ΚΕΝΤΡΟ ΑΞΙΟΠΙΣΤΙΑΣ BYTE. BYTE General CA ΠΠ (CP) Πολιτική Πιστοποιητικών (ΠΠ)

Transcript

1 ΚΕΝΤΡΟ ΑΞΙΟΠΙΣΤΙΑΣ BYTE BYTE General CA ΠΠ (CP) Αναγνωρισμένα πιστοποιητικά για τη δημιουργία ψηφιακών υπογραφών Πολιτική Πιστοποιητικών (ΠΠ) Υπεύθυνος του Έργου: Έμπιστη Αρχή BYTE Στοιχεία της ΑΠ: Αρχή Πιστοποίησης (ΑΠ) BYTE General CA Διαβάθμιση: Έγγραφο: BYTE QC General CA CP_1.001_gr Ημερομηνία Έναρξης Ισχύος: 16/11/2014 Με την επιφύλαξη παντός δικαιώματος: Η εταιρεία BYTE διατηρεί όλα τα δικαιώματα πνευματικής ιδιοκτησίας ως προς το περιεχόμενο του παρόντος εγγράφου ή έχει δεόντως εξουσιοδοτηθεί να το χρησιμοποιεί. Όλα τα σήματα στο παρόν έγγραφο χρησιμοποιούνται μόνο για την ταυτοποίηση των προϊόντων και των υπηρεσιών και υπόκεινται στους κανόνες προστασίας που προβλέπονται από το νόμο. Κανένα τμήμα του παρόντος εγγράφου δεν δύναται να φωτοτυπηθεί, αντιγραφεί, αποθηκευτεί, μεταφραστεί ή διαβιβαστεί σε τρίτους με οιοδήποτε μέσο χωρίς την προηγούμενη έγγραφη άδεια της ΒΥΤΕ. Ο Πελάτης θα πρέπει επίσης να διασφαλίσει ότι η «τεχνογνωσία» και οι μέθοδοι εργασίας που έχει θεσπίσει η BYTE δεν θα χρησιμοποιηθούν εκτός του πεδίου εφαρμογής του έργου, ούτε θα διαβιβαστούν σε τρίτους. Εμπιστευτικότητα Όλες οι πληροφορίες που παρουσιάζονται στις σελίδες του παρόντος εγγράφου, συμπεριλαμβανομένων των οργανωτικών εννοιών, είναι απόρρητες εμπορικές ή οικονομικές πληροφορίες, εμπιστευτικές ή απαραβίαστες, και αποτελούν ιδιοκτησία της ΒΥΤΕ. Τίθενται στη διάθεση του Πελάτη γνωρίζοντας ότι δεν θα χρησιμοποιηθούν ούτε θα γνωστοποιηθούν χωρίς την άδεια της ΒΥΤΕ για οποιονδήποτε άλλο σκοπό εκτός από εκείνους του σχεδίου, και σύμφωνα με τους όρους που μπορεί να ορίζονται στο τελικό σχέδιο. Ο Πελάτης μπορεί να επιτρέψει σε ορισμένους υπαλλήλους, συμβούλους, και εντολοδόχους οι οποίοι μπορεί να χρειαστεί να γνωρίζουν το περιεχόμενο του παρόντος εγγράφου, να έχουν πρόσβαση σε αυτό το περιεχόμενο, αλλά θα πρέπει να λάβει τα δέοντα μέτρα για να διασφαλίσει ότι τα εν λόγω φυσικά ή νομικά πρόσωπα οφείλουν να το διατηρούν εμπιστευτικό. Οι αναφερόμενοι περιορισμοί δεν περιορίζουν το δικαίωμα χρήσης ή γνωστοποίησης πληροφοριών σε αυτό το έγγραφο από τον Πελάτη, όταν λαμβάνονται από οποιαδήποτε άλλη πηγή που δεν υπόκειται σε οιουσδήποτε κανόνες απορρήτου, ή όταν η πληροφορία πριν δοθεί έχει ήδη αποκαλυφθεί από τρίτους. BYTE Α.Ε. Καλλιρρόης 98 & Τριβόλη Αθήνα, Ελλάδα. Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 1 / 64

2 Πίνακας Περιεχομένων 0. Γενικό Πλαίσιο Εισαγωγή Επισκόπηση Ονομασία και Ταυτοποίηση Εγγράφου Συμμετέχοντες στην Υποδομή υ Κλειδιού (ΥΔΚ) Αρχές Πιστοποίησης Αρχές Εγγραφής - Registration Authorities Συνδρομητές (Υποκείμενο, Κάτοχοι τίτλου, Χρήστες) Βασιζόμενα Μέρη (Relying Parties) Συμμετέχων Αρχή Διαπίστευσης Ανεξάρτητος Ελεγκτής Χρήση Πιστοποιητικού Κατάλληλες Χρήσεις Πιστοποιητικών Μη-εξουσιοδοτημένη (απαγορευμένη) Χρήση Διαχείριση Πολιτικής Οργανισμός που χορηγεί το έγγραφο Ορισμοί και Ακρωνύμια Υποχρεώσεις όσον αφορά θέματα δημοσίευσης και αποθετηρίου Αποθετήρια Δημοσίευση Στοιχείων Πιστοποιητικού Χρόνος και Συχνότητα Δημοσίευσης Έλεγχος Πρόσβασης στα Αποθετήρια Αναγνώριση και Επιβεβαίωση της Γνησιότητας Ονοματοδοσία Τύποι ονομάτων Η σημασία της σωστής ονοματοδοσίας Ανωνυμία ή Ψευδωνυμία Συνδρομητών Μοναδικότητα των Ονομάτων Αρχική Επαλήθευση Ταυτότητας Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 2 / 64

3 Μέθοδος Απόδειξης της Κατοχής Ιδιωτικού Κλειδιού Επιβεβαίωση της γνησιότητας των στοιχείων φυσικών προσώπων Μη-Επαληθευμένα Στοιχεία Συνδρομητή Έλεγχος Ταυτότητας μίας Αρχής Κριτήρια Διαλειτουργικότητας Ταυτοποίηση και Επιβεβαίωση Γνησιότητας για Αιτήματα Επαναδημιουργίας Κλειδιών Ταυτοποίηση και Επιβεβαίωση γνησιότητας για Τακτική Επαναδημιουργία Κλειδιών Αναγνώριση και ταυτοποίηση για επαναδημιουργία κλειδιών μετά την ανάκληση πιστοποιητικού Αναγνώριση και Ταυτοποίηση για Αίτημα Ανάκλησης Λειτουργικές Απαιτήσεις κατά τη Διάρκεια Ζωής Πιστοποιητικού Αίτηση για Πιστοποιητικό Ποιος μπορεί να υποβάλει αίτηση πιστοποιητικού Διαδικασία εγγραφής και υποχρεώσεις Επεξεργασία Αίτησης Πιστοποιητικού Αίτημα έκδοσης πιστοποιητικού από ΑΠ BYTE Έκδοση Πιστοποιητικού Ενέργειες ΑΠ κατά την Έκδοση Πιστοποιητικών Κοινοποίηση της έκδοσης του πιστοποιητικού στον συνδρομητή Αποδοχή Πιστοποιητικού Ενέργειες Αποδοχής Πιστοποιητικού Δημοσίευση του Πιστοποιητικού Κοινοποίηση της Έκδοσης Πιστοποιητικού στις Λοιπές Οντότητες Χρήση Ζεύγους Κλειδιών και Πιστοποιητικού Χρήση Ιδιωτικού Κλειδιού Συνδρομητή και Πιστοποιητικού Χρήση υ Κλειδιού Βασιζόμενου Μέρους και Πιστοποιητικού Ανανέωση Πιστοποιητικού με Δημιουργία Νέου Ζεύγους Κλειδιών Συνθήκες για ανανέωση του πιστοποιητικού, Δημιουργία Νέου Ζεύγους Κλειδιών Ποιος μπορεί να ζητήσει Πιστοποιητικό Νέου υ Κλειδιού Επεξεργασία Αιτήσεων Ανανέωσης Πιστοποιητικού με Δημιουργία Νέου Ζεύγους Κλειδιών 32 Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 3 / 64

4 Κοινοποίηση Έκδοσης Νέου Πιστοποιητικού στον Συνδρομητή Ενέργειες Αποδοχής Ανανέωσης Πιστοποιητικού με Δημιουργία Νέου Ζεύγους Κλειδιών Δημοσίευση ενός ανανεωμένου πιστοποιητικού με Δημιουργία Νέου Ζεύγους Κλειδιών Κοινοποίηση της Έκδοσης Ανανεωμένου Πιστοποιητικού στις Λοιπές Οντότητες Επαναδημιουργία Κλειδιών Πιστοποιητικού Συνθήκες για Επαναδημιουργία Κλειδιών Πιστοποιητικού Ποιοι μπορούν να Αιτηθούν την Πιστοποίηση Νέου υ Κλειδιού Επεξεργασία Αιτήματος Επαναδημιουργίας Κλειδιών Πιστοποιητικού Κοινοποίηση Έκδοσης Νέου Πιστοποιητικού στον Συνδρομητή Ενέργειες Αποδοχής Πιστοποιητικού Επαναδημιουργίας Κλειδιών Δημοσίευση Πιστοποιητικού Επαναδημιουργίας Κλειδιών Κοινοποίηση της Έκδοσης Πιστοποιητικού στις Λοιπές Οντότητες Τροποποίηση Πιστοποιητικού Λόγοι αλλαγής του πιστοποιητικού Ποιος μπορεί να αιτηθεί Τροποποίηση Πιστοποιητικού Επεξεργασία Αιτημάτων Τροποποίησης Πιστοποιητικού Κοινοποίηση Έκδοσης Νέου Πιστοποιητικού στον Συνδρομητή Ενέργειες Αποδοχής Τροποποιημένου Πιστοποιητικού Δημοσίευση Τροποποιημένου Πιστοποιητικού από την ΑΠ Κοινοποίηση Έκδοσης Πιστοποιητικού από την ΑΠ προς Άλλες Οντότητες Αναστολή και Ανάκληση Πιστοποιητικού Συνθήκες για Αναστολή Πιστοποιητικού Ποιοι μπορούν να Αιτηθούν την Αναστολή Πιστοποιητικού Διαδικασία Υποβολής Αιτήματος Αναστολής Περιορισμοί για το Χρονικό Διάστημα Αναστολής Άλλα έντυπα διαθέσιμα για την κοινοποίηση της αναστολής Συνθήκες για Ανάκληση Πιστοποιητικού Ποιοι μπορούν να Αιτηθούν την Ανάκληση Πιστοποιητικού Διαδικασία Υποβολής Αιτήματος Ανάκλησης Πιστοποιητικού Περίοδος Χάριτος του Αιτήματος Ανάκλησης Χρονική Περίοδος Διεκπεραίωσης της Διαδικασίας Ανάκλησης Απαιτήσεις Ελέγχου Κατάστασης Ανακληθέντων Πιστοποιητικών Βασιζόμενα Μέρη Συχνότητα έκδοσης Καταλόγου Ανακληθέντων Πιστοποιητικών (ΚΑΠ) Μέγιστη Χρονική Περίοδος μεταξύ Έκδοσης και Δημοσίευσης του ΚΑΠ Διαθεσιμότητα Επαλήθευσης της Κατάστασης / Ανάκλησης Πιστοποιητικού Απαιτήσεις για Διαδικτυακή Επαλήθευση της Ανάκλησης Άλλες Διαθέσιμες Μορφές Αναγγελίας Ανάκλησης Ειδικές Απαιτήσεις σχετικά με την Έκθεση σε Κίνδυνο του Κλειδιού Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 4 / 64

5 4.10. Υπηρεσίες Κατάστασης Πιστοποιητικών Λειτουργικά Χαρακτηριστικά Διαθεσιμότητα υπηρεσιών Προαιρετικά χαρακτηριστικά End of Subscription Παρακαταθήκη και Ανάκτηση Κλειδιού Μέτρα Προστασίας εγκαταστάσεων, διαχείρισης, λειτουργίας και ΦΥΣΙΚΑ Μέτρα Προστασίας Φυσικά Μέτρα Ασφαλείας Χωροθέτηση και Κατασκευή του Χώρου Φυσική Πρόσβαση Παροχή Ηλεκτρικού Ρεύματος και Κλιματισμός Έκθεση σε Νερό Πρόληψη και Προστασία από Πυρκαγιά Αποθήκευση - Φύλαξη Μέσων Διάθεση αποβλήτων Φύλαξη αντιγράφων ασφαλείας εκτός του χώρου εγκαταστάσεων Διαδικαστικοί Έλεγχοι Ρόλοι Εμπιστοσύνης. Οι Ομάδες Εργασίας Αριθμός Προσώπων που απαιτούνται ανά τομέα εργασίας Ρόλοι που Απαιτούν Διαχωρισμό Καθηκόντων Έλεγχος Ασφαλείας Προσωπικού Απαιτήσεις σχετικές με τα προσόντα, την εμπειρία και την εξουσιοδότηση Διαδικασία ελέγχου ιστορικού (παρελθόντος) Απαιτήσεις κατάρτισης και πείρας Συχνότητα και απαιτήσεις εκπαίδευσης (π.χ. νέες επικαιροποιήσεις και υπηρεσίες) Συχνότητα και Απαιτήσεις για την Εναλλαγή Θέσεων Εργασίας Κυρώσεις για μη εξουσιοδοτημένες ενέργειες Απαιτήσεις περί Ανεξάρτητων Αναδόχων (ή/και παρόχων υπηρεσιών) Έντυπα που διατίθενται στο Προσωπικό Τύποι γεγονότων που καταχωρίζονται (καταγράφονται) Συχνότητα επεξεργασίας των αρχείων καταγραφής Περίοδος διατήρησης του ημερολογίου καταγραφής ελέγχων Προστασία του αρχείου καταγραφής Διαδικασίες εφεδρικών αντιγράφων των αρχείων καταγραφής Σύστημα συλλογής αρχείων ελέγχου (Εσωτερικό - Εξωτερικό) Κοινοποίηση στο υποκείμενο που προκάλεσε το περιστατικό Εκτίμηση Τρωτότητας Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 5 / 64

6 Είδη τηρούμενων αρχείων Περίοδος διατήρησης αρχείου Προστασία του Αρχείου Διαδικασίες Αρχειοθέτησης Εφεδρικών Αντιγράφων Απαιτήσεις για την χρονοσήμανση των αρχείων Σύστημα Ελέγχου Αρχείων (Εσωτερικό - Εξωτερικό) Διαδικασίες για την πρόσβαση και την επαλήθευση πληροφοριών αρχείου Αποκατάσταση Έπειτα από Καταστροφή και Έκθεση σε Κίνδυνο Παύση Εργασιών της ΑΠ ή της ΑΚ ΤΕΧΝΙΚΟΙ Έλεγχοι Ασφαλείας Παραγωγή και Εγκατάσταση Ζεύγους Κλειδιών Παραγωγή Ζεύγους Κλειδιών Παράδοση Ιδιωτικού Κλειδιού στον Συνδρομητή Παράδοση υ Κλειδιού στον εκδότη του πιστοποιητικού Παράδοση υ Κλειδιού ΑΠ σε βασιζόμενα μέρη Μέγεθος κλειδιού Δημιουργία παραμέτρων και έλεγχος ποιότητας δημόσιων κλειδιών Προστασία Ιδιωτικών Κλειδιών και Έλεγχοι Κρυπτογραφικής Μονάδας Πρότυπα και μέτρα ελέγχου κρυπτογραφικής μονάδας Έλεγχος του Ιδιωτικού Κλειδιού από Πολλαπλά Πρόσωπα (n από m) Παρακαταθήκη Ιδιωτικού Κλειδιού Δημιουργία αντίγραφου ασφαλείας Ιδιωτικού Κλειδιού ΑΠ Αρχειοθέτηση Ιδιωτικών Κλειδιών Μεταφορά Ιδιωτικού Κλειδιού προς/από κρυπτογραφική μονάδα Αποθήκευση Ιδιωτικού Κλειδιού σε κρυπτογραφική μονάδα Μέθοδος ενεργοποίησης ιδιωτικού κλειδιού Μέθοδος απενεργοποίησης ιδιωτικού κλειδιού Μέθοδος καταστροφής ιδιωτικού κλειδιού Αξιολόγηση Ασφαλείας κρυπτογραφικής μονάδας Άλλα θέματα διαχείρισης του Ζεύγους Κλειδιών Αρχειοθέτηση υ Κλειδιού Λειτουργικές περίοδοι πιστοποιητικών και περίοδος χρήσης ζεύγους κλειδιών Δεδομένα Ενεργοποίησης Παραγωγή και Εγκατάσταση δεδομένων ενεργοποίησης Προστασία δεδομένων ενεργοποίησης Άλλα θέματα για την ενεργοποίηση δεδομένων Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 6 / 64

7 6.5. Μέτρα Ασφαλείας των Υπολογιστών Τεχνικές Προδιαγραφές Ασφάλειας Υπολογιστών Αξιολόγηση Ασφάλειας Υπολογιστών Μέτρα Ελέγχου Ασφάλειας κατά τη Διάρκεια Ζωής Πιστοποιητικού Μέτρα/μέσα ελέγχου ανάπτυξης συστήματος Μέτρα/μέσα ελέγχου διαχείρισης ασφάλειας Μέτρα/μέσα ελέγχου ασφάλειας κατά τη Διάρκεια Ζωής Πιστοποιητικού Μέτρα Ελέγχου Ασφάλειας Δικτύου Χρονοσήμανση (Χρονολογική Επαλήθευση) Προφίλ Πιστοποιητικού και ΚΑΠ Certificate profile Αριθμός έκδοσης Επεκτάσεις Πιστοποιητικού Προφίλ Αναγνωρισμένων Πιστοποιητικών για Ψηφιακή Υπογραφή Certificate Revocation List (CRL) Profile Αριθμός Έκδοσης OCSP Certificate Profile Αριθμός Έκδοσης Έκδοση και Επεκτάσεις ΈΛΕΓΧΟΣ ΣΥΜΜΟΡΦΩΣΗΣ ΚΑΙ άλλες ΑΞΙΟΛΟΓΗΣΕΙΣ Συχνότητα ή Περιστάσεις/Λόγοι της Επιθεώρησης / του Ελέγχου Ταυτότητα/προσόντα του αξιολογητή/ελεγκτή Σχέση του αξιολογητή με την υπό αξιολόγηση οντότητα Θέματα που καλύπτει η αξιολόγηση - Πεδίο εφαρμογής του ελέγχου Ανάληψη ενεργειών λόγω ελλείψεων Κοινοποίηση των αποτελεσμάτων ΛΟΙΠΑ ΕΠΙΧΕΙΡΗΣΙΑΚΑ ΚΑΙ ΝΟΜΙΚΑ ΘΕΜΑΤΑ Τέλη Τέλη έκδοσης ή ανανέωσης πιστοποιητικού Τέλη για την πρόσβαση σε πιστοποιητικό Τέλη για την πρόσβαση σε πληροφορίες ανάκλησης ή κατάστασης Τέλη λοιπών υπηρεσιών Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 7 / 64

8 Πολιτική Επιστροφής Χρημάτων Οικονομική Ευθύνη Ασφαλιστική κάλυψη Άλλοι πόροι Ασφαλιστική ή Εγγυητική κάλυψη για τελικούς φορείς Εμπιστευτικότητα Επιχειρησιακών Πληροφοριών Εύρος εμπιστευτικών πληροφοριών Πληροφορίες που δεν εμπίπτουν στην κατηγορία των εμπιστευτικών πληροφοριών Ευθύνη προστασίας εμπιστευτικών πληροφοριών Προστασία Προσωπικών Πληροφοριών Σχέδιο προστασίας προσωπικών δεδομένων - Μέτρα για τη διασφάλιση των προσωπικών δεδομένων Πληροφορίες που αντιμετωπίζονται ως ιδιωτικές Πληροφορίες που δεν θεωρούνται ιδιωτικές Ευθύνη προστασίας προσωπικών πληροφοριών Αναγγελία και συγκατάθεση για χρήση προσωπικών πληροφοριών Αποκάλυψη πληροφοριών σύμφωνα με δικαστική ή διοικητική διαδικασία Λοιπές συνθήκες γνωστοποίησης πληροφοριών Δικαιώματα πνευματικής ιδιοκτησίας Δηλώσεις και Εγγυήσεις Δηλώσεις και Εγγυήσεις της ΑΠ Δηλώσεις και Εγγυήσεις του Συνδρομητή Δηλώσεις και εγγυήσεις βασιζόμενου μέρους Δηλώσεις και εγγυήσεις λοιπών συμμετεχόντων Αποποιήσεις Εγγυήσεων Περιορισμοί Ευθύνης Αποζημιώσεις Διάρκεια και Καταγγελία Διάρκεια Καταγγελία Αντικατάσταση και ανάκληση της ΔΠΠ Συνέπειες από την παύση εργασιών Ατομικές κοινοποιήσεις και επικοινωνίες με συμμετέχοντες Τροποποιήσεις Διαδικασία τροποποίησης Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 8 / 64

9 Μηχανισμός και χρονική περίοδος κοινοποίησης Συνθήκες υπό τις οποίες επιβάλλεται τροποποίηση του Αναγνωριστικού Αντικειμένου (ΑΑ) Διατάξεις περί Επίλυσης Διαφορών Εφαρμοστέο Δίκαιο Συμμόρφωση με την Ισχύουσα Νομοθεσία Διάφορες Διατάξεις Σύνολο της συμφωνίας Εκχώρηση/Ανεξαρτησία Ακυρότητα Επιμέρους Διατάξεων Εφαρμογή (αμοιβές δικηγόρων και παραίτηση από δικαιώματα) Ανωτέρα Βία Λοιπές διατάξεις APPENDIX OF DEFINITIONS AND ACRONYMS Definitions Ακρωνύμια Συντομογραφία Ελληνικοί Όροι Acronyms Βιβλιογραφία Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 9 / 64

10 0. ΓΕΝΙΚΟ ΠΛΑΙΣΙΟ ΠΕΡΙΛΗΨΗ ΔΙΟΙΚΗΣΗΣ Στο πλαίσιο εφαρμογής των διαφόρων δημόσιων και ιδιωτικών προγραμμάτων για την προώθηση των τεχνολογιών της πληροφορίας και των επικοινωνιών και την εισαγωγή νέων διαδικασιών σχέσεων στην κοινωνία - μεταξύ πολιτών, επιχειρήσεων, μη κυβερνητικών οργανώσεων και του κράτους - έτσι ώστε να ενισχυθεί η κοινωνία της πληροφορίας, η ηλεκτρονική διακυβέρνηση και το ηλεκτρονικό εμπόριο, τα ψηφιακά πιστοποιητικά που εκδίδονται από την Αρχή Πιστοποίησης (ή CA Certification Authority). H ΑΠ Αρχή Πιστοποίησης της ΒΥΤΕ, ΒΥΤΕ General CA, για συντομία, είναι καταχωρημένη στην Αρχή Διαπίστευσης (όπως προβλέπεται από την Ευρωπαϊκή και την Ελληνική νομοθεσία), παρέχοντας στον κάτοχο του ηλεκτρονικού πιστοποιητικού τους απαραίτητους μηχανισμούς για την αξιόπιστη ψηφιακή επαλήθευση της γνησιότητας, καθώς και αναγνωρισμένες ηλεκτρονικές υπογραφές (νομικά ισοδύναμες με τις χειρόγραφες υπογραφές), απαραίτητες για τις διαδικασίες αποϋλοποίησης. Η Υποδομή υ Κλειδιού της BYTE, (χάριν συντομίας, ΥΔΚ της BYTE ή ΒΥΤΕ PKI), στην οποία εντάσσεται η General CA, περιλαμβάνει μια ιεραρχία αξιοπιστίας που προάγει την ηλεκτρονική ασφάλεια του κατόχου ψηφιακού πιστοποιητικού. Η ΥΔΚ της BYTE καθορίζει μια δομή ηλεκτρονικής εμπιστοσύνης, η οποία επιτρέπει τη διεξαγωγή ασφαλών ηλεκτρονικών συναλλαγών, αδιάβλητη επαλήθευση της γνησιότητας, ένα μέσο συναλλαγών με ηλεκτρονική υπογραφή ή ηλεκτρονικών πληροφοριών και εγγράφων, εξασφαλίζοντας την πατρότητα, την ακεραιότητα και τη μη άρνηση αναγνώρισής τους, καθώς και την εμπιστευτικότητα των συναλλαγών ή πληροφοριών. Η Αρχή Πιστοποίησηςτης BYTE είναι δεόντως καταχωρισμένη στην ΕΕTΤ (Εθνική Επιτροπή Τηλεπικοινωνιών και Ταχυδρομείων, δηλαδή την Εθνική Ρυθμιστική Αρχή) όπως προβλέπεται από την ευρωπαϊκή και ελληνική νομοθεσία, οπότε είναι νομίμως εξουσιοδοτημένη να εκδίδει όλους τους τύπους ψηφιακών πιστοποιητικών, δηλαδή αναγνωρισμένα ψηφιακά πιστοποιητικά (ψηφιακά πιστοποιητικά με τον υψηλότερο βαθμό ασφάλειας που παρέχεται από το νόμο). Το παρόν έγγραφο ορίζει τη Πολιτική Πιστοποιητικών (ΠΠ ή CP Certificate Policy) που χρησιμοποιείται για την παροχή υπηρεσιών πιστοποίησης για Αναγνωρισμένα Πιστοποιητικά (ΑΠ ή QC Qualified Certificates), σύμφωνα με την Ευρωπαϊκή και την Ελληνική νομοθεσία, που εκδίδεται από την ΑΠ της BYTE. Το παρόν έγγραφο καθορίζει την ισχύουσα Πολιτική Πιστοποιητικών (ΠΠ) που χρησιμοποιείται για την έκδοση του πιστοποιητικού αναγνωρισμένης ψηφιακής υπογραφής το οποίο θα αναφέρεται ως «Πιστοποιητικό υπογραφής» το οποίο συμπληρώνει και συμφωνεί με την αντίστοιχη Δήλωση Πρακτικών Πιστοποίησης (ΔΠΠ ή CPS ), της Βασικής ΑΠ της BYTE σύμφωνα με την ευρωπαϊκή και την ελληνική νομοθεσία. Τα πιστοποιητικά συνήθως χρησιμοποιούνται με ΑΔΔΥ-Ασφαλής Διάταξη Δημιουργίας Υπογραφής, γνωστό ως SSCD- Secure Signature Creation Device (ή τοκεν). Σκοπός του εγγράφου Ο σκοπός του παρόντος εγγράφου είναι να καθορίσει τις επαγγελματικές, νομικές και τεχνικές απαιτήσεις και πολιτικές για την έγκριση, έκδοση, διαχείριση, χρήση, ανάκληση, και ανανέωση ηλεκτρονικών πιστοποιητικών και την παροχή των σχετικών υπηρεσιών από την BYTE. Στοχευόμενο κοινό Το παρόν έγγραφο θα δημοσιοποιείται και θα απευθύνεται σε όλους τους φορείς που σχετίζονται με κάποιο Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 10 / 64

11 τρόπο με την ΑΠ της ΒΥΤΕ General CA ειδικότερα. Δομή Εγγράφου Το έγγραφο είναι απλό, άμεσο και κατανοητό στο ευρύ κοινό, συμπεριλαμβανομένων των ατόμων που δεν διαθέτουν τεχνικές ή νομικές γνώσεις. Ωστόσο, σε περίπτωση που ο αναγνώστης δεν έχει τις ανάλογες γνώσεις και επιθυμεί να γνωρίσει τις έννοιες της κρυπτογραφίας, της Υποδομής υ Κλειδιού (ΥΔΚ ή PKI) και της ηλεκτρονικής υπογραφής, το εισαγωγικό τμήμα του αντίστοιχου εγγράφου Πολιτικής Πιστοποιητικού (ΠΠ ή CP)παρέχει τις εν λόγω πληροφορίες για να βοηθήσει στην κατανόηση του παρόντος εγγράφου. Το έγγραφο αυτό συμπληρώνει την Δήλωση Πρακτικών Πιστοποίησης (ΔΠΠ ή CPS της Βασικής ΑΠ της BYTE, και θεωρείται ότι ο αναγνώστης έχει διαβάσει ολόκληρο το περιεχόμενό της προτού διαβάσει το παρόν έγγραφο. Ιστορικό εκδόσεων Version Nr. Date Details Author(s) /11/2014 Εγκεκριμμένη Έκδοση BYTE S.A. Related Documents Document ID Details Author(s) BYTE QC General CA CPS_1.001_gr Πολιτική Πιστοποιητικού BYTE S.A. BYTE QC eprescription_ca CP_1.002_gr, έκδοση αντικαθιστά την έκδοση aενσωματώνοντας σχόλια και παρατηρήσεις της ΕΕΤΤ (της ) καθώς και τυπογραφικά λάθη. Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 11 / 64

12 Εισαγωγή στις ΥΔΚ Σχετικοί όροι και Συντομογραφίες που αναπτύσσονται είναι : ΥΔΚ-Υποδομή υ Κλειδιού(PKI), Ψηφιακή Υπογραφή, ΑΠ-Αρχή Πιστοποίησης (CA), ΑΕ-Αρχή Εγγραφής (RA), ΠΠ-Πολιτική Πιστοποιητικού (CP), ΔΠ-Δήλωση Πρακτικής (CPS). Οι ακόλουθες παράγραφοι προέρχονται από: Πρότυπο RFC 5280 και κυρίως από το, Αρχές Εμπιστοσύνης και κριτήρια για Πιστοποίηση Αρχών Πιστοποίησης σύμφωνα με την Έκδοση 2.0, WebTrust, AICPA / CICA Public Key Infrastructure (PKI) Assurance Task Force. Σημασία της ΥΔΚ ή PKI Η ΥΔΚ παρέχει ένα μέσο για τα μέρη που βασίζονται σε αυτά (δηλαδή οι συμβαλλόμενοι αποδέκτες των πιστοποιητικών που δρουν με εμπιστοσύνη των εν λόγω πιστοποιητικών ή / και ψηφιακές υπογραφές που επαληθεύτηκαν με τη χρήση των εν λόγω πιστοποιητικών) να γνωρίζουν ότι στην πραγματικότητα σε εκείνο το άτομο / φορέα ανήκει το δημόσιο κλειδί. Οι ΑΠ έχουν συσταθεί για την ικανοποίηση αυτής της ανάγκης. Είναι επίσης γνωστό ότι η κρυπτογραφία είναι κρίσιμη για την λειτουργία ασφαλούς ηλεκτρονικού εμπορίου. Ωστόσο, αυτό πρέπει να συνδυάζεται με άλλα ασφαλή πρωτόκολλα, προκειμένου να παρέχεται μια ολοκληρωμένη λύση ασφάλειας. Πολλά πρωτόκολλα κρυπτογράφησης απαιτούν ψηφιακά πιστοποιητικά (στην πραγματικότητα, ηλεκτρονικά στοιχεία ταυτότητας) που εκδίδονται από ανεξάρτητο έμπιστο τρίτο μέρος (την ΑΠ) για την επικύρωση της συναλλαγής. Οι ΑΠ έχουν αναλάβει έναν ολοένα και πιο σημαντικό ρόλο για ασφαλές ηλεκτρονικό εμπόριο. Παρά το γεγονός ότι υπάρχει ένας μεγάλος αριθμός από υφιστάμενα εθνικά, διεθνή και άλλα ιδιωτικά πρότυπα και κατευθυντήριες γραμμές για τη χρήση της κρυπτογραφίας, η διαχείριση των ψηφιακών πιστοποιητικών, καθώς και πολιτικές και πρακτικές για τις ΑΠ, σχετικές προδιαγραφές δεν έχουν εφαρμοστεί ή δεν υλοποιούνται ομοιόμορφα. ΥΔΚ-Υποδομή υ Κλειδιού (PKI-Public Key Infrastructure) Με την επέκταση του ηλεκτρονικού εμπορίου, το PKI αποκτά ολοένα και μεγαλύτερη σημασία και να είναι μια κρίσιμη επένδυση για την ασφάλεια των επιχειρήσεων που το αξιοποιούν. Το PKI επιτρέπει στα μέρη μιας συναλλαγής ηλεκτρονικού εμπορίου να ταυτοποιήσουν ο ένας τον άλλο παρέχοντας την απαραίτητη πιστοποίηση με τα ψηφιακά πιστοποιητικά, επιτρέπεται δηλαδή αξιόπιστη επικοινωνία των επιχειρήσεων μεταξύ τους, παρέχοντας εμπιστευτικότητα με τη χρήση κρυπτογράφησης, και την αυθεντικοποίηση και ακεραιότητα των δεδομένων και επιπλέον μια λογική βάση για μη άρνηση συναλλαγών (nonrepudiation) μέσω της χρήσης των ψηφιακών υπογραφών. Το PKI χρησιμοποιεί δύο ζεύγη κλειδιά το δημόσιο / ιδιωτικό κλειδί που σχετίζονται μαθηματικά. Συνήθως, ένα από αυτά τα κλειδιά δημοσιεύεται, για παράδειγμα με την ανάρτησή του στο Διαδίκτυο, ενώ το άλλο Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 12 / 64

13 παραμένει ιδιωτικό. Η κρυπτογραφία δημόσιου κλειδιού λειτουργεί με τέτοιο τρόπο ώστε ένα μήνυμα κρυπτογραφημένο με το δημόσιο κλειδί να μπορεί να αποκρυπτογραφηθεί μόνο με το ιδιωτικό κλειδί, και, αντιστρόφως, ένα μήνυμα υπογεγραμμένο με το ιδιωτικό κλειδί μπορεί να ελεγχθεί με το δημόσιο κλειδί. Αυτή η τεχνολογία μπορεί να χρησιμοποιηθεί με διάφορους τρόπους ώστε να παρέχουν τα τέσσερα συστατικά που απαιτούνται για την εμπιστοσύνη στις ηλεκτρονικές συναλλαγές, και συγκεκριμένα: την εμπιστευτικότητα, έλεγχος ταυτότητας, ακεραιότητα, και nonrepudiation (μη αποποίηση ή μη άρνηση). Χρησιμοποιώντας PKI, ένας συνδρομητής (δηλαδή μία οντότητα ή ατομικό) του οποίου το δημόσιο κλειδί είναι κρυπτογραφικά συνδεμένο με για την ταυτότητά του σε ένα ψηφιακό πιστοποιητικό έχει ένα ζεύγος ασύμμετρων κρυπτογραφικών κλειδιών (δηλαδή ένα δημόσιο κλειδί και ένα ιδιωτικό κλειδί). Το ιδιωτικό κλειδί του συνδρομητή πρέπει να κρατηθεί μυστικό, ενώ το δημόσιο κλειδί μπορεί να γίνει ευρέως διαθέσιμο. Συνήθως παρουσιάζονται με τη μορφή ενός ψηφιακού πιστοποιητικού για να διασφαλιστεί ότι τα βασιζόμενα (συμβαλλόμενα) μέρη γνωρίζουν με βεβαιότητα την ταυτότητα του συνδρομητή στην οποία ανήκει το δημόσιο κλειδί. Χρησιμοποιώντας κρυπτογραφία δημόσιου κλειδιού, ο συνδρομητής μπορεί να στείλει ένα μήνυμα που υπογράφει με το ιδιωτικό κλειδί του. Η υπογραφή μπορεί να επικυρωθεί από τον παραλήπτη του μηνύματος χρησιμοποιώντας το δημόσιο κλειδί του συνδρομητή. Ο συνδρομητής θα μπορούσε επίσης να κρυπτογραφήσει ένα μήνυμα χρησιμοποιώντας το δημόσιο κλειδί του παραλήπτη. Τότε το μήνυμα μπορεί να αποκρυπτογραφηθεί μόνο με το ιδιωτικό κλειδί του παραλήπτη. Ψηφιακή Υπογραφή Οι ψηφιακές υπογραφές μπορούν να χρησιμοποιηθούν για να παρέχουν έλεγχο ταυτότητας, ακεραιότητα, και nonrepudiation (μη αποποίηση). Σε γενικές γραμμές, αν ένας πελάτης (συνδρομητής) στέλνει ένα μήνυμα με ψηφιακή υπογραφή σε μία εμπορική επιχείρηση, το ιδιωτικό κλειδί του πελάτη χρησιμοποιείται για να παράγει την ψηφιακή υπογραφή και το δημόσιο κλειδί του μπορεί να χρησιμοποιηθεί από την επιχείρηση για την επαλήθευση της υπογραφής. Οι μαθηματικές μέθοδοι που χρησιμοποιούνται διαφοροποιούνται, ανάλογα με το είδος του ασύμμετρου κρυπτογραφικού αλγορίθμου που χρησιμοποιείται. Για παράδειγμα, οι διαδικασίες είναι λίγο διαφορετικές για αναστρέψιμους αλγόριθμους (δηλαδή αυτούς που μπορούν να χρησιμοποιηθούν άμεσα για την υποστήριξη των ψηφιακών υπογραφών καθώς και κρυπτογράφηση), όπως Rivest Shamir Adleman (RSA) από αυτές με μη αναστρέψιμους αλγορίθμους, όπως το Digital Signature Algorithm (DSA). Το ακόλουθο παράδειγμα απεικονίζει την ψηφιακή παραγωγή υπογραφών και την διαδικασία επαλήθευσης για έναν αναστρέψιμο ασύμμετρο κρυπτογραφικό αλγόριθμο (όπως RSA). Ας υποθέσουμε ότι ένας πελάτης θέλει να στείλει ένα μήνυμα με ψηφιακή υπογραφή σε έναν έμπορο. Ο πελάτης τρέχει το μήνυμα μέσα από μια συνάρτηση κατακερματισμού (hash), μια μαθηματική συνάρτηση που μετατρέπει ένα μήνυμα σε ένα σταθερού μήκους μπλοκ (μέγεθος) των δεδομένων, που είναι το hash, με τρόπο τέτοιο ώστε το hash να αντανακλά με μοναδικό τρόπο το μήνυμα - στην πραγματικότητα, αυτό είναι το δακτυλικό αποτύπωμα του μηνύματος. Ο πελάτης στην συνέχεια μετασχηματίζει το hash χρησιμοποιώντας τον αλγόριθμο και το ιδιωτικό κλειδί του πελάτη για τη δημιουργία της ψηφιακής υπογραφής που προσαρτάται στο μήνυμα. Μια επικεφαλίδα επίσης επισυνάπτεται στο μήνυμα, που υποδεικνύει π.χ. τη διεύθυνση ηλεκτρονικού ταχυδρομείου του εμπόρου, τη διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα, καθώς και άλλες πληροφορίες όπως τη στιγμή που το μήνυμα έχει σταλεί. Η επικεφαλίδα του μηνύματος, το μήνυμα, και η ψηφιακή υπογραφή στη συνέχεια αποστέλλονται στον έμπορο. Ο πελάτης μπορεί επίσης προαιρετικά να Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 13 / 64

14 στείλει το πιστοποιητικό δηλαδή το δημόσιο κλειδί του στον έμπορο στο ίδιο το μήνυμα. Όλα αυτά γίνονται αυτόματα από το λογισμικό του ηλεκτρονικού ταχυδρομείου στην περίπτωση αυτή με ένα τέτοιο τρόπο ώστε η διαδικασία είναι διαφανής για τον χρήστη (πελάτη, έμπορο). Για να προσδιορίσετε αν το μήνυμα ήρθε από τον πελάτη (αυθεντικοποίηση, ταυτότητα) και να αποφασίσει αν το μήνυμα δεν έχει τροποποιηθεί (ακεραιότητα), ο έμπορος επικυρώνει (validate) την ψηφιακή υπογραφή. Για να το κάνετε αυτό, ο έμπορος πρέπει να έχει ή να λάβει το πιστοποιητικό δημοσίου κλειδιού του πελάτη. Αν ο πελάτης δεν είχε στείλει το δημόσιο κλειδί του πιστοποιητικού του ως μέρος του μηνύματος, ο έμπορος μπορεί να βρει το δημόσιο πιστοποιητικό κλειδί του πελάτη από ένα on line ηλεκτρονικό αποθετήριο (που διατηρείται από την ΑΠ ή άλλη οντότητα που ενεργεί ως αντιπρόσωπος της CA, ή οποιαδήποτε άλλη πηγή που τα δημοσιεύει, ακόμη και αν δεν σχετίζονται με την CA). Ο έμπορος στη συνέχεια επικυρώνει ότι το ψηφιακό πιστοποιητικό του πελάτη (που περιέχει το δημόσιο κλειδί του πελάτη) υπεγράφη από αναγνωρισμένη Αρχή Πιστοποίησης για να εξασφαλίσει ότι η σύνδεση ανάμεσα στο δημόσιο κλειδί και τον πελάτη που εκπροσωπούνται στο πιστοποιητικό δεν έχει αλλοιωθεί. Στη συνέχεια, ο έμπορος εξάγει το δημόσιο κλειδί από το πιστοποιητικό και χρησιμοποιεί το δημόσιο κλειδί για να μετασχηματίσει την ψηφιακή υπογραφή για να αποκαλύψει το αρχικό hash. Ο έμπορος τότε τρέχει το μήνυμα όπως αυτό λαμβάνεται μέσω της ίδιας συνάρτησης κατακερματισμού για να δημιουργήσει έναν κατατεμαχισμό (hash) του λαμβανόμενου μηνύματος. Για την επαλήθευση της ψηφιακής υπογραφής, ο έμπορος συγκρίνει αυτές τις δύο τιμές (hashes). Αν ταιριάζουν, τότε η ψηφιακή υπογραφή επικυρώνεται και ο έμπορος γνωρίζει ότι το μήνυμα ήρθε από τον πελάτη και δεν έχει τροποποιηθεί από τη στιγμή που έγινε η υπογραφή. Εάν οι τιμές (hashes) δεν ταιριάζουν, τότε ο έμπορος γνωρίζει ότι το μήνυμα είτε έχει τροποποιηθεί κατά τη μεταφορά ή το μήνυμα δεν υπεγράφη με το ιδιωτικό κλειδί του πελάτη. Ως αποτέλεσμα, ο έμπορος δεν μπορεί να εμπιστευτεί και να επικαλεστεί την ψηφιακή υπογραφή, δηλαδή συνιστάται να απορρίψει την συναλλαγή ή μήνυμα σαν μη αξιόπιστα. Οι ψηφιακές υπογραφές μπορεί επίσης να χρησιμοποιηθούν ως βάση για την μη αποποίηση (nonrepudiation) έτσι ώστε ο υπογράφων να μην μπορεί να αμφισβητήσει ότι υπέγραψε το μήνυμα. Για παράδειγμα, ένας πελάτης σε απευθείας σύνδεση με μία χρηματιστηριακή εταιρεία αγοράζει χίλιες μετοχές χρησιμοποιώντας μια ψηφιακή υπογραφή για να υπογράψει την παραγγελία αγοράς των μετοχών μέσω του Διαδικτύου. Θα είναι πολύ δύσκολο, αν αργότερα προσπαθήσει να αρνηθεί (αποκηρύξει) ότι έχει υποβάλει την παραγγελία για την αγορά (γιατί η ψηφιακή υπογραφή του είναι ισοδύναμη της χειρόγραφης, και είναι πρακτικά αδύνατο να την «μιμηθεί» κάποιος χωρίς το ιδιωτικό κλειδί του υπογράφοντα). ΑΠ-Αρχή Πιστοποίησης ή CA-Certification Authority Με αυτές τις τεχνολογίες για να μπορέσουν τα μέρη να διεξάγουν συναλλαγές e-commerce με ασφάλεια, ένα σημαντικό ερώτημα πρέπει να απαντηθεί, δηλαδή που θα ξέρουμε με σιγουριά στον ψηφιακό κόσμο ότι το δημόσιο κλειδί ενός ατόμου ανήκει πράγματι σε εκείνο το άτομο. Η απάντηση είναι ένα ψηφιακό πιστοποιητικό, το οποίο είναι ένα ηλεκτρονικό έγγραφο που περιέχει πληροφορίες σχετικά με ένα άτομο και το δημόσιο κλειδί του. Αυτό το ηλεκτρονικό έγγραφο (πιστοποιητικό) είναι ψηφιακά υπογεγραμμένο από έναν αξιόπιστο οργανισμό που αναφέρεται ως Αρχή Πιστοποίησης (CA). Η βασική αρχή είναι ότι η ΑΠ εγγυάται για τη σχέση μεταξύ της ταυτότητας ενός ατόμου με το δημόσιο κλειδί του. Η Αρχή Πιστοποίησης παρέχει το επίπεδο βεβαιότητας ότι το δημόσιο κλειδί που περιέχεται στο Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 14 / 64

15 πιστοποιητικό πράγματι ανήκει στην οντότητα που κατονομάζεται στο πιστοποιητικό. Η ψηφιακή υπογραφή τοποθετείται στο πιστοποιητικό δημόσιου κλειδιού από την ΑΠ που παρέχει κρυπτογραφική σύνδεση μεταξύ του δημόσιου κλειδιού της οντότητας, το όνομα της οντότητας, και άλλες πληροφορίες μέσα στο πιστοποιητικό, όπως την χρονική περίοδο ισχύος. Για ένα βασιζόμενο (συμβαλλόμενο) μέρος για να καθορίσει αν το πιστοποιητικό εκδόθηκε από νόμιμη ΑΠ, ο τρίτος συμβαλλόμενος πρέπει να επαληθεύσει την υπογραφή της ΑΠ που έχει το πιστοποιητικό. Τα δημόσια κλειδιά πολλών ΑΠ του Root (όπως ορίζεται αργότερα) είναι προ-φορτωμένα σε πολλά τυποποιημένα λογισμικά όπως πρόγραμμα περιήγησης στο Web (για παράδειγμα Microsoft Internet Explorer). Αυτό επιτρέπει τον τρίτο συμβαλλόμενο να ελέγξει την έκδοση της υπογραφής της ΑΠ χρησιμοποιώντας το δημόσιο κλειδί της ΑΠ για να καθοριστεί αν το πιστοποιητικό εκδόθηκε από μια αξιόπιστη ΑΠ. Ο σκοπός της ΑΠ είναι η διαχείριση του κύκλου ζωής των πιστοποιητικών, που περιλαμβάνει την παραγωγή και την έκδοση, τη διανομή, την ανανέωση και την επαναδημιουργία κλειδιών, ανάκληση και αναστολή των πιστοποιητικών. Η ΑΠ συχνά ορίζει ή εκχωρεί την διαδικασία της εγγραφής των συνδρομητών στις Αρχές Εγγραφής (ΑΕ), που δρουν ως εκπρόσωποι για την ΑΠ. Σε άλλες περιπτώσεις η ΑΠ μπορεί να εκτελεί η ίδια τις λειτουργίες εγγραφής. Η ΑΠ είναι επίσης υπεύθυνη για την παροχή πληροφοριών για την κατάσταση των πιστοποιητικών μέσω της έκδοσης Λίστες Ανάκλησης Πιστοποιητικών (CRL Certificate Revocation List ή ΚΑΠ Κατάλογος Ανακληθέντων Πιστοποιητικών) από την διατήρηση μίας «online κατάστασης μηχανισμού ελέγχου» (OCSP Online Certificate Status Protocol). Συνήθως, οι CA δημοσιεύουν τα πιστοποιητικά και τις ΚΑΠ που έχει εκδώσει σε ένα αποθετήριο (όπως ένα ηλεκτρονικό κατάλογο), που είναι προσβάσιμο στα μέρη που βασίζονται στο πιστοποιητικό (συνδρομητές, συμβαλλόμενοι, βασιζόμενοι). ΑΕ-Αρχή Εγγραφής ή RA-Registration Authority; Μια Αρχή Εγγραφής (RA) είναι μια οντότητα που είναι υπεύθυνη για την ταυτοποίηση και την αυθεντικοποίηση των συνδρομητών, αλλά δεν υπογράφει και δεν εκδίδει πιστοποιητικά. Σε ορισμένες περιπτώσεις, η ΑΠ εκτελεί τη λειτουργία εγγραφής συνδρομητή εσωτερικά. Σε άλλες περιπτώσεις η ΑΠ μπορεί να αναθέσει τη λειτουργία RA σε εξωτερικές αρχές εγγραφής (μερικές φορές αναφέρονται ως Τοπικές Αρχές Εγγραφής), που μπορεί ή δεν μπορεί να είναι μέρος της ίδιας νομικής οντότητας, όπως είναι η ΑΠ. Σε άλλες περιπτώσεις, ένας πελάτης της ΑΠ (για παράδειγμα μια εταιρεία) μπορεί να συμφωνήσει με την ΑΠ να εκτελεί τη λειτουργία RA η ίδια ή να χρησιμοποιήσει συνεργάτη της. Η αρχική διαδικασία εγγραφής για ένα συνδρομητή ακολουθεί μερικά βήματα που μπορεί να διαφέρουν από ΑΠ σε ΑΠ και εξαρτάται επίσης από την ΠΠ-Πολιτική Πιστοποιητικού (ή CP-Certificate Practice) σύμφωνα με την οποία το πιστοποιητικό πρέπει να εκδοθεί. Ο συνδρομητής μπορεί να δημιουργήσει πρώτα το δικό του ζευγάρι δημόσιου / ιδιωτικού κλειδιού. Σε άλλες περιπτώσεις υλοποίησης, η ΑΠ μπορεί να δημιουργήσει ένα ζεύγος κλειδιών του συνδρομητή και με ασφάλεια να τα παραδώσει στο συνδρομητή. Στη συνέχεια, ο συνδρομητής προσκομίζει απόδειξη της ταυτότητας του (φυσική ταυτοποίηση) π.χ. πρόσωπο με πρόσωπο, σύμφωνα με την ισχύουσα και τις απαιτήσεις της Πολιτικής Πιστοποιητικού της ΑΠ και αποδεικνύει ότι αυτός (ή αυτή) κατέχει το ιδιωτικό κλειδί που αντιστοιχεί στο δημόσιο κλειδί, χωρίς να αποκαλύψει το ιδιωτικό κλειδί (συνήθως υπογράφοντας ψηφιακά κάποια δεδομένα με το ιδιωτικό κλειδί, με την ψηφιακή υπογραφή του συνδρομητή που επαληθεύεται από την ΑΠ). Μόλις επαληθευτεί η σχέση μεταξύ ενός ατόμου και ενός Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 15 / 64

16 δημόσιου κλειδιού, η ΑΠ εκδίδει ένα πιστοποιητικό. Η ΑΠ υπογράφει ψηφιακά κάθε πιστοποιητικό που εκδίδει με το κλειδί της ώστε να παρέχει το μέσο για την καθιέρωση της αυθεντικότητας και ακεραιότητας του πιστοποιητικού. Η ΑΠ στη συνέχεια ειδοποιεί τον συνδρομητή για την έκδοση του πιστοποιητικού και αν έχει συμφωνηθεί στο Συμφωνητικό δίνει στο συνδρομητή την ευκαιρία να επανεξετάσει το περιεχόμενο του πιστοποιητικού πριν από τη δημοσιοποίηση του. Θεωρώντας ότι ο συνδρομητής εγκρίνει την ακρίβεια περιεχομένου του πιστοποιητικού, ο συνδρομητής θα δημοσιεύσει το πιστοποιητικό ή μπορεί να γίνει αυτόματα, από την ΑΠ θέτοντας το έτσι στη διάθεση των άλλων χρηστών. Ο χώρος αποθήκευσης (repository) είναι μια ηλεκτρονική βάση δεδομένων με πιστοποιητικά που είναι διαθέσιμα online π.χ. στο διαδίκτυο. Ο χώρος αποθήκευσης μπορεί να διατηρείται από την ΑΠ ή από ένα τρίτο που συμβάλλεται για το σκοπό αυτό, ή από το συνδρομητή, ή από οποιοδήποτε άλλο μέρος (δημόσιες πληροφορίες). Οι συνδρομητές μπορούν να αποκτήσουν πιστοποιητικά των άλλων συνδρομητών και πληροφορίες για την κατάσταση των πιστοποιητικών από το αποθετήριο. Για παράδειγμα, εάν το πιστοποιητικό του συνδρομητή ανακλήθηκε, τα αποθετήρια θα δείχνουν ότι το πιστοποιητικό του συνδρομητή έχει ανακληθεί και δεν πρέπει να γίνεται επίκληση ή να βασίζεται κάποιος σε αυτό. Η δυνατότητα για τις ενημερώσεις στο αποθετήριο συνήθως διατηρείται από την ΑΠ, και οι συνδρομητές και άλλα συμβαλλόμενα μέρη έχουν πρόσβαση μόνο για ανάγνωση στον αποθηκευτικό χώρο. Επειδή τα πιστοποιητικά που αποθηκεύονται στο αποθετήριο είναι ψηφιακά υπογεγραμμένο από την ΑΠ, δεν μπορεί να αλλάξουν κακόβουλα χωρίς ανίχνευση, ακόμη και αν κάποιος παρεισφρήσει στο αποθετήριο (βλέπε παραπάνω). Η Αρχή Εγγραφής (RA) είναι το αρμόδιο όργανο για να συλλέξει και να επαληθεύσει τα στοιχεία ταυτότητας και τις πληροφορίες που απαιτούνται για κάθε τύπο πιστοποιητικού που πρόκειται να εκδοθεί. Η ΑΠ μπορεί να ενεργεί ως RA ή να υπάρχει συμφωνιών με άλλους φορείς, προκειμένου (και) αυτοί να εκτελούν αυτό το ρόλο. Είναι η οντότητα που είναι υπεύθυνη για μία ή περισσότερες από τις ακόλουθες λειτουργίες: αναγνώριση και η φυσική ταυτοποίηση των αιτούντων πιστοποιητικό, έγκριση ή απόρριψη των αιτήσεων έκδοσης πιστοποιητικών, έναρξη ανακλήσεις ή αναστολές πιστοποιητικού, υπό ορισμένες συνθήκες, επεξεργασία των αιτήσεων των συνδρομητών να ανακαλέσει ή να αναστείλει τα πιστοποιητικά τους, και έγκριση ή την απόρριψη των αιτήσεων από τους συνδρομητές να ανανεώσουν τα πιστοποιητικά τους. Όπως αναφέρθηκε οι RA, ωστόσο, δεν υπογράφουν ή εκδίδουν πιστοποιητικά (δηλαδή στην RA έχουν ανατεθεί ορισμένα καθήκοντα για λογαριασμό της CA). Σημείωση: Ο όρος Τοπική Αρχή Εγγραφής (LRA), όπως αναφέρονται παραπάνω μερικές φορές χρησιμοποιείται σε άλλα έγγραφα με την ίδια έννοια της RA. Τα Μοντέλα σχέσεων ΑΠ - Ιεραρχικές και Διασταυρούμενες (Cross-Certified) ΑΠ Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 16 / 64

17 Οι ΑΠ μπορεί να συνδέονται μεταξύ τους με τη χρήση δύο βασικών αρχιτεκτονικών ή μπορεί να είναι ένα υβρίδιο των δύο: (1) ιεραρχική και (2) με αμφίδρομη πιστοποίηση (από κοινού εμπιστοσύνη). Σε ένα ιεραρχικό μοντέλο, το ύψιστο επίπεδο (ή 'Root') CA υλοποιείται αρχικά και κατόπιν δημιουργούνται οι υφιστάμενες ΑΠ (ή SubCAs) που μπορεί να δημιουργηθούν για διάφορες επιχειρηματικές μονάδες, περιοχές ή κοινότητες ενδιαφέροντος. Η CA Root επικυρώνει της υφιστάμενες ΑΠ (sub CA) που με τη σειρά τους εκδίδουν πιστοποιητικά σε άλλες υφιστάμενες ΑΠ ή απευθείας στους συνδρομητές. Μια τέτοια Root CA συνήθως έχει πολύ αυστηρές απαιτήσεις ασφαλείας από ότι οι υποδεέστερες ΑΠ (sub CA). Είναι έτσι πολύ δύσκολο σε έναν εισβολέα να αποκτήσει πρόσβαση το CA Root που σε πολλές υλοποιήσεις είναι off line και ενεργοποιείται σε on line στις σπάνιες περιπτώσεις που θα πρέπει να εκδώσει, να ανανεώσει ή να ανακαλέσει τα πιστοποιητικά μίας υποδεέστερης ΑΠ. Σε αυτό το μοντέλο θα μπορούσαμε να πούμε ότι η CA Root αντιπροσωπεύει το κεντρικό σημείο και απαιτείται μεγάλη προστασία. Στο ιεραρχικό μοντέλο, η CA Root έχει και διατηρεί την «κοινότητα εμπιστοσύνης» εξασφαλίζοντας ότι κάθε οντότητα στην ιεραρχία συμμορφώνεται με ένα ελάχιστο σύνολο πρακτικών. Η συμμόρφωση με τις καθιερωμένες πολιτικές μπορεί να ελεγχθεί μέσω ελέγχων των υφιστάμενων ΑΠ (Sub CA) και, σε ορισμένες περιπτώσεις, των Αρχών Εγγραφής. Το εναλλακτικό μοντέλο, με αμφίδρομα πιστοποιημένες ΑΠ είναι χτισμένο σε ένα μοντέλο «peer-to-peer». Αντί για την ύπαρξη μιας μόνο κοινής CA Root, υπάρχει στο μοντέλο πολλαπλής πιστοποίησης εμπιστοσύνη μεταξύ πολλών ΑΠ που είναι γνωστές μία στην άλλη. Η διαπιστοποίηση (αμφίδρομη πιστοποίηση) είναι μια διαδικασία στην οποία δύο ΑΠ πιστοποιούν η μία την αξιοπιστία των πιστοποιητικών της άλλης. Αν δύο ΑΠ, CA1 και CA2, επιθυμούν cross-certification τότε η CA1 δημιουργεί και υπογράφει ψηφιακά ένα πιστοποιητικό που περιέχει το δημόσιο κλειδί της CA2 (και αντίστροφα). Ως εκ τούτου, οι χρήστες, σε κάθε ΑΠ που εμπιστεύεται μία άλλη ΑΠ, ουσιαστικά εμπιστεύονται τους άλλους χρήστες και ως εκ τούτου συνδρομητές σε κάθε ΑΠ μπορούν να εμπιστεύονται ο ένας τον άλλο. Οι Cross-certified ΑΠ δεν έχουν το θέμα ενός κεντρικού σημείου αποτυχίας, όπως στο ιεραρχικό μοντέλο. Ωστόσο, το δίκτυο είναι μόνο τόσο ισχυρό όσο ο πιο αδύναμη ΑΠ, και απαιτεί συνεχή αστυνόμευση. Στο cross-certified μοντέλο απαιτείται για να καθιερωθεί και να διατηρηθεί μια κοινότητα εμπιστοσύνης, συχνοί έλεγχοι που πρέπει να εκτελούνται για να διασφαλιστεί ότι κάθε cross-πιστοποιημένη ΑΠ συμμορφώνεται με ένα ελάχιστο σύνολο από πρακτικές, όπως συμφωνήθηκε από τα μέλη της κοινότητας εμπιστοσύνης (πολύ πολύπλοκο στην πράξη). Μία άλλη λύση είναι μία SubCA μίας ΑΠ να διαπιστοποιηθεί με μία SubCA άλλης ΑΠ. Αν μάλιστα οι SubCAs είναι σε χαμηλά επίπεδα (π.χ. 3ο ή 4ο) τότε οι κίνδυνοι μειώνονται σε έκταση (αφορούν μόνο τις SubCA) και η περίπτωση αυτή είναι η περισσότερο συνήθης στην πράξη. Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 17 / 64

18 ΠΠ-Πολιτική Πιστοποιητικού ή CP- Certificate Policy Μια πολιτική πιστοποιητικού (CP) είναι ένα σύνολο συγκεκριμένων κανόνων που δείχνει την δυνατότητα εφαρμογής ενός πιστοποιητικού σε μια συγκεκριμένη κοινότητα ή / και κατηγορία εφαρμογών με κοινές προδιαγραφές ασφαλείας. Για παράδειγμα, μια συγκεκριμένη Πολιτική Πιστοποιητικό μπορεί να σημαίνει την εφαρμογή ενός τύπου πιστοποιητικού για την πιστοποίηση των ηλεκτρονικών συναλλαγών ανταλλαγής δεδομένων για τις συναλλαγές αγαθών μέσα σε ένα συγκεκριμένο εύρος τιμών. ΔΠ-Δήλωση Πρακτικής ή CPS-Certification Practices Statement Η Δήλωση Πρακτική πιστοποίησης (CPS) είναι μια δήλωση των πρακτικών που μια ΑΠ υλοποιεί για την έκδοση των πιστοποιητικών. Η Αρχή Πιστοποίησης πρέπει να αποκαλύψει τις πρακτικές διαχείρισης και των πληροφοριών του κύκλου ζωής των κλειδιών της και των πιστοποιητικών που εκδίδει. Θα πρέπει να διατίθενται σε όλους τους συνδρομητές και όλους τους πιθανούς συναλλασσόμενους που στηρίζονται σε πληροφορίες σχετικά με τις επιχειρηματικές πρακτικές της ΑΠ, συνήθως με την ανάρτηση τους στην ιστοσελίδα της ΑΠ. Η αποκάλυψη των πληροφοριών αυτών ενδέχεται να περιέχονται στη ΠΠ-πολιτική πιστοποιητικού (CP) ή και στην Δήλωση Πρακτικής (CPS), ή άλλο ενημερωτικό υλικό που είναι διαθέσιμο για τους χρήστες (συνδρομητές και τα συμβαλλόμενα μέρη). Μία ΔΠ θεσπίζει τις πρακτικές που αφορούν τις υπηρεσίες του κύκλου ζωής του πιστοποιητικού πέραν από την αρχική έκδοση, όπως η διαχείριση του πιστοποιητικού (συμπεριλαμβανομένης της δημοσίευσης και αρχειοθέτησης), ανάκληση, την ανανέωση κ.α. κλειδιών. Οι ΔΠ δεν συνιστούν αυτομάτως συμβάσεις και δεν δεσμεύουν συμμετέχοντες όπως μία σύμβαση. Όταν ένα έγγραφο εξυπηρετεί το διπλό σκοπό να είναι Αίτηση και συμφωνία συνδρομητή ή συμβαλλόμενου και ΑΠ, τότε το έγγραφο αυτό τότε είναι μια δεσμευτική σύμβαση που ο συνδρομητής ή συμβαλλόμενες θα πρέπει να το θεωρούσαν ως τέτοια. Ως εκ τούτου, στις περισσότερες περιπτώσεις, οι όροι μίας ΔΠ έχουν δεσμευτική ισχύ ως όροι της σύμβασης μόνο εάν υπάρχει ένα ξεχωριστό έγγραφο που δημιουργεί συμβατική σχέση μεταξύ των μερών και το έγγραφο να περιλαμβάνει μέρος ή το σύνολο των ΔΠ ή να υπάρχει σχετική παραπομπή σε αυτή. Σχέση μεταξύ ΠΠ-Πολιτικής Πιστοποιητικού και ΔΠ-Δήλωση Πρακτικής (CPS) Η ΠΠ και η ΔΠ αντιμετωπίζουν το ίδιο σύνολο θεμάτων που παρουσιάζουν ενδιαφέρον για τον συμβαλλόμενο στο βαθμό και το σκοπό για τον οποίο θα πρέπει να εμπιστεύονται το δημόσιο κλειδί του πιστοποιητικού. Η κύρια διαφορά τους είναι η διαφορετική εστίαση των διατάξεών τους. Η ΠΠ καθορίζει τις απαιτήσεις και τα πρότυπα που επιβάλλονται από την ΑΠ σε σχέση με τα διάφορα θέματα που πρέπει να αντιμετωπιστούν (πρότυπα). Με άλλα λόγια, ο σκοπός της ΠΠ είναι να ορίσει τι πρέπει να κάνουν οι συμμετέχοντες. Η CPS, αντίθετα, αναφέρει πως η ΑΠ και οι άλλοι συμμετέχοντες καλούνται στο συγκεκριμένο Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 18 / 64

19 τομέα να εφαρμόσουν τις διαδικασίες και τους ελέγχους για να ανταποκριθεί η ΑΠ στις απαιτήσεις που αναφέρονται στην ΠΠ. Με άλλα λόγια, ο σκοπός της ΔΠ είναι να αποκαλύψει το πώς οι συμμετέχοντες εκτελούν τα καθήκοντά τους και πως υλοποιούν ελέγχους και διαδικασίες. Μια ΑΠ με ένα μόνο CPS μπορεί να υποστηρίζει πολλαπλές ΠΠ που χρησιμοποιούνται για διαφορετικούς σκοπούς, εφαρμογές ή / και για διαφορετικές κοινότητες συμμετεχόντων. Επίσης, πολλές ΑΠ, με μη πανομοιότυπα ΔΠ, μπορεί να υποστηρίζουν τη ίδια ΠΠ. Σχέση μεταξύ των ΠΠ, ΔΠ και άλλα έγγραφα Οι ΠΠ και ΔΠ διαδραματίζουν κεντρικό ρόλο στην καταγραφή των απαιτήσεων και τις πρακτικές της ΑΠ μίας ΥΔΚ. Παρ 'όλα αυτά, δεν είναι τα μόνα έγγραφα που σχετίζονται με μια ΥΔΚ. Για παράδειγμα, οι συμφωνίες συνδρομητή ή οι συμφωνίες συμβαλλόμενων διαδραματίζουν έναν κρίσιμο ρόλο στην κατανομή των αρμοδιοτήτων και των ευθυνών στους συνδρομητές και στους τρίτους συμβαλλόμενους που σχετίζονται με τη χρήση των πιστοποιητικών και των ζευγών κλειδιών. Θεσπίζουν τους όρους και τις προϋποθέσεις υπό τις οποίες έχουν εκδοθεί τα πιστοποιητικά, πως διαχειρίζονται και πως και που χρησιμοποιούνται. Συμφωνία Συνδρομητή ή Συμβαλλόμενου Ο όρος συμφωνία συνδρομητή ορίζεται ως εξής: «Μια συμφωνία μεταξύ ΑΠ και ενός συνδρομητή ή τρίτου συμβαλλόμενου που καθιερώνει το δικαίωμα και τις υποχρεώσεις των συμβαλλομένων μερών σχετικά με την έκδοση και διαχείριση των πιστοποιητικών». Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 19 / 64

20 1. ΕΙΣΑΓΩΓΗ Το παρόν έγγραφο συνιστά Πολιτική Πιστοποιητικών (ΠΠ ή CP Certificate Policy), σκοπός της οποίας είναι ο ορισμός του συνόλου των πολιτικών και των δεδομένων για την έκδοση και την επαλήθευση των πιστοποιητικών, καθώς και για τη διασφάλιση της αξιοπιστίας τους. Δεν παραθέτει συγκεκριμένους νομικούς κανόνες και υποχρεώσεις, αλλά ο σκοπός του είναι ενημερωτικός. Ως εκ τούτου, το παρόν έγγραφο προορίζεται να είναι απλό, άμεσο και κατανοητό στο ευρύ κοινό, συμπεριλαμβανομένων των ατόμων που δεν διαθέτουν τεχνικές ή νομικές γνώσεις. Σε συνδυασμό με την Πολιτική Πιστοποιητικού καθορίζει τις επαγγελματικές, νομικές και τεχνικές απαιτήσεις για την έγκριση, έκδοση, διαχείριση, χρήση, ανάκληση, και ανανέωση ψηφιακών πιστοποιητικών και την παροχή των σχετικών υπηρεσιών εμπιστοσύνης. Το παρόν έγγραφο περιγράφει τις πρακτικές για την έκδοση και διαχείριση των Αναγνωρισμένων Πιστοποιητικών Ψηφιακής Υπογραφής. Αναγνωρισμένα Πιστοποιητικά Ψηφιακής Υπογραφής εκδίδονται από την Αρχή Πιστοποίησης της BYTE (General CA). Το παρόν έγγραφο επεξηγεί την έννοια και τη λειτουργία του πιστοποιητικού, καθώς και τις διαδικασίες που πρέπει να ακολουθούνται από τα Βασιζόμενα Μέρη ή Τρίτοι Συμβαλόμενοι (Trusting Parties ή Relying Parties), καθώς και από κάθε άλλο ενδιαφερόμενο πρόσωπο, προκειμένου να εμπιστευθούν τα πιστοποιητικά που έχουν εκδοθεί από την ΑΠ της BYTE. Το παρόν έγγραφο ενδέχεται να υποβληθεί σε τακτικές επικαιροποιήσεις. Τα πιστοποιητικά που εκδίδονται από την ΑΠ BYTE General CA περιέχουν παραπομπή στην Πολιτική Πιστοποιητικών (ΠΠ), έτσι ώστε τα Βασιζόμενα Μέρη και οι άλλοι ενδιαφερόμενοι να μπορούν να βρουν πληροφορίες σχετικά με το πιστοποιητικό και τις πολιτικές του φορέα που το εξέδωσε Επισκόπηση Η παρούσα ΠΠ (CP) ισχύει ειδικά για την ΑΠ της BYTE General CA, και αναγνωρίζει και εφαρμόζει την αντίστοιχη Πρακτική Certification Practices Statement (CPS). Αντίστοιχα και σύμφωνα με τον σκοπό και χρήση των πιστοποιητικών, δημιουργείται η αντίστοιχη δευτερεύουσα ΑΠ (sub-ca). Στον ιστότοπο BYTE PKI repository, δημοσιεύονται όλα τα είδη των πιστοποιητικών και τα αντίστοιχα έγγραφα (CPSs). ΣΗΜΕΙΩΣΗ: Το πιστοποιητικό δημόσιου κλειδιού (εφεξής «πιστοποιητικό»), καθώς και όλα τα ακρωνύμια, και μια σύντομη περιγραφή των Όρων και Ορισμών παρατίθενται στο τέλος, στο ΠΑΡΑΡΤΗΜΑ ΟΡΙΣΜΩΝ ΚΑΙ ΑΚΡΩΝΥΜΙΩΝ Ονομασία και Ταυτοποίηση Εγγράφου Το παρόν έγγραφο αποτελεί τη Πολιτική Αναγνωρισμένων Πιστοποιητικών(ΠΠ ή CP) της της BYTE General CA. Η ΠΠ αναπαρίσταται σε ένα πιστοποιητικό από έναν μοναδικό αριθμό που ονομάζεται «Αναγνωριστικό Αντικειμένου» (ΑΑ ή Object Identifier). Ο Προσδιοριστής Αντικειμένου (OID) της Πολιτικής Πιστοποιητικού χρησιμοποιείται σύμφωνα με τις πληροφορίες που περιγράφονται στην παράγραφο Το παρόν έγγραφο προσδιορίζεται από τα στοιχεία που περιλαμβάνονται στον ακόλουθο πίνακα: Document Information Πνευματικά δικαιώματα BYTE - Με επιφύλαξη παντός δικαιώματος Σελίδα 20 / 64