijzigd ............. 59
8.1.2.
Wijzigingen met kennisgeving .......................................................... 59
8.2. Beleid inzake publicatie en kennisgeving ....................................................... 60 8.3. Procedures voor de goedkeuring van de CPS ................................................. 60 9.
BIJLAGEN ................................................................................................................ 60 9.1. Acroniemen ..................................................................................................... 60 9.2. Definities ......................................................................................................... 61 9.3. Referentiedocumenten..................................................................................... 64
7
1.
INLEIDING
De algemene structuur van dit document is gebaseerd op het document RFC 2527, dat een uitgebreide analyse van het thema bevat. Het uit het document RFC 2527 afgeleide raamwerk biedt een uitgebreide lijst van punten die in een beschrijving van certificeringspraktijken aan bod moeten komen. Betekenis van de volgende afspraken: • normaal font: geïmplementeerd en operationeel; • cursief font: nog niet geïmplementeerd, voor ontwikkeling in de toekomst; • tekst tussen vierkante haken: te bespreken. De Europese Commissie is bezig met de implementatie van een publiekesleutelinfrastructuur (Public Key Infrastructure, PKI) om haar elektronische informatie te beveiligen. Deze PKI bestaat uit systemen, producten en diensten die X.509-certificaten voor publieke-sleutelcryptografie verstrekken en beheren. Dit document heeft tot doel de certificeringspraktijken te beschrijven die door de certificeringsautoriteit (CA) van de Europese Commissie - CommisSign genaamd zijn geïmplementeerd om de betrouwbaarheid van de CA bij de uitgifte van publieke-sleutelcertificaten aan abonnees te garanderen. Het document werd opgesteld om te voldoen aan de voorschriften van het certificaatbeleid (Certificate Policy, CP) voor de Europese PKI. Het verband tussen het CP voor de PKI van de Europese Commissie en dit document is dat de CP de beleidslijnen van de CA CommisSign formuleert en dit document de bijzonderheden betreffende de implementatie van het CP verstrekt. De gebruikers van dit document moeten het CP voor de PKI van de Europese Commissie raadplegen om informatie te verkrijgen over de onderliggende beleidslijnen voor de Beschrijving van certificeringspraktijken (Certificate Practice Statement, CPS) van de CA CommisSign. 1.1.
Overzicht Deze beschrijving van certificeringspraktijken volgt en beantwoordt aan de Public Key Infrastructure X.509, Part 4 Certificate Policy and Certification Practice Statement Framework, van de Internet Engineering Task Force (IETF PKIX). Dit document is bedoeld om te worden gebruikt door de Europese Commissie en anderen die de betrouwbaarheid van de CA CommisSign willen beoordelen en willen nagaan of haar certificaten voldoen aan hun eisen inzake de beveiliging van elektronische informatie. De praktijken in dit document ondersteunen een middelhoog beveiligingsniveau, tenzij anders wordt aangegeven. Naarmate de Europese Commissie andere beveiligingsniveaus toevoegt, zal dit document worden gewijzigd om de praktijken voor die niveaus te beschrijven. 8
In de CPS van de CA CommisSign wordt een beschrijving gegeven van de aanmaak, het beheer en het gebruik van publieke-sleutelcertificaten volgens X.509 versie 3 in toepassingen waarbij communicatie tussen genetwerkte computergebaseerde systemen vereist is, en toepassingen waarbij de integriteit en de geheimhouding van elektronische informatie vereist zijn. Tot dergelijke toepassingen behoren onder andere elektronische post, de transmissie van informatie tot en met EU RESTRICTED-informatie, en de digitale ondertekening van elektronische formulieren. Wanneer in dit document de term “X.509-certificaten” wordt gebruikt, worden daarmee certificaten overeenkomstig X.509 versie 3 bedoeld. Met de term “PKIclientsoftware” of “PKI-software” wordt de software bedoeld die binnen het domein van de CA CommisSign PKI-functionaliteit biedt. De uitgifte van een publieke-sleutelcertificaat overeenkomstig deze CPS • is niet bedoeld voor de bescherming van EU CONFIDENTIAL-, EU SECRET- en EU TOP SECRET-informatie; • impliceert niet dat de gebruiker over enige bevoegdheid beschikt om namens de Europese Commissie handelstransacties te verrichten. De beleidsautoriteit voor de PKI van de Europese Commissie evalueert deze CPS. De beleidsautoriteit (Policy Authority, PA) keurt alle CPS’en van de CA binnen de PKI van de Europese Commissie goed. Met betrekking tot de afdwingbaarheid, de uitlegging, de interpretatie en de geldigheid van deze CPS en het bijbehorende CP zal de CA CommisSign onderworpen zijn aan de regelgeving van de Europese Commissie. De PA van de Europese Commissie is bevoegd voor het algemene beheer van de PKI van de Europese Commissie. De PA is bevoegd voor het bepalen van de beleidslijnen volgens welke de PKI van de Europese Commissie functioneert. Het behoort tot de taken van de PA om ervoor te zorgen dat de CA CommisSign handelt in overeenstemming met de beleidslijnen en praktijken die in de relevante certificerings- en certificaatdocumenten zijn vastgesteld, en om kruiscertificeringen goed te keuren en te beheren. De PA zetelt in het College van de Europese Commissie. De CA van de Europese Commissie is bevoegd voor de aanmaak en het beheer van publieke-sleutelcertificaten volgens X.509 versie 3 voor gebruik door de Europese Commissie en overeenkomstig het CP van de Europese Commissie en deze CPS. De Europese Commissie doet een beroep op een centrale registratieautoriteit (Central Registration Authority, RA) en lokale registratieautoriteiten (Local Registration Authority, LRA) om informatie te verzamelen, de identiteit te verifiëren, te autoriseren en te verzoeken om certificaatbeheershandelingen namens haar gebruikersgroep. 1.2.
Identificatie Dit document is de Beschrijving van certificeringspraktijken (CPS) van de certificeringsautoriteit van de Europese Commissie. De hierin beschreven 9
praktijken zijn in overeenstemming met het beveiligingsbeleid voor de PKI van de Europese Commissie. 1.3.
Gebruikersgroep en toepasbaarheid Deze CPS is op zodanige wijze ontworpen dat ze voldoet aan de algemene eisen van de Europese Commissie inzake publieke-sleutelcertificaten. De CA CommisSign is een certificeringsautoriteit binnen de PKI van de Europese Commissie. 1.3.1. Certificeringsautoriteit (CA) De CA CommisSign is bedoeld om te worden gebruikt binnen de Europese Commissie en eventueel met organisaties of personen die zich buiten de Europese Commissie bevinden, maar e-mails met de Europese Commissie uitwisselen. De CA CommisSign is bevoegd voor de uitgifte, de ondertekening en het beheer van publieke-sleutelcertificaten. De CA geeft gebruikerscertificaten af aan alle personeelsleden van de Commissie, met uitsluiting van alle andere personen, voorzover dit nodig is. De CA CommisSign omvat personen die bevoegd zijn voor de algemene werking van de CA, en personen die de CA-server en de CA-software beheren en onderhouden. De beheersautoriteit (Operation Authority, OA) van de CA is bevoegd voor het opstellen en het beheer van de beschrijving van certificeringspraktijken van de CA en voor het beheer van de hoofdsleutel. De OA is bevoegd voor het beoordelen van de werkzaamheden van de RA’s binnen het CA-domein. De OA rapporteert aan de PA betreffende aspecten van de werking van de CA. De CA-functionarissen zijn bevoegd voor de werking en het beheer van de CA-server en de CA-software. De CA CommisSign is bevoegd voor: • de aanmaak en de ondertekening van X.509-certificaten waardoor abonnees die tot het personeel van de Commissie behoren, aan hun publieke sleutel worden gekoppeld; • de verspreiding van X.509-certificaten via directory’s; • bekendmaking van de certificaatstatus via lijsten van ingetrokken certificaten (Certificate Revocation Lists, CRL’s); [niet operationeel] • het doen functioneren van de CA overeenkomstig deze CPS; • de goedkeuring en de aanwijzing van personen voor het vervullen van de functie van PKI-functionaris; • de beoordeling en de audit van de werkzaamheden van de RA en de LRA’s binnen haar domein; 10
• de beslechting van geschillen tussen eindgebruikers en de CA, de RA of de LRA; • het doen van verzoeken om intrekking van het certificaat van een PKIfunctionaris of van RA’s. Deze CPS maakt, zo nodig, het onderscheid tussen de verschillende gebruikers en rollen die toegang hebben tot de CA-functies. Wanneer dit onderscheid niet nodig is, wordt de term CA gebruikt om de gehele CAentiteit aan te duiden, inclusief de software en haar bewerkingen. (* Opmerking: een kruiscertificering moet in overeenstemming zijn met deze CPS en aanvullende voorschriften die worden vastgesteld door de PA van de Europese Commissie. Alle kruiscertificeringen tussen gebruikers van de Commissie en andere CA’s zullen overeenkomstig de instructies van de PA van de Commissie geschieden. Erkenningen die tot stand komen met andere CA’s, moeten worden gedocumenteerd en de toepasselijke exoneraties moeten de gebruikers van de Commissie beschikbaar worden gesteld.) 1.3.2. Registratieautoriteiten (RA’s) Een registratieautoriteit (RA) is een entiteit die bevoegd is voor de administratie van de eindentiteit namens de CA van de Commissie. Er is één centrale registratieautoriteit (RA) en er zijn diverse lokale registratieautoriteiten (LRA’s). De termen RA/LRA worden gebruikt voor de aanduiding van een persoon binnen de Europese Commissie die over RA/LRA-privileges beschikt en de RA/LRA-functies vervult. De RA is bevoegd voor: • het identificeren en authentiseren van de administratieve identiteit van certificaataanvragers; • het aanmaken en wijzigen van de SubjectName op het certificaat; • het bekijken van auditlogs en het melden van verdachte gebeurtenissen aan de CA-beheersautoriteit; en • het opstellen van diverse rapporten over de gebruikersstatus. De LRA is bevoegd voor: • het identificeren en authentiseren van de fysieke identiteit van certificaataanvragers; • het verifiëren van de authenticiteit van de certificaataanvraag; • het verifiëren van de SubjectName van de gebruiker;
11
• het ontvangen en verspreiden van informatie betreffende de autorisatie van de abonnee; • het uitvoeren van certificaat- en managementtaken voor hun eindentiteiten (bv. gebruikers activeren, gebruikerscertificaten desactiveren/schorsen); • het actualiseren van certificaten, [het intrekken van certificaten en] het beheren van de sleutelrecuperatie voor eindentiteiten. 1.3.3. Bewaarplaatsen De CA CommisSign gebruikt de directory van de Europese Commissie om certificaten, CRL’s [en lijsten van gerevoceerde autoriteiten (Authority Revocation Lists, ARL’s) te publiceren en te verspreiden. Het directoraat Informatica beheert de directory van de Europese Commissie. De directory is 24 uren per dag beschikbaar, terwijl operationele ondersteuning beschikbaar is gedurende 12 uren per dag, 5 dagen per week. 1.3.4. Abonnees De abonnees gebruiken privé-sleutels die door de CA CommisSign zijn [uitgegeven en/of] gecertificeerd voor goedgekeurde toepassingen. De abonnees behoren tot het personeel van de Commissie. Er kan een certificaat worden uitgegeven aan een functionele mailbox. In dit geval moet de persoon die voor deze niet-menselijke eindentiteit verantwoordelijk is, een certificaat voor deze entiteit aanvragen en in stand houden. Deze persoon kan zijn rechten aan een tweede persoon (als reservepersoon) delegeren. Bovendien kunnen de abonnees de door de CA CommisSign uitgegeven certificaten gebruiken om informatie te versleutelen voor en de digitale handtekeningen te verifiëren van andere abonnees (binnen het domein van de CA CommisSign, alsmede domeinen met kruiscertificering). In die hoedanigheid zijn de abonnees ook vertrouwende partijen. In deze CPS wordt de term eindentiteit gebruikt voor de aanduiding van gebruikers in het algemeen, inclusief hun rol als abonnee en als vertrouwende partij. Wanneer die rollen in deze CPS van elkaar moeten worden gescheiden, wordt de term abonnee gebruikt om een eindentiteit aan te duiden als certificaatsubject, terwijl de term vertrouwende partij wordt gebruikt om een eindentiteit aan te duiden die door de CA CommisSign uitgegeven certificaten verifieert. 1.3.5. Vertrouwende partijen Een vertrouwende partij kan ofwel een certificaatsubject van de CA CommisSign zijn of een abonnee van een externe CA die [een kruiscertificeringsovereenkomst heeft gesloten met] haar vertrouwen heeft gesteld in de CA CommisSign. De rechten en verplichtingen van een vertrouwende partij die certificaatsubject van de CA CommisSign is, worden in deze CPS beschreven. [De rechten en verplichtingen van een 12
vertrouwende partij die tot een externe CA behoort, worden beschreven in de kruiscertificeringsovereenkomst tussen de twee eigenaars van de CA’s]. 1.3.6. Toepasbaarheid De in deze CPS beschreven praktijken zijn van toepassing op de CA CommisSign en haar beheerders, de RA’s van de Europese Commissie en hun beheerders, de door de CA CommisSign gebruikte bewaarplaats, de door de CA CommisSign gecertificeerde eindentiteiten, en de vertrouwende partijen. De in deze CPS beschreven praktijken zijn geschikt voor certificaatdoeleinden zoals elektronische authenticatie, autorisatie en gegevensintegriteit voor de informatie van de Europese Commissie tot en met kritieke informatiesystemen (zie het ICT-beveiligingsbeleid). De in deze CPS beschreven praktijken zijn geschikt voor certificaatdoeleinden zoals geheimhouding van de informatie van de Europese Commissie tot en met EU RESTRICTED (zie het ICTbeveiligingsbeleid). Verboden toepassingen zijn de toepassingen die door de PA van de Europese Commissie aldus worden aangemerkt. In het algemeen zijn de uitgegeven certificaten verboden voor de volgende toepassingen: • toepassingen die EU CONFIDENTIAL-, EU SECRET- en EU TOP SECRET-informatie gebruiken of bevatten; • toepassingen die niet relevant zijn voor de werkzaamheden van de Commissie. 1.4.
Contactgegevens De Dienst Protocol en beveiliging van de Europese Commissie beheert deze CPS. De contactpersoon is: de heer Gérard BREMAUD CommisSign CA Operations Authority Dienst Protocol en beveiliging Jean Monnetgebouw B2/072 L-2920 LUXEMBOURG
13
2.
ALGEMENE BEPALINGEN 2.1.
Verplichtingen 2.1.1. Verplichtingen van de CA De CA CommisSign moet zich houden aan de bepalingen van het ICTbeveiligingsbeleid, alle bepalingen van deze CPS en aan de relevante Europese en nationale voorschriften. De CA CommisSign is verplicht: • een beschrijving van certificeringspraktijken op te stellen, te onderhouden en te publiceren; • CA-diensten te verlenen overeenkomstig de in deze CPS beschreven praktijken; • CA-serverdiensten te verlenen gedurende 7 dagen per week, 24 uren per dag, met dien verstande dat dit geen garantie voor 100% beschikbaarheid is (de beschikbaarheid kan worden verminderd door systeemonderhoud, systeemreparaties of door factoren waarop de CA geen invloed heeft); • certificaten te verstrekken aan het personeel van de Europese Commissie [en aan andere CA’s] overeenkomstig de praktijken zoals beschreven in deze CPS en het X.509-certificaatbeleid voor de PKI van de Europese Commissie; • certificaten in te trekken bij ontvangst van een geldig verzoek daartoe, overeenkomstig de praktijken zoals beschreven in deze CPS en het X.509-certificaatbeleid voor de PKI van de Europese Commissie; • diensten voor sleutelrecuperatie te verlenen overeenkomstig de praktijken zoals beschreven in deze CPS en het X.509-certificaatbeleid voor de PKI van de Europese Commissie; • regelmatig CRL’s[ en ARL’s] uit te geven en te publiceren overeenkomstig deze CPS en het X.509-certificaatbeleid voor de PKI van de Europese Commissie; • anderen (bv. vertrouwende partijen) in kennis te stellen van de uitgifte/intrekking van certificaten door het verlenen van toegang tot certificaten, CRL’s [en ARL’s] in de bewaarplaats van de CA CommisSign; • ervoor te zorgen dat de abonnee- en RA-groepen van de CA CommisSign geïnformeerd zijn over en zich houden aan deze CPS, door de publicatie van de CPS en het X.509-certificaatbeleid voor de PKI van de Europese Commissie en de audit van RA’s binnen het domein van de CA CommisSign;
14
• in overleg met de PA van de Europese Commissie te zorgen voor corrigerende maatregelen wanneer tijdens een audit tekortkomingen bij de CA of bij RA’s worden geconstateerd; • bij de PA verslag uit te brengen over de stand van de corrigerende maatregelen. Zodra een abonneecertificaat is aangemaakt, wordt het in de directory van de Europese Commissie gepubliceerd. Wanneer een abonneecertificaat wordt ingetrokken, wordt het schriftelijk in de CRL bekendgemaakt en in de directory van de Europese Commissie gepubliceerd. Door een certificaat in de directory van de Europese Commissie te publiceren verklaart de CA CommisSign dat zij een certificaat aan de genoemde abonnee heeft verstrekt, dat de in het certificaat opgenomen informatie werd geverifieerd overeenkomstig de CPS, en dat de abonnee het certificaat heeft geaccepteerd. De CA CommisSign brengt de rechten en verplichtingen die een abonnee en een vertrouwende partij op grond van deze CPS hebben, ter kennis door de publicatie van deze CPS en van het X.509-certificaatbeleid voor de PKI van de Europese Commissie. De CA CommisSign beschermt haar privé-sleutels overeenkomstig de bepalingen van punt 6 van deze CPS. [De CA CommisSign beschermt de privé-sleutels die zij bezit of opslaat, overeenkomstig de punten 4 en 6 van deze CPS]. De handtekeningssleutel van de CA CommisSign wordt gebruikt voor de ondertekening van certificaten en CRL’s. [De CA CommisSign mag slechts kruiscertificaten met andere CA’s uitgeven en ondertekenen indien zij daarvoor uitdrukkelijk toestemming van de PA van de Europese Commissie heeft verkregen.] 2.1.2. Verplichtingen van de RA en de LRA’s De RA en de LRA’s van de Europese Commissie binnen het domein van de CA CommisSign zijn verplicht zich te houden aan de bepalingen van deze CPS en het X.509-certificaatbeleid voor de PKI van de Europese Commissie. De RA is verplicht: • RA-diensten aan zijn respectieve LRA’s te verlenen. De werktijden voor de RA zijn de normale werktijden van de Commissie; • ervoor te zorgen dat de RA-diensten in overeenstemming zijn met de in dit document beschreven relevante praktijken en met het X.509certificaatbeleid voor de PKI van de Europese Commissie;
15
• verantwoording af te leggen voor transacties die namens de CA worden verricht; • haar abonnees te attenderen op alle relevante informatie betreffende de rechten en verplichtingen van de CA, de RA en de abonnee, zoals beschreven in deze CPS, de abonneeovereenkomst en alle andere relevante documenten waarin de gebruiksvoorwaarden zijn vastgesteld. Wanneer de RA op de CA-server inlogt om een certificaatverzoek te verwerken, verklaart de RA dat zij de identiteit van de abonnee in kwestie heeft geauthentiseerd overeenkomstig de in de punten 3 en 4 van deze CPS beschreven praktijken. De LRA’s zijn verplicht: • de juistheid en de authenticiteit van de door de certificaataanvragers verstrekte informatie te verifiëren (de LRA’s voeren deze verificatie uit namens de CA CommisSign); • [te verzoeken om intrekking van de certificaten van een abonnee overeenkomstig de bepalingen van dit document;] • ervoor te zorgen dat de LRA-diensten in overeenstemming zijn met de in dit document beschreven relevante praktijken en met het X.509certificaatbeleid voor de PKI van de Europese Commissie; • verantwoording af te leggen voor transacties die namens de CA worden verricht; • verzoeken om de uitgifte [en de intrekking] van certificaten te behandelen; • de abonnee in kennis stellen van de goedkeuring van het verzoek en van eventuele verdere handelingen die van de abonnee worden verlangd. Elke RA en LRA moet ervoor zorgen dat haar privé-sleutels beschermd zijn overeenkomstig de in punt 6 van deze CPS beschreven maatregelen. De RA en de LRA mogen hun privé-sleutel uitsluitend gebruiken voor de werkzaamheden van de Europese Commissie en voor de doeleinden die zijn toegestaan overeenkomstig het X.509-certificaatbeleid voor de PKI van de Europese Commissie en deze CPS. 2.1.3. Verplichtingen van de abonnees In het domein van de CA CommisSign zijn de eindentiteiten zowel abonnees als vertrouwende partijen. Als abonnee zijn zij verplicht: • zowel tegenover de CA CommisSign als de RA te allen tijde in te staan voor de juistheid van de informatie in hun certificaten en van andere identificatie- en authenticatie-informatie;
16
• de certificaten uitsluitend te gebruiken voor legale en toegestane werkzaamheden van de Europese Commissie in overeenstemming met het toepasselijke certificaatbeleid en deze CPS; • de privé-sleutels te beschermen door ze op te slaan op een harde schijf, [op een smartcard] of op een diskette, afhankelijk van de implementatie in het DG; • de privé-sleutelondersteuning te verwijderen van de computer wanneer deze niet wordt gebruikt bij opslag van de privé-sleutels op een diskette [of op een smartcard]; • de privé-sleutelondersteuning bij zich te houden of in een veilige, gesloten ruimte te bewaren bij opslag van de privé-sleutels op een diskette [of op een smartcard]; • hun abonneepassword beveiligingsvoorschriften;
te
beschermen
conform
de
ICT-
• hun LRA binnen 48 uren op de hoogte te brengen van wijzigingen in de informatie die in hun certificaat of certificaataanvraag is opgenomen; • hun LRA binnen 8 uren op de hoogte te brengen van een vermoeden van compromittering van één van hun privé-sleutels of van beide; • redelijke voorzorgsmaatregelen te nemen om verlies, bekendmaking, wijziging of ongeautoriseerd gebruik van hun privé-sleutels te voorkomen. Door zich te houden aan de in deze CPS beschreven praktijken voldoen de abonnees aan de verplichtingen die op hen rusten op grond van de beleidslijnen volgens welke hun certificaten zijn uitgegeven. [Door een certificaatverzoek (d.w.z. uitgifte, intrekking, recuperatie) te ondertekenen, verklaart een abonnee aan de CA CommisSign en de RA dat de aan de CA of de RA verstrekte informatie compleet en juist is.] De abonnees mogen hun privé-sleutels uitsluitend gebruiken voor de werkzaamheden van de Europese Commissie en voor de doeleinden die zijn toegestaan overeenkomstig het beveiligingsbeleid voor de PKI van de Europese Commissie en deze CPS. 2.1.4. Verplichtingen van de vertrouwende partijen In het domein van de CA CommisSign zijn de eindentiteiten zowel abonnees als vertrouwende partijen. Als vertrouwende partij zijn zij verplicht: • het vertrouwen op door de CA CommisSign uitgegeven certificaten te beperken tot de passende gebruiksdoeleinden voor deze certificaten overeenkomstig het X.509-certificaatbeleid voor de PKI van de Europese Commissie en deze CPS;
17
• certificaten te verifiëren, met inbegrip van het gebruik van CRL’s [en ARL’s], [rekening houdend met kritische extensies]. [(De verificatie van certificaten is in overeenstemming met de procedure voor het valideren van het certificeringspad, zoals gespecificeerd in ITU-T Recommendation X.509 Information Technology – Open Systems Interconnection – The Directory: Authentication Framework ISO/IEC 9594-8 (1997).)] • alleen te vertrouwen op en gebruik te maken van certificaten indien een geldige certificaatketen tussen de vertrouwende partij en het certificaatsubject tot stand wordt gebracht. Alvorens een abonneecertificaat te gebruiken, moet een vertrouwende partij zich ervan vergewissen dat het geschikt is voor het bedoelde gebruik door kennis te nemen van het beleid en de CPS op grond waarvan het certificaat werd uitgegeven. Vertrouwende partijen moeten de handtekening van de CA CommisSign en de afloopdatum op een certificaat valideren alvorens de bijbehorende publieke sleutel te gebruiken. Bovendien moet de vertrouwende partij de digitale handtekening van de abonnees verifiëren alvorens digitaal ondertekende gegevens te accepteren. Wanneer de verificatie automatisch plaatsvindt door middel van een cryptografisch proces en ondersteunende hardware/software die op het werkstation van de vertrouwende partij is geïnstalleerd, moet de vertrouwende partij ervoor zorgen dat zij compatibele software gebruikt. Alvorens een certificaat te gebruiken, moeten de vertrouwende partijen de certificaatstatus controleren aan de hand van een actuele CRL. De vertrouwende partijen moeten de digitale handtekening van de CRL verifiëren om zich ervan te vergewissen dat ze door de CA CommisSign werd ondertekend. 2.1.5. Verplichtingen van de bewaarplaats [Root-certificaten van de CommisSign, de CPS, CRL's [en abonneecertificaten] zijn beschikbaar voor de vertrouwende partijen overeenkomstig de praktijken die zijn beschreven in punt 4.4 ‘Uitgiftefrequentie CRL’ van deze CPS.] 2.2.
Aansprakelijkheid [te reviseren door de Juridische dienst] [Aangezien de functies van de CA CommisSign en de RA door de Europese Commissie worden vervuld, worden de aan beide functies verbonden aansprakelijkheden in deze CPS gecombineerd. De CA CommisSign, de RA, de LRA en de Europese Commissie nemen geen enkele aansprakelijkheid op zich met betrekking tot het gebruik van de PKI-certificaten van de Europese Commissie of bijbehorende publieke/privé-sleutelparen voor andere doeleinden dan die welke in het certificaatbeleid voor de PKI van de Europese Commissie en deze CPS worden beschreven.
18
2.2.1. Garanties en garantiebeperkingen De CA CommisSign en de RA garanderen en beloven: • certificeringsdiensten te verlenen in overeenstemming met het certificaatbeleid zoals beschreven in het X.509-certificaatbeleid voor de PKI van de Europese Commissie en deze CPS; • de identificatie- en authenticatieprocedures uit te voeren zoals beschreven in punt 3 van deze CPS; • sleutelbeheersdiensten te verlenen, met inbegrip van de uitgifte, de publicatie en de intrekking van certificaten, de recuperatie en de actualisering van sleutels, in overeenstemming met het certificaatbeleid zoals beschreven in het X.509-certificaatbeleid voor de PKI van de Europese Commissie en deze CPS. De Europese Commissie en haar personeel hanteren geen andere representaties, garanties en condities, expliciet of impliciet, dan die welke uitdrukkelijk zijn vermeld in het certificaatbeleid voor de PKI van de Europese Commissie en deze CPS. 2.2.2. Exoneraties en beperkingen van aansprakelijkheid De Europese Commissie, de CA CommisSign en de RA’s zijn niet aansprakelijk voor verlies: • van CA- of RA-dienstverlening ten gevolge van oorlog, natuurrampen of andere gevallen van overmacht; • geleden tussen het tijdstip waarop een certificaat wordt ingetrokken en de volgende geplande uitgifte van een CRL; • ten gevolge van het ongeautoriseerde gebruik van door de CA CommisSign uitgegeven certificaten en het gebruik van certificaten voor andere doeleinden dan die welke zijn omschreven in het X.509certificaatbeleid voor de PKI van de Europese Commissie en deze CPS; • veroorzaakt door frauduleus of onachtzaam gebruik van door de CA CommisSign uitgegeven certificaten en/of CRL’s [en/of ARL’s]; • ten gevolge van de bekendmaking van persoonsgegevens die in certificaten en revocatielijsten zijn opgenomen. De CA CommisSign en de RA’s wijzen alle garanties en verplichtingen, van welke aard ook, af, met inbegrip van garanties van verhandelbaarheid, garanties van geschiktheid voor enig specifiek doel en garanties van juistheid van de verstrekte informatie (behalve dat ze afkomstig is van een erkende bron), en wijzen voorts iedere aansprakelijkheid af voor nalatigheid en gebrek aan redelijke zorg bij de abonnees en de vertrouwende partijen. De Europese Commissie, de CA CommisSign, de RA en de LRA’s wijzen iedere aansprakelijkheid, van welke aard ook, af voor scheidsrechterlijke 19
uitspraken, schade of andere vorderingen of verplichtingen die voortvloeien uit een onrechtmatige daad, een contract of enige andere oorzaak, met betrekking tot een dienst die verband houdt met de uitgifte en het gebruik van of het vertrouwen op het PKI-certificaat van de Europese Commissie of het bijbehorende publieke/privé-sleutelpaar dat door een abonnee of een vertrouwende partij wordt gebruikt. Verzoekers en vertrouwende partijen kunnen geen schadeloosstelling eisen voor verliezen die het gevolg zijn van het ongepaste of frauduleuze gebruik van deze PKI. Bovendien zijn de CA CommisSign en de RA’s geen intermediair voor transacties tussen abonnees en vertrouwende partijen. Vorderingen tegen de CA CommisSign en/of de RA zijn beperkt tot het aantonen dat de CA of de RA heeft gehandeld op een wijze die niet in overeenstemming is met het X.509-certificaatbeleid voor de PKI van de Europese Commissie en deze CPS.] 2.2.3. Overige voorwaarden [Niet van toepassing.] 2.3.
Financiële verantwoordelijkheid 2.3.1. Vrijwaring door vertrouwende partijen Niet van toepassing. 2.3.2. Fiduciaire relaties De uitgifte van certificaten door de CA CommisSign en de assistentie daarbij door de RA van de Europese Commissie impliceren niet dat de Europese Commissie of haar CA of RA handelen als agent, zaakwaarnemer, lasthebber of andere vertegenwoordiger van verzoekers of vertrouwende partijen, of van andere verantwoordelijke personen die gebruik maken van de PKI van de Europese Commissie.
2.4.
Interpretatie en handhaving 2.4.1. Toepasselijk recht De Europese en de nationale regelgeving zijn van toepassing op de afdwingbaarheid, de uitlegging, de interpretatie en de geldigheid van deze CPS. 2.4.2. Scheidbaarheid, voortbestaan, fusie, kennisgeving Splitsing of fusie kunnen leiden tot veranderingen in het werkterrein, het beheer en/of de werking van de CA CommisSign. In dat geval kan het ook nodig zijn het X.509-certificaatbeleid voor de PKI van de Europese Commissie en deze CPS te wijzigen. Wijzigingen in de werkzaamheden zullen plaatsvinden in overeenstemming met de administratieve bepalingen van punt 8 van deze CPS. 20
2.4.3. Geschillenbeslechtingsprocedures Geschillen betreffende het sleutel- en certificaatbeheer tussen de Europese Commissie en een organisatie of persoon buiten de Europese Commissie worden door middel van een geschikt geschillenbeslechtingsmechanisme geregeld. Indien mogelijk wordt het geschil door onderhandelingen beslecht. Geschillen die niet door onderhandelingen worden beslecht, worden via arbitrage door de PA van de Europese Commissie geregeld. Binnen het domein van de CA CommisSign worden geschillen tussen gebruikers van de Europese Commissie, van wie de ene optreedt in de rol van abonnee en de andere in de rol van vertrouwende partij, of tussen gebruikers van de Europese Commissie en de CA of de RA, eerst bij de OA van de CA CommisSign gemeld met het oog op het vinden van een regeling. 2.5.
Kosten Niet van toepassing.
2.6.
Publicatie en bewaarplaats 2.6.1. Publicatie van CA-informatie De CA CommisSign publiceert het volgende: • de root-certificaten van de CommisSign op een website; • kopieën van [het ICT-beveiligingsbeleid voor de Europese Commissie en] deze CPS op een website; • alle door de CA CommisSign uitgegeven publieke-sleutelcertificaten in de directory van de Europese Commissie; • de recentste CRL van door de CA CommisSign ingetrokken publiekesleutelcertificaten van gebruikers in de directory van de Europese Commissie en op een website; • [de recentste ARL van de door de PA van de Commissie gerevoceerde externe certificeringsautoriteiten in de directory van de Europese Commissie]. 2.6.2. Frequentie van publicatie De door de CA CommisSign uitgegeven certificaten worden, zodra ze geactiveerd zijn, eenmaal per dag overgebracht naar de directory van de Europese Commissie. Ingetrokken certificaten worden opgenomen in CRL’s, die overeenkomstig punt 4.4 ‘Uitgiftefrequentie CRL’ van deze CPS worden bekendgemaakt. [Ingetrokken kruiscertificaten worden opgenomen in ARL’s, die overeenkomstig punt 4.4 ‘Uitgiftefrequentie CRL’ van deze CPS worden bekendgemaakt.]
21
2.6.3. Toegangscontrole De CPS van de CA CommisSign en het certificaatbeleid voor de Europese Commissie zijn read-only toegankelijk op de website. Alleen het personeel van de CA CommisSign heeft toegang tot deze documenten om erin te schrijven of ze te wijzigen. [Certificaten en CRL’s zijn via de directory van de Europese Commissie read-only beschikbaar. Alleen de CA CommisSign heeft de bevoegdheid om te lezen/schrijven en te wissen.] 2.6.4. Bewaarplaatsen Als bewaarplaats voor door de CA CommisSign uitgegeven certificaten, CRL’s [en ARL’s] fungeert het directorysysteem van de Europese Commissie. [Het protocol dat wordt gebruik om toegang te krijgen tot de directory, is het Lightweight Directory Access Protocol (LDAP), versie 2, zoals gespecificeerd in Request for Comment (RFC) 1777 Lightweight Directory Access Protocol (1995). Het LDAP, versie 2, wordt gebruikt over TCP transport, zoals omschreven in punt 3.1 van RFC 1777.] [Bij transmissie in LDAP-verzoeken en -resultaten worden de in X.500 gedefinieerde attributen gecodeerd door middel van stringrepresentaties zoals omschreven in RFC 1778 The String Representation of Standard Attribute Syntaxes (1995). Deze stringcoderingen waren gebaseerd op de attribuutdefinities uit X.500 (1988). De stringrepresentaties van wat hierna volgt gelden dus voor certificaten van versie 1 en revocatielijsten van versie 1: • userCertificate (RFC 1778, punt 2.25) • cACertificate (RFC 1778, punt 2.26) • authorityRevocationList (RFC 1778, punt 2.27) • certificateRevocationList (RFC 1778, punt 2.28) • crossCertificatePair (RFC 1778, punt 2.29) Aangezien in deze CPS gebruik wordt gemaakt van certificaten van versie 3 en revocatielijsten van versie 2, zoals gedefinieerd in X.509, is de stringcodering van deze attributen overeenkomstig RFC 1778 ongeschikt. Om die reden worden deze attributen gecodeerd met behulp van een syntaxis die vergelijkbaar is met de syntaxis Undefined uit punt 2.1 van RFC 1778: de waarden van deze attributen worden gecodeerd alsof het waarden van het type OCTET STRING zijn, waarbij de stringwaarde van de codering de DER-codering van de waarde zelf is.] De bewaarplaats voor deze CPS en het certificaatbeleid voor de Europese Commissie is een website die toegankelijk is op [URL nog te bepalen].
22
2.7.
Nalevingsaudit [te implementeren] [te herzien bij implementatie] 2.7.1. Frequentie van de nalevingsaudit Elk jaar wordt een volledige en formele audit betreffende de werking van de CA CommisSign uitgevoerd. De PA kan naar eigen goeddunken te allen tijde opdracht geven tot het uitvoeren van een audit door een auditor. De CA CommisSign behoudt zich het recht voor te verzoeken om periodieke inspecties en audits van RA-faciliteiten binnen het domein van de CA CommisSign, teneinde zich ervan te vergewissen dat de RA functioneert overeenkomstig de in deze CPS beschreven beveiligingspraktijken en -procedures. 2.7.2. Identiteit/kwalificaties van de CA-auditor Personen of entiteiten die een nalevingsaudit willen uitvoeren, moeten door de PA worden goedgekeurd. De auditor moet audits van CA’s of van de beveiliging van informatiesystemen als zijn hoofdactiviteit uitvoeren, het bewijs leveren van aanzienlijke ervaring met PKI- en cryptografische technologieën en met de werking van relevante PKI-software, en aantonen dat hij vertrouwd is met de beleidsvormen en de regelgeving van de Europese Commissie. 2.7.3. Relatie van de auditor tot de geauditeerde CA De door de PA goedgekeurde auditor en de CA CommisSign zijn afzonderlijke entiteiten binnen de organisatiestructuur van de Europese Commissie. 2.7.4. Voorwerp van de audit De nalevingsaudit heeft betrekking op de tenuitvoerlegging van de in deze CPS beschreven technische, procedurele en personele praktijken door de CA CommisSign en de RA. Enkele bijzondere aandachtspunten voor de audit zijn: • identificatie en authenticatie; • operationele functies/diensten; • fysieke, procedurele en personele beveiligingsmaatregelen; • technische beveiligingsmaatregelen. 2.7.5. Maatregelen genomen als gevolg van de audit Indien gebreken worden geconstateerd, kunnen drie maatregelen worden genomen: (1)
voortwerken zoals voordien; 23
(2)
voortwerken, maar op een lager beveiligingsniveau;
(3)
de werking schorsen.
Indien een gebrek wordt geconstateerd, beslist de auditor, mede aan de hand van door de PA van de Europese Commissie verstrekt materiaal, welke van deze maatregelen moet worden genomen. De beslissing over de te nemen maatregel wordt gebaseerd op de ernst van de onregelmatigheden, de eraan verbonden risico’s en de verstorende invloed op de gemeenschap die de certificaten gebruikt. Indien maatregel 1 of 2 wordt genomen, dienen de PA van de Europese Commissie en de OA ervoor te zorgen dat binnen 30 dagen corrigerende maatregelen worden genomen. Na verloop van die termijn, of eerder indien dit door de PA en de auditor wordt goedgekeurd, zal het auditteam een nieuwe evaluatie maken. Indien uit de nieuwe evaluatie blijkt dat geen corrigerende maatregelen zijn genomen, beslist de auditor of strengere maatregelen (bv. maatregel 3) noodzakelijk zijn. Indien maatregel 3 wordt genomen, worden alle door de CA CommisSign uitgegeven certificaten, inclusief certificaten van eindentiteiten en CAkruiscertificaten, ingetrokken voordat de dienst wordt geschorst. De PA van de Europese Commissie en de OA van de CA van de Europese Commissie moeten wekelijks bij de auditor verslag uitbrengen over de status van corrigerende maatregelen. De PA en de auditor beslissen samen wanneer de nieuwe evaluatie moet plaatsvinden. Indien bij de nieuwe evaluatie wordt geoordeeld dat de gebreken verholpen zijn, hervat de CA CommisSign de dienstverlening en worden nieuwe certificaten uitgegeven aan eindentiteiten en andere externe CA’s, afhankelijk van de voorwaarden die in individuele kruiscertificeringsovereenkomsten zijn vastgesteld. 2.7.6. Mededeling van de resultaten De resultaten van de jaarlijkse audit worden meegedeeld aan de PA van de Europese Commissie, aan de CA CommisSign en aan elke ITbeveiligingsmanager van de LRA’s van de Europese Commissie. In het geval van maatregel 2 beslist de PA van de Europese Commissie in overleg met de auditor of de abonnees van de maatregel op de hoogte moeten worden gebracht. In het geval van maatregel 3 zorgt de PA van de Europese Commissie ervoor dat alle gebruikers in kennis worden gesteld van de maatregel. Mededelingen waarbij de abonnees in kennis worden gesteld van gebreken en maatregelen, gebeuren zo mogelijk via e-mail. Indien een abonnee geen e-mailtoegang heeft, wordt hem via de postdienst van de Europese Commissie een nota toegezonden. De wijze waarop de auditresultaten ter kennis worden gebracht van CA’s die een kruiscertificering met de CA CommisSign hebben, wordt in detail bepaald in de kruiscertificeringsovereenkomst tussen beide partijen. Tenzij in een specifieke kruiscertificeringsovereenkomst anders wordt bepaald, worden de auditresultaten niet meegedeeld aan personen buiten de Europese Commissie. 24
2.8.
Beleid inzake geheimhouding Alle informatie die door de PA van de Europese Commissie wordt beschouwd als informatie die niet tot het publieke domein behoort, wordt geheimgehouden. 2.8.1. Soorten informatie die niet mogen worden bekendgemaakt De privé-handtekeningssleutel van elke abonnee wordt geclassificeerd als voorbehouden (restricted) aan die abonnee. De CA CommisSign en de centrale RA hebben geen toegang tot deze sleutels. De privé-vertrouwelijkheidssleutel van elke abonnee wordt geclassificeerd als voorbehouden aan die abonnee. Op tijdelijke basis is slechts één set publieke/privé-sleutel beschikbaar en die is gerelateerd aan de ‘privé-vertrouwelijkheidssleutel’ (Confidentiality Private Key). Al wat betrekking heeft op een handtekeningssleutel, is niet van toepassing. Van de privé-vertrouwelijkheidssleutels wordt echter door de LRA een back-up gemaakt en ze worden beschermd overeenkomstig punt 6 van deze CPS. De in audit-trails bewaarde informatie wordt beschouwd als voorbehouden aan de Europese Commissie en mag niet buiten de instelling worden bekendgemaakt, tenzij dit op grond van wet- of regelgeving verplicht is. Het verzamelen van persoonsgegevens kan vallen onder de voorschriften inzake het verzamelen, het onderhoud, het bewaren en de bescherming van Verordening nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000. Persoonsgegevens die door de CA CommisSign of de RA lokaal worden opgeslagen, moeten als voorbehouden worden behandeld, en toegang daartoe mag alleen worden verleend aan degenen die officieel van de informatie kennis moeten kunnen nemen om hun officiële taken te vervullen. Persoons- en bedrijfsgegevens die door de PA, CA en RA van de Europese Commissie worden bewaard en die niet uitdrukkelijk als onderdeel van een certificaat, een CRL [of een ARL] worden gepubliceerd, worden als voorbehouden beschouwd en mogen niet worden bekendgemaakt, tenzij dit op grond van wet- of regelgeving verplicht is. In het algemeen worden de resultaten van de jaarlijkse audits als voorbehouden behandeld, met uitzonderingen zoals aangegeven in punt 2.7 ‘Mededeling van de resultaten’ van deze CPS. In het algemeen zullen auditlogs niet publiek beschikbaar zijn. Alle door de CA CommisSign bewaarde sleutels worden als voorbehouden beschouwd en mogen alleen worden bekendgemaakt aan een erkende organisatorische autoriteit van de Europese Commissie overeenkomstig deze CPS en het beveiligingsbeleid voor de PKI van de Europese Commissie, of aan een rechtshandhavingsambtenaar overeenkomstig de regelgeving van de 25
Europese Commissie, de Europese wetgeving en de wetgeving van de lidstaten, en deze CPS. 2.8.2. Soorten informatie die als publiek worden beschouwd Informatie die is opgenomen in door de CA CommisSign uitgegeven publieke certificaten, CRL’s [en ARL’s], wordt als publiek beschouwd. Informatie in het certificaatbeleid voor de PKI van de Europese Commissie en in deze CPS wordt als publiek beschouwd. 2.8.3. Bekendmaking van informatie betreffende ingetrokken certificaten Wanneer een certificaat door de CA CommisSign wordt ingetrokken, wordt in de CRL-ingang voor de maatregel een redencode opgenomen. Deze redencode wordt als publiek beschouwd en mag met alle andere abonnees en vertrouwende partijen worden gedeeld. Andere bijzonderheden betreffende de intrekking worden echter niet bekendgemaakt. 2.8.4. Bekendmaking aan rechtshandhavingsambtenaren De CA CommisSign en de RA’s zullen geen certificaatinformatie of met certificaten verband houdende informatie aan derden bekendmaken, behalve indien dit: • door het beveiligingsbeleid voor de PKI van de Europese Commissie en deze CPS wordt toegestaan; • verplicht is op grond van wetgeving, regelgeving van de Europese Commissie, de Europese Gemeenschap of de lidstaten, of een rechterlijk bevel; • door de abonnee wordt toegestaan wanneer het noodzakelijk is om een passend gebruik van het certificaat mogelijk te maken. Verzoeken om bekendmaking van informatie moeten worden ondertekend en ingediend bij de LRA van de Europese Commissie of bij de CA CommisSign. 2.8.5. Andere omstandigheden waarin informatie wordt bekendgemaakt Niet van toepassing. 2.9.
Intellectuele-eigendomsrechten De door de CA CommisSign uitgegeven certificaten, CRL's [en ARL's], het certificaatbeleid voor de PKI van de Europese Commissie en deze CPS zijn eigendom van de Europese Commissie.
26
3.
IDENTIFICATIE EN AUTHENTICATIE 3.1.
Initiële registratie 3.1.1. Naamgeving De RA haalt de volgende informatie uit het directorysysteem van de Commissie: • achternaam van de abonnee (LASTNAME); • voornaam van de abonnee (FIRSTNAME); • CUID van de abonnee gebruikersidentificatie);
(unieke
en
geharmoniseerde
interne
• e-mail-SMTP-adres van de abonnee bij de Commissie (SMTP). De RA neemt aan dat: • de CUID van de abonnee en het e-mail-SMTP-adres van de abonnee bij de Commissie uniek zijn voor de abonnee onder het personeel van de Commissie; • er een een-tot-een-relatie is tussen de CUID van de abonnee en het email-SMTP-adres van de abonnee bij de Commissie; De RA construeert de SubjectName van het certificaat overeenkomstig het volgende formaat: /CN=LASTNAME FIRSTNAME (CUID) /E=SMTP. De RA registreert de SubjectName van de abonnee in de CA-databank. 3.1.2. Zinvolle naamgeving Indien de abonnee een persoon is, is de naam die aan het ‘Common Name’attribuut wordt toegekend, de naam van de abonnee. Indien de abonnee een organisatie-entiteit is, is de naam die aan de ‘Common Name’ wordt toegekend, de naam van de functionele mailbox. 3.1.3. Regels voor het interpreteren van de naamgeving Niet van toepassing. 3.1.4. Unieke naamgeving De SubjectName van de certificaten is uniek voor alle eindentiteiten binnen het domein van de CA CommisSign. Het is de taak van het Gebruikersbeheer van de Commissie te zorgen voor de uniciteit van de CUID van de abonnee en van het e-mail-SMTP-adres van de Commissie.
27
3.1.5. Geschillenbeslechting ten aanzien van de naamgeving De beslechting van geschillen wordt overgelaten aan het oordeel van het Gebruikersbeheer van de Commissie. 3.1.6. Erkenning, authenticatie en rollen van handelsmerken Niet van toepassing. 3.1.7. Methode om het bezit van een privé-sleutel aan te tonen Het aantonen van het bezit van een privé-sleutel geschiedt automatisch door de werking van een protocol voor veilige communicatie. 3.1.8. Authenticatie van de identiteit van de organisatie Publieke-sleutelcertificaten worden aan personen verstrekt wanneer dit mogelijk is. Voor gevallen waarin diverse personen in één hoedanigheid handelen, wordt slechts een encryptiecertificaat uitgegeven dat de naam van een functionele mailbox bevat. Voor een functionele mailbox wordt geen handtekeningscertificaat uitgegeven. Personen die namens de functionele mailbox handelen, gebruiken hun eigen individuele handtekeningscertificaat. Een functionele mailbox voor een organisatie moet worden gemaakt door een persoon die gemachtigd is om namens de potentiële abonnee te handelen. Deze gemachtigde persoon moet de persoon in de organisatie zijn die verantwoordelijk is voor de controle van de certificaten en de bijbehorende privé-sleutels, inclusief het verantwoorden van welke gebruiker op welk tijdstip controle over de sleutels heeft. De identificatie en de authenticatie van de potentiële abonnee geschieden als volgt: • de RA verifieert de identiteit en de volmacht van de persoon die handelt namens de potentiële abonnee, en zijn volmacht om de sleutels namens die organisatie in ontvangst te nemen; • de RA of de CA bewaart gedetailleerde gegevens betreffende de wijze waarop de identificatie heeft plaatsgevonden; voorts houdt de RA of de CA de naam bij van de persoon die verantwoordelijk is voor de mailbox waaraan het organisatiecertificaat wordt verstrekt. De procedures voor de uitgifte van een organisatiecertificaat zijn niet in strijd met andere bepalingen van deze CPS (bv. sleutelgeneratie, bescherming van privé-sleutels en verplichtingen van de gebruikers). [Indien de CA CommisSign kruiscertificaten aan andere CA’s verstrekt, is daarvoor de goedkeuring van de PA van de Europese Commissie vereist. De PA van de Europese Commissie beoordeelt het beleid en de procedures van de andere CA alvorens een kruiscertificering goed te keuren. Omgekeerd worden ook de CPS en het X.509-certificaatbeleid voor de PKI van de 28
Europese Commissie ter beoordeling ter beschikking van de andere CA gesteld.] 3.1.9. Authenticatie van de individuele identiteit Indien een persoon abonnee wil worden, moet hij daartoe zelf een aanvraag indienen of moet zijn hiërarchie dit in zijn naam doen. In het eerste geval moet de abonnee worden geïnformeerd. Naast de hierna beschreven identificatie en authenticatie moet de potentiële abonnee zich met het oog op authenticatie persoonlijk bij zijn LRA aanmelden voordat een certificaat wordt uitgegeven. Het is de taak van de RA om bevestiging van de dienstbetrekking te verkrijgen. Het is de taak van de LRA om bevestiging te verkrijgen van de identiteit van de abonnee die een certificaat aanvraagt. De authenticatieprocedure omvat de in de volgende punten beschreven processen. 3.1.10. Authenticatie van de dienstbetrekking van de abonnee De bevestiging van de dienstbetrekking van de abonnee met de Europese Commissie moet aan de RA worden verstrekt voordat een certificaat aan de abonnee mag worden afgegeven. Het bewijs betreffende de dienstbetrekking van de abonnee wordt via de directory van de Europese Commissie geleverd. De aanwezigheid van de abonnee in de directory van de Europese Commissie wordt via de administratieve procedure gecontroleerd. 3.1.11. Authenticatie van de identiteit van de abonnee De LRA verifieert de identiteit hetzij op het moment dat de certificaataanvraag wordt gedaan, hetzij voordat de aanvraag wordt gedaan daarbij gebruikmakend van de RA-bestanden en authenticatiedocumentatie uit de archieven. De bevestiging van de identiteit van de abonnee moet door de LRA aan de hand van de dienstkaart worden geverifieerd. 3.1.12. Authenticatie van apparaten of toepassingen Niet van toepassing. 3.2.
Routinematige heruitgifte Heruitgifte van een certificaat betekent dat een nieuw certificaat wordt aangemaakt met: • dezelfde SubjectName; • een nieuw serienummer; • een nieuwe publieke sleutel; • en eventueel een andere geldigheidsduur. 29
De procedure voor routinematige heruitgifte wordt toegepast telkens wanneer het certificaat van de gebruiker niet langer geldig is. Deze procedure is identiek aan de procedure voor initiële registratie. 3.3.
Heruitgifte na intrekking Abonnees van wie het certificaat is ingetrokken, moeten dezelfde procedure toepassen als de procedure voor routinematige heruitgifte.
3.4.
Verzoek om intrekking De intrekking wordt beschreven in punt 4.4 ‘Schorsing en intrekking van certificaten’ van deze CPS.
4.
OPERATIONELE VEREISTEN 4.1.
Aanvraag van certificaten Voordat een certificaat wordt uitgegeven, moet de abonnee een aanvraag indienen. De aanvraag bevat de volgende informatie: • volledige naam van de abonnee; • soort dienstbetrekking van de abonnee met de Europese Commissie; • bewijs betreffende de dienstbetrekking van de abonnee; • e-mail-SMTP-adres van de abonnee bij de Commissie; • Common User Identifier van de abonnee; • erkenning van de in deze CPS opgenomen voorwaarden. Afhankelijk van het authenticatieproces van de RA kan de RA verkiezen aanvullende informatie in de certificaataanvraag op te nemen als hulpmiddel bij de bevestiging van de identiteit. De certificaataanvraag wordt ondertekend door de abonnee (indien het een individuele aanvraag betreft) en door de LRA (via een ondertekende e-mail). De LRA zendt deze aanvraag naar de RA. Aan de hand van de door de certificaataanvrager verstrekte informatie verifiëren de RA en de LRA de identiteit volgens de voorschriften in punt 3.1 ‘Authenticatie van de identiteit van de organisatie’ en ‘Authenticatie van de individuele identiteit’. Op basis van de verificatie accepteert de RA de certificaataanvraag of wijst ze af. De RA stelt de abonnee in kennis van de acceptatie of de afwijzing. De RA maakt aantekening van de ten aanzien van de certificaataanvraag genomen maatregel en van de uitgevoerde verificatie, en ondertekent en dateert vervolgens de aanvraag. De RA houdt de certificaataanvraag bij.
30
4.2.
Uitgifte van certificaten De hierna beschreven procedure is de standaardprocedure: (1)
De abonnee zendt een certificaataanvraag naar de LRA van zijn DG (expliciete aanvraag) of de LRA ontvangt de lijst van de kandidaatabonnee(s) van zijn hiërarchie (impliciete aanvraag).
(2)
De LRA zendt de aanvraag per ondertekende mail door naar de RA.
(3)
De LRA brengt de kandidaat-abonnee op de hoogte en waarschuwt hem dat hij een identificatiecode van de RA en nog een andere identificatiecode van hemzelf zal ontvangen.
(4)
De RA voert een administratieve controle van de abonnee uit en neemt de SubjectName van de abonnee op in de CA-databank.
(5)
De CA zendt een registratiebestand met de SubjectName van de abonnee en een identificatiecode C1 op beveiligde wijze naar de RA.
(6)
De RA zendt het registratiebestand per beveiligde e-mail naar de verzoekende LRA.
(7)
De RA zendt de abonnee per vertrouwelijke mail een papieren document waarin diens identificatiecode C1 wordt vermeld.
(8)
Nadat de LRA het registratiebestand van de RA heeft ontvangen, controleert hij of de abonnee fysiek bestaat.
(9)
De LRA neemt contact op met de CA om het bestaan van de abonnee te bevestigen.
(10)
De CA werkt het registratiebestand bij en zendt een tweede identificatiecode C2 naar de LRA.
(11)
De LRA zendt de abonnee het regristratiebestand (op diskette, per e-mail) en een papieren document met de identificatiecode C2.
(12)
De LRA helpt de geregistreerde abonnee, die zijn registratiebestand en de twee codes C1 en C2 bezit, om zijn sleutels te genereren en een certificaat van de CA te ontvangen. Tijdens het genereren van de sleutels moet de geregistreerde abonnee aanwezig zijn om de RA- en LRA-identificatiecodes en een initieel password voor de privé-sleutel in te tikken.
(13)
De geregistreerde abonnee slaat zijn privé-sleutel op op een harde schijf, een diskette [of een smartcard], afhankelijk van het beleid van het DG inzake opslag.
Publicatie van certificaten: dagelijks (1)
De CA-functionarissen genereren een bestand dat al de certificaten bevat, en leveren het om 21:15 af bij de beheerder van de directory van de Commissie. 31
(2)
De beheerder van de directory van de Commissie werkt de directory van de Commissie om 22:00 bij met de certificaten.
De hierna beschreven procedure is een gewijzigde en tijdelijke procedure om op het niveau van het DG te voorzien in een procedure voor “sleutelrecuperatie”. Deze procedure zal worden afgeschaft en de gewone procedure zal worden gebruikt zodra er twee sleutelsets, respectievelijk voor ondertekening en encryptie, en een centrale sleutelrecuperatiedienst voor de laatstgenoemde beschikbaar zijn. De tijdelijke procedure voor een certificaataanvraag is als volgt (het (*)-teken wijst erop dat de gewone procedure niet is gewijzigd): (1)
De abonnee zendt een certificaataanvraag naar de LRA van zijn DG (expliciete aanvraag) of de LRA ontvangt de lijst van de kandidaatabonnee(s) van zijn hiërarchie (impliciete aanvraag).(*)
(2)
De LRA zendt de aanvraag per ondertekende mail door naar de RA.(*)
(3)
De LRA brengt de kandidaat-abonnee op de hoogte en waarschuwt hem dat hij een identificatiecode van de RA en nog een andere identificatiecode van hemzelf zal ontvangen.(*)
(4)
De RA voert een administratieve controle van de abonnee uit en neemt de SubjectName van de abonnee op in de CA-databank.(*)
(5)
De CA zendt een registratiebestand met de SubjectName van de abonnee en een identificatiecode C1 naar de RA.(*)
(6)
De RA zendt het registratiebestand en de identificatiecode C1 per beveiligde e-mail naar de verzoekende LRA.
(7)
De RA zendt de abonnee (per e-mail) een bericht waarin de certificaataanvraag wordt vermeld.
(8)
Nadat de LRA het registratiebestand van de RA heeft ontvangen, controleert hij of de abonnee fysiek bestaat.(*)
(9)
De LRA neemt contact op met de CA om het bestaan van de abonnee te bevestigen.(*)
(10)
De CA werkt het registratiebestand bij en zendt een tweede identificatiecode C2 naar de LRA.(*)
(11)
De LRA die het registratiebestand en de twee identificatiecodes van de abonnee bezit, maakt een sleutelpaar aan.
(12)
De LRA neemt contact op met de CA en verzoekt om een certificaat (de LRA identificeert zich bij de CA met zijn twee identificatiecodes van de abonnee).
(13)
De LRA maakt een kopie van het sleutelbestand dat de privé-sleutel en het publieke-sleutelcertificaat van de abonnee bevat, en van het initiële password. 32
4.3.
(14)
De LRA bergt het sleutelbestand en het initiële password op in een safe onder toezicht van de beveiligingsfunctionaris.
(15)
De LRA stelt de abonnee in het bezit van het sleutelbestand en het initiële password.
(16)
De LRA helpt de geregistreerde abonnee om het sleutelbestand op te slaan op een harde schijf of een diskette, afhankelijk van het beleid van het DG inzake opslag.
Acceptatie van certificaten De acceptatie door de abonnee van zijn verantwoordelijkheden betreffende het gebruik van het certificaat wordt geregeld in de procedure voor de certificaataanvraag, zoals beschreven in punt 4.1 van deze CPS. De abonnee ondertekent een erkenning van de voorwaarden van deze CPS en van de in de abonneeovereenkomst bepaalde voorwaarden. De acceptatie van het certificaat vindt plaats tijdens de procedure voor de uitgifte van het certificaat, zoals beschreven in punt 4.2 van deze CPS. De werking van het protocol voor veilige communicatie tussen de abonnee en de CA CommisSign impliceert de wederzijdse authenticatie van beide partijen, alsmede aanvraag- en antwoordverrichtingen die inhouden dat de abonnee de daaruit voortvloeiende publieke-sleutelcertificaten accepteert.
4.4.
Schorsing en intrekking van certificaten 4.4.1. Omstandigheden waarin intrekking plaatsvindt Certificaten voor encryptie en/of handtekeningsverificatie worden ingetrokken wanneer de certificaten om een of andere reden niet meer worden vertrouwd. Dit geldt voor certificaten voor abonnees, RA’s en CAfunctionarissen. Redenen voor het verlies van vertrouwen in certificaten zijn onder andere: • gemotiveerd ontslag of gemotiveerde schorsing; • compromittering of vermoeden van compromittering van privé-sleutels en/of het password en het profiel van de gebruiker; • beëindiging van de dienstbetrekking; • niet-nakoming van de verplichtingen die de aanvrager op grond van dit document en het relevante certificaatbeleid heeft. 4.4.2. Wie kan verzoeken om intrekking? Er mag slechts om intrekking van een certificaat worden verzocht door: • de abonnee op wiens naam het certificaat werd uitgegeven; • de persoon die de certificaataanvraag namens een functionele mailbox heeft ingediend; 33
• het management van de abonnee indien hij deel uitmaakt van het personeel van de Europese Commissie; • personeel van de CA CommisSign; • personeel van een RA die verbonden is met de CA CommisSign; • de directeur van de Dienst Protocol en beveiliging; • het tot aanstelling bevoegde gezag (“Autorité investie du pouvoir de nomination”, AIPN); • de PA van de Europese Commissie. 4.4.3. Procedure voor een verzoek om intrekking [te implementeren] [te herzien bij implementatie] Wie een verzoek om intrekking van een certificaat wil indienen, moet zijn lokale RA daarvan in kennis stellen, een schriftelijke goedkeuring voor intrekking invullen en ondertekenen, en zich met zijn badge persoonlijk aanmelden. De LRA is verantwoordelijk voor het verwerken van intrekkingen en verlengingen van certificaten. Verzoeken om intrekking van certificaten moeten schriftelijk bij de LRA worden ingediend. Wanneer de LRA inlogt op de CA-server om de intrekking te verwerken, zal de CA CommisSign de CRL onmiddellijk bijwerken. De LRA zal degene die verzoekt om intrekking zo spoedig mogelijk inlichten. De ingetrokken certificaten worden in CRL’s gepubliceerd en in de directory van de Europese Commissie opgenomen overeenkomstig punt 4.4 ‘Uitgiftefrequentie CRL’ van deze CPS. RA’s kunnen een CRL onmiddellijk bekendmaken indien zij dit noodzakelijk achten. Met het oog op de audit moet een schriftelijke goedkeuring worden verkregen, die de volgende informatie moet bevatten: • datum van het verzoek om intrekking; • naam van de eigenaar van het certificaat (d.w.z. de abonnee); • gedetailleerde motivering van het verzoek om intrekking; • naam en titel van de persoon die verzoekt om intrekking; • contactgegevens van de persoon die verzoekt om intrekking; • handtekening van de persoon die verzoekt om intrekking. De schriftelijke goedkeuringen worden naar de RA gezonden. In gevallen waarin de onmiddellijke intrekking van het certificaat van een abonnee vereist is, moet een verzoek per e-mail of telefoon aan de RA worden gericht en door een schriftelijke goedkeuring worden bevestigd. 34
Zodra de RA de schriftelijke goedkeuring heeft ontvangen en bevestigd, trekt hij het certificaat van de abonnee in door op de CA-server in te loggen en de intrekking van het certificaat te volbrengen. De RA registreert de gebeurtenis in het beheerlogboek van de RA. De RA maakt aantekening van de ten aanzien van de schriftelijke goedkeuring genomen maatregel en ondertekent en dateert vervolgens de goedkeuring. De RA houdt de schriftelijke goedkeuring van de intrekking bij. 4.4.4. Respijtperiode voor verzoeken om intrekking Niet van toepassing. 4.4.5. Omstandigheden waarin schorsing plaatsvindt Niet van toepassing. 4.4.6. Wie kan verzoeken om schorsing? Niet van toepassing. 4.4.7. Procedure voor een verzoek om schorsing Niet van toepassing. 4.4.8. Beperking van de schorsingstermijn Niet van toepassing. 4.4.9. Uitgiftefrequentie CRL De CA CommisSign publiceert om de 24 uren CRL's [en ARL's] in de directory van de Europese Commissie. De CRL's [en ARL's] worden 7 dagen per week uitgegeven. Bij wijze van uitzondering kunnen CRL's [en ARL's] ook tussentijds worden uitgegeven (bv. bij het constateren van een ernstige compromittering). 4.4.10. Vereisten inzake controle van de CRL [Elk door de CA CommisSign uitgegeven certificaat moet de volledige DN van het CRL-distributiepunt bevatten die tijdens de verificatie van het certificaat moet worden gecontroleerd.] Alvorens een certificaat te gebruiken, moeten vertrouwende partijen de status ervan controleren aan de hand van een actuele versie van de CRL. Indien het tijdelijk onmogelijk is om informatie betreffende ingetrokken certificaten te verkrijgen, moet de vertrouwende partij ofwel het gebruik van het certificaat weigeren, ofwel een geïnformeerde beslissing nemen om het risico, de verantwoordelijkheid en de gevolgen van het gebruik van een certificaat waarvan de authenticiteit niet kan worden gegarandeerd volgens de normen van deze CPS, te aanvaarden.
35
4.4.11. Beschikbaarheid on-linecontrole van intrekking/status De PKI van de Europese Commissie ondersteunt momenteel niet de onlinecontrole van de intrekking/status. 4.4.12. Vereisten voor on-linecontrole van intrekking Niet van toepassing. 4.4.13. Andere beschikbare vormen van bekendmaking van intrekking Niet van toepassing. 4.4.14. Controlevereisten voor andere vormen van bekendmaking van intrekking Niet van toepassing. 4.4.15. Bijzondere vereisten bij sleutelcompromittering Sleutelcompromittering is een beveiligingsincident dat moet worden verwerkt. In elke situatie waarin de sleutel van een eindentiteit gecompromitteerd is, wordt bij de LRA een rapport ingediend waarin de omstandigheden worden beschreven waarin de compromittering heeft plaatsgevonden. Indien de compromittering per ongeluk, door toedoen van de aanvrager, heeft plaatsgevonden, zijn geen verdere maatregelen vereist. In andere gevallen meldt de LRA de compromittering aan de Dienst Protocol en beveiliging met het oog op een eventueel follow-uponderzoek en eventuele maatregelen overeenkomstig de in het ICT-beveiligingsbeleid beschreven procedures. Bij compromittering of vermoeden van compromittering van de handtekeningssleutel van de CA CommisSign stelt de CA CommisSign de PA daarvan onmiddellijk in kennis. Met medewerking van de PA van de Europese Commissie brengt de CA CommisSign het voorval onmiddellijk ter kennis van alle CA’s waaraan kruiscertificaten zijn verstrekt. 4.5.
Procedures voor de beveiligingsaudit [te implementeren] [te herzien bij implementatie] 4.5.1. Soorten gebeurtenissen die worden geregistreerd [Alle significante gebeurtenissen in verband met de beveiliging van de software van de CA CommisSign worden automatisch voorzien van een tijdstempel en geregistreerd in auditlogbestanden. Het betreft gebeurtenissen zoals: • geslaagde en mislukte pogingen om abonnees te initialiseren, en abonnees, hun sleutels en certificaten te verwijderen, te activeren, te desactiveren, bij te werken en te recupereren; • geslaagde en mislukte pogingen om passwords van CA-functionarissen, RA’s en abonnees te creëren, te verwijderen, voor inloggen te gebruiken, 36
in te stellen, opnieuw in te stellen en te veranderen, hun privileges in te trekken, en hun sleutels en certificaten aan te maken, bij te werken en te recupereren; • mislukte interacties met de directory, met inbegrip van geslaagde en mislukte verbindingspogingen, lees- en schrijfbewerkingen door het CAsysteem; • alle gebeurtenissen betreffende de intrekking van certificaten, de wijziging en de validering van het beveiligingsbeleid, het aan- en uitzetten van CA-software, het maken van een back-up van de databank, het verstrekken van kruiscertificaten, de validering van certificaten en certificaatketens, het beheer van attribuutcertificaten, het upgraden van gebruikers, wijziging van de DN, databank- en audit-trail; • beheer, beheer van de levenscyclus van certificaten en allerlei andere gebeurtenissen; • aan- en uitzetten van het systeem. De CA-systeembeheerder houdt informatie bij betreffende: • veranderingen in en onderhoud van de systeemconfiguratie; • privileges van de beheerder; • discrepantie- en compromitteringsrapporten; • ongeoorloofde pogingen om via het netwerk toegang tot het CA-systeem te krijgen. De CA-faciliteit heeft een elektronisch toezichtsysteem dat informatie verstrekt over de toegang tot de faciliteit van de CA CommisSign.] 4.5.2. Frequentie van de verwerking van auditlogs [De CA-functionarissen van de Europese Commissie verwerken de auditlogs wekelijks, waarbij ze waarschuwingen of onregelmatigheden in de logs onderzoeken.] 4.5.3. Bewaartermijn voor auditlogs [De audit-trails worden onder de configuraties van de CA CommisSign voor onbepaalde tijd elektronisch bewaard. In punt 4.5 ‘Procedures voor het maken van een back-up van de auditlogs’ worden de archiveringsprocedures voor deze logs beschreven.] 4.5.4. Beveiliging van auditlogs [De audit-trail wordt opgeslagen in gewone platte bestanden onder het besturingssysteem. Elk audit-trailbestand bestaat uit een audit-header, die informatie over de audits in het bestand bevat, en een lijst van gebeurtenissen. Voor elk van de auditgebeurtenissen en de audit-header 37
wordt een berichtauthenticatiecode (Messsage Authentication Code, MAC) gecreëerd. Elk audit-trailbestand heeft een andere auditsleutel, die gebruikt wordt om de MAC te genereren. De hoofdgebruiker van de Europese Commissie voor de CA CommisSign beschermt de auditsleutel die in de audit-header is opgeslagen. De audit-trail kan over veel bestanden gespreid zijn. Er wordt een nieuw audit-trailbestand aangemaakt telkens als het actuele audit-trailbestand een vooraf ingestelde omvang van 100 Kbyte bereikt of de CA-hoofdsleutel wordt bijgewerkt.] 4.5.5. Procedures voor de back-up van auditlogs [Van de audit-trails wordt elke nacht een back-up gemaakt als onderdeel van een gewone CA-systeemback-up. De audit-trailbestanden worden wekelijks door de CA-systeembeheerder gearchiveerd. Alle bestanden, inclusief het recentste audit-trailbestand, worden op magneetbanden gezet en in een beveiligde archiefruimte opgeslagen.] 4.5.6. Auditverzamelsysteem [Het verzamelsysteem voor audit-trails is intern aan het softwaresysteem van de CA CommisSign.] 4.5.7. Kennisgeving aan het subject dat de gebeurtenis teweegbrengt [Wanneer een gebeurtenis door het auditverzamelsysteem wordt wordt daarvan geen kennisgeving gezonden naar de persoon auditgebeurtenis teweegbrengt. Het subject kan ervan in kennis gesteld dat zijn handeling geslaagd of niet geslaagd was, maar niet handeling werd geauditeerd.]
gelogd, die de worden dat zijn
4.5.8. Evaluatie van kwetsbare elementen [De systeembeheerder van de CA CommisSign en de CA-functionarissen maken gebruik van de processen die worden beschreven in het gedeelte van deze CPS dat betrekking heeft op de auditprocedures voor de systeembeveiliging, om kwetsbare elementen te bewaken, te evalueren en zo nodig bij te sturen.] 4.6.
Archivering van informatie [te implementeren] [te herzien bij implementatie] 4.6.1. Soorten informatie die worden gearchiveerd [Bij het vervullen van de RA- en de LRA-functie worden diverse documenten aan de RA en de LRA’s verstrekt. Het betreft onder andere: • identificatie-informatie; • certificaataanvragen; • goedkeuringen van certificaatintrekkingen; 38
• goedkeuringen van sleutelrecuperaties. Soms bevat de verstrekte informatie persoonsgegevens en in dat geval valt ze onder Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000. Deze informatie wordt overeenkomstig de bepalingen van die verordening veilig opgeslagen. Alleen het RA-personeel heeft toegang tot deze informatie. Gebeurtenissen die in de databank van het CA-systeem worden opgenomen, zijn onder andere: • aanmaak van het handtekeningssleutelpaar van de CA; • opname van gebruikers in het systeem en verwijdering van gebruikers uit het systeem; • wijzigingen in het historisch overzicht van het encryptiesleutelpaar en in het historisch overzicht van het verificatiesleutelpaar voor alle gebruikers, inclusief gebeurtenissen betreffende de uitgifte en de intrekking van certificaten; • wijzigingen in de DN van eindgebruikers; • toevoeging/verwijdering van privileges van RA- en CA-functionarissen; • wijzigingen in de privileges van RA’s en CA-functionarissen; • wijzigingen in bepaalde beleidsaspecten zoals de geldigheidsduur van certificaten; • aanmaak en intrekking van kruiscertificaten. Bovendien verstrekt het systeem van de CA CommisSign auditloggegevens zoals beschreven in punt 4.5 van deze CPS.] 4.6.2. Bewaartermijn voor het archief [Auditinformatie (volgens punt 4.5 van deze CPS), aanvragen/goedkeuringen van aboneesleutels en -certificaten, en identificatie- en authenticatie-informatie worden gedurende vijf jaar gearchiveerd.] [Digitale handtekeningscertificaten, door een CA opgeslagen privévertrouwelijkheidssleutels en door een CA gegenereerde [ARL's en] CRL's worden gearchiveerd overeenkomstig de regelgeving van de Europese Commissie en de relevante regelgeving van de lidstaten.] 4.6.3. Beveiliging van het archief [De databank van het systeem van de CA CommisSign wordt [versleuteld en] beveiligd door het CA-systeem. De beveiliging van de audit-trail geschiedt zoals beschreven in punt 4.5 ‘Beveiliging van auditlogs’ van deze CPS. 39
De archiefmedia worden fysiek beveiligd door ze te bewaren in een ruimte waartoe alleen de systeembeheerders van de CA CommisSign en de CAhoofdgebruikers toegang hebben.] 4.6.4. Procedures voor de back-up van het archief [Van de archiefbestanden wordt een back-up gemaakt naarmate ze worden aangemaakt. De originelen worden opgeslagen op de plaats waar het systeem van de CA CommisSign is ondergebracht. Back-upbestanden worden op een beveiligde en aparte geografische plaats opgeslagen.] 4.6.5. Archiefverzamelsysteem [Het archiefverzamelsysteem (back-upfaciliteit) voor de databank van het systeem van de CA CommisSign is intern aan het systeem van de CA CommisSign. Het archiefverzamelsysteem (back-upfaciliteit) voor de audit-trailbestanden wordt beschreven in punt 4.5 ‘Procedures voor de back-up van auditlogs’ en ‘Auditverzamelsysteem’ van deze CPS. De archivering van beide gegevensverzamelingen op aparte media en de veilige opslag van die media is extern aan het systeem van de CA CommisSign.] 4.6.6. Procedures om archiefinformatie te verkrijgen en te verifiëren [Tweemaal per jaar worden de archiefmagneetbanden door de functionaris van de CA CommisSign opgevraagd en geverifieerd zodat hij kan nagaan of geen gegevens zijn beschadigd of verloren gegaan. Is dit wel het geval, dan wordt het back-uparchief opgevraagd, wordt dit het nieuwe hoofdarchief en wordt een nieuwe back-up gemaakt. Eenmaal om de vijf jaar wordt van elk archief een nieuwe back-up gemaakt, ook al werd geen beschadiging of verlies van gegevens in het hoofdarchief of het back-uparchief geconstateerd. Voor elke magneetband wordt de nieuwe back-up het hoofdarchief, wordt het vroegere hoofdarchief het backuparchief en wordt de magneetband van het vroegere back-uparchief op veilige wijze gerecycleerd.] 4.7.
Verandering van sleutel Zie de punten 3.2 en 3.3 van deze CPS.
4.8.
Compromittering en herstel na calamiteit [te implementeren] [te herzien bij implementatie] 4.8.1. Computerhulpmiddelen, software en/of gegevens zijn beschadigd Indien zich een calamiteit of een ernstige compromittering voordoet, geldt het volgende voor de CA CommisSign en de RA’s. Om opnieuw een veilige omgeving tot stand te brengen, moet te werk worden gegaan als volgt:
40
(1)
alle passwords van het systeem van de CA CommisSign worden veranderd voor de CA-hoofdgebruikers, de CA-functionarissen en de RA’s (in geval van compromittering van de CA);
(2)
afhankelijk van de aard van de calamiteit worden sommige of alle gebruikerscertificaten ingetrokken;
(3)
indien de directory instabiel wordt of het vermoeden bestaat dat de directory beschadigd is, moeten de directorygegevens, de encryptiecertificaten en de CRL’s worden hersteld. Zodra de directorybeheerder de directory door middel van de back-up heeft hersteld, zorgt de CA-hoofdgebruiker voor de bijwerking van de PKI-informatie in de directory. De PKI-informatie omvat CRL’s en certificaten die sinds de laatste back-up van de directory zijn gewijzigd;
(4)
indien de profielen van een CA-functionaris of een RA moeten worden hersteld, mag dit worden gedaan door een andere CAfunctionaris of RA.
Zie punt 4.4 ‘Bijzondere vereisten bij sleutelcompromittering’ met betrekking tot de compromittering van de CA-sleutel. 4.8.2. Recuperatie van sleutels van entiteiten De standaardprocedure werd gewijzigd om te voorzien in een procedure voor de recuperatie van sleutels op DG-niveau. Een kopie van de privésleutel en het bijbehorende initiële password worden door de beveiligingsfunctionaris bewaard in een veilige ruimte met toegangscontrole. Alleen de beveiligingsfunctionaris of een gemachtigde officiële vertegenwoordiger heeft toegang tot de sleutels en de passwords. Alleen LRA’s voeren sleutelrecuperaties uit. De LRA en de beveiligingsfunctionaris zijn aanwezig om de verrichtingen voor de sleutelrecuperatie toe te staan en uit te voeren. Indien de LRA en de beveiligingsfunctionaris niet beschikbaar zijn, fungeren CA-functionarissen in noodgevallen als plaatsvervangende beheerders. Er zijn drie gevallen waarin de sleutel kan worden gerecupereerd: • op verzoek van de gebruiker; • op verzoek van een interne entiteit om disciplinaire of gelijkwaardige redenen; • op verzoek van de directeur-generaal in geval van permanente of aanzienlijke onbeschikbaarheid van de gebruiker, waardoor het belang van de dienst ernstig wordt geschaad. [De termijn voor het invullen van verzoeken om sleutelrecuperatie in andere dan noodgevallen bedraagt 48 uren. In noodgevallen wordt contact opgenomen met de LRA.]
41
4.8.2.1. Sleutelrecuperatie op verzoek van de gebruiker Voorbeelden van redenen voor sleutelrecuperatie op verzoek van de abonnee: • een abonnee vergeet een password; • een abonnee verliest of beschadigt een privé-sleutelbestand. Met het oog op de bescherming van de abonnee tegen ongeoorloofde verzoeken moet de abonnee: • zich persoonlijk aanmelden; en • bij de LRA een schriftelijke goedkeuring indienen waarin de reden voor de recuperatie wordt opgegeven. Na ontvangst van de schriftelijke goedkeuring verifieert de LRA visueel de identiteit van de abonnee aan de hand van zijn dienstkaart en voert hij de procedure voor de sleutelrecuperatie uit. De LRA logt de recuperatiegebeurtenis met het oog op de audit. De LRA maakt aantekening van de ten aanzien van de schriftelijke goedkeuring genomen maatregel en ondertekent en dateert vervolgens de goedkeuring. De LRA houdt de schriftelijke goedkeuring van de recuperatie bij. Daarna verstrekt de LRA de abonnee de nodige instructies om nieuwe autorisatie-informatie te verkrijgen. 4.8.2.2. Sleutelrecuperatie op verzoek van derden Voorbeelden van redenen voor sleutelrecuperatie zonder toestemming van de abonnee: • een abonnee heeft de organisatie verlaten en de supervisor van de abonnee of de leiding van de afdeling moet bestanden ontsleutelen om de voortgang van de werkzaamheden te verzekeren; • de handelingen van een abonnee roepen vragen op bij de Europese Commissie en de bestanden van de abonnee moeten worden bekeken; • de handelingen van een abonnee roepen vragen op bij een externe rechtshandhavingsinstantie en de bestanden van de abonnee moeten worden bekeken. De persoon die verzoekt om sleutelrecuperatie, moet contact opnemen met zijn beveiligingsfunctionaris. Voordat de maatregel wordt genomen, wordt een schriftelijke goedkeuring van zowel de directeur-generaal van de abonnee als de instantie die om sleutelrecuperatie verzoekt, bij de LRA ingediend. Het verzoek moet de volgende informatie bevatten: • datum van het verzoek om recuperatie; • naam van de eigenaar van de sleutels (d.w.z. de abonnee); 42
• naam van de verzoeker en organisatie van de Europese Commissie; • gedetailleerde motivering van het verzoek om toegang tot de bestanden van de abonnee; • specifieke naam of namen van de persoon of personen die het recht hebben om de bestanden van de abonnee te bekijken en die verantwoordelijk zijn voor de latere inzage door niet genoemde personen; • beschrijving (en/of naam of namen) van de te bekijken bestanden van de abonnee, of een verklaring van goedkeuring voor toegang tot alle bestanden; • beschrijving van de rol van de LRA buiten de maatregel voor sleutelrecuperatie, inclusief welke informatie moet worden verstrekt indien de abonnee vragen stelt over de wijziging van zijn toegang tot de CA CommisSign. Na ontvangst van de schriftelijke goedkeuring neemt de LRA contact op met de geschikte partijen om de maatregelen voor de sleutelrecuperatie te plannen. [Noot: In sommige situaties kan aan de LRA een rechterlijk bevel worden gegeven waarmee om sleutelrecuperatie wordt verzocht. In dit geval staat het rechterlijk bevel gelijk met een schriftelijke goedkeuring.] In voorkomend geval moeten de verzoekers een diskette meebrengen met de bestanden van de abonnee die tijdens de geplande recuperatieprocedure moeten worden bekeken. De LRA mag (onder toezicht van de beveiligingsfunctionaris) bestanden op een lokale computer laden om ze te kunnen ontsleutelen/bekijken; na beëindiging van de procedure worden de ontsleutelde bestanden gewist, waarbij ervoor wordt gezorgd dat onbevoegden ze niet kunnen bekijken. De verzoekers moeten zich er eerst van vergewissen dat de LRA beschikt over een computer met de vereiste software om de bestanden te bekijken. Zo niet kan de LRA zich naar de werkplek van de verzoeker in het gebouw van de Europese Commissie begeven. Na ontvangst van de schriftelijke goedkeuring verifieert de LRA visueel de identiteit van de gemachtigde perso(o)n(en) aan de hand van de dienstkaart, voert hij de procedure voor de sleutelrecuperatie uit en logt hij de recuperatiegebeurtenis. De LRA maakt aantekening van de ten aanzien van de schriftelijke goedkeuring genomen maatregel en ondertekent en dateert vervolgens de goedkeuring. De LRA houdt de schriftelijke goedkeuring bij met het oog op de audit. Indien de abonnee nog steeds privileges voor toegang tot de CA CommisSign behoudt nadat de gevraagde sleutelrecuperatie voltooid is, voert de RA nog een procedure voor sleutelrecuperatie uit zodat de abonnee er zeker van kan zijn dat niemand nog toegang tot hun sleutelgegevens heeft.
43
In voorkomend geval kan de LRA na de geplande procedure de CA CommisSign-account van de gerecupereerde abonnee desactiveren, indien om een korte tijdruimte voor het op afstand bekijken van de bestanden werd verzocht. De reactivering van de account geschiedt op basis van instructies van de verzoeker. Externe entiteiten verwijzen naar rechtshandhavingsinstanties. De door externe entiteiten ingediende verzoeken moeten via de Dienst Protocol en beveiliging worden verwerkt. Bij verzoeken van externe entiteiten wordt de procedure sleutelrecuperatie zonder toestemming van de abonnee gevolgd.
voor
4.8.3. Herstel na calamiteit [De CA CommisSign heeft een herstelplan in geval van calamiteiten, waarin de procedures worden beschreven voor het herstellen van het systeem nadat zich een calamiteit of ernstige compromittering heeft voorgedaan. Er wordt op een locatie voor herstel na calamiteiten in een ander centrum van de Europese Commissie een standby-CA geconfigureerd.] 4.9.
Beëindiging van de werkzaamheden van de CA Bij beëindiging van de werkzaamheden van de CA CommisSign houdt de PA van de Europese Commissie toezicht op de beëindigingsprocedure. De RA en de LRA’s werken met de CA samen om alle abonnees ervan in kennis te stellen dat de werkzaamheden van de CA CommisSign zijn gestaakt. Alle door de CA CommisSign uitgegeven certificaten worden ingetrokken. De Europese Commissie houdt een archief bij van de databank van de CA CommisSign overeenkomstig het IS-beveiligingsbeleid en de regelgeving van de Europese Commissie en de relevante regelgeving van de lidstaten.
5.
FYSIEKE, PROCEDURELE MAATREGELEN 5.1.
EN
PERSONELE
BEVEILIGINGS-
Fysieke beveiligingsmaatregelen 5.1.1. Locatie en inrichting De CA CommisSign bevindt zich in een ruimte met toegangscontrole die alleen voor bevoegd personeel toegankelijk is. De toegangsdeur tot deze ruimte is op slot en wordt 24 uren per dag en 7 dagen per week elektronisch bewaakt. [Er worden elektronische logs bijgehouden van de fysieke toegang tot de Dienst Protocol en beveiliging.] 5.1.2. Fysieke toegang De toegangsdeur tot de ruimte waarin de CA CommisSign is ondergebracht, is op slot en alleen bevoegd en zorgvuldig gescreend personeel heeft toegang tot die ruimte. De enige personeelsleden die toegang hebben tot de CA 44
CommisSign, zijn de hoofdgebruikers, systeembeheerder van de CA CommisSign.
de
functionarissen
en
de
[De RA-systemen zijn ondergebracht in ruimten met beperkte toegang.] De centrale RA’s worden door middel van een smartcard logisch beveiligd. De abonnees moeten zich houden aan deze CPS en het certificaatbeleid voor de Europese Commissie wat betreft de bescherming en het gebruik van hun sleutels. De abonnees worden van deze voorschriften in kennis gesteld, maar worden niet regelmatig geauditeerd of gesuperviseerd. 5.1.3. Stroomvoorziening en airconditioning De voor de CA van de Europese Commissie bestemde ruimte is voorzien van de nodige stroom en airconditioning om een betrouwbare werkruimte te creëren. De werkplekken voor het personeel binnen deze ruimte beschikken over de nodige voorzieningen om te voldoen aan de behoeften op het gebied van arbeid, gezondheid en veiligheid. 5.1.4. Wateroverlast Er bestaat geen gevaar dat het werkstation van de CA CommisSign wateroverlast ondervindt. 5.1.5. Brandpreventie en -beveiliging [De voor de CA CommisSign bestemde ruimte is voorzien van een brandblusinstallatie overeenkomstig het beleid en de voorschriften van de dienst HST van de Europese Commissie.] 5.1.6. Opslag van gegevensdragers [De door de CA CommisSign gebruikte gegevensdragers worden beschermd tegen schadelijke invloeden van temperatuur, vocht en magnetisme.] 5.1.7. Afvalverwijdering De gegevendragers die worden gebruikt voor de opslag van informatie van de bestanden van de CA CommisSign, worden gesaneerd of vernietigd voordat ze voor verwijdering worden vrijgegeven. Het gewone kantoorafval wordt verwijderd of vernietigd overeenkomstig de lokale voorschriften van de Europese Commissie. 5.1.8. Externe backup [niet van toepassing] [De als back-up fungerende CA-faciliteit heeft beveiligings- en controlevoorzieningen die gelijkwaardig zijn met die van de primaire CA CommisSign.]
45
5.2.
Procedurele beveiligingsmaatregelen 5.2.1. Vertrouwde rollen [De personeelsleden die deze rollen vervullen, moeten met succes het antecedentenonderzoek voor kritieke-gevoelige posten doorstaan. De criteria voor het antecedentenonderzoek en andere beveiligingsmaatregelen betreffende het personeel worden hierna beschreven.] 5.2.1.1. Vertrouwde rollen van de CA De Dienst Protocol en beveiliging beheert de CA CommisSign. Hij vervult de rollen van CA-beheersautoriteit, CA-functionaris en CAsysteembeheerder zoals hierna beschreven. Om ervoor te zorgen dat één persoon die alleen handelt, de beveiligingsmaatregelen niet kan omzeilen, delen meerdere rollen en personen de verantwoordelijkheden van de CA CommisSign. Elke account in het systeem van de CA CommisSign heeft beperkte mogelijkheden die evenredig zijn met de rol van de betrokken persoon. De rollen binnen de CA CommisSign zijn: • CA-hoofdgebruikers [Er worden drie personen aangewezen als CA-hoofdgebruiker.] De CAbeheersautoriteit stelt de hoofdgebruikers aan. De hoofdgebruikers zijn bevoegd om: – de hoofdsleutel van de CA CommisSign te genereren en te onderhouden; – de passwords van de CA-server te wijzigen; – de passwords van CA-functionarissen te recupereren wanneer zij deze vergeten zijn. • CA-functionarissen [Er worden drie personen aangewezen als CA-functionaris.] De CAbeheersautoriteit stelt de CA-functionarissen aan. De CA-functionarissen zijn bevoegd om: – het beveiligingsbeleid voor de CA CommisSign vast te stellen en te wijzigen overeenkomstig deze CPS en het certificaatbeleid voor de Europese Commissie; – het aantal vereiste machtigingen voor gevoelige verrichtingen vast te stellen; – RA’s en LRA’s toe te voegen en te wissen; – [kruiscertificeringsovereenkomsten uit te geven, bij te werken en in te trekken op last van de PA van de Europese Commissie;] – de pincode van de smartcards van de RA en de LRA’s te wijzigen; 46
– standaardcertificaatprofielen vast te stellen (levensduur, enz.); – auditlogs te verwerken en ervoor te zorgen dat van de databank van het PKI-systeem een back-up wordt gemaakt. • CA-systeembeheerders [De verantwoordelijkheid van CA-systeembeheerder wordt toegekend aan twee personen, van wie er een als reserve fungeert.] De CA-beheersautoriteit stelt de CA-systeembeheerders aan. De CA-systeembeheerders zijn verantwoordelijk voor: – de instandhouding van de goede werking en configuratie van de onderliggende hardware en software voor de CA CommisSign; – het maken van back-ups van het systeem van de CA CommisSign. 5.2.1.2. Vertrouwde rollen van de RA Ten minste twee personen worden als RA aangewezen. RA’s zijn bevoegd om: • certificaataanvragen[, de intrekking/schorsing van certificaten] [en verzoeken om sleutelrecuperatie] te accepteren en te verwerken; • de identiteit van de aanvrager te verifiëren; • de informatie betreffende de aanvrager naar de CA door te sturen; • informatie betreffende de autorisatie van abonnees te ontvangen en te verspreiden. 5.2.1.3. Vertrouwde rollen van de LRA Ten minste twee personen in elk directoraat-generaal of elke autonome entiteit (delegaties, ...) worden als LRA aangewezen. De LRA’s zijn bevoegd om: • certificaataanvragen te accepteren en te verwerken; • de informatie betreffende de aanvrager naar de CA door te sturen; • informatie betreffende de autorisatie van abonnees te ontvangen van de RA; • de identiteit en de fysieke aanwezigheid van de aanvrager te verifiëren; • autorisatie-informatie naar de abonnee te sturen; • de abonnee te helpen tijdens de procedure voor het aanmaken van de sleutels en de certificaten.
47
5.2.2. Aantal benodigde personen per taak De volgende taken worden als gevoelig aangemerkt en er zijn ten minste twee personen nodig om ze uit te voeren. Er zijn twee CA-functionarissen nodig om: • andere CA-functionarissen en RA’s toe te voegen en te wissen; • standaardcertificaatprofielen vast te stellen. De LRA en de beveiligingsfunctionaris zijn nodig om: • een sleutelrecuperatie uit te voeren. 5.2.3. Identificatie en authenticatie voor elke rol De identificatie en de autorisatie voor het RA- en LRA-personeel verlopen volgens de voorschriften in punt 5.3. Zodra deze personeelsleden zijn geautoriseerd, ontvangen zij een certificaat en een smartcard, waarmee ze tegenover het systeem van de CA CommisSign worden geïdentificeerd en geauthentiseerd. Bovendien worden zij in de databank van de CA CommisSign opgenomen met de voor hen gespecificeerde rol en bevoegdheden. Bij de uitvoering van gevoelige verrichtingen authentiseren de RA- en LRA-personeelsleden zich door middel van hun smartcard. 5.3.
Personele beveiligingsmaatregelen 5.3.1. Vereisten inzake antecedenten, bevoegdheidsverklaring
kwalificaties,
ervaring
en
[De personeelsleden die deze rollen vervullen, moeten met succes het antecedentenonderzoek voor kritieke-gevoelige posten doorstaan. De functies van CA-hoofdgebruiker, CA-functionaris en RA worden als kritiekgevoelig beschouwd en onder de posten met hoog risico geclassificeerd. De functie van LRA wordt als kritiek-gevoelig beschouwd en onder de posten met gematigd risico geclassificeerd.] 5.3.2. Procedures voor het antecedentenonderzoek Elk antecedentenonderzoek vindt plaats overeenkomstig het beveiligingsbeleid van de Europese Commissie en voor Europees overheidspersoneel. 5.3.3. Opleidingseisen De personeelsleden die taken met betrekking tot de werking van een CA, RA of LRA uitvoeren, krijgen: • een opleiding over de werking van de software en/of de hardware die in het systeem van de CA CommisSign wordt gebruikt; 48
• een opleiding over de door hen uit te voeren taken; • voorlichting over de bepalingen van deze CPS en het certificaatbeleid voor de PKI van de Europese Commissie. 5.3.4. Verdere opleiding: frequentie en eisen De in het vorige punt beschreven opleiding wordt actueel gehouden door rekening te houden met veranderingen in het systeem van de CA CommisSign. Er worden opfrissingscursussen gegeven naarmate zich dergelijke veranderingen voordoen. 5.3.5. Functieroulering Niet van toepassing. 5.3.6. Sancties wegens ongeautoriseerde handelingen Indien een persoon die taken vervult met betrekking tot de werking van de CA CommisSign, ongeautoriseerde handelingen verricht of indien daarvan het vermoeden bestaat, kunnen tuchtmaatregelen worden getroffen (overeenkomstig het statuut van de Europese Commissie). Bij niet-inachtneming van deze CPS of het certificaatbeleid voor de Europese Commissie, hetzij door nalatigheid, hetzij met kwaad opzet, worden privileges ingetrokken en/of administratieve tuchtmaatregelen getroffen. 5.3.7. Tijdelijk personeel Tijdelijke personeelsleden die worden aangetrokken om delen van de CA CommisSign of de RA’s te beheren, moeten aan dezelfde criteria voldoen als ambtenaren in vaste dienst van de Europese Commissie, en ze worden op het niveau van de door hen vervulde rol bevoegd verklaard zoals in punt 5.3 wordt beschreven. 5.3.8. Aan het personeel verstrekte documentatie Deze CPS wordt ter beschikking gesteld van het personeel van de CA CommisSign en de RA en van de abonnees. Handleidingen worden ter beschikking gesteld van CA- en RA-personeelsleden zodat zij de hardware en de PKI-software kunnen bedienen en onderhouden. Behalve de CPS ontvangen de abonnees ook informatie over het gebruik en de beveiliging van de binnen het domein van de Europese Commissie gebruikte software, en de CA CommisSign verleent via een helpdesk technische ondersteuning aan alle domeingebruikers.
49
6.
TECHNISCHE BEVEILIGINGSMAATREGELEN 6.1.
Genereren en installeren van het sleutelpaar 6.1.1. Genereren van het sleutelpaar Het handtekeningssleutelpaar van de CA CommisSign wordt gecreëerd tijdens de initiële start van de CA-hoofdbesturingstoepassing en wordt door de CA-hoofdsleutel beveiligd. Voor de gebruikers genereert de PKI-clientsoftware het sleutelpaar voor de digitale handtekening. Door software gegenereerde sleutels kunnen worden opgeslagen in een bestand op een schijf of op een uitneembare diskette. 6.1.2. Aflevering van de privé-sleutel aan de entiteiten Wat het sleutelpaar voor de digitale handtekening betreft, hoeft de privésleutel niet te worden afgeleverd, aangezien het sleutelpaar door de gebruikerssoftware van de abonnee wordt gegenereerd. 6.1.3. Aflevering van de publieke sleutel aan de uitgever van het certificaat De publieke sleutel voor de verificatie van handtekeningen wordt op veilige wijze aan het systeem van de CA CommisSign afgeleverd door middel van een protocol voor veilige communicatie. 6.1.4. Aflevering van de publieke sleutel van de CA aan de gebruikers De publieke sleutel voor verificatie van de CA CommisSign wordt in een CA-certificaat aan de abonnees afgeleverd door middel van een protocol voor veilige communicatie. De CA CommisSign verifieert dat de publieke sleutel in een op een webserver van de Europese Commissie bewaard certificaat aan de externe vertrouwende partij wordt afgeleverd door middel van een veilig protocol. 6.1.5. Asymmetrische sleutellengten De handtekeningssleutelparen voor de gebruiker hebben een lengte van 1024 bit RSA. Het handtekeningssleutelpaar van de CA CommisSign heeft een lengte van 1024 bit RSA. De sessiesleutels van het protocol voor veilige communicatie zijn Triple DES. 6.1.6. Genereren van de parameters voor publieke sleutels Niet van toepassing 6.1.7. Controle van de kwaliteit van de parameters Niet van toepassing
50
6.1.8. Genereren van de sleutels in hardware-/software De hoofdsleutel van de CA CommisSign wordt in hardware opgeslagen. Alle andere entiteitsleutels worden in de PKI-clientsoftware gegenereerd. 6.1.9. Gebruik van de sleutels (volgens X.509v3-veld) Het sleutelpaar voor de digitale handtekening wordt gebruikt om authenticatie, integriteit en ondersteuning voor onweerlegbaarheidsdiensten te bieden. Het encryptiesleutelpaar wordt gebruikt voor de beveiliging van een symmetrische sleutel die wordt gebruikt om gegevens te versleutelen, en biedt aldus diensten op het gebied van vertrouwelijkheid. De handtekeningssleutel van de CA CommisSign wordt gebruikt om door die CA uitgegeven certificaten, CRL’s [en ARL’s] te ondertekenen. De sessiesleutels van het protocol voor veilige communicatie worden gebruikt om veilige communicatie voor sleutelbeheersverrichtingen te bieden. Tijdelijk is er slechts één sleutelpaar. 6.2.
Bescherming van de privé-sleutel Hierna worden de technische en procedurele methoden voor de bescherming van de privé-sleutel beschreven. Deze beschermingsmethoden ontheffen de abonnee niet van zijn verantwoordelijkheid om zijn privé-sleutel tegen bekendmaking te beschermen. 6.2.1. Normen voor de cryptografische module De cryptografische module die wordt gebruikt door de in het domein van de CA CommisSign gebruikte software, voldoet aan [...............]. 6.2.2. Controle over de privé-sleutel door verschillende personen Controle door verschillende personen is vereist voor de recuperatie van de privé-sleutel (zie punt 5.2 ‘Aantal benodigde personen per taak’). 6.2.3. Escrow van de privé-sleutel Er is niet voorzien in het in bewaring geven (escrow) van privé-sleutels bij een externe derde partij. 6.2.4. Back-up van de privé-sleutel De privé-sleutels van de CA CommisSign worden opgeslagen in de databank van het systeem van de CA CommisSign. Van de privé-handtekeningssleutel van de abonnee wordt nooit een back-up gemaakt in het systeem van de CA CommisSign, teneinde ondersteuning voor onweerlegbaarheidsdiensten te bieden. [De databank van het systeem van de CA CommisSign wordt versleuteld.] [Van de databank van het systeem van de CA CommisSign wordt elke nacht een back-up gemaakt.] 51
6.2.5. Archivering van de privé-sleutel Zie punt 4.6 van deze CPS voor informatie over de archivering van sleutels. 6.2.6. Invoer van de privé-sleutel in de cryptografische module De privé-handtekeningssleutel van de CA CommisSign en de privéhandtekeningssleutel van de abonnee worden binnen de cryptografische module in software gegenereerd en worden niet door andere entiteiten in die module ingevoerd. Privé-sleutels worden versleuteld in de cryptografische module opgeslagen en worden pas ontsleuteld op het moment dat ze werkelijk worden gebruikt. 6.2.7. Methode om de privé-sleutel te activeren Privé-sleutels worden geactiveerd op het moment dat de abonnee inlogt op de cryptografische clientsoftware. De login heeft de vorm van een password dat tegen bekendmaking is beschermd terwijl het wordt ingevoerd. 6.2.8. Methode om de privé-sleutel te deactiveren De privé-sleutels blijven actief gedurende de loginperiode. De loginperiode wordt beëindigd hetzij doordat de abonnee uitlogt, hetzij doordat de sleutel van de abonnee wordt gedeactiveerd. 6.2.9. Methode om de privé-sleutel te vernietigen Privé-sleutels worden definitief vernietigd door middel van veilige wisbewerkingen. 6.3.
Overige aspecten van sleutelpaarbeheer 6.3.1. Archivering van publieke sleutels Zie punt 6.2 voor de back-up en archivering van sleutels. 6.3.2. Gebruiksduur voor de publieke en de privé-sleutels De publieke sleutel en het certificaat van de CA CommisSign – [10 jaar] De privé-handtekeningssleutel van de CA CommisSign – [10 jaar] Publieke verificatiesleutel en certificaat van de abonnee - twee jaar
6.4.
Activeringsgegevens 6.4.1. Activeringsgegevens voor genereren en installeren Alle entiteiten die inloggen op de PKI-software, hebben een password of een smartcard nodig. De software past op elk password strikte regels toe om te garanderen dat het veilig is. Passwords zijn verplicht voor de CA. De RA en de LRA’s worden door middel van een smartcard beveiligd. De regels betreffende de keuze van een password zijn onder andere: 52
• het moet uit ten minste twaalf tekens bestaan; • het moet ten minste één hoofdletter, speciale tekens en een cijfer bevatten; • het moet ten minste één kleine letter bevatten; • hetzelfde teken mag er niet vaak in voorkomen; • het mag niet hetzelfde zijn als de profielnaam van de entiteit; en • het mag geen lange substring van de profielnaam van de entiteit bevatten. De voor de initialisering van de abonnee gebruikte gegevens worden in punt 4.2 van deze CPS beschreven. 6.4.2. Beveiliging van de activeringsgegevens Voor het systeembeheer van de server van de CA CommisSign, de CAfunctionarissen en de RA’s worden de gebruikersnamen en de passwordcontrolewaarden opgeslagen in de databank van het systeem van de CA CommisSign. 6.4.3. Overige aspecten van activeringsgegevens Niet van toepassing. 6.5.
Computerbeveiligingsmaatregelen 6.5.1. Specifieke technische eisen inzake computerbeveiliging Het systeem van de CA CommisSign biedt de volgende functionaliteit door middel van het besturingssysteem en een combinatie van het besturingssysteem, de software van de CA CommisSign en fysieke beveiligingsmaatregelen: • controle op toegang tot de CA-diensten en de PKI-rollen; • gedwongen scheiding van taken voor de PKI-rollen; • identificatie en authenticatie van de PKI-rollen en bijbehorende identiteiten; • gebruik van cryptografie databankbeveiliging;
voor
sessiecommunicatie
en
• archivering van de gegevens betreffende het historisch overzicht en de audit voor de CA en de eindentiteiten; • audit van met de beveiliging verband houdende gebeurtenissen; en • mechanismen voor de recuperatie van de sleutels en het CA-systeem.
53
In de desbetreffende delen van deze CPS wordt informatie over deze functionaliteit verstrekt. 6.5.2. Kwalificatie van de computerbeveiliging Niet van toepassing. 6.6.
Beveiligingsmaatregelen gedurende de levenscyclus 6.6.1. Maatregelen betreffende de systeemontwikkeling Niet van toepassing. 6.6.2. Beveiligingsmaatregelen op het gebied van beheer De beveiligingsmaatregelen op het gebied van beheer voor de CA CommisSign omvatten het volgende: • een mechanisme en/of beleidsmaatregelen om de CA-systeemconfiguratie te controleren en toezicht erop te houden; • de apparatuur van de CA CommisSign is specifiek bedoeld om een sleutelbeheersinfrastructuur te beheren; • in de apparatuur van de CA CommisSign zijn geen toepassingen of softwareonderdelen geïnstalleerd die geen deel uitmaken van de CAconfiguratie, met uitzondering van software voor virusbeveiliging; en • de updates van de apparatuur van de CA CommisSign worden op vastgestelde wijze door betrouwbaar en geschoold personeel geïnstalleerd.
6.7.
Netwerkbeveiligingsmaatregelen [De toegang op afstand tot het systeem van de CA CommisSign wordt beveiligd door middel van een protocol voor veilige communicatie. Er wordt geen andere toegang op afstand toegestaan en voorzieningen zoals inkomende FTP worden gedesactiveerd. Alle TCP/IP-poorten worden geblokkeerd behalve die welke nodig zijn voor de door de PKI geactiveerde audit van gebeurtenissen en de audit van alle mislukte bewerkingen en weinig voorkomende geslaagde bewerkingen.]
6.8.
Veiligheidsmaatregelen betreffende het ontwerp van de cryptografische module De cryptografische module van de PKI-software wordt op zodanige wijze ontworpen dat ze voldoet aan [............]. De hoofdsleutel van de CA CommisSign wordt opgeslagen in een apparaat dat voldoet aan [............]. De cryptografische module om door de PKI-software gebruikte sleutels te genereren, wordt op zodanige wijze ontworpen dat ze voldoet aan [..................].
54
7.
CERTIFICAAT- EN CRL-PROFIEL 7.1.
Certificaatprofiel 7.1.1. Versienummer De CA CommisSign geeft certificaten volgens X.509 versie 3 uit overeenkomstig het certificaat- en CRL-profiel van de PKIX. De volgende X.509-velden worden ondersteund: Velden
Beschrijving
Versie:
Versieveld staat op v3
Serienummer:
Wanneer een nieuw gebruikerscertificaat wordt aangemaakt, wordt door het systeem van de CA CommisSign een uniek serienummer binnen het veiligheidsdomein van de CA CommisSign gegenereerd.
Handtekeningsalgoritme:
Identificatiecode voor het door de CA CommisSign gebruikte algoritme om het certificaat te ondertekenen
Uitgever:
Certificaatuitgever: Distinguished Name van de CA CommisSign
Geldigheid:
Geldigheidsduur van het certificaat - de startdatum notBefore en de einddatum notAfter worden gespecificeerd
Subject:
Distinguished Name certificaatsubject
Informatie betreffende publieke sleutel:
de Identificatiecode algoritme Publieke sleutel
Duimafdrukalgoritme:
Identificatiecode algoritme
Duimafdruk 7.1.2. Certificaatextensies Er zijn geen ondersteunde extensies. 7.1.3. Object-ID’s van de algoritmen De CA CommisSign ondersteunt de volgende algoritmen:
55
van
het
Algoritme
Objectidentificatiecode
Uitgevende autoriteit
SHA1WithRSAEncryption 1 2 840 113549 1 1 5
UTIMACO
DES-EDE3-CBC
UTIMACO
1 2 840 113549 3 7
7.1.4. Naamgeving In een certificaat bevatten de velden voor de DN van de uitgever en de DN van het subject de complete Distinguished Name volgens X.500 van de certificaatuitgever of het certificaatsubject. 7.1.5. Beperkingen aan de naamgeving Er worden door de CA CommisSign geen beperkingen aan de naamgeving gebruikt. 7.1.6. Objectidentificatiecode van het certificaatbeleid Niet van toepassing. 7.1.7. Gebruik van de extensie voor beleidsbeperkingen Er worden door de CA CommisSign geen beleidsbeperkingen gebruikt. 7.1.8. Syntaxis en semantiek van beleidsqualifiers Niet van toepassing. 7.1.9. Verwerkingssemantiek voor het kritische certificaatbeleid [De enige certificaatextensie die in door de CA CommisSign uitgegeven certificaten als kritisch kan worden geïdentificeerd, is de extensie cRLDistributionPoints. De CRL of ARL wordt opgehaald uit de in het certificaat opgegeven directory-ingang voor het CRL-distributiepunt, tenzij een actuele kopie van die CRL of ARL is opgeslagen in een cache in de clientsoftware van de abonnee.] 7.2.
CRL-profiel [te herzien bij implementatie] 7.2.1. Versienummer De door de CA CommisSign uitgegeven CRL’s zijn CRL’s volgens X.509 versie 2 overeenkomstig het certificaat- en CRL-profiel van de PKIX. Hierna volgt een lijst van de velden in het CRL-formaat volgens X.509 versie 2 die door de CA CommisSign worden gebruikt: Velden
Beschrijving
Versie
staat op v2
56
Velden
Beschrijving
Handtekening
Identificatiecode van het voor de ondertekening van de CRL gebruikte algoritme
Uitgever
De volledige Distinguished Name van de CA CommisSign
Deze bijwerking
Tijdstip van de uitgifte van de CRL
Volgende bijwerking
Tijdstip van de volgende verwachte bijwerking van de CRL
Ingetrokken certificaten
Informatie over de lijst van ingetrokken certificaten
7.2.2. Extensies voor de CRL en de CRL-ingang Hierna wordt een beschrijving gegeven van de extensies voor de CRL en de CRL-ingang volgens X.509 versie 2 die door de CA CommisSign worden ondersteund, en van de extensies voor de CRL en de CRL-ingang volgens X.509 versie 2 die niet worden ondersteund in de CRL’s die door de CA CommisSign worden uitgegeven. 7.2.2.1. Ondersteunde extensies In de volgende tabel worden de door de CA CommisSign ondersteunde extensies voor de CRL en de CRL-ingang weergegeven. EXTENSIE
KRITISCH / FACULTANIETTIEF KRITISCH
OPMERKINGEN
AuthorityKeyI dentifier
Niet-kritisch
Alleen element [0] (authorityKeyIdentifier) wordt ingevuld.
Nietfacultatief
Bevat een hash van 20 byte van de subjectPublicKeyInfo in het CA-certificaat. CRLNumber specifiek
Niet-kritisch
Nietfacultatief
Verhoogd telkens als een CRL/ARL wordt gewijzigd.
ReasonCode
Niet-kritisch
Nietfacultatief
Extensie voor CRLingang – alleen de redencodes (0), (1), (3), (4) en (5) worden momenteel ondersteund.
57
EXTENSIE
KRITISCH / FACULTANIETTIEF KRITISCH
IssuingDistribu Kritisch tionPoint
Nietfacultatief
OPMERKINGEN
Element [0] (distributionPoint) bevat de volledige DN van het distributiepunt. Element [1] (onlyContainsUserCerts ) wordt voor CRL’s opgenomen. Element [2] (onlyContainsCACerts) wordt voor ARL’s opgenomen. De elementen [1] en [2] zijn nooit samen aanwezig in dezelfde revocatielijst. De elementen [3] en [4] worden niet gebruikt.
7.2.2.2. Niet-ondersteunde extensies De CA CommisSign ondersteunt de volgende CRL-extensies volgens X.509 versie 2 niet: • alternatieve naam van de uitgever; • code voor schorsingsinstructie; • ongeldigheidsdatum; • certificaatuitgever; • delta-CRL-indicator. 8.
ADMINISTRATIEVE BEPALINGEN 8.1.
Procedures voor wijziging van de specificaties Deze CPS wordt elk jaar volledig herzien. Fouten, bijwerkingen of voorgestelde wijzigingen in dit document moeten aan de in punt 1.4 vermelde contactpersoon worden meegedeeld.
58
8.1.1. Punten die zonder kennisgeving kunnen worden gewijzigd Wijzigingen in punten van deze CPS die naar het oordeel van de PA geen of slechts minimale gevolgen hebben voor de gebruikers en de door kruiscertificering erkende CA-domeinen die op grond van deze CPS uitgegeven certificaten en CRL’s gebruiken, kunnen worden aangebracht zonder wijziging van het versienummer van het document en zonder kennisgeving aan de gebruikers. 8.1.2. Wijzigingen met kennisgeving Wijzigingen in het door deze CPS ondersteunde certificaatbeleid alsmede wijzigingen in punten van deze CPS die naar het oordeel van de PA aanzienlijke gevolgen kunnen hebben voor de gebruikers en de door kruiscertificering erkende CA-domeinen die op grond van deze CPS uitgegeven certificaten en CRL’s gebruiken, kunnen worden aangebracht 30 dagen nadat de gebruikersgemeenschap daarvan in kennis is gesteld, en het versienummer van dit document wordt dienovereenkomstig verhoogd. 8.1.2.1. Lijst van punten Voor alle punten van deze CPS kan voorafgaande kennisgeving worden verlangd, zoals vermeld in de punten van 8.1 ‘Punten die zonder kennisgeving kunnen worden gewijzigd’ en ‘Wijzigingen met kennisgeving’. 8.1.2.2. Mechanisme voor kennisgeving Dertig dagen voordat belangrijke wijzigingen in deze CPS worden aangebracht, wordt een kennisgeving van de voorgenomen wijzigingen op de website van de CA CommisSign geplaatst en wordt per beveiligde e-mail kennisgeving gedaan aan de door kruiscertificering erkende CAorganisaties. De kennisgeving bevat een overzicht van de voorgestelde wijzigingen, de uiterste datum voor de ontvangst van opmerkingen, en de voorgestelde datum waarop de wijziging ingaat. De PA kan de CA’s verzoeken hun abonnees van de voorgestelde wijzigingen in kennis te stellen. 8.1.2.3. Termijn voor opmerkingen De termijn voor opmerkingen bedraagt 30 dagen, tenzij anders wordt bepaald. De termijn voor opmerkingen wordt in de kennisgeving vastgesteld. 8.1.2.4. Mechanisme voor de behandeling van opmerkingen Opmerkingen over voorgestelde wijzigingen moeten aan de beheersautoriteit (OA) van de CA worden toegezonden. Deze mededeling moet een beschrijving van de wijziging bevatten, alsmede een motivering van de wijziging, contactinformatie betreffende de persoon die om de wijziging verzoekt, en de handtekening van de persoon die om de wijziging verzoekt. De OA zal de voorgestelde wijziging na afloop van de termijn voor opmerkingen accepteren, accepteren met wijzigingen, of afwijzen. Het 59
oordeel van de OA over de voorgestelde wijzigingen wordt met de PA van de Europese Commissie besproken. De besluiten betreffende de voorgestelde wijzigingen worden naar goeddunken van de OA en de PA genomen. 8.1.2.5. Termijn voor de aankondiging van de definitieve wijziging De OA bepaalt de termijn voor de aankondiging van de definitieve wijziging. 8.1.2.6. Punten waarvan de wijziging een nieuw beleid vereist Indien door de PA een beleidswijziging wordt vastgesteld om de uitgifte van een nieuw beleid te rechtvaardigen, kan de PA een nieuwe objectidentificatiecode (Object Identifier, OID) aan het gewijzigde beleid toekennen. 8.2.
Beleid inzake publicatie en kennisgeving De OA zal deze CPS en het certificaatbeleid voor de PKI van de Europese Commissie publiceren op de website van de CA CommisSign. Zij zal per e-mail ook informatie toesturen aan eenieder die daarom verzoekt.
8.3.
Procedures voor de goedkeuring van de CPS De PA van de Europese Commissie bepaalt of de CPS van de CA CommisSign beantwoordt aan het certificaatbeleid voor de PKI van de Europese Commissie.
9.
BIJLAGEN 9.1.
Acroniemen ARL
Authority Revocation List (lijst van gerevoceerde autoriteiten)
CA
Certification Authority (certificeringsautoriteit)
CP
Certificate Policy (certificaatbeleid)
CPS
Certificate Practice certificeringspraktijken)
CRL
Certificate Revocation List (lijst van ingetrokken certificaten)
CUG
Closed User Group (besloten gebruikersgroep)
DG
Directoraat-generaal
EC
Europese Commissie
IDA
Interchange of Data between Administrations (gegevensuitwisseling tussen overheidsdiensten) 60
Statement
(beschrijving
van
9.2.
LRA
Local Registration Authority (lokale registratieautoriteit)
LS
Lidstaat
PA
Policy Authority (beleidsautoriteit)
PKI
Public Key Infrastructure (publieke-sleutelinfrastructuur)
PASS
Protocol and Security Service (Dienst Protocol en beveiliging)
RA
Registration Authority (registratieautoriteit)
TCP/IP
Transmission Control Protocol/Internet Protocol
URL
Unified Resource Locator
Definities Abonnee Persoon of organisatie waarvan de publieke sleutel wordt gecertificeerd in een publieke-sleutelcertificaat. In de PKI van de Europese Commissie kan dit een ambtenaar of een contractant van de Europese Commissie zijn. Er kunnen een of meer certificaten van een specifieke CA verbonden zijn met een abonnee. De meeste abonnees zullen ten minste twee actieve certificaten hebben, waarvan het ene hun sleutel voor de verificatie van digitale handtekeningen bevat, en het andere hun sleutel voor de encryptie van vertrouwelijke gegevens. Activeringsgegevens Privé-gegevens, behalve sleutels, die vereist zijn om toegang te krijgen tot cryptografische modules. Beleidsautoriteit Instantie van de Europese Commissie die verantwoordelijk is voor het vaststellen, uitvoeren en beheren van beleidsbeslissingen betreffende CP’s en CPS’en in de gehele PKI van de Europese Commissie. CA-beheerders De CA-systeembeheerders zijn personen wier taak het is de goede werking en configuratie van de hardware en software voor de CA CommisSign in stand te houden en back-ups van het systeem van de CA CommisSign te maken. CA-beheersautoriteit De CA-beheersautoriteit is verantwoordelijk voor het opstellen en het beheer van de beschrijving van certificeringspraktijken van de CA en voor het beheer van de hoofdsleutel. CA-functionarissen De CA-functionarissen zijn personen die verantwoordelijk zijn voor de werking en het beheer van de CA-server en de CA-software. CA-hoofdgebruikers De CA-hoofdgebruikers zijn personen die over de bevoegdheid beschikken om de hoofdsleutel van de CA CommisSign te genereren en te onderhouden, de passwords van de CA-server te wijzigen en de passwords van de CA-functionarissen te recupereren wanneer deze ze hebben vergeten. 61
Certificaat De publieke sleutel van een gebruiker, samen met nog andere informatie, die onvervalsbaar wordt gemaakt door hem digitaal te ondertekenen met de privé-sleutel van de certificeringsautoriteit die hem heeft uitgegeven. Het formaat van het certificaat is in overeenstemming met Aanbeveling X.509 van de ITU-T. Certificeringsautoriteit Instantie die door een of meer gebruikers wordt vertrouwd voor de uitgifte en het beheer van publieke-sleutelcertificaten en CRL’s volgens X.509. Digitale handtekening Het resultaat van een transformatie van een bericht door middel van een cryptografisch systeem met behulp van sleutels, zodat een persoon die het oorspronkelijke bericht heeft, kan nagaan: (1)
of de transformatie heeft plaatsgevonden met behulp van de sleutel die overeenstemt met de sleutel van de ondertekenaar; en
(2)
of het bericht werd gewijzigd sinds de transformatie heeft plaatsgevonden.
Directory Directorysysteem dat voldoet aan de X.500-serie aanbevelingen van de ITU-T. Eindentiteit Entiteit die de binnen de PKI aangemaakte sleutels en certificaten gebruikt voor andere doeleinden dan het beheer van de voornoemde sleutels en certificaten. Een eindentiteit kan een abonnee of een vertrouwende partij zijn. Entiteit Elk autonoom element binnen de publieke-sleutelinfrastructuur. Dit kan een CA, een RA of een eindentiteit zijn. Hogeveiligheidszone Ruimte met toegangscontrole die alleen toegankelijk is voor bevoegd, zorgvuldig gescreend personeel en voor bezoekers met de passende begeleiding. Hogeveiligheidszones moeten door een beschermingsstrook worden afgegrensd. Hogeveiligheidszones worden 24 uren per dag en 7 dagen per week bewaakt door beveiligingspersoneel, ander personeel of met elektronische middelen. Lijst van gerevoceerde autoriteiten (ARL) Lijst van ingetrokken CAcertificaten. Een ARL is een CRL voor CA-kruiscertificaten. Lijst van ingetrokken certificaten (CRL) Lijst van ingetrokken certificaten die wordt aangemaakt en ondertekend door dezelfde CA die de certificaten heeft uitgegeven. Een certificaat wordt aan de lijst toegevoegd indien het wordt ingetrokken (bv. bij vermoeden van sleutelcompromittering). In sommige omstandigheden kan de CA besluiten een CRL in een aantal kleinere CRL’s te splitsen. MD5 Een van de door RSA Data Security Inc. ontwikkelde algoritmen voor het maken van uittreksels van berichten. Objectidentificatiecode (OID) De unieke identificatiecode die overeenkomstig de 62
alfanumerieke/numerieke ISO-registratienorm is
geregistreerd, om een specifiek object of specifieke objectcategorie aan te duiden. Operationele autoriteit Personeelsleden die verantwoordelijk zijn voor het algemene beheer van de CA voor de PKI van de Europese Commissie. Onder hun verantwoordelijkheid vallen gebieden zoals personeel, financiën en geschillenbeslechting. Voor de rol van de operationele autoriteit is geen account op het CA-werkstation vereist. Organisatie Afdeling, agentschap, onderneming, partnerschap, trust, joint venture of andere vereniging. Personeel van de Commissie Personen in dienst van de Europese Commissie. Het betreft personen met een vaste bezoldigde betrekking bij de Europese Commissie in functies waaraan plichten en verantwoordelijkheden verbonden zijn. PKI-functionarissen Personen die bevoegd zijn om de taken uit te voeren die voor het beheer van een PKI zijn omschreven. Publieke-sleutelinfrastructuur Structuur bestaande uit hardware, software, mensen, processen en beleidsmaatregelen, waarvoor gebruik wordt gemaakt van technologie voor digitale handtekening om vertrouwende partijen een verifieerbare verbinding te bieden tussen de publieke component van een asymmetrisch sleutelpaar en een specifieke abonnee. Registratieautoriteit (RA) Entiteit die verantwoordelijk is voor de identificatie en de authenticatie van certificaatabonnees voordat certificaten worden uitgegeven, maar die de certificaten niet zelf ondertekent of uitgeeft (d.w.z. dat een RA bepaalde taken uitvoert namens de CA). Sponsor Een sponsor in de PKI van de Europese Commissie is een afdeling of een ambtenaar van de Europese Commissie die een bepaalde persoon of organisatie heeft voorgedragen voor de uitgifte van een certificaat (bv. voor een werknemer kan dit de directeur van de werknemer zijn). Het is de taak van de sponsor om de CA of de RA op de hoogte te brengen wanneer de relatie met de abonnee is beëindigd of gewijzigd, zodat het certificaat kan worden ingetrokken of bijgewerkt. Uitgevende CA In de context van een bepaald certificaat is de uitgevende CA de CA die het certificaat heeft ondertekend en uitgegeven. Vertrouwende partij Persoon die gebruik maakt van een certificaat dat door de CA voor de PKI van de Europese Commissie is ondertekend, om een digitale handtekening te authentiseren of om communicatie met het certificaatsubject te versleutelen; het betreft een abonnee van de CA voor de PKI van de Europese Commissie of een PKI die een kruiscertificering met de PKI van de Europese Commissie heeft. Werknemer Persoon in dienst van de Europese Commissie.
63
9.3.
Referentiedocumenten [RD1]
ICT -beveiligingsbeleid
[RD2]
Document RFC 2527
[RD3]
Verordening nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000
64
