Τίτλος ΕΤΗΣΙΟΣ ΕΠΑΝΕΛΕΓΧΟΣ ΑΝΑΦΟΡΑΣ ΕΛΕΓΧΟΥ ΔΙΑΔΙΚΑΣΙΩΝ ΛΕΙΤΟΥΡΓΊΑΣ ΒΑΣΙΣΜΕΝΗ ΣΤΙΣ ΑΠΑΙΤΗΣΕΙΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ETSI TS 101 456 Πελάτης HARICA ( www.harica.gr ) Προς ΚΑΘΕ ΕΝΔΙΑΦΕΡΟΜΕΝΟ Ημερομηνία 20 Ιουνίου 2013 Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της HARICA Σελίδα 1 από 6
Προς κάθε ενδιαφερόμενο, Αυτό είναι ένα επίσημο έγγραφο που πιστοποιεί, μετά από αίτηση του HARICA (Hellenic Academic Research Institutions Certification Authority), τα ακόλουθα. Η Υποδομή Δημοσίου Κλειδιού των Ελληνικών Ακαδημαϊκών και Ερευνητικών Ιδρυμάτων "Hellenic Academic & Research Institutions Certification Authority - (HARICA)" είναι μία έμπιστη τρίτη οντότητα (http://www.eett.gr/opencms/opencms/eett/electronic_communications/digitalsignatures/esignproviders.ht ml) που πιστοποιεί την ταυτότητα χρηστών και δικτυακών εξυπηρετητών των Ακαδημαϊκών Ιδρυμάτων και Ερευνητικών Φορέων της Ελλάδας. Η Υποδομή Δημοσίου Κλειδιού της HARICA είναι μια σύμπραξη ισότιμων μελών που απαρτίζεται από Ακαδημαϊκά Ιδρύματα, Ερευνητικούς Φορείς και το Εθνικό Δίκτυο Έρευνας και Τεχνολογίας - ΕΔΕΤ, και ξεκίνησε στα πλαίσια του έργου VNOC2 (έργο χρηματοδοτούμενο από το ΕΔΕΤ μέσω του Επιχειρησιακού Προγράμματος "Κοινωνία της Πληροφορίας"). Οι υπηρεσίες της είναι διαθέσιμες στα μέλη των Ελληνικών Ακαδημαϊκών και Ερευνητικών Φορέων. Η HARICA σήμερα χρηματοδοτείται από τη GUnet AΕ, (http://www.gunet.gr), μια μη-κερδοσκοπική αστική εταιρεία που ιδρύθηκε το 2000. Η GUnet ΑΕ έχει έδρα την Αθήνα και μέλη της είναι όλοι οι Ελληνικοί φορείς Ανώτατης Εκπαίδευσης (20 Πανεπιστήμια και 16 ΤΕΙ). Οι σκοποί της Εταιρείας προσδιορίζονται από τις ευρύτερες δικτυακές ανάγκες και επιδιώξεις της ελληνικής ακαδημαϊκής κοινότητας, στο πλαίσιο της Κοινωνίας της Πληροφορίας με στόχο την εξυπηρέτηση της έρευνας και της εκπαίδευσης. Λόγω της εταιρικής φύσης της GUnet και όσον αφορά την ευημερία της HARICA μπορούμε να υποθέσουμε ότι η HARICA θα είναι σε θέση να διατηρήσει τη λειτουργικότητά της και την κατάλληλη χρηματοδότηση και στα επόμενα χρόνια. 1. H Deventum έχει επιλεγεί από την HARICA ως ελεγκτής για τις υπηρεσίες ηλεκτρονικών πιστοποιητικών που παρέχονται από την HARICA. 2. Η HARICA έχει ελεγχθεί από την εταιρεία μας σύμφωνα με τα πρότυπα και τις τεχνικές προδιαγραφές που βασίζονται στο ETSI TS 101 456 τον Μάρτιο του 2011 [7] και αυτό το έγγραφο αποτελεί τον ετήσιο επανέλεγχο. 3. Η HARICA έχει δημοσιοποιήσει τα δημόσια κλειδιά των Αρχών Πιστοποίησης τον κύκλο ζωής των πιστοποιητικών, τους κανόνες λειτουργίας και τις πρακτικές προστασίας προσωπικών δεδομένων στην Δήλωση Διαδικασιών Πιστοποίησης, http://www.harica.gr/documents/cps.php και παρέχει τις υπηρεσίες της σύμφωνα με όσα αναγράφονται. 4. Πραγματοποιεί συστηματικούς ελέγχους για να διασφαλιστεί ότι: i) Οι πληροφορίες των συνδρομητών είναι σωστά πιστοποιημένες ii) Η ακεραιότητα των κλειδιών και πιστοποιητικών που διαχειρίζεται είναι προστατευμένες σε όλη την διάρκεια του κύκλου ζωής τους iii) Συνδρομητικές και άλλες πληροφορίες είναι διαθέσιμες μόνο σε εξουσιοδοτημένο ειδικευμένο προσωπικό Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της HARICA Σελίδα 2 από 6
iv) Η λειτουργία και διαθεσιμότητα των κλειδιών και πιστοποιητικών διατηρούνται για ολόκληρο τον κύκλο ζωής τους v) Γίνεται χρήση αξιόπιστων συστημάτων και προϊόντων τα οποία προστατεύονται έναντι τροποποίησης και διασφαλίζουν την τεχνική και κρυπτογραφική ασφάλεια των διεργασιών που υποστηρίζουν vi) Τα συστήματα της αρχής πιστοποίησης συντηρούνται σωστά και οι λειτουργίες είναι κατάλληλα προσαρμοσμένες προκειμένου να διατηρηθεί η ακεραιότητα των συστημάτων της Αρχής Πιστοποίησης, με βάση την πολιτική που αναγράφεται στο ETSI TS 101 456, Πολιτική για Ηλεκτρονικές Υπογραφές και Υποδομές για Αρχές Πιστοποίησης. Από τον έλεγχο του πηγαίου κώδικα της ιστοσελίδας, των προγραμμάτων και των διαδικαστικών εγγράφων που είχαμε στην διάθεσή μας, μπορούμε να καταλήξουμε στο συμπέρασμα ότιτο προσωπικό της HARICA κρίνεται κατάλληλο και είναι σε θέση να ασκήσει σωστά τις εργασίες για να διασφαλιστεί η ασφάλεια του ιστοχώρου (http://www.harica.gr), καθώς επίσης βρέθηκε προετοιμασμένο για όλα τα θέματα που περιγράφονται από τους κανονισμούς ETSI TS 101 456. Τα ευρήματά μας, με βάση τις απαιτήσεις του ETSI TS 101 456, περιγράφονται στην ακόλουθη Αναφορά Ελέγχου [παρακάτω] στην οποία είχαμε βρει την HARICA να πληροί τις απαιτήσεις και να έχει εφαρμόσει αλλαγές οι οποίες εξασφαλίζουν υψηλότερα μέτρα ασφαλείας. Μετακίνηση Datacenter Μέσα τους τελευταίους μήνες παρακολουθήσαμε την ασφαλή μετάβαση από το παλαιότερο χώρο datacenter της ΥΔΚ σε ένα νέο καλύτερα εξοπλισμένο datacenter. Η μετάβαση εξασφαλίζει ακόμη μεγαλύτερη διαθεσιμότητα και ένα ακόμα ασφαλέστερο περιβάλλον για τα συστήματα. Οι παρακάτω αλλαγές/προσθήκες έχουν προστεθεί και στο CP/CPS και εφαρμόζονται σύμφωνα με την τεκμηρίωση τους. Όπως περιγράφεται στο CP / CPS ανακλήσεις πιστοποιητικών», άρθρο 4.9.5 «Χρόνος απόκρισης της Υπηρεσίας Πιστοποίησης για «Οι Αρχές Πιστοποίησης οφείλουν να ξεκινούν τη διερεύνηση του αιτήματος ανάκλησης εντός μίας (1) εργάσιμης ημέρας εκτός περιπτώσεων ανωτέρας βίας. Θα καταβάλλεται προσπάθεια ώστε τεκμηριωμένα αιτήματα ανάκλησης πιστοποιητικών να εξυπηρετούνται άμεσα." Ήμασταν σε θέση να επιβεβαιώσουμε την διαδικασία όπως αυτή περιγράφεται στην ενότητα 4.9.6 «Μηχανισμοί με τους οποίους μέρη που βασίζονται στην υπηρεσία (Relying Parties) θα ελέγχουν την κατάσταση των πιστοποιητικών πάνω στα οποία θα βασίζονται», όπου η HARICA βρέθηκε να πληροί τις απαιτήσεις κατά το CA/B Forum for Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v1.1 δίνοντας την δυνατότητα σε οι software vendors να μπορούν να χρησιμοποιήσουν τους ιστοχώρους: https://www.harica.gr που διαθέτει «έγκυρο» πιστοποιητικό https://revoked.harica.gr που διαθέτει «ανακλημένο» πιστοποιητικό Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της HARICA Σελίδα 3 από 6
https://expired.harica.gr που διαθέτει «ληγμένο» πιστοποιητικό. Επιπλέον αναφορικά με (Λίστες Ανάκλησης Πιστοποιητικών) ΛΑΠ στην ενότητα 4.9.7 η HARICA επιβάλλει μια νέα πολιτική όπου οι ΛΑΠ, θα πρέπει να ενημερώνονται και δημοσιεύονται ως: για Πιστοποιητικά τελικών χρηστών/συσκευών, τουλάχιστον κάθε τέσσερεις (4) ημέρες. Η ΛΑΠ θα ισχύει για μέγιστο χρονικό διάστημα ίσο με δέκα (10) ημέρες για Πιστοποιητικά Αρχών Πιστοποίησης, τουλάχιστον κάθε δώδεκα (12) μήνες. Η ΛΑΠ θα ισχύει για μέγιστο χρονικό διάστημα ίσο με δώδεκα (12) μήνες Σε περίπτωση έκθεσης μυστικού κλειδιού συνδρομητή ή άλλου σημαντικού συμβάντος όπως για παράδειγμα ανάκληση Αρχής Πιστοποίησης, θα εκδίδεται ενημερωμένη ΛΑΠ εντός 24 ωρών από την ανάκληση. Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της HARICA Σελίδα 4 από 6
Συμπεράσματα Βάσει του ελέγχου μας πάνω στις διαδικασίες και την πολιτική, καθώς και με τον επανέλεγχο του πηγαίου κώδικα του ιστοχώρου και των προγραμμάτων της ΑΠ, βρήκαμε την HARICA να είναι σύμφωνη με τις τεχνικές προδιαγραφές όπως αυτές αναγράφονται στο ETSI TS 101 456, ως «μη-αναγνωρισμένη» Αρχή Πιστοποίησης, εκδίδοντας «μη-αναγνωρισμένα» πιστοποιητικά. Παρά το γεγονός ότι η HARICA, πληροί τις τεχνικές απαιτήσεις για τις αναγνωρισμένες ΑΠ, η HARICA επέλεξε να μην είναι αναγνωρισμένη ΑΠ, επειδή στόχος της είναι η χρήση των πιστοποιητικών μόνο για ακαδημαϊκούς και εκπαιδευτικούς σκοπούς. Δεν δύναται να πραγματοποιηθούν οικονομικές συναλλαγές με πιστοποιητικά που εκδίδονται από την HARICA εκτός εάν ορίζεται διαφορετικά σε ξεχωριστή ενδιάμεση ΑΠ με ξεχωριστό CP / CPS. Αυτή η ετήσια Αναφορά Ελέγχου βασίζεται στις απαιτήσεις και τις κατευθυντήριες γραμμές που περιγράφονται στο ETSI TS 101 456 και δεν περιλαμβάνει καμία απολύτως επαγγελματική γνώμη ως προς την ποιότητα των υπηρεσιών που παρέχονται από την HARICA, ούτε την καταλληλότητά τους για τους συγκεκριμένους στόχους του κάθε συνδρομητή, πέρα από τα κριτήρια και τις προδιαγραφές που αναγράφονται στο ETSI TS 101 456 για τις Αρχές Πιστοποίησης και καλύπτονται εδώ. Λόγω των περιορισμών που είναι εγγενείς στα συστήματα ελέγχου, μπορεί να υπάρξουν απαρατήρητα λάθη ή περιπτώσεις απάτης. Επιπλέον, τα πορίσματα της αναφορά ισχύουν μόνο για τη χρονική περίοδο της ανάλυσης και οποιαδήποτε συμπεράσματα βάσει των πορισμάτων αυτών για χρονικές περιόδους πέραν της ημερομηνίας της αναφοράς δεν αντικατοπτρίζουν την επαγγελματική γνώμη της Deventum καθώς ενδέχεται να υπάρχουν: 1) Αλλαγές στον πηγαίο κώδικα 2) Αλλαγές στις απαιτήσεις επεξεργασίας των πιστοποιητικών 3) Αλλαγές που επιφέρει το πέρασμα του χρόνου 4) Αλλαγές στον βαθμό συμμόρφωσης με τις πολιτικές ή τις απαιτούμενες διαδικασίες Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της HARICA Σελίδα 5 από 6
ΕΥΡΕΤΗΡΙΟ 1. Δήλωση Διαδικασιών Πιστοποίησης, http://www.harica.gr/documents/cps.php 2. Μνημόνιο Συνεργασίας και Συναντίληψης για την ενεργοποίηση και υποστήριξη της Υποδομής Δημοσίου Κλειδιού HARICA, http://www.harica.gr/documents/mou.pdf 3. Διαδικασίες και κανονισμοί HARICA, PKI Σχέδιο Ανάκτησης σε περίπτωση καταστροφής, από Ζαχαρόπουλο Δημήτριο. 4. Πιστοποίηση ταυτότητας φυσικού προσώπου http://www.harica.gr/documents/cps.php, άρθρο 3 παράγραφος 2.3. 5. Τεχνικές προδιαγραφές ETSI TS 101 456 Ηλεκτρονικές Υπογραφές και Υποδομές (ESI); Πολιτική προϋποθέσεων για Αρχές Πιστοποίησης που εκδίδουν αναγνωρισμένα πιστοποιητικά. 6. Οδηγία 1999/93/EC του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με το κοινοτικό πλαίσιο για τις ηλεκτρονικές υπογραφές 7. HARICA Αρχική Αναφορά Ελέγχου 2011, https://www.harica.gr/documents/harica.audit.report.gr.pdf 8. HARICA Αναφορά Ελέγχου 2012, http://www.harica.gr/documents/harica-2012.04.20-auditletterrev1.2- Greek.pdf Η Αναφορά Ελέγχου συντάχθηκε για την Deventum από: Κρασσάς Νικόλαος, CISSP Certification Number: 94337 Στεργίου Δημήτριος, CISA Certification Number: 0973230, CISSP Certification Number: 305086, CISM Certification Number: 09549256 Παπαπέτρος Δημήτριος, CISA Certification Number: 1189862 Κρασσάς Νικόλαος, CISSP 20 Ιουνίου 2013 Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της HARICA Σελίδα 6 από 6