KRA Elektronikus aláírási szabályzat

Átírás

1 KRA Elektronikus aláírási szabályzat 1.02 változat szeptember 24.

2 Készítette: Nemzeti Média- és Hírközlési Hatóság Azonosítógazdálkodási Osztály és IQSYS Zrt. Nemzeti Média- és Hírközlési Hatóság /16

3 Tartalom 1 Általános rendelkezések A szabályozás célja A szabályozás hatálya Kötelező felülvizsgálat időpontja Kapcsolódó szabályozások Szerepkörök Az aláírás létrehozója (aláíró) Az aláírás elfogadója (aláírást ellenőrző) A hitelesítés szolgáltatók Kriptográfiai eszközkibocsátók Elektronikus aláírás termékek szállítói Kapcsolattartó Szakértői támogatás KRA operátor Szolgáltatói felhasználó Jogosult felhasználó Elektronikus aláíráshoz kapcsolódó követelmények Alkalmazható algoritmusok Alkalmazható tanúsítványok Tanúsítvány típusok Aláíró tanúsítványok azonosítása A tanúsítványok érvényessége Aláírás-létrehozó termékek és alkalmazás szolgáltatók igénybe vétele Az elektronikus aláírással kapcsolatos követelmények A számhordozásban résztvevő szolgáltatói felhasználók aláírásai A KRA aláírása Aláírás-ellenőrző termékek Aláírás létrehozási és ellenőrzési eljárásai Az aláírt üzenet érkeztetési folyamata KRA aláírási folyamata Vitás kérdések rendezése Változtatások összefoglalása Nemzeti Média- és Hírközlési Hatóság /16

4 1 ÁLTALÁNOS RENDELKEZÉSEK 1.1 A szabályozás célja Az elektronikus aláírási szabályzat célja olyan értelmezési, kezelési és jogi ismereteket nyújtani az elektronikus aláíráshoz kötött számhordozási eljárásokban, amely biztosítja az együttműködés helyességét az aláíró és az aláírás-ellenőrző felek között, beleértve a harmadik felekkel (3rd party szolgáltatókkal) kapcsolatos szabályokat is. Megjelenési formája ezen elektronikus aláírással hitelesített dokumentum A szabályozás hatálya Jelen dokumentum a Nemzeti Média- és Hírközlési Hatóság (továbbiakban: NMHH) által üzemeltetett Központi Referencia Adatbázis (továbbiakban: KRA) rendszer elektronikus aláírásainak használatát szabályozza Személyi hatálya A szabályzat hatálya kiterjed minden szolgáltatói, operátori és jogszabály alapján jogosult KRA felhasználóra, továbbiakban felhasználóra Tárgyi hatálya A szabályzat tárgyi hatálya kiterjed: elektronikus aláírással ellátott minden hordozás tranzakció bejelentésére, fogadására és feldolgozására; minden elektronikus aláírással ellátott válasz, vagy nyugta elkészítésére, küldésére és feldolgozására; KRA által előállított elektronikus aláírással ellátott irányítási listákat tartalmazó állományokra Időbeli hatálya A szabályozás február 1-én lép hatályba és a visszavonásig érvényes Kötelező felülvizsgálat időpontja A szabályzatban leírt követelmények alapját a hatályos jogszabályi környezet és a KRA rendszer szolgáltatói egyeztetések nyomán kialakult műszaki specifikációja képezi. A jogszabályi környezet, az alkalmazható technológia fejlődése illetve a KRA műszaki specifikáció elektronikus aláírással kapcsolatos változása ezen dokumentum értelemszerű változtatását vonja maga után. A dokumentum felülvizsgálatát évente el kell végezni. Újabb változat kiadásakor a régi automatikusan érvényét veszti. Újabb változat érvénybe lépése esetén az új változatot elektronikus formában NMHH a szolgáltatók kapcsolattartóinak az érvénybe lépés időpontja előtt 30 nappal eljuttatja. Nemzeti Média- és Hírközlési Hatóság /16

5 1.2 Kapcsolódó szabályozások A szabályozás az alábbi mértékadó normatívákon és dokumentumokon alapul: Azonosító Megnevezés 3/2005 (III.18) IHM rendelet Rendelet az elektronikus aláírással kapcsolatos szolgáltatások és ezek szolgáltatóira vonatkozó részletes követelményekről évi XXXV. törvény Törvény az elektronikus aláírásról 45/2005 (III.11.) Korm. rendelet a Nemzeti Hírközlési Hatóságnak az elektronikus aláírással kapcsolatos feladat- és hatásköréről, valamint eljárásának részletes szabályairól 2/2012. (I.24.) NMHH rendelet Rendelet a számhordozás részletes szabályairól ETSI TS Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1-2 Nemzeti Média- és Hírközlési Hatóság /16

6 2 SZEREPKÖRÖK Az elektronikus aláírás használatához az alábbi szerepköröket kell megkülönböztetni: az aláírás létrehozója, az aláírás elfogadója, hitelesítés szolgáltatók, kriptográfiai eszközkibocsátók, elektronikus aláírás termékek szállítói, kapcsolattartó, szakértői támogatás, KRA felhasználó o KRA operátor, o Szolgáltatói felhasználó, o Jogosult felhasználó. 2.1 Az aláírás létrehozója (aláíró) Az aláíró az a természetes személy, aki az aláírás-létrehozó adatot és az aláírás-létrehozó eszközt birtokolja, valamint a saját vagy más személy (természetes, illetve jogi személy vagy jogi személyiség nélküli szervezet) nevében, vagy egy felügyelt automatizmusra (aláíró szerverre) vonatkozó szabályozás alapján aláírásra jogosult. A KRA az egyes szolgáltatásainak igénybe vétele céljából regisztrálja és nyilvántartásba veszi a jogosult aláírókat. A regisztráció során a kapcsolattartó megadja az aláíró KRA rendszer használatához szükséges azonosító adatait. 2.2 Az aláírás elfogadója (aláírást ellenőrző) Az aláírást ellenőrző fél az a személy, vagy felügyelt aláíró automatizmus, aki/amely az elektronikusan aláírt elektronikus üzenetek aláíráskori, illetve ellenőrzéskori tartalmát összeveti, továbbá az aláíró személyét azonosítja az üzenet, illetve a hitelesítés-szolgáltató által közzétett aláírás-ellenőrző adat, tanúsítvány visszavonási információk, valamint a tanúsítvány felhasználásával. 2.3 A hitelesítés szolgáltatók A hitelesítés szolgáltató az elektronikus aláírással kapcsolatos szolgáltatást nyújtó természetes személy, jogi személy vagy jogi személyiség nélküli szervezet. Az NMHH az egyes szolgáltatásainak igénybe vétele céljából nyilvántartásba veszi az általa elfogadható hitelesítés szolgáltatókat. A NMHH fenntartja magának a jogot, hogy megvizsgálja az egyes szolgáltatók által követett, az adott aláíró tanúsítványban megadott hitelesítési rendet, esetenként a hitelesítés szolgáltatási szabályzatot is. Az elfogadott hitelesítési rendek az NMHH által nyilvántartásba vett és hatályos, a közigazgatásban alkalmazható tanúsítvány hitelesítési rendek. A KRA automatikusan nyilvántartásba veszi az NMHH által kibocsájtott bizalmi listán szerepelő hitelesítés szolgáltatókat. A bizalmi lista az egyes hitelesítés szolgáltatók, időbélyegzés-szolgáltatók és archiválásszolgáltatók szolgáltatásait, Nemzeti Média- és Hírközlési Hatóság /16

7 szolgáltatói tanúsítványait, és a rájuk vonatkozó visszavonási információk helyét, valamint a szolgáltatók elérhetőségét írja le. A magyar listát a NMHH teszi közzé az alábbi elérhetőségeken: http :// http :// A KRA-ban olyan aláírási termékeket is használhatnak, amelyek alkalmasak a magyar közigazgatás által elfogadható elektronikus aláírás kezelésére. 2.4 Kriptográfiai eszközkibocsátók Az aláírónak, vagy a felügyelt automatizmusnak, megfelelő gondosságot kell tanúsítania annak érdekében, hogy megelőzze aláírás-létrehozó adatának (kriptográfiai magánkulcsának) illetéktelen felhasználását. A NMHH a KRA-val kapcsolatban használt kriptográfiai eszközök használatára egyéb kikötést nem tesz. Jelen dokumentum 1. számú mellékletében felsorolásra kerül az összes KRA-val kompatibilis kliens oldali kriptográfiai eszköz. 2.5 Elektronikus aláírás termékek szállítói Jelen szabályzat útmutatóul szolgál az elektronikus aláírás termékek fejlesztőinek, illetve az ilyen termékek szállítóinak és rendszerintegrátorainak is. 2.6 Kapcsolattartó Szolgáltató által kijelölt természetes személy, aki eljárhat a szolgáltató részéről a KRA szolgáltatásokkal kapcsolatos ügyintézés és képviselet során. 2.7 Szakértői támogatás A NMHH az elektronikus aláírás során felmerülő vitás technikai megoldások kezelésére szakértőn keresztül támogatást nyújt. Ezen szakértőket a KRA ügyfélszolgálatán keresztül lehet elérni. 2.8 KRA operátor A KRA rendszerben minden jogosultsággal rendelkező NMHH ügyfélszolgálati munkatársat reprezentáló felhasználó. Szerepkörei: szolgáltató adminisztráció, felhasználó (szolgáltatói, jogosult) adminisztráció, monitorozás és paraméterek adminisztrálása. 2.9 Szolgáltatói felhasználó Minden szolgáltató a saját illetve a mindenki számára elérhető adataihoz férhet hozzá. Minden szolgáltatói felhasználó ugyanazokat és csak az adott szolgáltatói folyamatokat manipulálhatja a rendszerben. Nemzeti Média- és Hírközlési Hatóság /16

8 2.10 Jogosult felhasználó A jogosult szervezetek felhasználóinak jogosultságai mindenben megegyeznek, ezen felhasználók adatmódosítást a rendszerben nem kezdeményezhetnek, viszont minden jogosult adatot láthatnak ill. letölthetnek, és ezekre a lekérdezési műveleteket végrehajthatják. Nemzeti Média- és Hírközlési Hatóság /16

9 3 ELEKTRONIKUS ALÁÍRÁSHOZ KAPCSOLÓDÓ KÖVETELMÉNYEK 3.1 Alkalmazható algoritmusok Az KRA a jelen szabályzatban, a jogszabályi környezet által meghatározott, a biztonságos kriptográfiai algoritmusokra és ezek meghatározott paraméterekkel történő alkalmazására vonatkozó követelmények alapján, továbbá az ETSI TS figyelembe vételével, az alábbiak szerint korlátozza az elektronikus aláírás alkalmazását. Kizárólag a következő aláíró algoritmus alkalmazható: Érvényesség kezdete Érvényesség vége Algoritmus ? RSA-SHA ? RSA-SHA Alkalmazható tanúsítványok Tanúsítvány típusok A KRA az alábbi tanúsítvány-típusokat fogadja el: fokozott biztonságú (nem minősített) hitelesítés szolgáltatótól származó tanúsítvány o közigazgatásban nem alkalmazható tanúsítványok o közigazgatásban alkalmazható tanúsítványok minősített hitelesítés szolgáltatótól származó tanúsítvány o közigazgatásban nem alkalmazható tanúsítványok o közigazgatásban alkalmazható tanúsítványok amennyiben a szolgáltatók megfelelnek a hitelesítés szolgáltatók pontban meghatározott követelményeknek Aláíró tanúsítványok azonosítása A számhordozásban résztvevő szolgáltatók és megbízottjaik aláírási jogosultságát az KRA a tanúsítványaik azonosítóinak felhasználásával tartja nyilván, és ennek alapján kezeli. A felhasznált azonosítók a következők: a szolgáltató azonosítói és az aláíró tanúsítványok Base64 kódolású X.509 formátumú állományai A tanúsítványok érvényessége A KRA az alábbi esetekben tekinti a tanúsítványokat érvénytelennek: kompromittált, amikor a tanúsítványhoz kapcsolódó érvényességi lánc bármely eleméhez adat bizalmassága sérült, Nemzeti Média- és Hírközlési Hatóság /16

10 az alkalmazott aláírási algoritmusok nem megfelelőek, vagy nem biztonságosak (az aláírásellenőrző adatból származtatható az aláírás-létrehozó adat, vagy egy előre meghatározott lenyomathoz utólag elkészíthető egy e-üzenet) a tanúsítványban feltüntetett adatok nem a valóságnak megfelelően szerepelnek, a tanúsítvány lejárt ( notafter szerinti érvényességi idő elmúlt) vagy ha a tanúsítvány még nem érvényes ( notbefore szerinti érvényességi idő meg nem kezdődött el) a tanúsítvány a hitelesítés szolgáltató visszavonási listáján szerepel A NMHH fenntartja magának a jogot, hogy törölje és ezzel az adatkezelésből kizárja azokat a tanúsítványokat, amelyekhez az informatikai rendszerének védelme érdekében jogos érdeke fűződik. 3.3 Aláírás-létrehozó termékek és alkalmazás szolgáltatók igénybe vétele Az aláírók az aláírás-létrehozó termékek (aláírás termékek) és az alkalmazás szolgáltatók vonatkozásában az elektronikus aláírás törvény alapján viselnek felelősséget. A KRA rendszereiben az aláíró automatizmusoknál, valamint a védett kommunikációs csatornák esetében a kriptográfiai kulcsok védelme megoldott, az alkalmazott eszközök és eljárások nem publikusak. Az NMHH ügyfélszolgálatát ellátó, KRA operátorok megfelelően biztonságos aláíráslétrehozó eszközt (BALE chipkártyát) használnak. 3.4 Az elektronikus aláírással kapcsolatos követelmények A KRA csak olyan elektronikus aláírást fogad, amely megfelel az alábbi követelményeknek A számhordozásban résztvevő szolgáltatói felhasználók aláírásai Kezelt aláírási formátumok: Xml aláírás típus W3C megnevezés Kezelt XML elektronikus aláírás elembe ágyazott XML elem, amely az aláírt adatokat XML-ként tartalmazza ( A Reference transform elemének kötelező tartalma: enveloping signature igen Aláírt XML-be ágyazott elektronikus aláírás elem enveloped signature nem Az XML tartalomtól elválasztott XML elektronikus aláírás detached signature nem Többszörös aláírással nem láthatják el a szolgáltatók a küldött üzenetet. Nemzeti Média- és Hírközlési Hatóság /16

11 A tanúsítványban szereplő nevek A hitelesítés szolgáltatók által kiállított tanúsítványokra a következő névkonvenció érvényes: érvénytelen minden tanúsítvány, amelyben a tanúsítvány alanya (CN) hiányzik nevek értelmezése: Aláírók Az egyedi név alkotói Korlátozás tanúsítványkiadó CN=nincs megkötés Lásd aláíró személy CN=nincs megkötés Nincs Kulcshasználat szabályai A kulcshasználat beállítás (keyusage) a nonrepudiation kijelölését mutatja (NR-bit: true) A KRA aláírása Kezelt aláírási formátumok: Xml aláírás típus W3C megnevezés Támogatott XML elektronikus aláírás elembe ágyazott XML elem, amely az aláírt adatokat XML-ként tartalmazza ( A Reference transform elemének kötelező tartalma: enveloping signature igen Aláírt XML-be ágyazott elektronikus aláírás elem enveloped signature nem Az XML tartalomtól elválasztott XML elektronikus aláírás detached signature nem KRA a szolgáltatók felé az üzenetet többszörös aláírással nem látja el. Az ékezetes magánhangzók használatánál a KRA a magyar helyesírás szabályait alkalmazza, ennek megfelelően, a nevekben szereplő ékezetes betűket eredeti írásmódjuk szerint feltüntetve, az UTF-8 kódolásban kezeli A tanúsítványban szereplő nevek A hitelesítés-szolgáltató által kiállított tanúsítványokra a következő névkonvenció érvényes: érvénytelen minden tanúsítvány, amelyben a tanúsítvány alanya (CN) hiányzik nevek értelmezése: Nemzeti Média- és Hírközlési Hatóság /16

12 Aláírók Az egyedi név alkotói Korlátozás tanúsítványkiadó CN=nincs megkötés Lásd aláíró személy CN=nincs megkötés Nincs Kulcshasználat szabályai A kulcshasználat beállítás (keyusage) a nonrepudiation kijelölését mutatja (NR-bit: true). 3.5 Aláírás-ellenőrző termékek Az aláírást ellenőrző felek (érintettek) az aláírás-ellenőrző termékek (aláírás termékek) és az alkalmazás szolgáltatók vonatkozásában az elektronikus aláírás törvény alapján viselnek felelősséget. Nemzeti Média- és Hírközlési Hatóság /16

13 4 ALÁÍRÁS LÉTREHOZÁSI ÉS ELLENŐRZÉSI ELJÁRÁSAI A jogosult aláírókat és aláírás ellenőrzőket a KRA nyilvántartja, és az aláírás ellenőrzésnél a letárolt szolgáltatói aláíró tanúsítványt kezeli jogosultság ellenőrzés céljából. Az operátori szerepkörrel rendelkező felhasználóknak nem kell elektronikus aláírással ellátni a beküldött XML üzeneteket. A szolgáltatók adatszolgáltatása XML formátumban, a jelen szabályzatban meghatározott XML aláírással történik. Az üzenetek kommunikációja a KRA és a szolgáltatók rendszere között védett kommunikációs csatornán (http over ssl) keresztül valósul meg. A KRA ügyfélszolgálat az szolgáltatói kapcsolattartók számára biztosítja az üzenetkezelő szerverhez történő hozzáférést (megadja a kapcsolat autentikációs tanúsítványát, a szükséges paramétereket). Emellett a hatékony KRA kommunikáció megteremtése érdekében, nyilvánosan elérhetővé teszi a KRA SOAP technikai interfész specifikációját az NMHH weblapján. A KRA felé az adatokat a fent említett specifikáció szerint kell eljuttatni. 4.1 Az aláírt üzenet érkeztetési folyamata KRA a bemeneti üzenetet a szabályzatban meghatározott formátum szerint kapja meg Aláírás ellenőrzés folyamata o o Az üzenet struktúrájának az ellenőrzése Aláíró tanúsítvány kiadójának ellenőrzése az érvényességi lánc felépítésével Aláíró tanúsítvány érvényességének ellenőrzése o o o XML tartalom megfelelősségének ellenőrzése a SOAP technikai interfész specifikáció szerint Az aláíró jogosultságának az ellenőrzése a KRA kezelt jogosultsági adatok, ezek között Az aláíró-tanúsítvány felhasználásával történik Integritás ellenőrzése az XML aláírás felhasználásával Integritás ellenőrzésen is megfelelő üzenetek archiválásra kerülnek 4.2 KRA aláírási folyamata Válasz üzenet (nyugta, hibaüzenet, lista) tartalmi összeállítása o XML tartalom specifikáció szerinti összeállítása XMLDsig ( aláírás elkészítése Aláíró tanúsítvány ellenőrzése Nemzeti Média- és Hírközlési Hatóság /16

14 5 VITÁS KÉRDÉSEK RENDEZÉSE A felmerülő problémák megoldására az NMHH a szakértői támogatás keretében nyújt lehetőséget. Nemzeti Média- és Hírközlési Hatóság /16

15 1. számú melléklet TÁMOGATOTT BIZTONSÁGOS ALÁÍRÁS LÉTREHOZÓ ESZKÖZÖK (BALE) Szolgáltatói felhasználó, azaz az aláíró által használt BALE-kel kapcsolatban a cél, hogy az elfogadott hitelesítés szolgáltatók által kínált BALE-k legbővebb halmaza támogatott legyen. Jelen dokumentum érvényessége alatt támogatott eszközök: Eszköz Eszköz operációs rendszer Eszköz chip Támogatott hoszt operációs rendszer Aladdin e-token PRO CardOS/M4.01 SLE66CX320P Microsoft Windows, Linux, Macintosh Oberthur CosmopolIC intelligens kártya nyílt Java platform 2.1 V4 verzió P8WE5033V0G Microsoft Windows ORGA intelligens kártya MICARDO v2.1 SLE66CX320P Microsoft Windows Giesecke & Devrient token STARCOS SPK 2.3 v7.0 P8WE5032v0G Microsoft Windows SUN Crypto Accelerator Solaris 10 SPARC Microsoft Windows Axalto Cyberflex Access 64K v2a Global Platform Open Platform v2.0.1 SLE66CX640P Microsoft Windows nchiper NetHSM 2000 Microsoft Windows, Linux etoken PRO Java Card 72K OS755, etoken Java Applet AT90SC25672RCT- USB Microsoft Windows KRA rendszer képes a fent felsoroltakon kívül minden BALE-vel együttműködni, amely képes megvalósítani a szabványos PKCS11 kommunikációt. Nemzeti Média- és Hírközlési Hatóság /16

16 VÁLTOZTATÁSOK ÖSSZEFOGLALÁSA Változat száma: Kiadás időpontja: Változtató: Változtatás: november július szeptember 24. NHH, IQSYS NHH, IQSYS NMHH, IQSYS KRA továbbfejlesztés 5. fázis - alapdokumentum kiadása A dokumentum véglegesítése Jogszabályváltozás miatti pontosítás Bizalmi lista bevezetése Nemzeti Média- és Hírközlési Hatóság /16