KRA Elektronikus aláírási szabályzat

KRA Elektronikus aláírási szabályzat

1.02 változat

2012. szeptember 24.

KRA – Elektronikus aláírási szabályzat v1.02

KRA 6. változat

Készítette:

Nemzeti Média- és Hírközlési Hatóság Azonosítógazdálkodási Osztály

és

IQSYS Zrt.

Nemzeti Média- és Hírközlési Hatóság – 2012.09.24.

2/16


KRA 6. változat

Tartalom 1

Általános rendelkezések.............................................................................................................. 4 1.1

1.1.1

A szabályozás hatálya ................................................................................................. 4

1.1.2

Kötelező felülvizsgálat időpontja ................................................................................. 4

1.2 2

3

5

Kapcsolódó szabályozások ................................................................................................. 5

Szerepkörök ................................................................................................................................ 6 2.1

Az aláírás létrehozója (aláíró).............................................................................................. 6

2.2

Az aláírás elfogadója (aláírást ellenőrző) ............................................................................ 6

2.3

A hitelesítés szolgáltatók ..................................................................................................... 6

2.4

Kriptográfiai eszközkibocsátók ............................................................................................ 7

2.5

Elektronikus aláírás termékek szállítói ................................................................................ 7

2.6

Kapcsolattartó ...................................................................................................................... 7

2.7

Szakértői támogatás ............................................................................................................ 7

2.8

KRA operátor ....................................................................................................................... 7

2.9

Szolgáltatói felhasználó ....................................................................................................... 7

2.10

Jogosult felhasználó ............................................................................................................ 8

Elektronikus aláíráshoz kapcsolódó követelmények ................................................................... 9 3.1

Alkalmazható algoritmusok.................................................................................................. 9

3.2

Alkalmazható tanúsítványok ................................................................................................ 9

3.2.1

Tanúsítvány típusok .................................................................................................... 9

3.2.2

Aláíró tanúsítványok azonosítása................................................................................ 9

3.2.3

A tanúsítványok érvényessége.................................................................................... 9

3.3

Aláírás-létrehozó termékek és alkalmazás szolgáltatók igénybe vétele ........................... 10

3.4

Az elektronikus aláírással kapcsolatos követelmények .................................................... 10

3.4.1

A számhordozásban résztvevő szolgáltatói felhasználók aláírásai .......................... 10

3.4.2

A KRA aláírása .......................................................................................................... 11

3.5 4

A szabályozás célja ............................................................................................................. 4

Aláírás-ellenőrző termékek ................................................................................................ 12

Aláírás létrehozási és ellenőrzési eljárásai ............................................................................... 13 4.1

Az aláírt üzenet érkeztetési folyamata .............................................................................. 13

4.2

KRA aláírási folyamata ...................................................................................................... 13

Vitás kérdések rendezése ......................................................................................................... 14

Változtatások összefoglalása ............................................................................................................ 16


3/16


1

ÁLTALÁNOS RENDELKEZÉSEK

1.1

A szabályozás célja

KRA 6. változat

Az elektronikus aláírási szabályzat célja olyan értelmezési, kezelési és jogi ismereteket nyújtani az elektronikus aláíráshoz kötött számhordozási eljárásokban, amely biztosítja az együttműködés helyességét az aláíró és az aláírás-ellenőrző felek között, beleértve a harmadik felekkel (3rd party szolgáltatókkal) kapcsolatos szabályokat is. Megjelenési formája ezen elektronikus aláírással hitelesített dokumentum. 1.1.1

A szabályozás hatálya

Jelen dokumentum a Nemzeti Média- és Hírközlési Hatóság (továbbiakban: NMHH) által üzemeltetett Központi Referencia Adatbázis (továbbiakban: KRA) rendszer elektronikus aláírásainak használatát szabályozza. 1.1.1.1

Személyi hatálya

A szabályzat hatálya kiterjed minden szolgáltatói, operátori és jogszabály alapján jogosult KRA felhasználóra, továbbiakban felhasználóra. 1.1.1.2

Tárgyi hatálya

A szabályzat tárgyi hatálya kiterjed:   

1.1.1.3

elektronikus aláírással ellátott minden hordozás tranzakció bejelentésére, fogadására és feldolgozására; minden elektronikus aláírással ellátott válasz, vagy nyugta elkészítésére, küldésére és feldolgozására; KRA által előállított elektronikus aláírással ellátott irányítási listákat tartalmazó állományokra. Időbeli hatálya

A szabályozás 2010. február 1-én lép hatályba és a visszavonásig érvényes. 1.1.2

Kötelező felülvizsgálat időpontja

A szabályzatban leírt követelmények alapját a hatályos jogszabályi környezet és a KRA rendszer szolgáltatói egyeztetések nyomán kialakult műszaki specifikációja képezi. A jogszabályi környezet, az alkalmazható technológia fejlődése illetve a KRA műszaki specifikáció elektronikus aláírással kapcsolatos változása ezen dokumentum értelemszerű változtatását vonja maga után. A dokumentum felülvizsgálatát évente el kell végezni. Újabb változat kiadásakor a régi automatikusan érvényét veszti. Újabb változat érvénybe lépése esetén az új változatot elektronikus formában NMHH a szolgáltatók kapcsolattartóinak az érvénybe lépés időpontja előtt 30 nappal eljuttatja.


4/16


1.2

KRA 6. változat

Kapcsolódó szabályozások

A szabályozás az alábbi mértékadó normatívákon és dokumentumokon alapul: Azonosító

Megnevezés

3/2005 (III.18) IHM rendelet

Rendelet az elektronikus aláírással kapcsolatos szolgáltatások és ezek szolgáltatóira vonatkozó részletes követelményekről

2001. évi XXXV. törvény

Törvény az elektronikus aláírásról

45/2005 (III.11.) Korm. rendelet

a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól

2/2012. (I.24.) NMHH rendelet

Rendelet a számhordozás részletes szabályairól

ETSI TS 102 176

Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1-2


5/16


KRA 6. változat

SZEREPKÖRÖK

2

Az elektronikus aláírás használatához az alábbi szerepköröket kell megkülönböztetni:        

2.1

az aláírás létrehozója, az aláírás elfogadója, hitelesítés szolgáltatók, kriptográfiai eszközkibocsátók, elektronikus aláírás termékek szállítói, kapcsolattartó, szakértői támogatás, KRA felhasználó o KRA operátor, o Szolgáltatói felhasználó, o Jogosult felhasználó.

Az aláírás létrehozója (aláíró)

Az aláíró az a természetes személy, aki az aláírás-létrehozó adatot és az aláírás-létrehozó eszközt birtokolja, valamint a saját vagy más személy (természetes, illetve jogi személy vagy jogi személyiség nélküli szervezet) nevében, vagy egy felügyelt automatizmusra (aláíró szerverre) vonatkozó szabályozás alapján aláírásra jogosult. A KRA az egyes szolgáltatásainak igénybe vétele céljából regisztrálja és nyilvántartásba veszi a jogosult aláírókat. A regisztráció során a kapcsolattartó megadja az aláíró KRA rendszer használatához szükséges azonosító adatait.

2.2

Az aláírás elfogadója (aláírást ellenőrző)

Az aláírást ellenőrző fél az a személy, vagy felügyelt aláíró automatizmus, aki/amely az elektronikusan aláírt elektronikus üzenetek aláíráskori, illetve ellenőrzéskori tartalmát összeveti, továbbá az aláíró személyét azonosítja az üzenet, illetve a hitelesítés-szolgáltató által közzétett aláírás-ellenőrző adat, tanúsítvány visszavonási információk, valamint a tanúsítvány felhasználásával.

2.3

A hitelesítés szolgáltatók

A hitelesítés szolgáltató az elektronikus aláírással kapcsolatos szolgáltatást nyújtó természetes személy, jogi személy vagy jogi személyiség nélküli szervezet. Az NMHH az egyes szolgáltatásainak igénybe vétele céljából nyilvántartásba veszi az általa elfogadható hitelesítés szolgáltatókat. A NMHH fenntartja magának a jogot, hogy megvizsgálja az egyes szolgáltatók által követett, az adott aláíró tanúsítványban megadott hitelesítési rendet, esetenként a hitelesítés szolgáltatási szabályzatot is. Az elfogadott hitelesítési rendek az NMHH által nyilvántartásba vett és hatályos, a közigazgatásban alkalmazható tanúsítvány hitelesítési rendek. A KRA automatikusan nyilvántartásba veszi az NMHH által kibocsájtott bizalmi listán szerepelő hitelesítés szolgáltatókat. A bizalmi lista az egyes hitelesítés szolgáltatók, időbélyegzés-szolgáltatók és archiválásszolgáltatók szolgáltatásait, Nemzeti Média- és Hírközlési Hatóság – 2012.09.24.

6/16


KRA 6. változat

szolgáltatói tanúsítványait, és a rájuk vonatkozó visszavonási információk helyét, valamint a szolgáltatók elérhetőségét írja le. A magyar listát a NMHH teszi közzé az alábbi elérhetőségeken:  

http ://www.nmhh.hu/tl/pub/HU_TL.xml http ://www.nmhh.hu/tl/pub/HU_TL.pdf

A KRA-ban olyan aláírási termékeket is használhatnak, amelyek alkalmasak a magyar közigazgatás által elfogadható elektronikus aláírás kezelésére.

2.4

Kriptográfiai eszközkibocsátók

Az aláírónak, vagy a felügyelt automatizmusnak, megfelelő gondosságot kell tanúsítania annak érdekében, hogy megelőzze aláírás-létrehozó adatának (kriptográfiai magánkulcsának) illetéktelen felhasználását. A NMHH a KRA-val kapcsolatban használt kriptográfiai eszközök használatára egyéb kikötést nem tesz. Jelen dokumentum 1. számú mellékletében felsorolásra kerül az összes KRA-val kompatibilis kliens oldali kriptográfiai eszköz.

2.5

Elektronikus aláírás termékek szállítói

Jelen szabályzat útmutatóul szolgál az elektronikus aláírás termékek fejlesztőinek, illetve az ilyen termékek szállítóinak és rendszerintegrátorainak is.

2.6

Kapcsolattartó

Szolgáltató által kijelölt természetes személy, aki eljárhat a szolgáltató részéről a KRA szolgáltatásokkal kapcsolatos ügyintézés és képviselet során.

2.7

Szakértői támogatás

A NMHH az elektronikus aláírás során felmerülő vitás technikai megoldások kezelésére szakértőn keresztül támogatást nyújt. Ezen szakértőket a KRA ügyfélszolgálatán keresztül lehet elérni.

2.8

KRA operátor

A KRA rendszerben minden jogosultsággal rendelkező NMHH ügyfélszolgálati munkatársat reprezentáló felhasználó. Szerepkörei: szolgáltató adminisztráció, felhasználó (szolgáltatói, jogosult) adminisztráció, monitorozás és paraméterek adminisztrálása.

2.9

Szolgáltatói felhasználó

Minden szolgáltató a saját illetve a mindenki számára elérhető adataihoz férhet hozzá. Minden szolgáltatói felhasználó ugyanazokat és csak az adott szolgáltatói folyamatokat manipulálhatja a rendszerben.


7/16


2.10

KRA 6. változat

Jogosult felhasználó

A jogosult szervezetek felhasználóinak jogosultságai mindenben megegyeznek, ezen felhasználók adatmódosítást a rendszerben nem kezdeményezhetnek, viszont minden jogosult adatot láthatnak ill. letölthetnek, és ezekre a lekérdezési műveleteket végrehajthatják.


8/16


KRA 6. változat

ELEKTRONIKUS ALÁÍRÁSHOZ KAPCSOLÓDÓ

3

KÖVETELMÉNYEK Alkalmazható algoritmusok

3.1

Az KRA a jelen szabályzatban, a jogszabályi környezet által meghatározott, a biztonságos kriptográfiai algoritmusokra és ezek meghatározott paraméterekkel történő alkalmazására vonatkozó követelmények alapján, továbbá az ETSI TS 102 176 figyelembe vételével, az alábbiak szerint korlátozza az elektronikus aláírás alkalmazását. Kizárólag a következő aláíró algoritmus alkalmazható: Érvényesség kezdete

Érvényesség vége

Algoritmus

2004.05.01

?

RSA-SHA1

2010.02.01

?

RSA-SHA256

Alkalmazható tanúsítványok

3.2 3.2.1

Tanúsítvány típusok

A KRA az alábbi tanúsítvány-típusokat fogadja el: 

fokozott biztonságú (nem minősített) hitelesítés szolgáltatótól származó tanúsítvány o közigazgatásban nem alkalmazható tanúsítványok o közigazgatásban alkalmazható tanúsítványok



minősített hitelesítés szolgáltatótól származó tanúsítvány o közigazgatásban nem alkalmazható tanúsítványok o közigazgatásban alkalmazható tanúsítványok

amennyiben a szolgáltatók megfelelnek a hitelesítés szolgáltatók pontban meghatározott követelményeknek. 3.2.2

Aláíró tanúsítványok azonosítása

A számhordozásban résztvevő szolgáltatók és megbízottjaik aláírási jogosultságát az KRA a tanúsítványaik azonosítóinak felhasználásával tartja nyilván, és ennek alapján kezeli. A felhasznált azonosítók a következők: a szolgáltató azonosítói és az aláíró tanúsítványok Base64 kódolású X.509 formátumú állományai. 3.2.3

A tanúsítványok érvényessége

A KRA az alábbi esetekben tekinti a tanúsítványokat érvénytelennek: 

kompromittált, amikor a tanúsítványhoz kapcsolódó érvényességi lánc bármely eleméhez adat bizalmassága sérült,


9/16


KRA 6. változat



az alkalmazott aláírási algoritmusok nem megfelelőek, vagy nem biztonságosak (az aláírásellenőrző adatból származtatható az aláírás-létrehozó adat, vagy egy előre meghatározott lenyomathoz utólag elkészíthető egy e-üzenet)



a tanúsítványban feltüntetett adatok nem a valóságnak megfelelően szerepelnek,



a tanúsítvány lejárt („notAfter” szerinti érvényességi idő elmúlt) vagy ha a tanúsítvány még nem érvényes („notBefore” szerinti érvényességi idő meg nem kezdődött el)



a tanúsítvány a hitelesítés szolgáltató visszavonási listáján szerepel

A NMHH fenntartja magának a jogot, hogy törölje és ezzel az adatkezelésből kizárja azokat a tanúsítványokat, amelyekhez az informatikai rendszerének védelme érdekében jogos érdeke fűződik.

3.3

Aláírás-létrehozó termékek és alkalmazás szolgáltatók igénybe vétele

Az aláírók az aláírás-létrehozó termékek (aláírás termékek) és az alkalmazás szolgáltatók vonatkozásában az elektronikus aláírás törvény alapján viselnek felelősséget. A KRA rendszereiben az aláíró automatizmusoknál, valamint a védett kommunikációs csatornák esetében a kriptográfiai kulcsok védelme megoldott, az alkalmazott eszközök és eljárások nem publikusak. Az NMHH ügyfélszolgálatát ellátó, KRA operátorok megfelelően biztonságos aláíráslétrehozó eszközt (BALE chipkártyát) használnak.

3.4

Az elektronikus aláírással kapcsolatos követelmények

A KRA csak olyan elektronikus aláírást fogad, amely megfelel az alábbi követelményeknek. 3.4.1

A számhordozásban résztvevő szolgáltatói felhasználók aláírásai

Kezelt aláírási formátumok: Xml aláírás típus

W3C megnevezés

Kezelt

XML elektronikus aláírás elembe ágyazott XML elem, amely az aláírt adatokat XML-ként tartalmazza (http://www.w3.org/TR/xmldsig-core/)

enveloping signature

igen

Aláírt XML-be ágyazott elektronikus aláírás elem

enveloped signature

nem

Az XML tartalomtól elválasztott XML elektronikus aláírás

detached signature

nem

A Reference transform elemének kötelező tartalma: http://www.w3.org/TR/2001/REC-xmlc14n-20010315

Többszörös aláírással nem láthatják el a szolgáltatók a küldött üzenetet.


10/16

KRA – Elektronikus aláírási szabályzat v1.02 3.4.1.1

KRA 6. változat

A tanúsítványban szereplő nevek

A hitelesítés szolgáltatók által kiállított tanúsítványokra a következő névkonvenció érvényes: 

érvénytelen minden tanúsítvány, amelyben a tanúsítvány alanya (CN) hiányzik



nevek értelmezése:

Aláírók

Az egyedi név alkotói

Korlátozás

tanúsítványkiadó

CN=nincs megkötés

Lásd

aláíró személy

CN=nincs megkötés

Nincs

3.4.1.2

Kulcshasználat szabályai

A kulcshasználat beállítás (keyUsage) a „nonRepudiation” kijelölését mutatja (NR-bit: true). 3.4.2

A KRA aláírása

Kezelt aláírási formátumok: Xml aláírás típus

W3C megnevezés

Támogatott

XML elektronikus aláírás elembe ágyazott XML elem, amely az aláírt adatokat XML-ként tartalmazza (http://www.w3.org/TR/xmldsig-core/)

enveloping signature

igen

Aláírt XML-be ágyazott elektronikus aláírás elem

enveloped signature

nem

Az XML tartalomtól elválasztott XML elektronikus aláírás

detached signature

nem

A Reference transform elemének kötelező tartalma: http://www.w3.org/TR/2001/REC-xmlc14n-20010315

KRA a szolgáltatók felé az üzenetet többszörös aláírással nem látja el. Az ékezetes magánhangzók használatánál a KRA a magyar helyesírás szabályait alkalmazza, ennek megfelelően, a nevekben szereplő ékezetes betűket eredeti írásmódjuk szerint feltüntetve, az UTF-8 kódolásban kezeli. 3.4.2.1

A tanúsítványban szereplő nevek

A hitelesítés-szolgáltató által kiállított tanúsítványokra a következő névkonvenció érvényes: 

érvénytelen minden tanúsítvány, amelyben a tanúsítvány alanya (CN) hiányzik



nevek értelmezése:


11/16


KRA 6. változat

Aláírók

Az egyedi név alkotói

Korlátozás

tanúsítványkiadó

CN=nincs megkötés

Lásd

aláíró személy

CN=nincs megkötés

Nincs

3.4.2.2

Kulcshasználat szabályai

A kulcshasználat beállítás (keyUsage) a „nonRepudiation” kijelölését mutatja (NR-bit: true).

3.5

Aláírás-ellenőrző termékek

Az aláírást ellenőrző felek (érintettek) az aláírás-ellenőrző termékek (aláírás termékek) és az alkalmazás szolgáltatók vonatkozásában az elektronikus aláírás törvény alapján viselnek felelősséget.


12/16


KRA 6. változat

ALÁÍRÁS LÉTREHOZÁSI ÉS ELLENŐRZÉSI ELJÁRÁSAI

4

A jogosult aláírókat és aláírás ellenőrzőket a KRA nyilvántartja, és az aláírás ellenőrzésnél a letárolt szolgáltatói aláíró tanúsítványt kezeli jogosultság ellenőrzés céljából. Az operátori szerepkörrel rendelkező felhasználóknak nem kell elektronikus aláírással ellátni a beküldött XML üzeneteket. A szolgáltatók adatszolgáltatása XML formátumban, a jelen szabályzatban meghatározott XML aláírással történik. Az üzenetek kommunikációja a KRA és a szolgáltatók rendszere között védett kommunikációs csatornán (http over ssl) keresztül valósul meg. A KRA ügyfélszolgálat az szolgáltatói kapcsolattartók számára biztosítja az üzenetkezelő szerverhez történő hozzáférést (megadja a kapcsolat autentikációs tanúsítványát, a szükséges paramétereket). Emellett a hatékony KRA kommunikáció megteremtése érdekében, nyilvánosan elérhetővé teszi a KRA SOAP technikai interfész specifikációját az NMHH weblapján. A KRA felé az adatokat a fent említett specifikáció szerint kell eljuttatni.

Az aláírt üzenet érkeztetési folyamata

4.1 

KRA a bemeneti üzenetet a szabályzatban meghatározott formátum szerint kapja meg



Aláírás ellenőrzés folyamata o

Az üzenet struktúrájának az ellenőrzése

o

Aláíró tanúsítvány kiadójának ellenőrzése az érvényességi lánc felépítésével 

Aláíró tanúsítvány érvényességének ellenőrzése

o

XML tartalom megfelelősségének ellenőrzése a SOAP technikai interfész specifikáció szerint

o

Az aláíró jogosultságának az ellenőrzése a KRA kezelt jogosultsági adatok, ezek között Az aláíró-tanúsítvány felhasználásával történik

o

Integritás ellenőrzése az XML aláírás felhasználásával 

Integritás ellenőrzésen is megfelelő üzenetek archiválásra kerülnek

KRA aláírási folyamata

4.2 

Válasz üzenet (nyugta, hibaüzenet, lista) tartalmi összeállítása o

XML tartalom specifikáció szerinti összeállítása



XMLDsig (http://www.w3.org/TR/xmldsig-core/) aláírás elkészítése



Aláíró tanúsítvány ellenőrzése


13/16


5

KRA 6. változat

VITÁS KÉRDÉSEK RENDEZÉSE

A felmerülő problémák megoldására az NMHH a szakértői támogatás keretében nyújt lehetőséget.


14/16


1.

KRA 6. változat

számú melléklet

TÁMOGATOTT BIZTONSÁGOS ALÁÍRÁS LÉTREHOZÓ ESZKÖZÖK (BALE) Szolgáltatói felhasználó, azaz az aláíró által használt BALE-kel kapcsolatban a cél, hogy az elfogadott hitelesítés szolgáltatók által kínált BALE-k legbővebb halmaza támogatott legyen. Jelen dokumentum érvényessége alatt támogatott eszközök: Eszköz

Eszköz operációs rendszer

Eszköz chip

Támogatott hoszt operációs rendszer

Aladdin e-Token PRO

CardOS/M4.01

SLE66CX320P

Microsoft Windows, Linux, Macintosh

Oberthur CosmopolIC intelligens kártya

nyílt Java platform 2.1 V4 verzió

P8WE5033V0G

Microsoft Windows

ORGA intelligens kártya

MICARDO v2.1

SLE66CX320P

Microsoft Windows

Giesecke & Devrient token

STARCOS SPK 2.3 v7.0

P8WE5032v0G

Microsoft Windows

SUN Crypto Accelerator

Solaris 10 SPARC

Axalto Cyberflex Access 64K v2a

Global Platform – Open Platform v2.0.1

Microsoft Windows

SLE66CX640P

nChiper NetHSM 2000

eToken PRO Java Card 72K

Microsoft Windows

Microsoft Windows, Linux OS755, eToken Java Applet 1.0.37

AT90SC25672RCTUSB

Microsoft Windows

KRA rendszer képes a fent felsoroltakon kívül minden BALE-vel együttműködni, amely képes megvalósítani a szabványos PKCS11 kommunikációt.


15/16


KRA 6. változat

VÁLTOZTATÁSOK ÖSSZEFOGLALÁSA

Változat

Kiadás

száma:

időpontja:

1.0

2009. november 12.

NHH, IQSYS

KRA továbbfejlesztés 5. fázis - alapdokumentum kiadása

1.01

2010. július 12.

NHH, IQSYS

A dokumentum véglegesítése

1.02

2012. szeptember 24.

NMHH, IQSYS

Jogszabályváltozás miatti pontosítás

Változtató: Változtatás:

Bizalmi lista bevezetése


16/16

KRA Elektronikus aláírási szabályzat

Recommend Documents