Az nformatikai és Hírközlési Minisztérium ajánlása a közigazgatásban alkalmazható végfelhasználói szerkezetének és adattartalmának műszaki specifikációjára 2005. november 1.
és adattartalomra TARTALMJEGYZÉK 1. Bevezetés... 3 1.1 A dokumentum célja... 3 1.2 Alapfogalmak... 3 1.3 A dokumentum hatóköre... 3 1.4 Figyelembe vett mértékadó dokumentumok... 4 1.5 Alkalmazási terület, olvasóközönség... 4 1.6 A dokumentum felépítése... 4 2. A osztályozása... 5 3. A egységes szerkezete és közös adattartalma... 6 4. A különböző különös adattartalma... 9 5. Hivatkozások... 14 6. Rövidítések... 14 2
1. Bevezetés Ez a dokumentum az elektronikus közigazgatásban alkalmazható nyilvános kulcsokhoz tartozó szerkezetére és adattartalmára nézve fogalmaz meg ajánlásokat. Az ajánlás a mértékadó nemzetközi dokumentumok elemzése, a közigazgatás igényeinek és a hazai kereskedelmi hitelesítésszolgáltatók gyakorlatának felmérése, majd ennek nyomán az alternatív lehetőségek körében meghozott - szakmai konszenzuson alapuló döntések eredményeként jött létre. 1.1 A dokumentum célja Ezt a dokumentumot az nformatikai és Hírközlési Minisztérium az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságának, együttműködési képességének és egységes használatának támogatása érdekében teszi közzé Az elektronikus ügyintézést lehetővé tevő informatikai rendszerek biztonságáról, együttműködési képességéről és egységes használatáról szóló 195/2005. (X. 22.) Korm. rendelet 3. (1) bekezdésében foglaltak alapján. A dokumentum elsődleges célja a közigazgatás informatikai rendszereiben biztonságos azonosításnál, elektronikus aláírásnál, valamint titkosításnál alkalmazható végfelhasználói ajánlott szerkezetének és adattartalmának a meghatározása. Miután biztonságos azonosításra, elektronikus aláírásra és titkosításra nemcsak a közigazgatás informatikai rendszereiben, s az ezekkel közvetlen kapcsolatba kerülő ügyfeleknél van szükség, s mivel az együttműködési képesség is általános elvárás, ezért a jelen dokumentumban meghatározott szerkezetek és adattartalmak a közszféra más területein, valamint a magánszférában használt azonosító, aláíró és titkosító alkalmazások számára is ajánlásként szolgálhat. 1.2 Alapfogalmak A szerkezetére és adattartalmára vonatkozó elvárások egyértelmű értelmezéséhez szükséges fogalmakat ismertnek tételezzük fel, tekintettel a dokumentum megcélzott olvasóközönségére (lásd 1.5 pont). 1.3 A dokumentum hatóköre Jelen dokumentum az alábbiak számára kibocsátott ra nézve határozza meg a szerkezetet és az elvárt adattartalmat: a közigazgatást képviselő személyek (ügyintézők), a közigazgatást képviselő automatizmusok (szerverek), a közigazgatással kapcsolatba kerülő ügyfelek, a közigazgatással kapcsolatba kerülő ügyfelek által működtetett automatizmusok (szerverek). A jelen dokumentum hatókörébe tartozó at (és az ezekhez tartozó nyilvános és magánkulcsokat) az alábbi felhasználási célok egyikére bocsátották ki: biztonságos felhasználói azonosítás, hitelesítés, elektronikus aláírás és az aláírás ellenőrzése, titkosítás, illetve dekódolás. 3
Amennyiben egy tanúsítványról azt állítják, hogy az megfelel jelen ajánlásnak, akkor az adott tanúsítvány szerkezetének és adattartalmának meg kell felelnie a dokumentumban megfogalmazott valamennyi kötelező elvárásnak, az opcionális megoldásokat viszont nem feltétlenül kell támogatnia. 1.4 Figyelembe vett mértékadó dokumentumok Ez az ajánlás az alábbi nemzetközi mértékadó dokumentumokon alapul: RFC 3280 Certificate and Certificate Revocation List (CRL) Profile [1], RFC 3739 nternet X.509 Public Key nfrastructure Qualified Certificates Profile [2], ETS TS 101 862 Qualified Certificate Profile [3], Mivel a fenti dokumentumok széleskörűen elfogadottak, ezért az ajánlásnak megfelelő at a szabványos megoldásokat támogató alkalmazások képesek értelmezni és feldolgozni. 1.5 Alkalmazási terület, olvasóközönség Ez az ajánlás elsősorban a közigazgatási szektor számára készült, de alkalmazhatják a közszféra más területein, valamint a magánszférában is. Az első fejezet minden (elektronikus aláírás iránt) érdeklődő olvasónak szól, köztük a nyilvános kulcsú kriptográfiát (azonosításra, elektronikus aláírásra vagy titkosításra) felhasználóknak és a különböző elektronikus szolgáltatások rendszerfejlesztőinek is. A dokumentum további részei (a szerkezetére és adattartalmára vonatkozó részletes műszaki specifikáció, illetve a magyarázó és szemléltető részek) elsősorban az alábbi szereplők műszaki szakemberei számára készültek: at kibocsátó hitelesítésszolgáltatók, nyilvános kulcsú kriptográfiát (azonosítást, elektronikus aláírást vagy titkosítást) megvalósító alkalmazásokat fejlesztők, nyilvános kulcsú kriptográfiát megvalósító alkalmazásokat értékelők és tanúsítók. 1.6 A dokumentum felépítése A dokumentum további része az alábbi szerkezetet követi: A 2. fejezet a közigazgatásban megkülönböztetett 14 végfelhasználói tanúsítvány osztályozását és sorszámozását határozza meg. A 3. fejezet a jelen ajánlás által érintett valamennyi tanúsítvány egységes szerkezetét és közös adattartalmát adja meg. A 4. fejezet az ajánlás által érintett különböző ra vonatkozó eltérő adattartalom elvárásokat fogalmazza meg. Az 5. és 6. fejezetek a hivatkozásokat és a rövidítések jelentését adják meg. 4
2. A osztályozása Ez az ajánlás 14 különböző tanúsítvány szerkezetre tesz javaslatot a magyar közigazgatás elektronikus kommunikációjához. A megkülönböztetés az alábbi szempontok szerint történt: kinek kerül kiadásra az adott tanúsítvány: a közigazgatást képviselő személy (ügyintéző), a közigazgatást képviselő szerver, a közigazgatás ügyfele, milyen felhasználási célra engedélyezett az adott tanúsítvány: letagadhatatlanságot biztosító elektronikus aláírás létrehozására, felhasználói hitelesítésre, titkosításra. elektronikus aláírás célú esetén milyen biztonsági szintű felhasználásra készült az adott tanúsítvány: minősített elektronikus aláíráshoz is használható, csak fokozott biztonságú (de nem minősített) elektronikus aláíráshoz használható. Az alábbi táblázat megadja a 14 különböző tanúsítványra alkalmazott megkülönböztető sorszámot 1 : Közigazgatást képviselő automatizmusok (szerverek) Közigazgatást képviselő Ügyintézők a közigazgatás ügyfelei a közigazgatással kapcsolatba kerülő ügyfelek által működtetett automatizmusok (szerverek) Felhasználói Letagadhatatlanság (aláírás) Titkosítás azonosítás és hitelesítés minősített elektronikus aláírás fokozott biztonságú elektronikus aláírás 1 2-3 4 3 5 6 7 8 9 10 11 12 13-15 16 1. táblázat: a megkülönböztető sorszáma 1 A táblázatból hiányzik a 2-es és a 14-es sorszám, mivel csak természetes személynek lehet minősített tanúsítványa. 2 Értve ez alatt a web-es SSL (V1.0) szervert 3 Értve ez alatt a web-es VP (V1.0) szervert 5
3. A egységes szerkezete és közös adattartalma Valamennyi tanúsítvány az [1]-ben meghatározott alábbi szerkezetet követi: Mező/Attribútum Kötelezőség Jelen ajánlás szerint Jelen ajánlás szerint elvárt adattartalom M//F 4 kitöltendő? // 5 TBSCertificate M részletezve a 3. táblázatban signaturealgorithm algorithm parameters M sha1rsa 7 6 signaturevalue M az aláírás értéke 8 2. táblázat: a általános szerkezete és elvárt közös adattartalma Mező/Attribútum Kötelezőség M//F Jelen ajánlás szerint kitöltendő? // Jelen ajánlás szerint elvárt adattartalom TBSCertificate Version M V3 serialumber M HSz által generált adat signature M sha1rsa 9 ssuer country organization organization-unit distinguised name qualifier state or province name common name serial number Validity notbefore notafter M M HU a kibocsátó HSz szervezet neve a kibocsátó HSz részlegének neve a kibocsátó HSz neve a kiadás dátuma és időpontja a kiadás dátuma és időpontja + a tanúsítvány érvényességi időtartama 10 Subject M részletezve a 8. táblázatban subjectpublickeynfo algorithm subjectpublickey M RSA (legalább 1024 bites kulccsal) 11 A végfelhasználó nyilvános kulcsa issueruniqued F subjectuniqued F extensions részletezve a 4. táblázatban 3. táblázat: a TBSCertificate részletes szerkezete és elvárt adattartalma 4 M: Mandatory, azaz kötelező, : ptional, azaz opcionális, F: Forbidden, azaz tiltott. 5 : gen, : em, : pcionális 6 Mivel az egyetlen támogatott aláíró algoritmusnak (RSA) nincsenek paraméterei 7 Melynek D-je: 1.2.840.113549.1.1.5 8 Legalább 256 bájt 9 Melynek D-je: 1.2.840.113549.1.1.5 10 Mindkét időpont: UTCTime 11 Melynek D-je: 1.2.840.113549.1.1.1 6
Mező/Attribútum M//F // Jelen ajánlás szerint elvárt adattartalom extensions Standard Extensions részletezve az 5. táblázatban nternet Certificate Extensions részletezve a 6. táblázatban Qualified Certificates Profile Extensions 12 részletezve a 7. táblázatban 4. táblázat: a kiterjesztések (extensions) általános szerkezete Mező/Attribútum M//F kitöltendő // Standard extensions AuthorityKeyldentifier keydentifier authoritycertssuer authoritycertserialumber kritikusság C/ 13 Jelen ajánlás szerint elvárt adattartalom a HSz által generált adat 14 SubjectKeyldentifier keydentifier M a HSz által generált adat KeyUsage M C részletezve a 9. táblázatban PrivateKeyUsagePeriod F Certificate Policies M részletezve a 10. táblázatban PolicyMappings SubjectAltame otherame rfc822ame dsame x400address directoryame edipartyame uniformresourcedentifier ipaddress registeredd felhasznalonev@domain.hu ssueraltame - SubjectDirectoryAttributes BasicConstraints ca M C False 15 ameconstraints F 16 PolicyConstraints ExtKeyUsage részletezve a 11. táblázatban CRLDistributionPoints distributionpoint URL=http://www.domain.hu/ca_crl 17 inhibitanypolicy FreshestCRL 5. táblázat: a Standard extensions részletes szerkezete és elvárt közös adattartalma 12 Melyet a többi elemtől eltérően nem [1], hanem [2] vezetett be, majd [3] tovább pontosított. 13 C: Critical, azaz kritikus, : on-critical, azaz nem kritikus 14 Meg kell egyeznie a tanúsítványt kibocsátó HSz megfelelő szolgáltatói tanúsítványának AuthorityKeyldentifier kiterjesztésébe helyezett keydentifier értékével. 15 Mivel végfelhasználói és nem szolgáltatói ról van szó. 16 Csak szolgáltatói ban lehet használni ezt a kiterjesztést. 17 A CRL elérési helye. 7
Mező/Attribútum M//F kitöltendő // kritikusság C/ nternet Certificate Extensions [1] Authority nformation Access accessmethod accesslocation [2] Authority nformation Access 20 accessmethod accesslocation Subject nformation Access Jelen ajánlás szerint elvárt adattartalom 1.3.6.1.5.5.7.48.2 18 URL=http://www.domain.hu/ca_cert 19 1.3.6.1.5.5.7.48.1 21 URL=http://www.domain.hu/ca_ocsp 22 a HSz által generált adat 23 6. táblázat: az nternet Certificate Extensions részletes szerkezete és elvárt közös adattartalma 18 Ami a tanúsítványkiadói tanúsítvány hozzáférésének D-je 19 Az CSP szolgáltatás elérési helye 20 Abban az esetben kell kitölteni, ha a HSz az adott tanúsítvánnyal kapcsolatosan CSP szolgáltatást is nyújt. 21 Ami az CSP hozzáférésének D-je 22 Az CSP szolgáltatás elérési helye 23 Meg kell egyeznie a tanúsítványt kibocsátó HSz megfelelő szolgálati tanúsítványának AuthorityKeyldentifier kiterjesztésébe helyezett keydentifier értékével. 8
4. A különböző különös adattartalma QCStatements qcstatement-1 qcstatement-2 qcstatement-3 qcstatement-4 minősített elektronikus aláíráshoz tartozó D 1.3.6.1.5.5.7.1 24 0.4.0.1862.1.1 25 0.4.0.1862.1.2 26 0.4.0.1862.1.3 27 0.4.0.1862.1.4 28 (6,10) kitöltendő // 29 30 kritikusság C/ nem minősített elektronikus aláíráshoz tartozó (1,3,4,5,7,8,9,11,12, 13, 15, 16) 7. táblázat: a minősített aláíráshoz tartozó Qualified Certificates Profile Extensions kiterjesztésének elvárt adattartalma 24 Mely a [2] által bevezetett D a qcstatements kiterjesztésre 25 Mely a [3] által bevezetett D a QcCompliance nyilatkozatra, az alábbi jelentéssel: yilatkozat ezen tanúsítvány kibocsátója részéről, hogy a jelen tanúsítvány a Magyar Köztársaság elektronikus aláírásról szóló 2001. évi XXXV. törvényében foglaltaknak (amely követelmények alapját az Európai Parlament és a Tanács által 1999. december 13-án elfogadott 1999/93/EC direktíva függelékeiben (Annex és Annex ) leírtak adják) megfelelő minősített tanúsítvány. 26 A[3] által bevezetett QcLimitValue nyilatkozat, mely az elektronikus aláírással lebonyolított pénzügyi műveletek felső korlátjának értékét határozza meg.. 27 Mely a [3] által bevezetett D a QcRetentionPeriod nyilatkozatra, az alábbi jelentéssel: yilatkozat ezen tanúsítvány kibocsátója részéről, hogy a jelen tanúsítvány tulajdonosáról (a tanúsítvány igénylésekor) felvett adatokat a tanúsítvány érvényességének lejárta után 10 évig megőrzik. 28 Mely a [3] által bevezetett D a QcSSCD nyilatkozatra, az alábbi jelentéssel: yilatkozat ezen tanúsítvány kibocsátója részéről, hogy a jelen tanúsítványban szereplő nyilvános kulcshoz tartozó magánkulcs a Magyar Köztársaság elektronikus aláírásról szóló 2001. évi XXXV. törvényében foglaltaknak (amely követelmények alapját az Európai Parlament és a Tanács által 1999. december 13-án elfogadott 1999/93/EC direktíva függelékében (Annex ) leírtak adják) megfelelő biztonságos aláírás-létrehozó eszközön (BALE) van tárolva. 29 pcionálisan kitölthető 0 értékkel is 30 Ezt a kiterjesztést csak abban az esetben kell kitölteni, ha a minősített tanúsítványt BALE-n adják ki. 9
Subject country organization organization-unit distinguised name qualifier state or province name common name serial number locality title surname given name initials pseudonym generation qualifier A közigazgatást képviselő szerverhez tartozó (1,3,4) HU a közigazgatási szerv a szerver neve 31 Közigazgatást képviselő ügyintézőhöz tartozó (5,6,7,8) HU a közigazgatási szerv osztály/részleg név 32 sorszám 33 opcionális opcionális 34 vezetéknév 35 A közigazgatás ügyfeléhez tartozó (9,10,11,12) HU - / szervezet - / osztály/részleg 36 név 37 sorszám 38 opcionális opcionális vezetéknév 39 8. táblázat: a különböző Subject elemének elvárt adattartalma A közigazgatás ügyfelei által működtetett szerverhez tartozó (13, 15, 16) HU szervezet a szerver neve 40 31 A szerver DS szerinti, vagy egyéb módon hitelesített elnevezése, szóköz elválasztójel(eke)t és az UTF-8 kódolást [4] használva. 32 Az ügyintéző neve, mely betű szerint azonos a regisztráció alapjául szolgáló igazolványban foglalt névvel, szóköz elválasztójel(eke)t és az UTF8 kódolást használva. 33 A betű szerint azonos common name mezőtartalommal rendelkező köztisztviselők megkülönböztetését szolgáló egyedi sorszám, melyet a hitelesítésszolgáltató generál. 34 pcionális és kizárólag tájékoztató információ az ügyintéző esetleges beosztásáról (pl. bíró, köztisztviselő, főhadnagy) 35 A common name mező azon része, mely az ügyintéző vezetéknevének tekintendő. A given name /amennyiben pl. adatbázisoknál erre szükség van) már származtatható: a common name azon része, mely a surname mező tartalmát egészíti ki. 36 A szervezet és szervezeti egység mezőt általában nem kell kitölteni. Abban az esetben, ha az ügyfél tanúsítványával kifejezetten jelezni kívánja, hogy ő egy adott szervezethez tartozik, akkor e mezőket ki lehet tölteni. A fenti mezők tartalmát a közigazgatáson belüli alkalmazások figyelmen kívül hagyják, ezeknek csak a közigazgatáson kívül tulajdonítható meghatározott jelentés. 37 Az ügyfél neve, mely betű szerint azonos a regisztráció alapjául szolgáló igazolványban foglalt névvel, szóköz elválasztójel(eke)t és az UTF8 kódolást használva. 38 A betű szerint azonos common name mezőtartalommal rendelkező ügyfelek megkülönböztetését szolgáló egyedi sorszám, melyet a hitelesítésszolgáltató generál. 39 A common name mező azon része, mely az ügyfél vezetéknevének tekintendő. A given name /amennyiben pl. adatbázisoknál erre szükség van) már származtatható: a common name azon része, mely a surname mező tartalmát egészíti ki. 40 A szerver DS szerinti, vagy egyéb módon hitelesített elnevezése, szóköz elválasztójel(eke)t és az UTF-8 kódolást [4] használva. 10
KeyUsage digitalsignature nonrepudiation keyencipherment dataencipherment keyagreement keycertsign crlsign enciphernly deciphernly Felhasználói hitelesítés célú SSL Személyek szerver (1, 13) (5,9) Letagadhatatlanság (aláírás) célú minősített elektronikus aláíráshoz tartozó (6,10) Fokozott biztonságú elektronikus aláíráshoz tartozó (3,7,11, 15) opc. Titkosítás célú VP szerver Személyek (4, 16) 9. táblázat: a különböző KeyUsage kiterjesztésének elvárt adattartalma (8,12) 11
A közigazgatást képviselő szerver tanúsítványai Közigazgatást képviselő ügyintézőhöz tartozó (5,6,7,8) Az ügyfél tanúsítványai A közigazgatás ügyfelei által működtetett szerver tanúsítványai (13, 15, 16) (1,3,4) (9,10,11,12) Certificate Policies [1] Certificate Policy CertPolicyD 41 CertPolicyD CertPolicyD CertPolicyD [1,1]Policy Qualifier nfo: policyqualifierd qualifier [1,2]Policy Qualifier nfo: policyqualifierd qualifier CPS 42 URL=http://www.dom ain.hu/ca_cps 43 User otice 46 A tanúsítvány tulajdonosa: a közigazgatás szervere. CPS URL=http://www.dom ain.hu/ca.cps User otice A tanúsítvány tulajdonosa: a közigazgatásban eljáró személy. CPS URL=http://www.dom ain.hu/ca.cps User otice A tanúsítvány tulajdonosa: a közigazgatás ügyfele. CPS 44 URL=http://www.dom ain.hu/ca_cps 45 User otice 47 A tanúsítvány tulajdonosa: a közigazgatás ügyfelének szervere. A User otice alábbi folytatása csak a 3. (aláírás célú) tanúsítványban szerepel: A User otice alábbi folytatása csak a 6. és 7. (aláírás célú) tanúsítványban szerepel: A User otice alábbi folytatása csak a 10. és 11. (aláírás célú) tanúsítványban szerepel: A User otice alábbi folytatása csak a 15. (aláírás célú) tanúsítványban szerepel: A közigazgatási gyökérhitelesítésszolgáltató (KGYHSZ) elhárít minden - ideértve a kárért való - felelősséget, amely az általa kiadott tanúsítvány használatából, visszavonásából, a kiadási szabályzat megsértéséből, a KGYHSZ magatartásából, intézkedéséből, vagy annak hiányából ered. A közigazgatási gyökérhitelesítésszolgáltató (KGYHSZ) elhárít minden - ideértve a kárért való - felelősséget, amely az általa kiadott tanúsítvány használatából, visszavonásából, a kiadási szabályzat megsértéséből, a KGYHSZ magatartásából, intézkedéséből, vagy annak hiányából ered. A közigazgatási gyökérhitelesítésszolgáltató (KGYHSZ) elhárít minden - ideértve a kárért való - felelősséget, amely az általa kiadott tanúsítvány használatából, visszavonásából, a kiadási szabályzat megsértéséből, a KGYHSZ magatartásából, intézkedéséből, vagy annak hiányából ered. A közigazgatási gyökérhitelesítésszolgáltató (KGYHSZ) elhárít minden - ideértve a kárért való - felelősséget, amely az általa kiadott tanúsítvány használatából, visszavonásából, a kiadási szabályzat megsértéséből, a KGYHSZ magatartásából, intézkedéséből, vagy annak hiányából ered. 10. táblázat: a különböző Certificate Policies kiterjesztésének elvárt adattartalma 41 A HSz által alkalmazott hitelesítési rend D-je. 42 A CPS D-je: 1.3.6.1.5.5.7.2.1 43 A CPS (szolgáltatási szabályzat) elérési helye. 44 A CPS D-je: 1.3.6.1.5.5.7.2.1 45 A CPS (szolgáltatási szabályzat) elérési helye. 46 A User otice D-je: 1.3.6.1.5.5.7.2.2 47 A User otice D-je: 1.3.6.1.5.5.7.2.2 12
ExtKeyUsage keypurposed keypurposed Felhasználói hitelesítés célú SSL szerver (1, 13) Személyek (5,9) Letagadhatatlanság (aláírás) célú minősített elektronikus aláíráshoz tartozó (6,10) Fokozott biztonságú elektronikus aláíráshoz tartozó (3,7,11, 15) Titkosítás célú VP szerver Személyek (4, 16) (8,12) serverauth 48 TLS 50 Secure Email 52 Psec_end 53 Secure Email 55 clientauth 49 SCLogon 51 P KE 54 11. táblázat: a különböző ExtKeyUsage kiterjesztésének elvárt adattartalma 48 A serverauth D-je: 1.3.6.1.5.5.7.3.1 49 A clientauth D-je: 1.3.6.1.5.5.7.3.2 50 A TLS Client Authentication D-je: 1.3.6.1.5.5.7.3.2 51 A Smart Card Logon D-je: 1.3.6.1.4.1.311.20.2.2 52 A Secure Email D-je: 1.3.6.1.5.5.7.3.4 53 Az PSec end system D-je: 1.3.6.1.5.5.7.3.5 54 Az P security KE intermediate D-je: 1.3.6.1.5.5.8.2.2 55 A Secure Email D-je: 1.3.6.1.5.5.7.3.4 13
5. Hivatkozások [1] RFC 3280 Certificate and Certificate Revocation List (CRL) Profile [2] RFC 3739 nternet X.509 Public Key nfrastructure Qualified Certificates Profile [3] ETS TS 101 862 Qualified Certificate Profile v1.3.1 [4] RFC 3629 UTF-8, a transformation format of S 10646 6. Rövidítések BALE HSz CRL CSP Biztonságos aláírás-létrehozó eszköz Hitelesítésszolgáltató Cetification Revocation List nline Certificate Status Protocol UTF-8 Uniform Transformation format -8 14