certifikační politika podřízené certifikační autority...

Certifikační politika IssuingCA2

_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

CCeerrttiiffiikkaaččnníí ppoolliittiikkaa ppooddřříízzeennéé

cceerrttiiffiikkaaččnníí aauuttoorriittyy IIssssuuiinnggCCAA22 –– iinntteerrnníí vvěětteevv PPKKII EEVVSS

Typ dokumentace : CP

Obsah / účel dokumentu

Oficiální dokument – Certifikační politika podřízené certifikační autority IssuingCA2 – interní větev PKI EVS

Dotčená KP Služba V09 – Mail

Správce Bc. Zdeněk Přeliáš

Historie změn

Datum Vydání status autor 19.11.2007 0.10 První návrh Ondřej

Fousek 29.11.2007 0.30 Final Draft OFO 17.12.2007 0.40 Po připomínkách EVS OFO 23.1.2008 0.50 Po doplněných připomínkách EVS OFO 14.2.2008 1.00 Po projednání zapracování

připomínek OFO

19.6.2008 1.00 Úprava dle standardů EVS a publikace do PDF na web

Bc. Zdeněk Přeliáš

1 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

OBSAH

Seznam použitých zkratek ............................................................................................. 4

1. Úvod ................................................................................................................... 5 1.1 Přehled ....................................................................................................... 5 1.2 Název a jednoznačné určení dokumentu ................................................... 5 1.3 Participující subjekty ................................................................................. 5 1.4 Použití klíčového páru a certifikátu .......................................................... 6 1.5 Správa politiky .......................................................................................... 7

2. Odpovědnost za zveřejňování a úložiště informací a dokumentace ............ 8

3. Identifikace a autentizace ................................................................................ 9 3.1 Pojmenování .............................................................................................. 9 3.2 Počáteční ověření identity ......................................................................... 9 3.3 Identifikace a autentizace při vydání následných certifikátů .................... 9 3.4 Identifikace a autentizace při zpracování požadavků na zneplatnění

certifikátu ................................................................................................ 10

4. Požadavky na životní cyklus certifikátu ....................................................... 11 4.1 Žádost o vydání certifikátu ...................................................................... 11 4.2 Zpracování elektronické žádosti o certifikát ........................................... 11 4.3 Vydání certifikátu .................................................................................... 12 4.4 Převzetí vydaného certifikátu .................................................................. 12 4.5 Použití klíčového páru a certifikátu ........................................................ 12 4.6 Obnovení certifikátu ................................................................................ 13 4.7 Výměna klíčového páru při vydání následného certifikátu ..................... 13 4.8 Změna údajů v certifikátu ....................................................................... 13 4.9 Zneplatnění a pozastavení platnosti certifikátu ....................................... 14 4.10 Služby související s ověřováním statutu certifikátu ................................ 14 4.11 Ukončení poskytování služeb pro držitele certifikátu ............................. 14 4.12 Úschova soukromých klíčů u důvěryhodné třetí strany a jejich obnova 14

5. Management, provozní a fyzická bezpečnost ............................................... 15 5.1 Fyzická bezpečnost ................................................................................. 15 5.2 Procesní bezpečnost ................................................................................ 15 5.3 Personální bezpečnost ............................................................................. 15 5.4 Auditní záznamy (logy) ........................................................................... 15 5.5 Uchovávání informací a dokumentace .................................................... 15 5.6 Výměna veřejného klíče v certifikátu CA ............................................... 15 5.7 Obnova po havárii nebo kompromitaci ................................................... 15 5.8 Ukončení činnosti CA nebo RA .............................................................. 15

6. Technická bezpečnost ..................................................................................... 16 6.1 Generování a instalace klíčů ................................................................... 16

2 z 25

6.2 Ochrana soukromých klíčů a bezpečnost kryptografických modulů ...... 17


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

6.3 Další aspekty správy klíčů ...................................................................... 18 6.4 Aktivační data ......................................................................................... 18 6.5 Počítačová bezpečnost ............................................................................ 18 6.6 Bezpečnost životního cyklu .................................................................... 18 6.7 Síťová bezpečnost ................................................................................... 18

7. Profily certifikátu, seznamu zneplatněných certifikátů a OCSP ............... 19 7.1 Profil certifikátu ...................................................................................... 19 7.2 Profil seznamu zneplatněných certifikátů ............................................... 20 7.3 Profil OCSP ............................................................................................. 21

8. Hodnocení shody a jiná hodnocení ................................................................ 22

9. Ostatní obchodní a právní záležitosti ............................................................ 23 9.1 Poplatky ................................................................................................... 23 9.2 Finanční odpovědnost ............................................................................. 23 9.3 Citlivost obchodních informací ............................................................... 23 9.4 Ochrana osobních údajů .......................................................................... 23 9.5 Práva duševního vlastnictví ..................................................................... 23 9.6 Zastupování a záruky .............................................................................. 23 9.7 Zřeknutí se záruk ..................................................................................... 23 9.8 Omezení odpovědnosti ............................................................................ 23 9.9 Odpovědnost za škodu, náhrada škody ................................................... 23 9.10 Doba platnosti, ukončení platnosti CP .................................................... 24 9.11 Komunikace mezi zúčastněnými subjekty .............................................. 24 9.12 Změny ..................................................................................................... 24

3 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Seznam použitých zkratek

AD Active Directory; adresářové služby Microsoft Windows AIA Authority Information Access; položka v certifikátu obsahující odkazy na

certifikát podepisující certifikační autority CA certifikační autorita CDP CRL Distribution Point; položka v certifikátu obsahující odkazy na příslušný

CRL CN Common Name; část názvu entity využívaná v adresářových službách CP Certifikační politika CPS Certifikační prováděcí směrnice CRL Certificate Revocation List; seznam zneplatněných certifikátů ČR Česká republika DC Domain Component; část názvu entity využívaná v adresářových službách DER Distinguished Encoding Rules; metoda kódování datového objektu DN Distinguished Name; standardizované jméno subjektu DRA Data Recovery Agent; osoba v této roli je schopna dešifrovat soubory předtím

zašifrované jinou osobou pomocí EFS EFS Encrypting File System; šifrová ochrana souborů v prostředí systémů

Microsoft Windows EVS EVRAZ VÍTKOVICE STEEL, a.s. HTTP Hyper-Text Transport Protocol; protokol pro přenos webových zpráv KRA Key Recovery Agent; osoba v této roli je schopna obnovit soukromé

šifrovací klíče jiných osob, uložené v databázi certifikační autority LDAP Lightweight Directory Access Protocol; protokol pro přístup k adresářovým

službám MOM Microsoft Operations Manager MS Microsoft OID objektový identifikátor; číselná struktura umožňující unikátně identifikovat

dokumenty a jejich části, včetně položek v certifikátu OU Organization Unit; část názvu entity využívaná v adresářových službách PKCS Public Key Cryptography Standard PKI Public Key Infrastructure; infrastruktura veřejných klíčů RA registrační autorita RFC Request for Comment; technický standard Internetu RSA Rivest-Shamir-Adelmann; asymetrický kryptografický algoritmus SHA-1 Secure Hash Algorithm; hašovací algoritmus SSL Secure Socket Layer; označení pro druh zabezpečené (šifrované) komunikace X.509 jeden ze standardů pro adresářové služby

4 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

1. Úvod

1.1 Přehled

Certifikační politika (dále CP) stanoví pravidla pro používání a aplikovatelnost certifikátů vydaných PKI EVS pro držitele certifikátu podle této politiky. S touto CP je logicky spojen dokument Certifikační prováděcí směrnice (dále CPS), který definuje pravidla a postupy uplatňované v rámci systému PKI EVS při vydávání a správě elektronických certifikátů. Tato CP je logicky svázána s CPS pro interní větev PKI EVS.

1.2 Název a jednoznačné určení dokumentu

Název tohoto dokumentu: Certifikační politika podřízené certifikační autority IssuingCA2 – interní větev PKI EVS Objektová identifikace a dostupnost tohoto dokumentu: OID = 1.3.0154.27801454.200.1.1.2.12 Verze a platnost: Verze 1.00, platná od 1.3.2008 do vydání následující verze. Tento dokument je dostupný na adrese http://web.vitkovicesteel.com/pki/ .

1.3 Participující subjekty

1.3.1 Certifikační autority (dále „CA“)

Kořenová CA (též RootCA) je technologický systém v rámci systému PKI EVS. Tento systém vydává a spravuje certifikáty podřízených Certifikačních autorit v rámci této PKI. Za určitých podmínek přesně definovaných v příslušné CP je kořenová CA oprávněna odmítnout vydání certifikátu. Pouze kořenová CA je oprávněna odvolat nebo pozastavit platnost certifikátu podřízené Certifikační autority na základě žádosti o odvolání prověřené definovaným postupem. Kořenová CA je ve správě OÚ 200.1 Informatika EVS.

5 z 25

Privátní klíč autority RootCA je bezpečně uložen v softwarovém klíčovém úložišti operačního systému. Autorita je standardně v off-line modu, spouštěna je pouze za účelem podpisu podřízené autority, nebo vydání CRL. Požadavky na dostupnost vzhledem k režimu provozu jsou minimální, není tedy funkčně zálohována, důležitá je záloha soukromých klíčů autority. Tato CA je virtuální stroj v prostředí VMWare, nakonfigurovaný bez síťové karty. Platforma této CA je MS Certificate Services na operačním systému MS Windows 2000 provozovaná v modu Standalone Root CA. Vzhledem k tomu že se jedná o root CA nejsou nutné další komponenty.


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

IssuingCA2 – podřízená CA vydávající zaměstnanecké certifikáty pro podpis elektronické pošty, šifrování elektronické pošty a EFS, certifikáty pro DRA a KRA. Certifikáty a CRL jsou publikovány do Active Directory, CRL je publikováno i na webový server. Soukromý klíč této autority je bezpečně uložen v softwarovém klíčovém úložišti operačního systému, je zajištěno bezpečné zálohování soukromých klíčů autority. Autorita je provozována v on-line modu. Platforma této CA je MS Certificate Services na operačním systému MS Windows Server 2003. Protože CA vydává uživatelské certifikáty, je nutná její další komunikace s dalším pracovištěm vykonávajícím funkce registrační autority.

1.3.2 Registrační autority (dále „RA“)

Činnosti RA vykonává odbor 200.11 Systémová podpora.

1.3.3 Držitelé vydaných certifikátů

Koncovým držitelem certifikátu tohoto profilu je systém podřízené certifikační autority IssuingCA2 zastoupený správcem PKI.

1.3.4 Spoléhající se strany

Spoléhajícími se stranami jsou u tohoto profilu certifikátu všichni zaměstnanci, jimž IssuingCA2 vydává certifikáty, a dále osoby mimo EVS, především příjemci a odesilatelé zabezpečených zpráv elektronické pošty.

1.3.5 Jiné participující subjekty

Nejsou.

1.4 Použití klíčového páru a certifikátu

1.4.1 Přípustné použití klíčů a certifikátu

Vydávané certifikáty a příslušné páry kryptografických klíčů lze použít k těmto účelům: pro podpis certifikátu veřejného klíče vydaného podle některé uživatelské nebo technické certifikační politiky.

1.4.2 Omezení použití certifikátu

Vydaný certifikát lze použít pouze pro výše definované účely. Aplikace vyvíjené v rámci EVS nesmí povolit použití certifikátu pro jiné účely, než je stanoveno touto CP a rozšířeními certifikátu.

6 z 25

Použití certifikátu pro jiné účely nebo aplikace je na vlastní riziko držitele certifikátu.


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

Vydávané certifikáty NELZE použít pro elektronický styk s orgány veřejné správy podle zákona č. 227/2000 Sb., o elektronickém podpisu, neboť PKI EVS není akreditována pro vydávání takových certifikátů.

1.5 Správa politiky

1.5.1 Organizace spravující certifikační politiku

Tato certifikační politika je spravována organizací: EVS, OÚ 200.1 Informatika, odbor 200.11 Systémová podpora. Správa je prováděna podle pravidel stanovených v kapitole 9.12.

1.5.2 Kontaktní osoba organizace spravující certifikační politiku

Všechny dotazy, komentáře a připomínky k tomuto dokumentu směrujte prosím na: EVRAZ VÍTKOVICE STEEL, a.s. OÚ 200.1 – Informatika Správce PKI Štramberská č.p. 2871/47 PSČ 709 00 Ostrava-Hulváky email: [email protected]

1.5.3 Schvalování certifikační politiky

7 z 25

Certifikační politika je schvalována ředitelem OÚ 200.1 Informatika. Podrobný proces ani postup není stanoven.


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

2. Odpovědnost za zveřejňování a úložiště informací a dokumentace

Tyto údaje jsou specifikovány v CPS.

8 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

3. Identifikace a autentizace

3.1 Pojmenování

Tyto údaje jsou specifikovány v CPS

3.2 Počáteční ověření identity

3.2.1 Ověřování souladu soukromého a veřejného klíče

Primární metodou pro kryptografické algoritmy umožňující digitální podpis, je podpis žádosti o certifikát pomocí tohoto soukromého klíče (v žádosti ve formátu PKCS#10).

3.2.2 Ověřování identity právnické osoby nebo organizační složky státu

Pro tuto CP není aplikováno.

3.2.3 Ověřování identity fyzické osoby

Při registraci žadatele – správce PKI se vyžaduje: 1. Fyzická přítomnost žadatele při registraci; 2. Platný zaměstnanecký průkaz a existence záznamu v interních adresářových

službách.

3.2.4 Neověřené informace vztahující se k držiteli certifikátu nebo podepisující či označující osobě

Certifikát vydaný podle této CP neobsahuje žádné neověřované informace.

3.2.5 Ověřování specifických práv

Při předložení žádosti o vydání certifikátu podle této CP posoudí ředitel OÚ 200.1 Informatika oprávnění správce PKI žádat o certifikát dle příslušné CP.

3.2.6 Kritéria pro interoperabilitu

Není specifikováno.

3.3 Identifikace a autentizace při vydání následných certifikátů

9 z 25

Žádost o následný certifikát je podepsána nově vygenerovaným soukromým klíčem certifikační autority IssuingCA2.


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

3.3.1 Identifikace a autentizace při rutinním vydání následného certifikátu

V tomto případě je identifikace a autentizace prováděna stejným způsobem, jako při počáteční registraci podle kapitoly 3.2.

3.3.2 Identifikace a autentizace při výměně klíčů po zneplatnění certifikátu

Identifikace a autentizace pro potřeby výměny klíčů po zneplatnění certifikátu je prováděna stejným způsobem, jako při počáteční registraci podle kapitoly 3.2.

3.4 Identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu

Tyto požadavky jsou specifikovány v CPS.

10 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

4. Požadavky na životní cyklus certifikátu

4.1 Žádost o vydání certifikátu

4.1.1 Subjekty oprávněné podat žádost o vydání certifikátu

O vydání certifikátu podle této CP je oprávněn požádat správce PKI. Žádost podléhá schválení ředitele OÚ 200.1 Informatika..

4.1.2 Registrační proces a odpovědnosti poskytovatele a žadatele

Správce PKI si stáhne Registrační formulář PKI z adresy: http://web.vitkovicesteel.com/pki/ . V žádosti uvede své jméno, oddělení a pozici v organizační struktuře společnosti. Dále vyznačí požadovaný typ certifikátu. Žádost předloží ke schválení řediteli OÚ 200.1 Informatika. Odpovědnosti

• správce PKI – správné vyplnění žádosti, zajištění potvrzení žádosti vedoucím pracovníkem

• ředitel OÚ 200.1 Informatika – korektní posouzení žádosti

4.2 Zpracování elektronické žádosti o certifikát

V případě schválení žádosti správce PKI instaluje a spustí službu Certificate Services na podřízené CA. Během konfigurace služby je vygenerován klíčový pár a vytvořena žádost o certifikát ve formátu PKCS#10. Správce PKI uloží žádost o certifikát lokálně na CA do souboru. Soubor poté nakopíruje na transportní médium a přenese jej k RootCA.

4.2.1 Identifikace a autentizace

V tomto kroku není implementováno, správce PKI spravuje všechny CA v PKI EVS.

4.2.2 Přijetí nebo zamítnutí žádosti o certifikát

Správce PKI spustí virtuální stroj autority a její certifikační služby. Připojí k systému médium se žádostí o certifikát a provede její import. V management konzoli RootCA žádost o certifikát schválí Pokud jsou parametry žádosti v pořádku, certifikační autorita žádost akceptuje. Pokud některý z parametrů není v pořádku, certifikační autorita žádost odmítne.

11 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

4.2.3 Doba zpracování žádosti o certifikát

Doba zpracování žádostí závisí na zatížení správce PKI, žádost bude zpracována nejpozději další pracovní den po podání.

4.3 Vydání certifikátu

4.3.1 Úkony CA v průběhu vydávání certifikátu

Certifikační autorita RootCA zkopíruje údaje z elektronické žádosti o certifikát včetně veřejného klíče do struktury certifikátu a tuto strukturu podepíše svým soukromým podepisovacím klíčem. Vytvořený certifikát uloží do své databáze..

4.3.2 Oznámení o vydání certifikátu držiteli certifikátu, podepisující nebo označující osobě

Toto oznámení není v PKI EVS implementováno.

4.4 Převzetí vydaného certifikátu

4.4.1 Úkony spojené s převzetím certifikátu

Správce PKI provede export vydaného certifikátu do souboru a na externí médium. Je povinen ihned po vydání certifikátu zkontrolovat jeho obsah vůči obsahu žádosti. Pokud zjistí rozpory, musí bez prodlení zajistit zneplatnění certifikátu a provést další vhodná opatření k odstranění vzniklého problému. Pokud je certifikát v pořádku, přenese soubor s vydaným certifikátem zpět na server podřízené CA. Tam provede import certifikátu s pomocí management konzole a nastartuje službu CA.

4.4.2 Zveřejňování vydaných certifikátů poskytovatelem

IssuingCA2 zveřejňuje své certifikáty do Active Directory a na webový server.

4.4.3 Oznámení o vydání certifikátu jiným subjektům

EVS neoznamuje vydání certifikátu jiným subjektům.

4.5 Použití klíčového páru a certifikátu

4.5.1 Použití soukromého klíče

12 z 25

Soukromý klíč příslušný k certifikátu vydanému podle této CP může být využit POUZE k podpisu certifikátu veřejného klíče vydaného podle některé uživatelské nebo technické certifikační politiky.


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

4.5.2 Použití certifikátu spoléhající se stranou

Certifikát vydaný podle této CP může být spoléhající se stranou využit POUZE k ověření autentičnosti certifikátu veřejného klíče vydaného podle některé uživatelské nebo technické certifikační politiky.

4.6 Obnovení certifikátu

PKI EVS neumožňuje obnovení certifikátu bez výměny klíčového páru.

4.7 Výměna klíčového páru při vydání následného certifikátu

4.7.1 Podmínky pro vydání následného certifikátu

• certifikát podřízené CA musí být platný (tj. nesmí být zneplatněn, pozastaven ani vypršelý).

4.7.2 Subjekty oprávněné k vydání následného certifikátu

O vydání následného certifikátu může požádat správce PKI.

4.7.3 Zpracování požadavku na vydání následného certifikátu

Postup při vydání následného certifikátu podřízené CA je stejný jako postup při prvotním vydání jejího certifikátu (viz začátek této kapitoly).

4.7.4 Oznámení o vydání následného certifikátu

Viz článek 4.3.2.

4.7.5 Úkony spojené s převzetím následného certifikátu

V tomto případě je postup stejný jako v článku 4.4.1.

4.7.6 Zveřejňování vydaných následných certifikátů

EVS zveřejňuje vydané certifikáty pouze pro interní potřebu, viz článek 4.4.2.

4.8 Změna údajů v certifikátu

13 z 25

Změnu údajů v certifikátu lze provést pouze zneplatněním aktuálního certifikátu a novým provedením Registračního procesu.


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

4.9 Zneplatnění a pozastavení platnosti certifikátu

Subjekty, podmínky a postupy jsou stanoveny v CPS.

4.10 Služby související s ověřováním statutu certifikátu

Tyto služby nejsou v rámci PKI EVS implementovány. Podřízená CA je schopna on-line ověřit stav svého certifikátu ve své databázi.

4.11 Ukončení poskytování služeb pro držitele certifikátu

Tyto podmínky a postupy jsou stanoveny v CPS.

4.12 Úschova soukromých klíčů u důvěryhodné třetí strany a jejich obnova

Funkcionalita úschovy soukromých klíčů u důvěryhodné třetí strany („key escrow“) není v PKI EVS implementována.

4.12.1 Politika a postupy při úschově a obnovování soukromých klíčů

Tato funkcionalita není v rámci PKI EVS implementována .

4.12.2 Politika a postupy při zapouzdřování a obnovování šifrovacího klíče pro relaci

Tato funkcionalita není v rámci PKI EVS implementována.

14 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

5. Management, provozní a fyzická bezpečnost

5.1 Fyzická bezpečnost

Zajištění fyzické bezpečnosti se týká společných prvků PKI EVS a proto je specifikováno v CPS.

5.2 Procesní bezpečnost

Zajištění procesní bezpečnosti je specifikováno v CPS.

5.3 Personální bezpečnost

Zajištění personální bezpečnosti je specifikováno v CPS.

5.4 Auditní záznamy (logy)

Nastavení a zpracování auditních záznamů je specifikováno v CPS a implementační dokumentaci IssuingCA2.

5.5 Uchovávání informací a dokumentace

Uchovávání (archivace) informací a dokumentace je specifikovány v CPS.

5.6 Výměna veřejného klíče v certifikátu CA

Je stanoveno v kapitole 4.7.

5.7 Obnova po havárii nebo kompromitaci

Postupy pro obnovu při havárii jsou specifikovány v CPS.

5.8 Ukončení činnosti CA nebo RA

Postupy při ukončení činnosti CA jsou stanoveny v CPS.

15 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

6. Technická bezpečnost

6.1 Generování a instalace klíčů

6.1.1 Generování klíčů

Klíčový pár pro asymetrický kryptografický algoritmus je generován systémovou komponentou operačního sytému serveru CA – Microsoft Strong Cryptographic Provider. Součástí této komponenty je i generátor náhodných čísel. Vygenerovaný soukromý klíč je uložen v chráněném úložišti klíčů operačního systému serveru jako Neexportovatelný. Správce PKI je odpovědný za proces generování páru klíčů a žádosti o certifikát na serveru CA. Je též odpovědný za bezpečné uložení soukromého klíče (v rámci celé zálohy CA). Heslo umožňující přístup k použití soukromého klíče nesmí být uchováváno nezabezpečeně ani sdělováno cizí osobě.

6.1.2 Předání soukromého klíče žadateli

V této CP není relevantní.

6.1.3 Předání veřejného klíče certifikační autoritě

Po vygenerování klíčového páru vytvoří příslušná komponenta žádost o vydání certifikátu ve formátu PKCS#10 obsahující údaje podle příslušného vzoru certifikátu.

6.1.4 Poskytování veřejných klíčů certifikační autoritou spoléhajícím se stranám

Prostředky PKI EVS je zajištěno publikování certifikátu IssuingCA2 v Active Directory a na webu PKI EVS.

6.1.5 Délky klíčů

Délka klíčů generovaných a používaných podle této CP je 2048 bitů.

6.1.6 Generování parametrů veřejných klíčů

Je popsáno v dokumentaci operačního systému serveru CA – viz článek 6.1.1.

6.1.7 Omezení pro použití veřejných klíčů

Viz kapitola 1.4.

16 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

6.2 Ochrana soukromých klíčů a bezpečnost kryptografických modulů

6.2.1 Standardy a podmínky používání kryptografických modulů

Kryptografické moduly nejsou v rámci PKI EVS implementovány.

6.2.2 Sdílení tajemství formou rozdělení klíčů na části

Není v rámci PKI EVS implementováno.

6.2.3 Úschova klíčů u důvěryhodné třetí strany

Není v rámci PKI EVS implementováno.

6.2.4 Zálohování soukromých klíčů

Soukromé klíče vytvořené podle této CP jsou zálohovány v rámci databáze CA. Postup je specifikován v implementační dokumentaci IssuingCA2.

6.2.5 Uchovávání soukromých klíčů

Podobně jako předchozí odstavec.

6.2.6 Přenos soukromých klíčů z/do kryptografického modulu

Viz článek 6.2.1.

6.2.7 Uložení soukromých klíčů v kryptografickém modulu

Viz článek 6.2.1.

6.2.8 Postup při aktivaci soukromých klíčů CA

Tento postup je specifikován v CPS.

6.2.9 Postup při deaktivaci soukromých klíčů CA

Viz článek 6.2.8.

6.2.10 Postup při zničení soukromých klíčů CA

17 z 25

Podpisové klíče podřízené CA nejsou ničeny, jsou trvale udržovány v chráněném úložišti klíčů jejího operačního systému.


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

6.3 Další aspekty správy klíčů

6.3.1 Uchovávání veřejných klíčů

Všechny vydané certifikáty jsou uchovány v databázi CA a v Active Directory.

6.3.2 Maximální doba platnosti certifikátu a klíčů

Certifikáty vydané podle této CP mají platnost 6 let ode dne vydání.

6.4 Aktivační data

6.4.1 Generování a instalace aktivačních dat

Je využita standardní funkčnost Microsoft Certificate Services a Strong Cryptographic Provider.

6.4.2 Ochrana aktivačních dat

Přístupu k soukromému klíči je chráněn prostředky chráněného úložiště klíčů operačního systému.

6.5 Počítačová bezpečnost

Požadavky a implementace jsou definovány v CPS.

6.6 Bezpečnost životního cyklu

Není relevantní, v PKI EVS neprobíhá vývoj.

6.7 Síťová bezpečnost

Bezpečnost sítí je definována v CPS.

18 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

7. Profily certifikátu, seznamu zneplatněných certifikátů a OCSP

7.1 Profil certifikátu

7.1.1 Číslo verze

Jedná se o certifikát X.509 verze 3, což je reprezentováno hodnotou „2“ parametru Certificate Version.

7.1.2 Rozšiřující položky v certifikátu

Certifikát obsahuje tyto položky rozšíření (Certificate Extension): • AIA – definuje http a ldap cestu k certifikátu RootCA • CDP – definuje http a ldap cestu k CRL seznamu vydávanému RootCA • KeyUsage – definuje základní možnosti použití veřejného klíče – digitální

podpis, neodmítnutelnost, podpis certifikátů a CRL • CA Version – definuje verzi certifikátu CA • Basic Constraints – základní omezení stromu podpisů v PKI • Certificate Template Name – definuje vzor certifikátu Microsoft • SubjectKeyID – unikátní identifikátor veřejného klíče žadatele/držitele • AuthorityKeyID – unikátní identifikátor veřejného klíče certifikační autority

Položka Hodnota AIA URL=http://web.vitkovicesteel.com/pki/cathan_Steelnet.cz%20

RootCA.crt URL=ldap:///CN=Steelnet.cz%20RootCA,CN=AIA,CN=Public% 20Key%20Services,CN=Services,CN=Configuration,DC=steelnet, DC=cz?cACertificate?base?objectclass=certificationAuthority

CDP URL=http://web.vitkovicesteel.com/pki/Steelnet.cz%20 RootCA.crl URL=ldap:///CN=Steelnet.cz%20RootCA,CN=cathan,CN=CDP, CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=steelnet,DC=cz?certificateRevocationList?base?objectclass= cRLDistributionPoint

KeyUsage Digital Signature; Non-Repudiation; Certificate Signing; Off-line CRL Signing; CRL Signing (c6)

CA Version V0.0 Basic Constraints Subject Type=CA; Path Length Constraint=None SubjectKeyID Zapisuje RootCA AuthorityKeyID Zapisuje RootCA

19 z 25

Rozšiřující položka Basic Constraints je označena jako Kritická.


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

7.1.3 Objektové identifikátory (dále „OID“) algoritmů

Identifikátor objektu pro kombinaci algoritmů RSA a SHA-1 použitou pro elektronický podpis je: sha-1WithRSAEncryption = 1.2.840.113549.1.1.5.

7.1.4 Způsoby zápisu jmen a názvů

Certifikát obsahuje tato jména a názvy: • Subject Distinguished Name (DN) – standardizované úplné jméno subjektu

Položka Hodnota DN CN=IssuingCA2

7.1.5 Omezení jmen a názvů

Není implementováno.

7.1.6 OID certifikační politiky

Tento údaj je součástí skupiny parametrů CertificatePolicies. Je shodný s odstavcem 1.2 Položka Hodnota Policy Identifier 1.3.0154.27801454.200.1.1.2.12

7.1.7 Rozšiřující položka „Policy Constraints“

Není implementováno.

7.1.8 Syntaxe a sémantika rozšiřující položky kvalifikátorů politiky „Policy Qualifier Info“

Kvalifikátor politiky odkazuje na existenci CPS a na umístění dokumentu politiky. Položka Hodnota Policy Qualifier Id CPS Qualifier http://web.vitkovicesteel.com/pki/CP_IssuingCA2.pdf

7.1.9 Způsob zpracování kritických rozšíření

Služba Microsoft Certficate Services nebere kritická rozšíření v úvahu.

7.2 Profil seznamu zneplatněných certifikátů

7.2.1 Číslo verze

20 z 25

Jedná se o CRL verze 2, což je reprezentováno hodnotou „1“ parametru CRL Version.


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

7.2.2 Rozšiřující položky seznamu zneplatněných certifikátů a záznamů v seznamu zneplatněných certifikátů

Položka Hodnota CRL Number Identifikátor CRL, automaticky vkládá příslušná CA CRL Reason Code Důvod vložení příslušného certifikátu (jeho sériového

čísla) do CRL AuthorityKeyID Identifikátor veřejného klíče příslušné CA, která vydala

CRL Žádná rozšiřující položka není označena jako Kritická.

7.3 Profil OCSP

V PKI EVS není OCSP implementován.

21 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

8. Hodnocení shody a jiná hodnocení

Tyto požadavky a postupy jsou stanoveny v CPS.

22 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

9. Ostatní obchodní a právní záležitosti

9.1 Poplatky

Není relevantní.

9.2 Finanční odpovědnost

Není relevantní.

9.3 Citlivost obchodních informací

Toto je stanoveno v CPS.

9.4 Ochrana osobních údajů

Toto je stanoveno v CPS.

9.5 Práva duševního vlastnictví

Není relevantní.

9.6 Zastupování a záruky

Je stanoveno v CPS.

9.7 Zřeknutí se záruk

Není relevantní.

9.8 Omezení odpovědnosti

Je stanoveno v CPS.

9.9 Odpovědnost za škodu, náhrada škody

Není relevantní.

23 z 25


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

9.10 Doba platnosti, ukončení platnosti CP

9.10.1 Doba platnosti CP

Jednotlivé verze CP jsou odlišeny číslem verze, přičemž platná je aktuální verze umístěná na adrese http://web.vitkovicesteel.com/pki/ (viz článek 1.2). U každé verze je stanoveno datum, od něhož je platná. Důležité změny budou zveřejněny s 15ti denním předstihem před zveřejněním nové platné verze CP.

9.10.2 Ukončení platnosti CP

Platnost verze CP je ukončena v okamžiku počátku platnosti nové verze, případně ukončením činnosti PKI EVS.

9.10.3 Důsledky ukončení a přetrvání závazků

Obsah závazků všech stran je dán aktuální platnou verzí CP.

9.11 Komunikace mezi zúčastněnými subjekty


9.12 Změny

9.12.1 Postup při změnách CP

EVS je oprávněna v budoucnosti doplnit tuto CP o ustanovení, jejichž nutnost bude teprve zjištěna. Takové změny budou zveřejněny na adrese http://web.vitkovicesteel.com/pki/ . Změny mohou být vydány jak ve formě doplněné CP, tak ve formě samostatných úprav a doplňků. Případné změny nebudou mít zpětnou platnost. Změny nemající materiální povahu vstoupí v platnost okamžikem řádného zveřejnění podle tohoto odstavce. Změny mající materiální povahu vstoupí v platnost 15 dní po svém řádném zveřejnění, neoznámí-li EVS před ukončením 15ti denní lhůty jejich stažení. V případě, že by zpožděným provedením navržené změny mohlo dojít k poškození PKI EVS, EVS nebo její části, vstoupí změna v platnost okamžikem řádného uveřejnění. Pokud žadatel o certifikát nestáhne svou žádost nebo držitel certifikátu neodvolá svůj certifikát před koncem výše zmíněné 15tidenní lhůty, má se za to, že s doplňky souhlasí. Významné změny CP a příslušné CPS musí schválit ředitel OÚ 200.1 Informatika.

9.12.2 Postup při oznamování změn

24 z 25

Položky nezveřejňované prostřednictvím CPS:

http://web.vitkovicesteel.com/pki/


_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

25 z 25

• Platné organizační normy EVS; • Dohody přidružené k CPS.

Způsoby zveřejnění CP a CPS:

• Na adrese http://web.vitkovicesteel.com/pki/ .

9.12.3 Okolnosti, při kterých musí být změněn OID


http://web.vitkovicesteel.com/pki/

certifikační politika podřízené certifikační autority...

Documents