TARTALOMJEGYZÉK. 1. Bevezetés... 3

Átírás

1 Az nformatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható végfelhasználói szerkezetének és adattartalmának műszaki specifikációjára november 1.

2 és adattartalomra TARTALMJEGYZÉK 1. Bevezetés A dokumentum célja Alapfogalmak A dokumentum hatóköre Figyelembe vett mértékadó dokumentumok Alkalmazási terület, olvasóközönség A dokumentum felépítése A osztályozása A egységes szerkezete és közös adattartalma A különböző különös adattartalma Hivatkozások Rövidítések

3 1. Bevezetés Ez a dokumentum az elektronikus közigazgatásban alkalmazható nyilvános kulcsokhoz tartozó szerkezetére és adattartalmára nézve fogalmaz meg ajánlásokat. Az ajánlás a mértékadó nemzetközi dokumentumok elemzése, a közigazgatás igényeinek és a hazai kereskedelmi hitelesítésszolgáltatók gyakorlatának felmérése, majd ennek nyomán az alternatív lehetőségek körében meghozott - szakmai konszenzuson alapuló döntések eredményeként jött létre. 1.1 A dokumentum célja Ezt a dokumentumot az nformatikai és Hírközlési Minisztérium az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságának, együttműködési képességének és egységes használatának támogatása érdekében teszi közzé Az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról szóló 195/2005. (X. 22.) Korm. rendelet 3. (1) bekezdésében foglaltak alapján. A dokumentum elsődleges célja a közigazgatás informatikai rendszereiben biztonságos azonosításnál, elektronikus aláírásnál, valamint titkosításnál alkalmazható végfelhasználói ajánlott szerkezetének és adattartalmának a meghatározása. Miután biztonságos azonosításra, elektronikus aláírásra és titkosításra nemcsak a közigazgatás informatikai rendszereiben, s az ezekkel közvetlen kapcsolatba kerülő ügyfeleknél van szükség, s mivel az együttműködési képesség is általános elvárás, ezért a jelen dokumentumban meghatározott szerkezetek és adattartalmak a közszféra más területein, valamint a magánszférában használt azonosító, aláíró és titkosító alkalmazások számára is ajánlásként szolgálhat. 1.2 Alapfogalmak A szerkezetére és adattartalmára vonatkozó elvárások egyértelmű értelmezéséhez szükséges fogalmakat ismertnek tételezzük fel, tekintettel a dokumentum megcélzott olvasóközönségére (lásd 1.5 pont). 1.3 A dokumentum hatóköre Jelen dokumentum az alábbiak számára kibocsátott ra nézve határozza meg a szerkezetet és az elvárt adattartalmat: a közigazgatást képviselő személyek (ügyintézők), a közigazgatást képviselő automatizmusok (szerverek), a közigazgatással kapcsolatba kerülő ügyfelek, a közigazgatással kapcsolatba kerülő ügyfelek által működtetett automatizmusok (szerverek). A jelen dokumentum hatókörébe tartozó at (és az ezekhez tartozó nyilvános és magánkulcsokat) az alábbi felhasználási célok egyikére bocsátották ki: biztonságos felhasználói azonosítás, hitelesítés, elektronikus aláírás és az aláírás ellenőrzése, titkosítás, illetve dekódolás. 3

4 Amennyiben egy tanúsítványról azt állítják, hogy az megfelel jelen ajánlásnak, akkor az adott tanúsítvány szerkezetének és adattartalmának meg kell felelnie a dokumentumban megfogalmazott valamennyi kötelező elvárásnak, az opcionális megoldásokat viszont nem feltétlenül kell támogatnia. 1.4 Figyelembe vett mértékadó dokumentumok Ez az ajánlás az alábbi nemzetközi mértékadó dokumentumokon alapul: RFC 3280 Certificate and Certificate Revocation List (CRL) Profile [1], RFC 3739 nternet X.509 Public Key nfrastructure Qualified Certificates Profile [2], ETS TS Qualified Certificate Profile [3], Mivel a fenti dokumentumok széleskörűen elfogadottak, ezért az ajánlásnak megfelelő at a szabványos megoldásokat támogató alkalmazások képesek értelmezni és feldolgozni. 1.5 Alkalmazási terület, olvasóközönség Ez az ajánlás elsősorban a közigazgatási szektor számára készült, de alkalmazhatják a közszféra más területein, valamint a magánszférában is. Az első fejezet minden (elektronikus aláírás iránt) érdeklődő olvasónak szól, köztük a nyilvános kulcsú kriptográfiát (azonosításra, elektronikus aláírásra vagy titkosításra) felhasználóknak és a különböző elektronikus szolgáltatások rendszerfejlesztőinek is. A dokumentum további részei (a szerkezetére és adattartalmára vonatkozó részletes műszaki specifikáció, illetve a magyarázó és szemléltető részek) elsősorban az alábbi szereplők műszaki szakemberei számára készültek: at kibocsátó hitelesítésszolgáltatók, nyilvános kulcsú kriptográfiát (azonosítást, elektronikus aláírást vagy titkosítást) megvalósító alkalmazásokat fejlesztők, nyilvános kulcsú kriptográfiát megvalósító alkalmazásokat értékelők és tanúsítók. 1.6 A dokumentum felépítése A dokumentum további része az alábbi szerkezetet követi: A 2. fejezet a közigazgatásban megkülönböztetett 14 végfelhasználói tanúsítvány osztályozását és sorszámozását határozza meg. A 3. fejezet a jelen ajánlás által érintett valamennyi tanúsítvány egységes szerkezetét és közös adattartalmát adja meg. A 4. fejezet az ajánlás által érintett különböző ra vonatkozó eltérő adattartalom elvárásokat fogalmazza meg. Az 5. és 6. fejezetek a hivatkozásokat és a rövidítések jelentését adják meg. 4

5 2. A osztályozása Ez az ajánlás 14 különböző tanúsítvány szerkezetre tesz javaslatot a magyar közigazgatás elektronikus kommunikációjához. A megkülönböztetés az alábbi szempontok szerint történt: kinek kerül kiadásra az adott tanúsítvány: a közigazgatást képviselő személy (ügyintéző), a közigazgatást képviselő szerver, a közigazgatás ügyfele, milyen felhasználási célra engedélyezett az adott tanúsítvány: letagadhatatlanságot biztosító elektronikus aláírás létrehozására, felhasználói hitelesítésre, titkosításra. elektronikus aláírás célú esetén milyen biztonsági szintű felhasználásra készült az adott tanúsítvány: minősített elektronikus aláíráshoz is használható, csak fokozott biztonságú (de nem minősített) elektronikus aláíráshoz használható. Az alábbi táblázat megadja a 14 különböző tanúsítványra alkalmazott megkülönböztető sorszámot 1 : Közigazgatást képviselő automatizmusok (szerverek) Közigazgatást képviselő Ügyintézők a közigazgatás ügyfelei a közigazgatással kapcsolatba kerülő ügyfelek által működtetett automatizmusok (szerverek) Felhasználói Letagadhatatlanság (aláírás) Titkosítás azonosítás és hitelesítés minősített elektronikus aláírás fokozott biztonságú elektronikus aláírás táblázat: a megkülönböztető sorszáma 1 A táblázatból hiányzik a 2-es és a 14-es sorszám, mivel csak természetes személynek lehet minősített tanúsítványa. 2 Értve ez alatt a web-es SSL (V1.0) szervert 3 Értve ez alatt a web-es VP (V1.0) szervert 5

6 3. A egységes szerkezete és közös adattartalma Valamennyi tanúsítvány az [1]-ben meghatározott alábbi szerkezetet követi: Mező/Attribútum Kötelezőség Jelen ajánlás szerint Jelen ajánlás szerint elvárt adattartalom M//F 4 kitöltendő? // 5 TBSCertificate M részletezve a 3. táblázatban signaturealgorithm algorithm parameters M sha1rsa 7 6 signaturevalue M az aláírás értéke 8 2. táblázat: a általános szerkezete és elvárt közös adattartalma Mező/Attribútum Kötelezőség M//F Jelen ajánlás szerint kitöltendő? // Jelen ajánlás szerint elvárt adattartalom TBSCertificate Version M V3 serialumber M HSz által generált adat signature M sha1rsa 9 ssuer country organization organization-unit distinguised name qualifier state or province name common name serial number Validity notbefore notafter M M HU a kibocsátó HSz szervezet neve a kibocsátó HSz részlegének neve a kibocsátó HSz neve a kiadás dátuma és időpontja a kiadás dátuma és időpontja + a tanúsítvány érvényességi időtartama 10 Subject M részletezve a 8. táblázatban subjectpublickeynfo algorithm subjectpublickey M RSA (legalább 1024 bites kulccsal) 11 A végfelhasználó nyilvános kulcsa issueruniqued F subjectuniqued F extensions részletezve a 4. táblázatban 3. táblázat: a TBSCertificate részletes szerkezete és elvárt adattartalma 4 M: Mandatory, azaz kötelező, : ptional, azaz opcionális, F: Forbidden, azaz tiltott. 5 : gen, : em, : pcionális 6 Mivel az egyetlen támogatott aláíró algoritmusnak (RSA) nincsenek paraméterei 7 Melynek D-je: Legalább 256 bájt 9 Melynek D-je: Mindkét időpont: UTCTime 11 Melynek D-je:

7 Mező/Attribútum M//F // Jelen ajánlás szerint elvárt adattartalom extensions Standard Extensions részletezve az 5. táblázatban nternet Certificate Extensions részletezve a 6. táblázatban Qualified Certificates Profile Extensions 12 részletezve a 7. táblázatban 4. táblázat: a kiterjesztések (extensions) általános szerkezete Mező/Attribútum M//F kitöltendő // Standard extensions AuthorityKeyldentifier keydentifier authoritycertssuer authoritycertserialumber kritikusság C/ 13 Jelen ajánlás szerint elvárt adattartalom a HSz által generált adat 14 SubjectKeyldentifier keydentifier M a HSz által generált adat KeyUsage M C részletezve a 9. táblázatban PrivateKeyUsagePeriod F Certificate Policies M részletezve a 10. táblázatban PolicyMappings SubjectAltame otherame rfc822ame dsame x400address directoryame edipartyame uniformresourcedentifier ipaddress registeredd felhasznalonev@domain.hu ssueraltame - SubjectDirectoryAttributes BasicConstraints ca M C False 15 ameconstraints F 16 PolicyConstraints ExtKeyUsage részletezve a 11. táblázatban CRLDistributionPoints distributionpoint URL= 17 inhibitanypolicy FreshestCRL 5. táblázat: a Standard extensions részletes szerkezete és elvárt közös adattartalma 12 Melyet a többi elemtől eltérően nem [1], hanem [2] vezetett be, majd [3] tovább pontosított. 13 C: Critical, azaz kritikus, : on-critical, azaz nem kritikus 14 Meg kell egyeznie a tanúsítványt kibocsátó HSz megfelelő szolgáltatói tanúsítványának AuthorityKeyldentifier kiterjesztésébe helyezett keydentifier értékével. 15 Mivel végfelhasználói és nem szolgáltatói ról van szó. 16 Csak szolgáltatói ban lehet használni ezt a kiterjesztést. 17 A CRL elérési helye. 7

8 Mező/Attribútum M//F kitöltendő // kritikusság C/ nternet Certificate Extensions [1] Authority nformation Access accessmethod accesslocation [2] Authority nformation Access 20 accessmethod accesslocation Subject nformation Access Jelen ajánlás szerint elvárt adattartalom URL= URL= 22 a HSz által generált adat táblázat: az nternet Certificate Extensions részletes szerkezete és elvárt közös adattartalma 18 Ami a tanúsítványkiadói tanúsítvány hozzáférésének D-je 19 Az CSP szolgáltatás elérési helye 20 Abban az esetben kell kitölteni, ha a HSz az adott tanúsítvánnyal kapcsolatosan CSP szolgáltatást is nyújt. 21 Ami az CSP hozzáférésének D-je 22 Az CSP szolgáltatás elérési helye 23 Meg kell egyeznie a tanúsítványt kibocsátó HSz megfelelő szolgálati tanúsítványának AuthorityKeyldentifier kiterjesztésébe helyezett keydentifier értékével. 8

9 4. A különböző különös adattartalma QCStatements qcstatement-1 qcstatement-2 qcstatement-3 qcstatement-4 minősített elektronikus aláíráshoz tartozó D (6,10) kitöltendő // kritikusság C/ nem minősített elektronikus aláíráshoz tartozó (1,3,4,5,7,8,9,11,12, 13, 15, 16) 7. táblázat: a minősített aláíráshoz tartozó Qualified Certificates Profile Extensions kiterjesztésének elvárt adattartalma 24 Mely a [2] által bevezetett D a qcstatements kiterjesztésre 25 Mely a [3] által bevezetett D a QcCompliance nyilatkozatra, az alábbi jelentéssel: yilatkozat ezen tanúsítvány kibocsátója részéről, hogy a jelen tanúsítvány a Magyar Köztársaság elektronikus aláírásról szóló évi XXXV. törvényében foglaltaknak (amely követelmények alapját az Európai Parlament és a Tanács által december 13-án elfogadott 1999/93/EC direktíva függelékeiben (Annex és Annex ) leírtak adják) megfelelő minősített tanúsítvány. 26 A[3] által bevezetett QcLimitValue nyilatkozat, mely az elektronikus aláírással lebonyolított pénzügyi műveletek felső korlátjának értékét határozza meg.. 27 Mely a [3] által bevezetett D a QcRetentionPeriod nyilatkozatra, az alábbi jelentéssel: yilatkozat ezen tanúsítvány kibocsátója részéről, hogy a jelen tanúsítvány tulajdonosáról (a tanúsítvány igénylésekor) felvett adatokat a tanúsítvány érvényességének lejárta után 10 évig megőrzik. 28 Mely a [3] által bevezetett D a QcSSCD nyilatkozatra, az alábbi jelentéssel: yilatkozat ezen tanúsítvány kibocsátója részéről, hogy a jelen tanúsítványban szereplő nyilvános kulcshoz tartozó magánkulcs a Magyar Köztársaság elektronikus aláírásról szóló évi XXXV. törvényében foglaltaknak (amely követelmények alapját az Európai Parlament és a Tanács által december 13-án elfogadott 1999/93/EC direktíva függelékében (Annex ) leírtak adják) megfelelő biztonságos aláírás-létrehozó eszközön (BALE) van tárolva. 29 pcionálisan kitölthető 0 értékkel is 30 Ezt a kiterjesztést csak abban az esetben kell kitölteni, ha a minősített tanúsítványt BALE-n adják ki. 9

10 Subject country organization organization-unit distinguised name qualifier state or province name common name serial number locality title surname given name initials pseudonym generation qualifier A közigazgatást képviselő szerverhez tartozó (1,3,4) HU a közigazgatási szerv a szerver neve 31 Közigazgatást képviselő ügyintézőhöz tartozó (5,6,7,8) HU a közigazgatási szerv osztály/részleg név 32 sorszám 33 opcionális opcionális 34 vezetéknév 35 A közigazgatás ügyfeléhez tartozó (9,10,11,12) HU - / szervezet - / osztály/részleg 36 név 37 sorszám 38 opcionális opcionális vezetéknév táblázat: a különböző Subject elemének elvárt adattartalma A közigazgatás ügyfelei által működtetett szerverhez tartozó (13, 15, 16) HU szervezet a szerver neve A szerver DS szerinti, vagy egyéb módon hitelesített elnevezése, szóköz elválasztójel(eke)t és az UTF-8 kódolást [4] használva. 32 Az ügyintéző neve, mely betű szerint azonos a regisztráció alapjául szolgáló igazolványban foglalt névvel, szóköz elválasztójel(eke)t és az UTF8 kódolást használva. 33 A betű szerint azonos common name mezőtartalommal rendelkező köztisztviselők megkülönböztetését szolgáló egyedi sorszám, melyet a hitelesítésszolgáltató generál. 34 pcionális és kizárólag tájékoztató információ az ügyintéző esetleges beosztásáról (pl. bíró, köztisztviselő, főhadnagy) 35 A common name mező azon része, mely az ügyintéző vezetéknevének tekintendő. A given name /amennyiben pl. adatbázisoknál erre szükség van) már származtatható: a common name azon része, mely a surname mező tartalmát egészíti ki. 36 A szervezet és szervezeti egység mezőt általában nem kell kitölteni. Abban az esetben, ha az ügyfél tanúsítványával kifejezetten jelezni kívánja, hogy ő egy adott szervezethez tartozik, akkor e mezőket ki lehet tölteni. A fenti mezők tartalmát a közigazgatáson belüli alkalmazások figyelmen kívül hagyják, ezeknek csak a közigazgatáson kívül tulajdonítható meghatározott jelentés. 37 Az ügyfél neve, mely betű szerint azonos a regisztráció alapjául szolgáló igazolványban foglalt névvel, szóköz elválasztójel(eke)t és az UTF8 kódolást használva. 38 A betű szerint azonos common name mezőtartalommal rendelkező ügyfelek megkülönböztetését szolgáló egyedi sorszám, melyet a hitelesítésszolgáltató generál. 39 A common name mező azon része, mely az ügyfél vezetéknevének tekintendő. A given name /amennyiben pl. adatbázisoknál erre szükség van) már származtatható: a common name azon része, mely a surname mező tartalmát egészíti ki. 40 A szerver DS szerinti, vagy egyéb módon hitelesített elnevezése, szóköz elválasztójel(eke)t és az UTF-8 kódolást [4] használva. 10

11 KeyUsage digitalsignature nonrepudiation keyencipherment dataencipherment keyagreement keycertsign crlsign enciphernly deciphernly Felhasználói hitelesítés célú SSL Személyek szerver (1, 13) (5,9) Letagadhatatlanság (aláírás) célú minősített elektronikus aláíráshoz tartozó (6,10) Fokozott biztonságú elektronikus aláíráshoz tartozó (3,7,11, 15) opc. Titkosítás célú VP szerver Személyek (4, 16) 9. táblázat: a különböző KeyUsage kiterjesztésének elvárt adattartalma (8,12) 11

12 A közigazgatást képviselő szerver tanúsítványai Közigazgatást képviselő ügyintézőhöz tartozó (5,6,7,8) Az ügyfél tanúsítványai A közigazgatás ügyfelei által működtetett szerver tanúsítványai (13, 15, 16) (1,3,4) (9,10,11,12) Certificate Policies [1] Certificate Policy CertPolicyD 41 CertPolicyD CertPolicyD CertPolicyD [1,1]Policy Qualifier nfo: policyqualifierd qualifier [1,2]Policy Qualifier nfo: policyqualifierd qualifier CPS 42 URL= ain.hu/ca_cps 43 User otice 46 A tanúsítvány tulajdonosa: a közigazgatás szervere. CPS URL= ain.hu/ca.cps User otice A tanúsítvány tulajdonosa: a közigazgatásban eljáró személy. CPS URL= ain.hu/ca.cps User otice A tanúsítvány tulajdonosa: a közigazgatás ügyfele. CPS 44 URL= ain.hu/ca_cps 45 User otice 47 A tanúsítvány tulajdonosa: a közigazgatás ügyfelének szervere. A User otice alábbi folytatása csak a 3. (aláírás célú) tanúsítványban szerepel: A User otice alábbi folytatása csak a 6. és 7. (aláírás célú) tanúsítványban szerepel: A User otice alábbi folytatása csak a 10. és 11. (aláírás célú) tanúsítványban szerepel: A User otice alábbi folytatása csak a 15. (aláírás célú) tanúsítványban szerepel: A közigazgatási gyökérhitelesítésszolgáltató (KGYHSZ) elhárít minden - ideértve a kárért való - felelősséget, amely az általa kiadott tanúsítvány használatából, visszavonásából, a kiadási szabályzat megsértéséből, a KGYHSZ magatartásából, intézkedéséből, vagy annak hiányából ered. A közigazgatási gyökérhitelesítésszolgáltató (KGYHSZ) elhárít minden - ideértve a kárért való - felelősséget, amely az általa kiadott tanúsítvány használatából, visszavonásából, a kiadási szabályzat megsértéséből, a KGYHSZ magatartásából, intézkedéséből, vagy annak hiányából ered. A közigazgatási gyökérhitelesítésszolgáltató (KGYHSZ) elhárít minden - ideértve a kárért való - felelősséget, amely az általa kiadott tanúsítvány használatából, visszavonásából, a kiadási szabályzat megsértéséből, a KGYHSZ magatartásából, intézkedéséből, vagy annak hiányából ered. A közigazgatási gyökérhitelesítésszolgáltató (KGYHSZ) elhárít minden - ideértve a kárért való - felelősséget, amely az általa kiadott tanúsítvány használatából, visszavonásából, a kiadási szabályzat megsértéséből, a KGYHSZ magatartásából, intézkedéséből, vagy annak hiányából ered. 10. táblázat: a különböző Certificate Policies kiterjesztésének elvárt adattartalma 41 A HSz által alkalmazott hitelesítési rend D-je. 42 A CPS D-je: A CPS (szolgáltatási szabályzat) elérési helye. 44 A CPS D-je: A CPS (szolgáltatási szabályzat) elérési helye. 46 A User otice D-je: A User otice D-je:

13 ExtKeyUsage keypurposed keypurposed Felhasználói hitelesítés célú SSL szerver (1, 13) Személyek (5,9) Letagadhatatlanság (aláírás) célú minősített elektronikus aláíráshoz tartozó (6,10) Fokozott biztonságú elektronikus aláíráshoz tartozó (3,7,11, 15) Titkosítás célú VP szerver Személyek (4, 16) (8,12) serverauth 48 TLS 50 Secure 52 Psec_end 53 Secure 55 clientauth 49 SCLogon 51 P KE táblázat: a különböző ExtKeyUsage kiterjesztésének elvárt adattartalma 48 A serverauth D-je: A clientauth D-je: A TLS Client Authentication D-je: A Smart Card Logon D-je: A Secure D-je: Az PSec end system D-je: Az P security KE intermediate D-je: A Secure D-je:

14 5. Hivatkozások [1] RFC 3280 Certificate and Certificate Revocation List (CRL) Profile [2] RFC 3739 nternet X.509 Public Key nfrastructure Qualified Certificates Profile [3] ETS TS Qualified Certificate Profile v1.3.1 [4] RFC 3629 UTF-8, a transformation format of S Rövidítések BALE HSz CRL CSP Biztonságos aláírás-létrehozó eszköz Hitelesítésszolgáltató Cetification Revocation List nline Certificate Status Protocol UTF-8 Uniform Transformation format -8 14