ΕΤΗΣΙΟΣ ΕΠΑΝΕΛΕΓΧΟΣ ΑΝΑΦΟΡΑΣ ΕΛΕΓΧΟΥ ΔΙΑΔΙΚΑΣΙΩΝ ΛΕΙΤΟΥΡΓΊΑΣ ΒΑΣΙΣΜΕΝΗ ΣΤΙΣ ΑΠΑΙΤΗΣΕΙΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ETSI TS HARICA (

Transcript

1 Τίτλος ΕΤΗΣΙΟΣ ΕΠΑΝΕΛΕΓΧΟΣ ΑΝΑΦΟΡΑΣ ΕΛΕΓΧΟΥ ΔΙΑΔΙΚΑΣΙΩΝ ΛΕΙΤΟΥΡΓΊΑΣ ΒΑΣΙΣΜΕΝΗ ΣΤΙΣ ΑΠΑΙΤΗΣΕΙΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ETSI TS Πελάτης HARICA ( ) Προς ΚΑΘΕ ΕΝΔΙΑΦΕΡΟΜΕΝΟ Ημερομηνία 20 Απριλίου 2012 Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της HARICA Σελίδα 1 από 6

2 Προς κάθε ενδιαφερόμενο, Αυτό είναι ένα επίσημο έγγραφο που πιστοποιεί, μετά από αίτηση του HARICA (Hellenic Academic Research Institutions Certification Authority),τα ακόλουθα. Η Υποδομή Δημοσίου Κλειδιού των Ελληνικών Ακαδημαϊκών και Ερευνητικών Ιδρυμάτων "Hellenic Academic & Research Institutions Certification Authority - (HARICA)" είναι μία έμπιστη τρίτη οντότητα ( ml) που πιστοποιεί την ταυτότητα χρηστών και δικτυακών εξυπηρετητών των Ακαδημαϊκών Ιδρυμάτων και Ερευνητικών Φορέων της Ελλάδας. Η Υποδομή Δημοσίου Κλειδιού της HARICA είναι μια σύμπραξη ισότιμων μελών που απαρτίζεται από Ακαδημαϊκά Ιδρύματα, Ερευνητικούς Φορείς και το Εθνικό Δίκτυο Έρευνας και Τεχνολογίας - ΕΔΕΤ, και ξεκίνησε στα πλαίσια του έργου VNOC2 (έργο χρηματοδοτούμενο από το ΕΔΕΤ μέσω του Επιχειρησιακού Προγράμματος "Κοινωνία της Πληροφορίας"). Οι υπηρεσίες της είναι διαθέσιμες στα μέλη των Ελληνικών Ακαδημαϊκών και Ερευνητικών Φορέων. Η HARICA σήμερα χρηματοδοτείται από το GUnet AΕ, ( μια μη-κερδοσκοπική αστική εταιρεία που ιδρύθηκε το GUnet έχει έδρα την Αθήνα και τα μέλη της είναι όλοι οι Ανώτατης Εκπαίδευσης και Ακαδημαϊκά Ιδρύματα (20 ΑΕΙ και 16 ΤΕΙ). Οι σκοποί της Εταιρείας προσδιορίζονται από τις ευρύτερες δικτυακές ανάγκες και επιδιώξεις της ελληνικής ακαδημαϊκής κοινότητας, στο πλαίσιο της Κοινωνίας της Πληροφορίας με στόχο την εξυπηρέτηση της έρευνας και της εκπαίδευσης. Λόγω της φύσης του GUnet και όσον αφορά την ευημερία της HARICA μπορούμε να υποθέσουμε ότι η HARICA θα είναι σε θέση να διατηρήσει τη λειτουργικότητά του και την κατάλληλη χρηματοδότηση και στα επόμενα χρόνια. 1. H Deventum έχει επιλεγεί από την HARICA ως ελεγκτής για τις υπηρεσίες ηλεκτρονικών πιστοποιητικών που παρέχονται από την HARICA. 2. Η HARICA έχει ελεγχθεί από την εταιρεία μας σύμφωνα με τα πρότυπα και τις τεχνικές προδιαγραφές που βασίζονται στο ETSI TS και αυτό το έγγραφο αποτελεί τον ετήσιο επανέλεγχο. 3. Η HARICA έχει ανακοινώσει το κλειδί, τον κύκλο ζωής των πιστοποιητικών, τους κανόνες λειτουργίας και τις πρακτικές προστασίας προσωπικών δεδομένων στην Δήλωση Διαδικασιών Πιστοποίησης, και παρέχει τις υπηρεσίες της σύμφωνα με όσα αναγράφονται. 4. Πραγματοποιεί συστηματικούς ελέγχους για να διασφαλιστεί ότι: i) Οι πληροφορίες των συνδρομητών είναι σωστά πιστοποιημένες ii) Η ακεραιότητα των κλειδιών και πιστοποιητικών που διαχειρίζεται είναι προστατευμένες σε όλη την διάρκεια του κύκλου ζωής τους iii) Συνδρομητικές και άλλες πληροφορίες είναι διαθέσιμες μόνο σε εξουσιοδοτημένο ειδικευμένο προσωπικό Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της HARICA Σελίδα 2 από 6

3 iv) Η λειτουργία και διαθεσιμότητα των κλειδιών και πιστοποιητικών διατηρούνται για ολόκληρο τον κύκλο ζωής τους v) Γίνεται χρήση αξιόπιστων συστημάτων και προϊόντων τα οποία προστατεύονται έναντι τροποποίησης και διασφαλίζουν την τεχνική και κρυπτογραφική ασφάλεια των διεργασιών που υποστηρίζουν vi) Τα συστήματα της αρχής πιστοποίησης συντηρούνται σωστά και οι λειτουργίες είναι κατάλληλα προσαρμοσμένες προκειμένου να διατηρηθεί η ακεραιότητα των συστημάτων της Αρχής Πιστοποίησης με βάση την πολιτική που αναγράφεται στο ETSI TS , Πολιτική για Ηλεκτρονικές Υπογραφές και Υποδομές για Αρχές Πιστοποίησης. Από τον έλεγχο του πηγαίου κώδικα της ιστοσελίδας, των προγραμμάτων και των διαδικαστικών εγγράφων που είχαμε στην διάθεσή μας, μπορούμε να καταλήξουμε στα ακόλουθα συμπεράσματα. Το προσωπικό της HARICA κρίνεται κατάλληλο και είναι σε θέση να ασκήσει σωστά τις εργασίες για να διασφαλιστεί η ασφάλεια της ιστοσελίδας ( καθώς επίσης βρέθηκε να είναι προετοιμασμένο για όλα τα θέματα που περιγράφονται από τους κανονισμούς ETSI TS Τα ευρήματά μας, με βάση τις απαιτήσεις του ETSI TS , περιγράφονται στην ακόλουθη Αναφορά Ελέγχου [παρακάτω] στην οποία είχαμε βρει την HARICA να πληροί τις απαιτήσεις και να έχει εφαρμόσει αλλαγές οι οποίες εξασφαλίζουν υψηλότερα μέτρα ασφαλείας. Οι παρακάτω αλλαγές/προσθήκες έχουν προστεθεί και στο CP/CPS και εφαρμόζονται σύμφωνα με την τεκμηρίωση τους. Όπως περιγράφεται στο CP / CPS [below] άρθρο , η HARICA παρέχει πιστοποιητικά ψηφιακής υπογραφής κώδικα. " Τα πιστοποιητικά υπογραφής κώδικα (code signing certificates), παρέχονται μέσω των πιστοποιητικών χρηστών που περιγράφονται στην παράγραφο Ο χρήστης, επιπλέον από τους όρους που αναφέρονται στα πιστοποιητικά χρηστών, δεσμεύεται (μέσω τυποποιημένης διαδικασίας της ΑΚ) να παρέχει πλήρεις, ακριβείς και αληθείς πληροφορίες (πχ όνομα εφαρμογής, URL με πληροφορίες της εφαρμογής, περιγραφή εφαρμογής, κ.α.) στον κώδικα που υπογράφει ψηφιακά. Επίσης, απαγορεύεται ρητά η ψηφιακή υπογραφή κακόβουλου κώδικα (malware). Παράβαση των όρων, μπορεί να οδηγήσει σε αυτεπάγγελτη ανάκληση του πιστοποιητικού που υπέγραψε τον κώδικα. " Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της HARICA Σελίδα 3 από 6

4 Περιορισμοί ονομάτων Όπως αυτό καταγράφεται στο CP/CPS [below] ενότητα 7.1.5, η HARICA εφαρμόζει περιορισμούς ονομάτων για όλες τις ΑΠ. «Η HARICA εφαρμόζει περιορισμούς ονομάτων σε όλες τις ΑΠ σύμφωνα με το RFC Η συγκεκριμένη επέκταση χαρακτηρίζεται ως «μη κρίσιμη». Η Κεντρική Αρχή Πιστοποίησης της HARICA περιορίζεται στα domains:.gr,.eu,.edu,.org. Ειδικά για το domain.org, σε περίπτωση που κάποιο Ίδρυμα απαιτεί πιστοποιητικό εξυπηρετητή για συγκεκριμένη εκπαιδευτική ή ερευνητική δράση (δεν θα επιτρέπεται έκδοση πιστοποιητικών χρηστών για το συγκεκριμένο domain), η αίτηση θα εξυπηρετηθεί από μία κεντρική ενδιάμεση Αρχή Πιστοποίησης που θα περιορίζεται μόνο στο domain.org. Αυτή η ενδιάμεση Αρχή Πιστοποίησης δεν υφίσταται ακόμα αλλά θα δημιουργηθεί μόλις υπάρξει σχετικό αίτημα. Οι ενδιάμεσες Αρχές Πιστοποίησης ΠΡΕΠΕΙ να περιορίζονται στο domain του Ιδρύματος που εξυπηρετούν. Για παράδειγμα, η Αρχή Πιστοποίησης του Αριστοτελείου Πανεπιστημίου ς θα είναι περιορισμένη στο domain auth.gr, εφαρμόζοντας το σχετικό χαρακτηριστικό πιστοποιητικού.» Στο θέμα της απαιτούμενης ασφάλειας Βρήκαμε ότι HARICA εφαρμόζει επί του παρόντος, μορφές ελέγχου ταυτότητας με δύο τρόπους: α) Με τη χρήση του πιστοποιητικού γνησιότητας και ισχυρό κωδικό πρόσβασης β) Με βιομετρικές λύσεις και κωδικό πρόσβασης για συστήματα ή λογαριασμούς χρηστών που μπορεί να πραγματοποιήσουν την έκδοση ή την έγκριση των πιστοποιητικών. Επίσης, η χρήση των συσκευών πολλαπλής μορφής πιστοποίηση ταυτότητας, με βάση τους επιχειρησιακούς κανονισμούς της ΑΠ, δεν μένουν σε μόνιμη ή ημι-μόνιμη κατάσταση, ώστε να διατηρείτε η φυσική ακεραιότητα των πιστοποιητικών ασφαλείας των κεντρικών συστημάτων του οργανισμού. Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της HARICA Σελίδα 4 από 6

5 Συμπεράσματα Βάσει του ελέγχου μας πάνω στις διαδικασίες και την πολιτική, καθώς και με τον επανέλεγχο του πηγαίου κώδικα της ιστοσελίδας και των προγραμμάτων της ΑΠ βρήκαμε την HARICA να είναι σύμφωνη με τις τεχνικές προδιαγραφές όπως αυτές αναγράφονται στο ETSI TS , ως μη-αναγνωρισμένη Αρχή Πιστοποίησης, εκδίδοντας μη-αναγνωρισμένες πιστοποιήσεις. Παρά το γεγονός ότι η HARICA, πληροί τις τεχνικές απαιτήσεις για τις αναγνωρισμένες ΑΠ, η HARICA επέλεξε να μην είναι αναγνωρισμένη ΑΠ, επειδή στόχος της είναι η χρήση των πιστοποιητικών μόνο για ακαδημαϊκούς και εκπαιδευτικούς σκοπούς. Δεν δύναται να πραγματοποιηθούν οικονομικές συναλλαγές με πιστοποιητικά που εκδίδονται από την HARICA εκτός εάν ορίζεται διαφορετικά σε ξεχωριστή ενδιάμεση ΑΠ με ξεχωριστό CP / CPS. Αυτή η ετήσια Αναφορά Ελέγχου βασίζεται στις απαιτήσεις και τις κατευθυντήριες γραμμές που περιγράφονται στο ETSI TS και δεν περιλαμβάνει καμία απολύτως επαγγελματική γνώμη ως προς την ποιότητα των υπηρεσιών που παρέχονται από την HARICA, ούτε την καταλληλότητά τους για τους συγκεκριμένους στόχους του κάθε συνδρομητή, πέρα από τα κριτήρια και τις προδιαγραφές που αναγράφονται στο ETSI TS για τις Αρχές Πιστοποίησης και καλύπτονται εδώ. Λόγω των περιορισμών που είναι εγγενείς στα συστήματα ελέγχου, μπορεί να υπάρξουν απαρατήρητα λάθη ή περιπτώσεις απάτης. Επιπλέον, τα πορίσματα της αναφορά ισχύουν μόνο για τη χρονική περίοδο της ανάλυσης και οποιαδήποτε συμπεράσματα βάσει των πορισμάτων αυτών για χρονικές περιόδους πέραν της ημερομηνίας της αναφοράς δεν αντικατοπτρίζουν την επαγγελματική γνώμη της Deventum καθώς ενδέχεται να υπάρχουν: 1) Αλλαγές στον πηγαίο κώδικα 2) Αλλαγές στις απαιτήσεις επεξεργασίας των πιστοποιητικών 3) Αλλαγές που επιφέρει το πέρασμα του χρόνου 4) Αλλαγές στον βαθμό συμμόρφωσης με τις πολιτικές ή τις απαιτούμενες διαδικασίες Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της HARICA Σελίδα 5 από 6

6 ΕΥΡΕΤΗΡΙΟ 1. Δήλωση Διαδικασιών Πιστοποίησης, 2. Μνημόνιο Συνεργασίας και Συναντίληψης για την ενεργοποίηση και υποστήριξη της Υποδομής Δημοσίου Κλειδιού HARICA, 3. Διαδικασίες και κανονισμοί HARICA, PKI Σχέδιο Ανάκτησης σε περίπτωση καταστροφής, από Ζαχαρόπουλο Δημήτριο. 4. Πιστοποίηση ταυτότητας φυσικού προσώπου άρθρο 3 παράγραφος Τεχνικές προδιαγραφές ETSI TS Ηλεκτρονικές Υπογραφές και Υποδομές (ESI); Πολιτική προϋποθέσεων για Αρχές Πιστοποίησης που εκδίδουν αναγνωρισμένα πιστοποιητικά. 6. Οδηγία 1999/93/EC του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με το κοινοτικό πλαίσιο για τις ηλεκτρονικές υπογραφές 7. HARICA Αναφορά Ελέγχου 2011, Η Αναφορά Ελέγχου συντάχθηκε για την Deventum από: Κρασσάς Νικόλαος, CISSP Certification Number: Στεργίου Δημήτριος, CISA Certification Number: , CISSP Certification Number: , CISM Certification Number: Παπαπέτρος Δημήτριος, CISA Certification Number: Κρασσάς Νικόλαος, CISSP 20 Απριλίου 2012 Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της HARICA Σελίδα 6 από 6