Az Educatio Társadalmi Szolgáltató Közhasznú Társaság EDUAP-1 jelő elektronikus aláíráspolitikája v2.00

Átírás

1 Az Educati Társadalmi Szlgáltató Közhasznú Társaság EDUAP-1 jelő elektrnikus aláírásplitikája v2.00 Hatálybalépés dátuma: Idıpnt Jóváhagyta Aláírás Kerekes Gábr ügyvezetı Idıpnt Készítette Aláírás Tóth Elemér Fejérvári Bence 1/27

2 Váltzáskövetés Idıpnt Referencia Tartalm Tóth Elemér, Fejérvári Bence Tóth Elemér, Fejérvári Bence üzenetstruktúra módsítása, kapcslati címek pntsítása, technikai válaszüzenetek rögzítése faxszám; jgsultságkezelés; aláírás ellenırzés és aláírási flyamat-elemek módsítása és egyéb stilisztikai váltztatásk Tóth Elemér plitika aznsítása: 1 melléklet szerint; 5.2 web-hely pntsítása; user ntice megadása Tóth Elemér, Fejérvári Bence szervezeti fgalmak egységesítése; 3. alkalmaztt szabványk bıvítése; 7.1 jgszabályk pntsítása; 7.5 pntsítása tekintettel a technlógiai- és rendszer követelményekre; kötelezettségvállalás megnevezésének technikai frmátuma: 2. melléklet szerint 2/27

3 Tartalm 1. AZ ALÁÍRÁSPOLITIKA CÉLJA AZ ALÁÍRÁSPOLITIKA MEGJELENÉSI FORMÁI AZ ALÁÍRÁSPOLITIKA HATÓKÖRE ALKALMAZOTT SZABVÁNYOK, ELİÍRÁSOK FOGALMAK AZ ALÁÍRÁSPOLITIKA KIBOCSÁTÓJA A POLITIKA HATÁLYA A DOKUMENTUM MEGNEVEZÉSE ÉS AZONOSÍTÓI AZ ALÁÍRÁSPOLITIKA ADMINISZTRÁLÁSA Az aláírásplitika adminisztrációs szervezete Az aláírásplitika elfgadási eljárása Az aláírásplitika módsítási eljárása SZEREPKÖRÖK AZ ALÁÍRÁS LÉTREHOZÓJA (ALÁÍRÓ; SIGNER) AZ ALÁÍRÁS ELFOGADÓJA (ALÁÍRÁST ELLENİRZİ FÉL; VERIFIER) A HITELESÍTÉSSZOLGÁLTATÓK (CERTIFICATE AUTHORITY/CERTIFICATE PROVIDER) AZ IDİBÉLYEGSZOLGÁLTATÓK (TIME STAMPING PROVIDER) KRIPTOGRÁFIAI ESZKÖZKIBOCSÁTOK (CARD ISSUER) ELEKTRONIKUS ALÁÍRÁS TERMÉKEK SZÁLLÍTÓI SZAKÉRTİI TÁMOGATÁS AZ ELEKTRONIKUS ALÁÍRÁSOKHOZ KAPCSOLÓDÓ KÖVETELMÉNYEK JOGI KÖRNYEZET AZ ALKALMAZHATÓ ALGORITMUSOK ÉS PARAMÉTEREIK ALKALMAZHATÓ TANÚSÍTVÁNY FORMÁTUMOK Tanúsítvány típusk A tanúsítványkiadók megfelelısége Az aláíró tanúsítványk aznsítása A tanúsítványk érvénytelensége A tanúsítvány állapta Kivárási idı AZ ALÁÍRÁS-LÉTREHOZÓ TERMÉKEK ÉS ALKALMAZÁS SZOLGÁLTATÓK IGÉNYBE VÉTELE AZ ELEKTRONIKUS ALÁÍRÁSSAL KAPCSOLATOS RENDELKEZÉSEK A felsıktatási intézmények rektrai és megbízttjaik aláírása Megnevezési knvenciók az aláíró tanúsítványban A tanúsítványban szereplı név típusk A kulcshasználat szabályai Kötelezettségvállalásra vnatkzó bejegyzés Tanúsítvány visszavnási állapt lekérdezés frmátumk és paraméterek Idıbélyeg frmátumk és paraméterek Az OFIK aláírása Megnevezési knvenciók az aláíró tanúsítványban A tanúsítványban szereplı név típusk A kulcshasználat szabályai /27

4 Kötelezettségvállalásra vnatkzó bejegyzés Tanúsítvány visszavnási állapt lekérdezés frmátumk és paraméterek Idıbélyeg frmátumk és paraméterek AZ ALÁÍRÁS-ELLENİRZİ TERMÉKEK AZ INFORMATIKAI BIZTONSÁGI KÖRNYEZETRE VONATKOZÓ ELVÁRÁSOK AZ ALÁÍRÁS LÉTREHOZÁSÁNAK ÉS AZ ALÁÍRÁS ELLENİRZÉSÉNEK ELJÁRÁSA Az aláírás kezelése a felsıktatási intézmények rektrai és megbízttjaikkal történı kmmunikáció srán A VITÁS KÉRDÉSEK RENDEZÉSE MELLÉKLET: A SIGNATURE POLICY IDENTIFIER ELEM (TECHNIKAI ISMERTETİ) MELLÉKLET: A COMMITMENTTYPEINDICATION ELEM (TECHNIKAI ISMERTETİ) 26 4/27

5 1. AZ ALÁÍRÁSPOLITIKA CÉLJA Az elektrnikus aláírásplitika célja lyan értelmezési, kezelési és jgi ismereteket nyújtani az elektrnikus aláíráshz kötött eljáráskban, amely biztsítja az együttmőködés helyességét az aláíró és az aláírás-ellenırzı felek között, beleértve a harmadik felekkel (3rd party szlgáltatókkal) kapcslats szabálykat is. 1.1 Az aláírásplitika megjelenési frmái Az elektrnikus aláírásplitika szöveges frmában (ez a jelen dkumentum) áll rendelkezésre. Gépi feldlgzásra alkalmas váltzat (ASN.1 vagy XML frmában) nem áll rendelkezésre. 2. AZ ALÁÍRÁSPOLITIKA HATÓKÖRE Jelen aláírásplitika, az Educati Társadalmi Szlgáltató Közhasznú Társaság (tvábbiakban: Educati Kht.) szervezeti egysége, az Országs Felsıktatási Infrmációs Közpnt (tvábbiakban: OFIK) által kialakíttt Felsıktatási Infrmációs Rendszer (tvábbiakban: FIR, nyilvántartási aznsító: ) elektrnikus aláírásainak használatát szabályzza. Ez a plitika az OFIK, valamint azkra a résztvevıkre vnatkzik, amelyek az alább felsrlt eljáráskban az elektrnikus aláírást alkalmazzák: a felsıktatási intézmények rektrai és megbízttjaik adatszlgáltatása az OFIK felé. Az elektrnikus aláírásplitika az OFIK iratkezelési eljárásaihz kapcslódik, annak kiegészítéseként értelmezendı. 3. ALKALMAZOTT SZABVÁNYOK, ELİÍRÁSOK A plitika az alábbi nemzetközi mértékadó dkumentumkn alapul: Aznsító ETSI TR ETSI TR ETSI TR ETSI TS ETSI TS IETF RFC 3125 IETF RFC 3126 Megnevezés Signature Plicies Reprt Electrnic Signatures and Infrastructures (ESI); Signature plicy fr extended business mdel XML frmat in signature plicies Electrnic Signature Frmats XML Advanced Electrnic Signatures (XAdES) Electrnic Signature Plicies Electrnic Signature Frmats fr lng term electrnic signatures (ES,, ES-A) 5/27

6 IETF RFC 3280 IETF RFC 2633 IETF RFC 3851 IETF RFC 3634 IETF RFC 3852 ISO/IEC Internet X.509 Public Key Infrastructure - Certificate and CRL Prfile S/MIME Versin 3 Message Specificatin S/MIME Versin 3.1 Message Specificatin Enhanced Security Services fr S/MIME Cryptgraphic Message Syntax (CMS) Infrmatin technlgy - Open Systems Intercnnectin - The Directry: Public-key and attribute certificate framewrks 1. táblázat A jgszabályi megfelelésre vnatkzó hivatkzásk a jelen dkumentum 7.1 pntjában találhatók. Az alábbi dkumentumk figyelembe lettek véve a jelen plitika elkészítése srán. Aznsító 193/2005. (IX. 22.) Krm. rendelet Megnevezés Az elektrnikus ügyintézés részletes szabályairól. 2. táblázat A plitika a tvábbi magyar mértékadó dkumentumkra is támaszkdik: Aznsító Közigazgatásban alkalmazható elektrnikus aláírás frmátumk Közigazgatásban alkalmazható idıjelzés Közigazgatásban alkalmazható tanúsítvány frmátumk Megnevezés Az Infrmatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható elektrnikus aláírás frmátumk mőszaki specifikációjára, nvember 22. Az Infrmatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható idıbélyegzés frmátum mőszaki specifikációjára, nvember 1. Az Infrmatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható végfelhasználói tanúsítványk szerkezetének és adattartalmának mőszaki specifikációjára, nvember táblázat 6/27

7 4. FOGALMAK Az alábbiak a jelen anyagban megjelenı speciális fgalmak magyarázata, különösen a kritikusnak ítélt fgalmakat magyarázzák. Az egyéb, az elektrnikus aláíráshz kapcslódó fgalmakat a magyar jgszabályk, elsısrban az elektrnikus aláírás törvény szerint kell értelmezni. Fgalm Referencia Leírás egyszerő aláírás Eat., EU 1999/93/EK irányelv frmaságk nélküli aláírás; szöveg végére daírt név, vagy aznsító elektrnikus aláírás Eat., EU 1999/93/EK irányelv elektrnikusan aláírt elektrnikus dkumentumhz aznsítás céljából lgikailag hzzárendelt vagy azzal elválaszthatatlanul összekapcslt elektrnikus adat elektrnikus aláírás törvény hitelesítés szlgáltató tanúsítványkiadó gyökért-hitelesítés szlgáltató felügyelt autmatizmus a évi XXXV. törvény; röv: Eat. Eat. Közigazgatási Gyökér-hitelesítés Szlgáltató; röv. KGYHSZ az EU 1999/93/EK irányelv alapján megalkttt magyar törvény az Eat. szerinti szlgáltatáskat nyújtó szervezet a hitelesítés szlgáltatás keretében elvégzett tanúsítvány létrehzás és kibcsátás ellátására létrehztt rendszer, ill. szlgáltatás; a neve a tanúsítványban az issuer/cn mezıben jelenik meg a Nemzeti Hírközlési Hatóság által fenntarttt tanúsítványkiadó megnevezése; a közigazgatásban használható tanúsítványk kiadóit a KGYHSZ kell hitelesítse lyan szerver-szlgáltatás, amely például nagytömegő elektrnikus aláíráskra elvégzésére alkalmas; a felügyelet személyhez, vagy szervezethez köthetı 4. táblázat Közigazgatásban alkalmazható elektrnikus aláírás frmátumk szerinti fgalmak: Fgalm Referencia Leírás pillanatnyi aláírás XAdES-EPES (Explicit Plicy based Electrnic Signature) elektrnikus aláírás, amelynek az élettartama rövidebb az aláírást követı elsı visszavnási állapt infrmáció kiadásánál; sem visszavnási infrmációkat, sem idıbélyegzést nem tartalmaz rövid távú aláírás XAdES-T elektrnikus aláírás, amelynek az ellenırzése nem szükséges az aláíró tanúsítványának lejárta 7/27

8 (Electrnic Signature with Validatin Data; Electrnic signature with time) után; idıbélyeghez kapcslódik, de nem tartalmaz visszavnási infrmációkat; a kezdeti ellenırzés srán az esetlegesen hiányzó idıbélyeget pótlni lehet hsszú távú aláírás XAdES-C (Electrnic Signature with Validatin Data; Electrnic Signature with Cmplete validatin data references) elektrnikus aláírás, amelynek az ellenırzése szükséges a tanúsítványlánc bármely elemének a lejárta után is; idıbélyeghez kapcslódik, tartalmaz visszavnási infrmációkat; a kezdeti ellenırzés srán az esetlegesen hiányzó infrmációkat pótlni lehet archív aláírás XAdES-A elektrnikus aláírás, amelynek az ellenırzése szükséges az aláírás srán használt algritmusk kriptgráfiai elavulása után is. 5. táblázat 5. AZ ALÁÍRÁSPOLITIKA KIBOCSÁTÓJA Jelen aláírásplitikát az Educati Társadalmi Szlgáltató Közhasznú Társaság bcsáttta ki. 5.1 A plitika hatálya Jelen plitika tárgyi hatálya az Educati Kht. jelen dkumentum 2. pntjában megadtt résztvevıkre, illetve a jelen dkumentum 8. pntjában meghatárztt aláírási, hitelesítési és aznsítási eljáráskra, aláíráskra terjed ki. Az elektrnikus aláírásk vnatkzásában a évi XXXV. törvényhez (Eat.) és a kapcslódó, illetve más jgszabálykhz kell igazdni. Az idıbeli hatály a váltzáskezelés táblázatban feltüntetett, jelen dkumentum-verzióra érvényes hatálybalépés dátumától kezdıdıen, határzatlan idıre szól. A hatály megszőnik a 2. pntban felsrlt eljárásk megszőnésekr, vagy ezek lyan megváltztatása esetén, amely szerint az elektrnikus aláírás alkalmazása nem történik meg, illetve egy újabb dkumentum-verzió hatályba lépésekr. A plitika a vnatkzó aláírási idıszak kezdetét a hatályba lépés dátumával, tvábbá 0 (nulla) óra 0 (nulla) perc 0 (nulla) másdperc kezdıidıpnttal határzza meg. A személyi hatály a tárgyi hatály körében eljáró Educati Kht. munkatársakra és az együttmőködı, a szerzıdéses, valamint a szerzıdésen kívüli, jgszabályban meghatárztt partnerekre vnatkzik. A szerepköröket a 6. pnt tartalmazza. 8/27

9 5.2 A dkumentum megnevezése és aznsítói Dkumentum neve: Aznsító az Educati Kht. dkumentumkezelı rendszerében: A dkumentum publikálása: Kibcsátás dátuma: Jóváhagyta: Az Educati Társadalmi Szlgáltató Közhasznú Társaság elektrnikus aláírásplitika, v2.00 EDUAP-1 v2.00 OID: web-helyen ld. a fedlapn ld. a fedlapn 6. táblázat 5.3 Az aláírásplitika adminisztrálása Az aláírásplitika adminisztrációs szervezete Jelen Hitelesítési rend adminisztrációját ellátó szervezet adatai: A szervezet adatai Szervezet neve: EDUCATIO Társadalmi Szlgáltató Közhasznú Társaság Szervezet címe: 1134 Budapest, Váci út 37. Cégjegyzékszám: Telefnszám: +36(1) Faxszám: +36(1) cím: Hnlap: helpdesk@educati.hu 7. táblázat 9/27

10 5.3.2 Az aláírásplitika elfgadási eljárása Az aláírásplitikát az Educati Kht. ügyvezetıje hagyja jóvá. Csak az Educati Kht ügyvezetıjének aláírásával elláttt plitika kinymtattt váltzata tekinthetı hitelesnek. Az aláírásplitika alapján az Educati Kht. és az intézmények elkészítik, illetve módsítják saját, belsı szabályzataikat. A jelen aláírásplitikát valamint az ebben meghatárztt üzenetfrmátumra és a kapcslódó szlgáltatáskra vnatkzó követelményeket az Educati Kht. ingyenesen és nyilvánsan, a hnlapján hzzáférhetıvé teszi Az aláírásplitika módsítási eljárása Az aláírásplitika módsítását hivatals levélben, az Educati Kht. ügyvezetıjének címezve lehet kérni. Az Educati Kht. szakértık véleménye alapján dönt a módsítási kérés elfgadásáról. A döntés eredményérıl az ügyvezetı hivatals levélben, 15 napn belül értesíti a kérelmezıt. A módsíttt aláírásplitika dkumentumát a hatályba lépés elıtt 15 nappal az Educati Kht. a hnlapján közzéteszi. 6. SZEREPKÖRÖK Az elektrnikus aláírás használatáhz az alábbi szerepköröket kell megkülönböztetni: az aláírás létrehzója, az aláírás elfgadója, hitelesítés szlgáltatók, idıbélyegszlgáltatók, kriptgráfiai eszközkibcsátók, elektrnikus aláírás termékek szállítói, szakértıi támgatás. 6.1 Az aláírás létrehzója (aláíró; signer) Az aláíró az a természetes személy, aki az aláírás-létrehzó adatt és az aláírás-létrehzó eszközt birtklja, valamint a saját vagy más személy (természetes, illetve jgi személy vagy jgi személyiség nélküli szervezet) nevében, vagy egy felügyelt autmatizmusra (aláíró szerverre) vnatkzó szabályzás alapján aláírásra jgsult. Az OFIK az egyes szlgáltatásainak igénybe vétele céljából regisztrálja és nyilvántartásba veszi a jgsult aláírókat 1. A regisztráció srán az intézményi aláíró nyilatkzik az OFIK-nál történı, 1 Követi a 193/2005. (IX.22) Krm. r. 3. (1) bekezdését. 10/27

11 személyéhez kapcslódó aznsító adatainak a kezelésrıl, és megadja az aznsító adatait, valamint a jgsultságát igazló rektri meghatalmazást. Az OFIK jgsult elutasítani minden lyan szlgáltatásra vnatkzó igényt, amelyet regisztrációhz és nyilvántartásba vételhez, valamint az adatkezeléshez kötött, de ezeket az igénylı hitelesen nem teljesítette, vagy az OFIK nyilvántartásából a jgsultság megszőnése, vagy az OFIK rendszerének a védelme érdekében törölték. Az OFIK rendszerének a védelme érdekében törölt aláírók aznsító adatait az OFIK a kizárt alanyk nyilvántartásában 5 évig kezeli. 6.2 Az aláírás elfgadója (aláírást ellenırzı fél; verifier) Az aláírást ellenırzı fél az a személy, vagy felügyelt aláíró autmatizmus, aki/amely az elektrnikusan aláírt elektrnikus üzenetek aláíráskri, illetve ellenırzéskri tartalmát összeveti, tvábbá az aláíró személyét aznsítja az üzenet, illetve a hitelesítés-szlgáltató által közzétett aláírás-ellenırzı adat, tanúsítvány visszavnási infrmációk, valamint a tanúsítvány felhasználásával. Az OFIK az egyes szlgáltatásainak igénybe vétele céljából regisztrálja és nyilvántartásba veszi azkat a jgsult aláírást ellenırzı feleket, akik az Educati Kht. zártkörő hitelesítés szlgáltatását veszik igénybe (ld. a 6.3. pntban). A regisztráció srán az aláírást ellenırzı fél nyilatkzik az OFIK-nál történı, személyéhez kapcslódó adatkezelésrıl, és megadja az aznsító adatait, valamint a jgsultságát igazló nyilatkzatt. Az OFIK jgsult elutasítani minden lyan szlgáltatásra vnatkzó igényt, amelyet regisztrációhz és nyilvántartásba vételhez, valamint az adatkezeléshez kötött, de ezeket az igénylı hitelesen nem teljesítette, vagy az OFIK nyilvántartásából a jgsultság megszőnése, vagy az OFIK rendszerének a védelme érdekében törölték. 6.3 A hitelesítésszlgáltatók (certificate authrity/certificate prvider) A hitelesítés szlgáltató az elektrnikus aláírással kapcslats szlgáltatást nyújtó természetes személy, jgi személy vagy jgi személyiség nélküli szervezet. A hitelesítés szlgáltatókra vnatkzó kötelezettségeket az Eat. és a kapcslódó jgszabályk rögzítik. A tételes szlgáltatási jellemzık értékelésekr az OFIK a jelen plitika szerint jár el. Az OFIK az egyes szlgáltatásainak igénybe vétele céljából regisztrálja és nyilvántartásba veszi az általa elfgadható hitelesítés szlgáltatókat. A regisztráció és az aláírásk ellenırzése srán az OFIK fenntartja magának a jgt, hgy megvizsgálja az egyes szlgáltatók által követett, az adtt aláíró tanúsítványban megadtt hitelesítési rendet, esetenként a hitelesítés szlgáltatási szabályzatt is. Az OFIK elfgadja az alábbi hitelesítési rendeket: a Nemzeti Hírközlési Hatóság által nyilvántartásba vett és hatálys, a közigazgatásban alkalmazható tanúsítvány hitelesítési rendek, az Educati Kht. zártkörő hitelesítés szlgáltatását hitelesítési rendjét. Az OFIK elfgadja az alábbi szlgáltatókat: a közigazgatásban alkalmazható (a KGYHSZ által hitelesített) tanúsítványt kibcsátókat, az Educati Kht. zártkörő hitelesítés szlgáltatását. 11/27

12 6.4 Az idıbélyegszlgáltatók (time stamping prvider) Az idıbélyegzés szlgáltató egy megbízható, hiteles szlgáltató a piacn, amely az elektrnikusan aláírt üzenethez kapcslódó idıbélyegzéshez hiteles idıbélyegzıt állít elı. Az idıbélyegzés szlgáltató az elektrnikus aláírással kapcslats szlgáltatást nyújtó természetes személy, jgi személy vagy jgi személyiség nélküli szervezet. Az idıbélyegzés szlgáltatókra vnatkzó kötelezettségeket az Eat. és a kapcslódó jgszabályk rögzítik. A tételes szlgáltatási jellemzık értékelésekr az OFIK a jelen aláírásplitika szerint jár el. Az OFIK az egyes szlgáltatásainak igénybe vétele céljából regisztrálja és nyilvántartásba veszi az általa elfgadható idıbélyegzés szlgáltatókat. A regisztráció és az aláírásk ellenırzése srán az OFIK fenntartja magának a jgt, hgy megvizsgálja az egyes szlgáltatók által követett hitelesítési rendet, esetenként a hitelesítés szlgáltatási szabályzatt is. Az OFIK elfgadja az alábbi idıbélyegzési rendeket: a Nemzeti Hírközlési Hatóság által nyilvántartásba vett és hatálys idıbélyegzési rendek. Az OFIK elfgadja az alábbi szlgáltatókat: a közigazgatásban alkalmazható (a KGYHSZ által hitelesített) idıbélyegszlgáltatókat Az Educati Kht. saját célra, idıjelzés szlgáltatást üzemeltet. Ez a szlgáltatás biztsítja az Educati Kht. által elhelyezett idıbélyegek létrehzását. 6.5 Kriptgráfiai eszközkibcsátk (card issuer) Az aláírónak, vagy a felügyelt autmatizmusnak, megfelelı gndsságt kell tanúsítania annak érdekében, hgy megelızze aláírás-létrehzó adatának (kriptgráfiai magánkulcsának) illetéktelen felhasználását. Az OFIK a kriptgráfiai eszközkibcsátásra egyéb kikötést nem tesz. 6.6 Elektrnikus aláírás termékek szállítói Jelen aláírásplitika útmutatóul szlgál az elektrnikus aláírás termékek fejlesztıinek, illetve az ilyen termékek szállítóinak és rendszerintegrátrainak is. Az OFIK és az intézmények csak lyan aláírási termékeket használhatnak, amelyek alkalmasak a magyar közigazgatás által elfgadható elektrnikus aláírás kezelésére. 6.7 Szakértıi támgatás Az OFIK az elektrnikus aláírás srán felmerülı vitás technikai megldásk kezelésére szakértıin keresztül támgatást nyújt. Ezen szakértıket az Educati Kht. ügyfélszlgálatán keresztül lehet elérni. 12/27

13 7. AZ ELEKTRONIKUS ALÁÍRÁSOKHOZ KAPCSOLÓDÓ KÖVETELMÉNYEK 7.1 Jgi környezet évi LXXIX. törvény a közktatásról 20/1997. (II. 13.) krm. rendelet - a közktatásról szóló évi LXXIX. törvény végrehajtásáról évi CXXXIX. törvény a felsıktatásról 79/2006. (IV. 5.) krm. rendelet a felsıktatásról szóló évi CXXXIX. törvény egyes rendelkezéseinek végrehajtásáról 17/2005. (II. 8.) krm. rendelet a diákigazlványról 100/1997. (VI. 13.) krm. rendelet az érettségi vizsga vizsgaszabályzatának kiadásáról 237/2006. (XI. 27.) Krm. Rendelet a felsıktatási intézmények felvételi eljárásairól évi XXXV. törvény az elektrnikus aláírásról 9/2005 (VII.21.) IHM rendelet az elektrnikus aláírási termékek tanúsítását végzı szervezetekrıl, illetve a kijelölésükre vnatkzó szabálykról 45/2005 (III. 11.) krmányrendelet a Nemzeti Hírközlési Hatóságnak az elektrnikus aláírással kapcslats feladat- és hatáskörérıl, valamint eljárásának részletes szabályairól Az Európai Parlament és a Tanács 1999/93/EK számú irányelve az elektrnikus aláírással kapcslats közösségi keretrendszerrıl évi LXIII. törvény a személyes adatk védelmérıl és a közhasznú adatk nyilvánsságáról A közigazgatási hatósági eljárás és szlgáltatás szabályairól szóló évi CXL. törvény és az elektrnikus ügyintézéshez kapcslódó végrehajtási rendeletek, azaz a 193/2005 (IX.22.), 194/2005 (IX.22.) és 195/2005 (IX.22.) számú krmányrendeletek. 7.2 Az alkalmazható algritmusk és paramétereik Az OFIK a jelen aláírásplitikában, a Nemzeti Hírközlési Hatóság által a biztnságs kriptgráfiai algritmuskra és ezek meghatárztt paraméterekkel történı alkalmazására vnatkzó követelmények alapján, tvábbá az ETSI TS figyelembe vételével, az alábbiak szerint krlátzza az elektrnikus aláírás alkalmazását. Kizárólag a következı aláíró algritmus alkalmazható: RSA-SHA1. 13/27

14 A fentiek szerint ez az aláíró algritmus jelenleg az alábbi minimális bitszámmal alkalmazható: S. Megnevezés Érték 1. Az aláíró által létrehztt aláíráskra Az aláírói (végfelhasználói) tanúsítványk aláírására A megbízható szlgáltatást nyújtó szervezetek (tanúsítványkiadók, idıbélyegszlgáltatók, stb.) szlgáltatói tanúsítványainak aláírására táblázat 7.3 Alkalmazható tanúsítvány frmátumk Az OFIK lyan tanúsítványkat fgad el, amelyek megfelelnek az Infrmatikai és Hírközlési Minisztérium által kiadtt, a közigazgatásban alkalmazható végfelhasználói tanúsítványk szerkezetének és adattartalmának mőszaki specifikációjára tett ajánlásának, ezen túlmenıen, elfgadhatóak az Educati Kht. által zárt körben alkalmaztt, Az Educati Kht. elektrnikus aláíráshz kapcslódó hitelesítés szlgáltatásának, CERTP-1 tanúsítvány-prfilja címő dkumentumban meghatárztt tanúsítványfrmátumk Tanúsítvány típusk Az OFIK az alábbi tanúsítvány-típuskat fgadja el: fkztt biztnságú (nem minısített) hitelesítés szlgáltatótól származó, személynek szóló tanúsítványk, minısített hitelesítés szlgáltatótól származó tanúsítványk, tanúsítványkiadók, és idıbélyegzés szlgáltatók által kezelt szerverek tanúsítványai, fkztt biztnságú (nem minısített) hitelesítés szlgáltatótól származó felügyelt autmatizmusk tanúsítványai, Az Educati Kht. zárt körben kibcsáttt fkztt biztnságú, személyes tanúsítványk amennyiben a szlgáltatók megfelelnek a 6.3 pntban meghatárztt követelményeknek A tanúsítványkiadók megfelelısége Amennyiben a tanúsítványt nem az Educati Kht. zártkörő hitelesítés szlgáltatásában adták ki, az OFIK csak lyan tanúsítványkiadót fgad el, amelyet 2 a közigazgatási gyökér-hitelesítés szlgáltató egy megfelelı tanúsítvánnyal hitelesített. 2 (amelynek a szlgáltatói kulcsát) 14/27

15 7.3.3 Az aláíró tanúsítványk aznsítása A felsıktatási intézmények vezetık és megbízttjaik aláírási jgsultságát az OFIK a tanúsítványaik aznsítóinak felhasználásával tartja nyilván, és ennek alapján kezeli. A felhasznált aznsítók a következık: az intézmények aznsítói és az aláíró tanúsítványk SHA-1 lenymatképzı algritmussal képzett lenymata (DigestValue) A tanúsítványk érvénytelensége Az OFIK az alábbi esetekben tekinti a tanúsítványkat érvénytelennek: a) kmprmittált, amikr a tanúsítványhz kapcslódó érvényességi lánc bármely eleméhez tartzó adat bizalmassága sérült, b) az alkalmaztt aláírási algritmusk nem megfelelıek, vagy nem biztnságsak (ld. Eat. 18. ; az aláírás-ellenırzı adatból származtatható az aláírás-létrehzó adat, vagy egy elıre meghatárztt lenymathz utólag elkészíthetı egy e-üzenet), c) a tanúsítványban feltüntetett adatk nem a valóságnak megfelelıen szerepelnek (Eat. 9. ), d) a tanúsítvány lejárt ( ntafter szerinti érvényességi idı elmúlt) vagy ha a tanúsítvány még nem érvényes ( ntbefre szerinti érvényességi idı meg nem kezdıdött el) Az OFIK fenntartja magának a jgt, hgy tiltó listájára tegye és ezzel az adatkezelésbıl kizárja azkat a tanúsítványkat, amelyekhez az infrmatikai rendszerének védelme érdekében jgs érdeke főzıdik A tanúsítvány állapta Az aláírás ellenırzése szempntjából a tanúsítvány lehet a) megfelelı (aktív), b) visszavnt. A tanúsítványk állaptának meghatárzásáhz a CRL visszavnási állapt infrmáció-ellenırzést kell használni Kivárási idı A kivárási idı az a legrövidebb idıtartam, amelyet a tanúsítványt kibcsátó hitelesítés szlgáltató a tanúsítvány állaptának ellenırzéséhez megad, annak érdekében, hgy az aláíró vagy egy más erre feljgsíttt szereplı által esetlegesen kért visszavnási kérelem megtörténte biztnságsan értékelhetı legyen a hitelesítés szlgáltató által biztsíttt tanúsítvány visszavnási állapt infrmációk (CRL, vagy OCSP adatk) szerint. Az ellenırzést végzı alkalmazáskban beállítandó tanúsítványállapt lekérdezési idıket az aláírás ellenırzı felek a kivárási idın túl szabhatják meg. 7.4 Az aláírás-létrehzó termékek és alkalmazás szlgáltatók igénybe vétele Az aláírók az aláírás-létrehzó termékek (aláírás termékek) és az alkalmazás szlgáltatók vnatkzásában az elektrnikus aláírás törvény alapján viselnek felelısséget. 15/27

16 Az OFIK csak a saját környezetében (telephelyein) mőködtetett aláírás-létrehzó termékekért, illetve rendszerekért vállal felelısséget. Az OFIK rendszereiben az aláíró autmatizmusknál, az idıjelzés szlgáltatásnál, valamint a védett kmmunikációs csatrnák esetében a kriptgráfiai kulcsk védelme megldtt, az alkalmaztt eszközök és eljárásk nem publikusak. Az ügyfélszlgálatt teljesítı munkatársak megfelelıen biztnságs aláírás-létrehzó eszközt (ALE chipkártyát) használnak. 7.5 Az elektrnikus aláírással kapcslats rendelkezések Az OFIK csak lyan elektrnikus aláírást fgad el, amely megfelel az alábbi követelményeknek: A felsıktatási intézmények rektrai és megbízttjaik aláírása A felsıktatási intézmények rektrai és megbízttjaik adatszlgáltatása az OFIK felé a 79/2006. (IV. 5.) krm. rendelet felhatalmazása alapján elkészített, és az OFIK által kiadtt XSD specifikáció szerint történhet, az OFIK által biztsíttt, védett kmmunikációs csatrnán keresztül. A védett kmmunikációs csatrna használatára jgsultak adatait a rektri meghatalmazás alapján az OFIK nyilvántartásba veszi. A jgsult a meghatalmazásban megadtt címrıl CMS - S/MIME frmátumú 3 elektrnikus aláírt üzenetet küld az OFIK-nak. Az OFIK az elektrnikus aláírás alapján a tanúsítvány lenymatának (SHA-1) értékét ellenırzési célból átveszi és eltárlja. A felsıktatási intézmények rektrai és megbízttjaik aláíró alkalmazásának a közigazgatásban alkalmazható elektrnikus aláírás frmátumk egyikét kell támgatnia. Az intézmények a FIR számára egy ds:signature gyökér elemet tartalmazó XML állmányt beküldenek az alábbi 9. táblázat szerint. Kezelt aláírás-struktúrák: XML elektrnikus aláírás-típusk W3C megnevezés A jelen plitika szerint kezelendı XML elektrnikus aláírás elembe ágyaztt XML elem, amely az aláírt adatkat XML-ként frmában tartalmazza; a Reference Transfrm elemének kötelezı tartalma: XML elektrnikus aláírás elembe ágyaztt XML elem, amely az aláírt adatkat BASE64 kódlással tartalmazza; A Reference Transfrm elemének tartalma: Ld. tvábbá: Közigazgatásban alkalmazható elektrnikus aláírás frmátumk, pntban. envelping signature envelping signature igen igen az XML tartalmtól elválaszttt XML elektrnikus aláírás detached signature nem 4 9. táblázat 3 Például ilyen a Micrsft Outlk levelezı prgram által elıállíttt frmátum. 4 Jelenleg az OFIK ilyen aláírás-típust nem kezel! 16/27

17 Az intézmények az OFIK felsıktatási infrmációs rendszer felé az üzeneteket többszörös aláírással nem láthatják el. Csatlt állmányk küldése nem megengedett. Az aláírók tanúsítványait csak a 6.3 pntban megadtt szlgáltatók adhatják ki. Az OFIK a 6.1 pnt szerint krlátzza az aláírásra jgsultságt. Az OFIK nyilvántartást vezet az elfgadtt tanúsítványkról (a 6.1 pnt szerint) és a nem elfgadható frmátumú, vagy tartalmú, ennek következtében az OFIK által letilttt tanúsítványkról is. Az OFIK nem veszi igénybe közigazgatásban alkalmaztt viszntaznsítási eljárást. Az aláírást a jelen aláírásplitikáhz kell kapcslni, az aláírás frmátumban meghatárztt hivatkzás (SignaturePlicyIdentifier) felhasználásával. Az aláírásplitika referenciájának explicit szerepelnie kell az aláírásmezıben. (Ld. aznsító adatk, OID, web-hely; 5.2 pnt és az 1. Mellékletben a technikai ismertetıt.) Az OFIK a kötelezettségvállalásra vnatkzó bejegyzést (CmmitmentTypeIndicatin) a pntban leírtak alapján, az OID ellenırzésével kezeli. A technikai megldást a 2. melléklet ismerteti. A különbözı felek által képviselt aláírásplitikákat egyeztetni kell az Educati Kht. jelen aláírásplitikájával. Az OFIK szakértıi támgatást nyújt a prblémák felderítéséhez és a harmnizált mőködés biztsításáhz is Megnevezési knvenciók az aláíró tanúsítványban Az ékezetes magánhangzók használatánál az OFIK a magyar helyesírás szabályait alkalmazza, ennek megfelelıen, a nevekben szereplı ékezetes betőket eredeti írásmódjuk szerint feltüntetve, az UTF-8 kódlásban kezeli A tanúsítványban szereplı név típusk A hitelesítés-szlgáltató által kiállíttt tanúsítványkra a következı névknvenció érvényes: érvénytelen minden tanúsítvány, amelyben a tanúsítvány alanya (Subject DN) hiányzik nevek értelmezése: Aláírók Az egyedi név alktói Krlátzásk tanúsítványkiadó dn= nincs megkötés ld. a 7.4 pntt aláíró személy dn= nincs megkötés álnév használata nem megengedett, kivéve akkr, ha a tanúsítványt az Educati Kht. zártkörő hitelesítés szlgáltatásának tanúsítványkiadója adta ki 10. táblázat tanúsítási útvnal képzése (RFC 3280 szerint): megbízható felsı szintő tanúsítványk, közbensı tanúsítványk, végfelhasználói tanúsítványk kezelése A kulcshasználat szabályai A kulcshasználat beállítás (keyusage) a nnrepudiatin kijelölését mutatja (NR-bit: true). 17/27

18 Kötelezettségvállalásra vnatkzó bejegyzés Az OFIK felsıktatási intézmények rektrai és megbízttjaik adatszlgáltatása srán az alábbi kötelezettségvállalásra vnatkzó aláírási infrmációkat kezeli: S. Aláírás-típus Kötelezettségvállalás-típus Aznsító OID 1. Adatszlgáltatás Elismerem, hgy a üzenetet (dkumentumt) én készítettem és azt elküldtem. A tartalmat jóváhagym. Prf f rigin táblázat Tanúsítvány visszavnási állapt lekérdezés frmátumk és paraméterek A tanúsítvány visszavnási lista (CRL) az IETF RFC 3280 ajánlás 2. verziójának kell megfeleljen. CRL ellenırzés paraméterei: S. Elvárás Érték Referencia 0. CRL ellenırzés engedélyezve 0.a delta-crl ellenırzés nincs engedélyezve 1. az ellenırzési idıpnt legyen nagybb az aktuális frissítési értékénél 2. a kibcsátást követı hány napig tekinthetı aktuálisnak: az ellenırzési idıpnt legyen kisebb vagy egyenlı az aktuális frissítési érték + az aktuális érvényességi értéknél thisupdate thisupdate, CRLThisUpdateLimit 2.a CRLThisUpdateLimit értéke 2 nap 3. a következı kibcsátási dátumt követıen hány napig tekinthetı aktuálisnak: az ellenırzési idıpnt legyen kisebb vagy egyenlı a következı frissítési érték + következı érvényességi értéknél nextupdate, CRLNextUpdateLimit 3.a CRLNextUpdateLimit értéke 0 nap 12. táblázat 18/27

19 Idıbélyeg frmátumk és paraméterek Az idıbélyeg paraméterei: S. Elvárás Érték Referencia 1. aláíró algritmus RSA ETSI TS lenymatképzı SHA-1 ETSI TS egyszer használható kérdés-válasz aznsító legyen nnce (sessin key) 4. az idıbélyegszlgáltató tanúsítványát küldeni kell igen certreq 5. kritikus kiterjesztésre vnatkzó krlátzás van 13. táblázat Az OFIK aláírása Az OFIK az intézmények felé az általa biztsíttt, védett kmmunikációs csatrnán keresztül küldi a válaszüzeneteit. Ezek XML aláírást tartalmaznak. Az OFIK a közigazgatásban alkalmazható elektrnikus aláírás frmátumk egyikét kell támgassa. A jelen aláírásplitika az OFIK által küldött XML üzenet ds:signature elemére vnatkzik, az alábbiak szerint: Kezelt aláírás-struktúrák: XML elektrnikus aláírás típusk W3C megnevezés A jelen plitika szerint kezelendı XML elektrnikus aláírás elembe ágyaztt XML elem, amely az aláírt adatkat XML frmában tartalmazza; a Reference Transfrm elemének kötelezı tartalma: XML elektrnikus aláírás elembe ágyaztt XML elem, amely az aláírt adatkat BASE64 kódlással tartalmazza; A Reference Transfrm elemének tartalma: Ld. tvábbá: Közigazgatásban alkalmazható elektrnikus aláírás frmátumk, pntban. envelping signature envelping signature igen nem 14. táblázat Az OFIK az intézmények felé az üzeneteket többszörös aláírással nem láthatja el. Csatlt állmányk küldése nem megengedett. Az aláírók tanúsítványait csak a 6.3 pntban megadtt szlgáltatók adhatják ki. 19/27

20 Az aláírást a jelen aláírásplitikáhz kell kapcslni, az aláírás frmátumban meghatárztt hivatkzás (SignaturePlicyIdentifier) felhasználásával. (Az aláírásplitika referenciájának szerepelnie kell az aláírásmezıben. Ld. az 1. Mellékletben szereplı technikai ismertetıt.) Az OFIK a kötelezettségvállalásra vnatkzó bejegyzést (CmmitmentTypeIndicatin) a pntban leírtak alapján, az OID megadásával kezeli. A technikai megldást a 2. melléklet ismerteti Megnevezési knvenciók az aláíró tanúsítványban Az ékezetes magánhangzók használatánál az OFIK a magyar helyesírás szabályait alkalmazza, ennek megfelelıen, a nevekben szereplı ékezetes betőket eredeti írásmódjuk szerint feltüntetve, az UTF-8 kódlásban kezeli A tanúsítványban szereplı név típusk A hitelesítés-szlgáltató által kiállíttt tanúsítványkra a következı névknvenció érvényes: érvénytelen minden tanúsítvány, amelyben a tanúsítvány alanya (Subject DN) hiányzik nevek értelmezése: Aláírók Az egyedi név alktói Krlátzásk tanúsítványkiadó dn= nincs megkötés ld. a 7.4 pntt aláíró személy dn= nincs megkötés álnév használata nem megengedett, kivéve akkr, ha a tanúsítványt az Educati Kht. zártkörő hitelesítés szlgáltatásának tanúsítványkiadója adta ki 15. táblázat tanúsítási útvnal képzése (RFC 3280 szerint): megbízható felsı szintő tanúsítványk, közbensı tanúsítványk, végfelhasználói tanúsítványk kezelése A kulcshasználat szabályai A kulcshasználat beállítás (keyusage) a nnrepudiatin kijelölését mutatja (NR-bit: true) Kötelezettségvállalásra vnatkzó bejegyzés Az OFIK felsıktatási intézmények rektrai és megbízttjaik adatszlgáltatása srán, valamint az archiváláskr az alábbi kötelezettségvállalásra vnatkzó aláírási infrmációkat kezeli: S. Aláírás-típus Kötelezettségvállalás-típus Aznsító OID 1. Adatszlgáltatás Elismerem, hgy a üzenetet (dkumentumt) én készítettem és azt elküldtem. A tartalmat jóváhagym. 2. Nyugta Elismerem, hgy az általam aláírt elektrnikus üzenetet (dkumentumt) megkaptam, átvettem. Prf f rigin Prf f receipt /27

21 16. táblázat Tanúsítvány visszavnási állapt lekérdezés frmátumk és paraméterek A tanúsítvány visszavnási lista (CRL) az IETF RFC 3280 ajánlás 2. verziójának kell megfeleljen. CRL ellenırzés paraméterei: S. Elvárás Érték Referencia 0. CRL ellenırzés engedélyezve 0.a delta-crl ellenırzés nincs engedélyezve 1. az ellenırzési idıpnt legyen nagybb az aktuális frissítési értékénél 2. a kibcsátást követı hány napig tekinthetı aktuálisnak: az ellenırzési idıpnt legyen kisebb vagy egyenlı az aktuális frissítési érték + az aktuális érvényességi értéknél thisupdate thisupdate, CRLThisUpdateLimit 2.a CRLThisUpdateLimit értéke 2 nap 3. a következı kibcsátási dátumt követıen hány napig tekinthetı aktuálisnak: az ellenırzési idıpnt legyen kisebb vagy egyenlı a következı frissítési érték + következı érvényességi értéknél nextupdate, CRLNextUpdateLimit 3.a CRLNextUpdateLimit értéke 0 nap 17. táblázat Idıbélyeg frmátumk és paraméterek Az idıbélyeg paraméterei: S. Elvárás Érték Referencia 1. aláíró algritmus RSA ETSI TS lenymatképzı SHA-1 ETSI TS egyszer használható kérdés-válasz aznsító legyen nnce (sessin key) 4. az idıbélyegszlgáltató tanúsítványát küldeni kell igen certreq 5. kritikus kiterjesztésre vnatkzó krlátzás van 18. táblázat 21/27

22 7.6 Az aláírás-ellenırzı termékek Az aláírást ellenırzı felek (érintettek) az aláírás-ellenırzı termékek (aláírás termékek) és az alkalmazás szlgáltatók vnatkzásában az elektrnikus aláírás törvény alapján viselnek felelısséget. Az Educati Kht. csak a saját környezetében (telephelyein) mőködtetett aláírás-ellenırzı termékekért, illetve rendszerekért vállal felelısséget. 7.7 Az infrmatikai biztnsági környezetre vnatkzó elvárásk Az Educati Kht. az elektrnikus aláíráshz kapcslódó tevékenységeit az infrmatikai biztnsági szabályzatai, és más belsı szabályzásai szerint végzi. Az Educati Kht. nem vállal felelısséget azkért a kárkért, amelyek a felhasználóknál a nem megfelelı funkciók és adatk használatával, valamint a védelmi megldásk gyengesége miatt következtek be. 8. AZ ALÁÍRÁS LÉTREHOZÁSÁNAK ÉS AZ ALÁÍRÁS ELLENİRZÉSÉNEK ELJÁRÁSA A jgsult aláírókat és aláírás-ellenırzıket az OFIK nyilvántartja. A jgsultak a kapcslatfelvétel srán az OFIK hnlapján jelentik be igényüket, valamint adják meg aznsító adataikat, de arra is van lehetıség, hgy az igénylık személyesen jelenjenek meg az Educati Kht. ügyfélszlgálatánál, és tt intézzék az igénybejelentésüket. Az intézményvezetı szabályszerően aláírt meghatalmazásával kell rendelkeznie minden igénybejelentınek ahhz, hgy az OFIK az igénylésüket teljesítse. Az OFIK a jgsult aláírók tanúsítványait letárlja, a jgsultság ellenırzésekr kezeli Az aláírás kezelése a felsıktatási intézmények rektrai és megbízttjaikkal történı kmmunikáció srán A felsıktatási intézmények adatszlgáltatása XML frmátumban, a jelen aláírásplitikában meghatárztt XML aláírással történik. Ld. a pntt. Az üzenetek kmmunikációja az OFIK és az intézmények között védett kmmunikációs csatrnán keresztül valósul meg. Az OFIK az intézményi felelısök számára biztsítja az üzenetkezelı szerverhez történı hzzáférést (megadja a kapcslat authrizációs kódjait, a szükséges paramétereket, beleértve a titksítási és tömörítési adatkat is) 5,. Emellett az OFIK a kmmunikáció hatékny megteremtése érdekében, az érdeklıdık számára a Java, valamint a.net rendszerekhez metódusgyőjteményt és dkumentációt is ad. 5 Az OFIK az intézmények számára egy technikai leírásban ( A kmmunikáció technikai paraméterei, verzió: 1.0; kiadás dátuma: nvember 2.) ismertette a message queue használatának módját, megadta a biztnságs igénybevételhez szükséges metóduskat, beállítási paramétereket, valamint támgatást nyújttt a kapcslat megteremtéséhez. 22/27

23 Az üzenetek mérete krlátzva van. 6 Az intézmény a felsıktatási infrmációs rendszer felé az adatkat (XML tartalmat) az OFIK által kiadtt XSD frmátumban küldi meg. Az OFIK aláírás érkeztetési flyamata: Az OFIK az bemeneti üzeneteinek (message queue) srába a pnt szerint kapja az XML tartalmat. A beérkezı XML aláírást az OFIK idıbélyeggel (ds:signaturetimestamp) bıvíti. Az OFIK aláírás ellenırzési flyamata: az üzenet struktúrájának az ellenırzése "Az Infrmatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható elektrnikus aláírás frmátumk mőszaki specifikációjára" ajánlás (ld. 3. táblázat), valamint a pnt szerint (az XML üzenet-validáció elsı szakasza); az XSD szerinti érvényesség-ellenırzés az aláíró-tanúsítvány kiadójának ellenırzése az érvényességi lánc felépítésével, a KGYHSZ, vagy az Educati Kht. zártkörő hitelesítés szlgáltatásának tanúsítványkiadója alapján az aláírásplitika aznsító adatainak (ld. 5.2 pnt) az ellenırzése az XML aláírásban (SignaturePlicyIdentifier elem) a kötelezettségvállalásra vnatkzó bejegyzés aznsító adatainak (ld pnt) az ellenırzése az XML aláírásban (CmmitmentTypeIndicatin elem) az aláíró-tanúsítvány érvényesség-ellenırzése az XML tartalm megfelelıségének ellenırzése az OFIK által kiadtt specifikáció (XSD) szerint (a XML üzenet-validáció másdik szakasza) az aláíró jgsultságának az ellenırzése az OFIK kezelt jgsultsági adatk (ld pntban), ezek között az aláíró-tanúsítvány lenymatának (SHA-1 érték) felhasználásával történik integritás-ellenırzés az XML aláírás felhasználásával Az OFIK aláírási flyamata: A alapján az OFIK XAdES-T aláírással technikai üzenetet (hibaüzenet, vagy feldlgzáshz történı tvábbításra vnatkzó üzenetet) küld az intézménynek az ellenırzés elsı ütemének lezárásáról (kivárási idıt az OFIK nem alkalmaz) az aláíró-tanúsítvány állaptának ellenırzése, a visszavnási lista (CRL) szlgáltatás alkalmasságának, valamint a kivárási idı leteltével, a visszavnási infrmációk értékelése alapján fellelt esetleges hibákra vnatkzóan, XAdES-T aláírással küld üzenetet (kötelezettségvállalás-típus: adatszlgáltatás) 6 A tvábbi infrmációkat a megfelelı mőszaki dkumentumk tartalmazzák. 23/27

24 a feldlgzás kimenetelérıl, vagy az adatterítésre (intézménytörzs és személyes adatk) XAdES-C, vagy egyes esetekben XAdES-A aláírással küld üzenetet (kötelezettségvállalás-típus: adatszlgáltatás és/vagy nyugta). A kezelt üzenetek archiválásra kerülnek. A megfelelı XML aláírással küldött tartalm, a kivárási idıt követıen, XAdES-A aláírás-frmátummal kerül letárlásra. A hibás üzenet egy erre a célra elkülönített adatterületre kerül. 9. A VITÁS KÉRDÉSEK RENDEZÉSE Az Educati Kht. az esetleges vitás kérdések megtárgyalása, valamint a felmerülı prblémák meghatárzásának és megldásának érdekében a 6.7 pnt szerint támgatást nyújt. 24/27

25 1. MELLÉKLET: A SIGNATURE POLICY IDENTIFIER ELEM (TECHNIKAI ISMERTETİ) Az aláírásplitika megadása az aláírás frmátumban az alábbiak szerint történik. <SignaturePlicyIdentifier> <SignaturePlicyId> <SigPlicyId> <Identifier>web-elérés </Identifier> <Descriptin>OID: </Descriptin> </SigPlicyId> <SigPlicyHash> <ds:digestmethd Algrithm=" <ds:digestvalue> hash-érték </ds:digestvalue> </SigPlicyHash> <SigPlicyQualifiers> <SigPlicyQualifier> <SPURI> web-elérés </SPURI> <SPUserNtice> <ExplicitText> Az aláírásplitikát az Educati Kht. adta ki. A plitika a magyar elektrnikus aláírás törvény (2001. XXXV tv.) szerint készült. A plitika dkumentuma megtalálható a következı címen: OID: The electrnic signature plicy was issued by Educati Kht. This signature plicy has been prepared in accrdance with the Hungarian e-signature Law (2001. XXXV. tv.). The plicy dcument can be fund at OID: </ExplicitText> </SPUserNtice> </SigPlicyQualifier> </SigPlicyQualifiers> </SignaturePlicyIdentifier> Megjegyzés: web-elérés hash-érték állmányban szereplı érték 25/27

26 2. MELLÉKLET: A COMMITMENTTYPEINDICATION ELEM (TECHNIKAI ISMERTETİ) A kötelezettségvállalás az intézmények által küldött aláírásban: <CmmitmentTypeIndicatin> <CmmitmentTypeId> <Identifier Qualifier="OIDAsURN">urn:id: </Identifier> </CmmitmentTypeId> <AllSignedDataObjects></AllSignedDataObjects> </CmmitmentTypeIndicatin> A kötelezettségvállalás az OFIK által küldött aláírásban, ha az válaszként hibajelzést tartalmaz: <CmmitmentTypeIndicatin> <CmmitmentTypeId> <Identifier Qualifier="OIDAsURN">urn:id: </Identifier> </CmmitmentTypeId> <ObjectReference>hivatkzás a Reference elemre (Id attributumára), amelyhez ez a (prf f rigin) kötelezettségvállalás tartzik</objectreference> <AllSignedDataObjects></AllSignedDataObjects> </CmmitmentTypeIndicatin> 26/27

27 A kötelezettségvállalás az OFIK által küldött aláírásban, ha az választ és nyugtát is tartalmaz: <CmmitmentTypeIndicatin> <CmmitmentTypeId> <Identifier Qualifier="OIDAsURN">urn:id: </Identifier> </CmmitmentTypeId> <ObjectReference>hivatkzás a Reference elemre (Id attributumára), amelyhez ez a (prf f rigin) kötelezettségvállalás tartzik</objectreference> </CmmitmentTypeIndicatin> <CmmitmentTypeIndicatin> <CmmitmentTypeId> <Identifier Qualifier="OIDAsURN">urn:id: </Identifier> </CmmitmentTypeId> <ObjectReference>hivatkzás a Reference elemre (Id attributumára), amelyhez ez a (rf f receipt) kötelezettségvállalás tartzik</objectreference> </CmmitmentTypeIndicatin> 27/27