ΕΤΗΣΙΟΣ ΕΠΑΝΕΛΕΓΧΟΣ ΑΝΑΦΟΡΑΣ ΕΛΕΓΧΟΥ ΔΙΑΔΙΚΑΣΙΩΝ ΛΕΙΤΟΥΡΓΊΑΣ ΒΑΣΙΣΜΕΝΗ ΣΤΙΣ ΑΠΑΙΤΗΣΕΙΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ETSI TS

Τίτλος ΕΤΗΣΙΟΣ ΕΠΑΝΕΛΕΓΧΟΣ ΑΝΑΦΟΡΑΣ ΕΛΕΓΧΟΥ ΔΙΑΔΙΚΑΣΙΩΝ ΛΕΙΤΟΥΡΓΊΑΣ ΒΑΣΙΣΜΕΝΗ ΣΤΙΣ ΑΠΑΙΤΗΣΕΙΣ ΤΗΣ ΠΟΛΙΤΙΚΗΣ ETSI TS 101 456 Πελάτης Αριστοτέλειο Πανεπιστήμιο ς, Υποδομή Δημοσίου Κλειδιού (www.pki.auth.gr) Προς ΚΑΘΕ ΕΝΔΙΑΦΕΡΟΜΕΝΟ Ημερομηνία 20 Ιουνίου 2013 Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της ΥΔΚ ΑΠΘ Σελίδα 1 από 6

Προς κάθε ενδιαφερόμενο, Αυτό είναι ένα επίσημο έγγραφο που πιστοποιεί, μετά από αίτηση της Υποδομής Δημοσίου Κλειδιού Αριστοτέλειου Πανεπιστημίου ς (ΥΔΚ ΑΠΘ), τα ακόλουθα. Η Υποδομή Δημοσίου Κλειδιού ΑΠΘ είναι μία έμπιστη τρίτη οντότητα που πιστοποιεί την ταυτότητα χρηστών και δικτυακών εξυπηρετητών που συνεργάζονται με αυτή. Η πρώτη Υποδομή Δημοσίου Κλειδιού ξεκίνησε το 2001 από το Κέντρο Λειτουργίας Δικτύου ΑΠΘ. Μετά από επτά χρόνια επιτυχούς λειτουργίας και έχοντας εκδώσει περισσότερα από 30.000 ψηφιακά πιστοποιητικά, η Υποδομή αναβαθμίστηκε για να υποστηρίξει νέες δυνατότητες μεταξύ των οποίων: Υπογραφή πιστοποιητικών σε ειδικές κρυπτοσυσκευές - etokens με ειδικές παραμέτρους για ασφαλή σύνδεση υπαλλήλων γραμματειών σε υπολογιστές που χειρίζονται ευαίσθητα δεδομένα (πχ βαθμολογίες) αλλά και για τα μέλη ΔΕΠ που με ασφάλεια στέλνουν βαθμολογίες προς τις γραμματείες Υποστήριξη κατανεμημένων Αρχών Καταχώρησης και Πιστοποίησης μέσω του νέου πλαισίου λειτουργίας Σύνδεση με την ευρύτερη Υποδομή Δημοσίου Κλειδιού των Ελληνικών Ακαδημαϊκών και Ερευνητικών Ιδρυμάτων - HARICA προκειμένου οι Ακαδημαϊκές και Ερευνητικές κοινότητες της Ελλάδας να αξιοποιούν πλήρως τις δυνατότητες που παρέχουν τα ψηφιακά πιστοποιητικά που είναι η απρόσκοπτη ανταλλαγή ασφαλών μηνυμάτων ηλεκτρονικού ταχυδρομείου, η κρυπτογράφηση μηνυμάτων με ευαίσθητες πληροφορίες κ.α. 1. H Deventum έχει επιλεγεί από την ΥΔΚ ΑΠΘ ως ελεγκτής για τις υπηρεσίες ηλεκτρονικών πιστοποιητικών που παρέχονται από την ΥΔΚ ΑΠΘ. 2. Η ΥΔΚ ΑΠΘ έχει ελεγχθεί από την εταιρεία μας σύμφωνα με τα πρότυπα και τις τεχνικές προδιαγραφές που βασίζονται στο ETSI TS 101 456 v1.4.3 τον Μάρτιο του 2011 [7] και αυτό το έγγραφο αποτελεί τον ετήσιο επανέλεγχο. 3. Η ΥΔΚ ΑΠΘ έχει δημοσιοποιήσει τα δημόσια κλειδιά των Αρχών πιστοποίησης, το κλειδί, τον κύκλο ζωής των πιστοποιητικών, τους κανόνες λειτουργίας και τις πρακτικές προστασίας προσωπικών δεδομένων στην Δήλωση Διαδικασιών Πιστοποίησης, http://www.pki.auth.gr/documents/cps.php και παρέχει τις υπηρεσίες της σύμφωνα με όσα αναγράφονται. 4. Πραγματοποιεί συστηματικούς ελέγχους για να διασφαλιστεί ότι: i) Οι πληροφορίες των συνδρομητών είναι σωστά πιστοποιημένες ii) Η ακεραιότητα των κλειδιών και πιστοποιητικών που διαχειρίζεται είναι προστατευμένες σε όλη την διάρκεια του κύκλου ζωής τους iii) Συνδρομητικές και άλλες πληροφορίες είναι διαθέσιμες μόνο σε εξουσιοδοτημένο ειδικευμένο προσωπικό iv) Η λειτουργία και διαθεσιμότητα των κλειδιών και πιστοποιητικών διατηρούνται για ολόκληρο τον κύκλο ζωής τους Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της ΥΔΚ ΑΠΘ Σελίδα 2 από 6

v) Γίνεται χρήση αξιόπιστων συστημάτων και προϊόντων τα οποία προστατεύονται έναντι τροποποίησης και διασφαλίζουν την τεχνική και κρυπτογραφική ασφάλεια των διεργασιών που υποστηρίζουν vi) Τα συστήματα της αρχής πιστοποίησης συντηρούνται σωστά και οι λειτουργίες είναι κατάλληλα προσαρμοσμένες προκειμένου να διατηρηθεί η ακεραιότητα των συστημάτων της Αρχής Πιστοποίησης με βάση την πολιτική που αναγράφεται στο ETSI TS 101 456, Πολιτική για Ηλεκτρονικές Υπογραφές και Υποδομές για Αρχές Πιστοποίησης. Από τον έλεγχο του πηγαίου κώδικα της ιστοσελίδας, των προγραμμάτων και των διαδικαστικών εγγράφων που είχαμε στην διάθεσή μας, μπορούμε να καταλήξουμε στο συμπέρασμα ότι το προσωπικό της ΥΔΚ ΑΠΘ κρίνεται κατάλληλο και είναι σε θέση να ασκήσει σωστά τις εργασίες για να διασφαλιστεί η ασφάλεια του ιστοχώρου (http://pki.auth.gr), καθώς επίσης βρέθηκε να είναι προετοιμασμένο για όλα τα θέματα που περιγράφονται από τους κανονισμούς ETSI TS 101 456. Τα ευρήματά μας, με βάση τις απαιτήσεις του ETSI TS 101 456, περιγράφονται στην ακόλουθη Αναφορά Ελέγχου [παρακάτω] στην οποία είχαμε βρει την ΥΔΚ ΑΠΘ να πληροί τις απαιτήσεις και να έχει εφαρμόσει αλλαγές οι οποίες εξασφαλίζουν υψηλότερα μέτρα ασφαλείας. Συγχώνευση του ΑΠΘ-NOC και μετάβαση του κέντρου δεδομένων και δικτύων. Κατά τους τελευταίους μήνες παρακολουθήσαμε την ασφαλή μετάβαση από τον παλαιότερο χώρο της ΥΔΚ ΑΠΘ σε ένα νέο καλύτερα εξοπλισμένο χώρο δικτύου. Παράλληλα το 2013, το ΚΛΔ ΑΠΘ συγχωνεύτηκε μαζί με άλλες κεντρικές Μονάδες Πληροφορικής και Επικοινωνιών, δημιουργώντας το «Κέντρο Ηλεκτρονικής Διακυβέρνησης» (ΚΗΔ), μια νέα Πανεπιστημιακή Διεύθυνση, που είναι πλέον υπεύθυνο για την Υποδομή Δημοσίου Κλειδιού του ΑΠΘ. Οι παρακάτω αλλαγές/προσθήκες έχουν προστεθεί και στο CP/CPS και εφαρμόζονται σύμφωνα με την τεκμηρίωση τους. Όπως περιγράφεται στο CP / CPS [below] άρθρο 1.3.1, Αρχές πιστοποίησης, δύο υφιστάμενες αρχές πιστοποίησης ορίζονται: Μία (1) υφιστάμενη Αρχή Πιστοποίησης για τις οντότητες που ανήκουν στη Βιβλιοθήκη και Κέντρο Πληροφόρησης ΑΠΘ (ΒΚΠ) με τον περιορισμό ονομάτων lib.auth.gr Μία (1) υφιστάμενη Αρχή Πιστοποίησης για τις οντότητες που ανήκουν στο Τμήμα Φυσικής ΑΠΘ με τον περιορισμό ονομάτων physics.auth.gr Κατά την ενότητα 3.1.4.2 πιστοποιητικά συσκευών/υπηρεσιών περιγράφεται ότι: «Στα πιστοποιητικά συσκευής, το όνομα της (FQDN κατά DNS) αντιστοιχίζεται υποχρεωτικά στο χαρακτηριστικό Subject Alternate Name SAN» αναιρώντας το προηγούμενο υποχρεωτικό χαρακτηριστικό CN το οποίο καθίσταται προαιρετικό. Για τους μηχανισμούς με τους οποίους μέρη που βασίζονται στην υπηρεσία (Relying Parties) θα ελέγχουν την κατάσταση των πιστοποιητικών πάνω στα οποία θα βασίζονται κατά την ενότητα 4.9.6, η ΥΔΚ ΑΠΘ Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της ΥΔΚ ΑΠΘ Σελίδα 3 από 6

ακλουθώντας τους κανονισμούς του CA/B Forum Baseline Requirements, εφαρμόζει και περιγράφει πως οι software vendors μπορούν να χρησιμοποιήσουν τους ιστοχώρους: https://www.pki.auth.gr που διαθέτει «έγκυρο» πιστοποιητικό https://revoked.pki.auth.gr που διαθέτει «ανακλημένο» πιστοποιητικό https://expired.pki.auth.gr που διαθέτει «ληγμένο» πιστοποιητικό. Ακολουθώντας το Appendix C User Agent Verification του CA/B Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v1.1. Τέλος στην συχνότητα έκδοσης (Λίστας Ανάκλησης Πιστοποιητικών) ΛΑΠ της ενότητας 4.9.7 η ΥΔΚ ΑΠΘ εφαρμόζει τα παρακάτω: «Η ΛΑΠ από αρχές Πιστοποίησης που εκδίδουν ενδιάμεσες Αρχές Πιστοποίησης, θα εκδίδουν τουλάχιστον κάθε δώδεκα (12) μήνες. Η ΛΑΠ θα ισχύει για χρονικό διάστημα ίσο με δώδεκα (12) μήνες. Σε περίπτωση έκθεσης μυστικού κλειδιού συνδρομητή ή άλλου σημαντικού συμβάντος όπως για παράδειγμα ανάκληση Αρχής Πιστοποίησης, θα εκδίδεται άμεσα ενημερωμένη ΛΑΠ εντός 24 ωρών από την ανάκληση.» Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της ΥΔΚ ΑΠΘ Σελίδα 4 από 6

Συμπεράσματα Βάσει του ελέγχου μας πάνω στις διαδικασίες και την πολιτική, καθώς και με τον επανέλεγχο του πηγαίου κώδικα του ιστοχώρου και των προγραμμάτων της ΑΠ, βρήκαμε την ΥΔΚ ΑΠΘ να είναι σύμφωνη με τις τεχνικές προδιαγραφές όπως αυτές αναγράφονται στο ETSI TS 101 456, ως «μη-αναγνωρισμένη» Αρχή Πιστοποίησης, εκδίδοντας «μη-αναγνωρισμένα» πιστοποιητικά. Παρά το γεγονός ότι η ΥΔΚ ΑΠΘ, πληροί τις τεχνικές απαιτήσεις για τις αναγνωρισμένες ΑΠ, η ΥΔΚ ΑΠΘ επέλεξε να μην είναι αναγνωρισμένη ΑΠ, επειδή στόχος της είναι η χρήση των πιστοποιητικών μόνο για ακαδημαϊκούς και εκπαιδευτικούς σκοπούς. Δεν δύναται να πραγματοποιηθούν οικονομικές συναλλαγές με πιστοποιητικά που εκδίδονται από την ΥΔΚ ΑΠΘ εκτός εάν ορίζεται διαφορετικά σε ξεχωριστή ενδιάμεση ΑΠ με ξεχωριστό CP / CPS. Αυτή η ετήσια Αναφορά Ελέγχου βασίζεται στις απαιτήσεις και τις κατευθυντήριες γραμμές που περιγράφονται στο ETSI TS 101 456 και δεν περιλαμβάνει καμία απολύτως επαγγελματική γνώμη ως προς την ποιότητα των υπηρεσιών που παρέχονται από την ΥΔΚ ΑΠΘ, ούτε την καταλληλότητά τους για τους συγκεκριμένους στόχους του κάθε συνδρομητή, πέρα από τα κριτήρια και τις προδιαγραφές που αναγράφονται στο ETSI TS 101 456 για τις Αρχές Πιστοποίησης και καλύπτονται εδώ. Λόγω των περιορισμών που είναι εγγενείς στα συστήματα ελέγχου, μπορεί να υπάρξουν απαρατήρητα λάθη ή περιπτώσεις απάτης. Επιπλέον, τα πορίσματα της αναφορά ισχύουν μόνο για τη χρονική περίοδο της ανάλυσης και οποιαδήποτε συμπεράσματα βάσει των πορισμάτων αυτών για χρονικές περιόδους πέραν της ημερομηνίας της αναφοράς δεν αντικατοπτρίζουν την επαγγελματική γνώμη της Deventum καθώς ενδέχεται να υπάρχουν: 1. Αλλαγές στον πηγαίο κώδικα 2. Αλλαγές στις απαιτήσεις επεξεργασίας των πιστοποιητικών 3. Αλλαγές που επιφέρει το πέρασμα του χρόνου 4. Αλλαγές στον βαθμό συμμόρφωσης με τις πολιτικές ή τις απαιτούμενες διαδικασίες Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της ΥΔΚ ΑΠΘ Σελίδα 5 από 6

ΕΥΡΕΤΗΡΙΟ 1. Δήλωση Διαδικασιών Πιστοποίησης, http://www.pki.auth.gr/documents/cps.php 2. ΔΙΟΙΚΗΣΗ ΤΟΥ Α.Π.Θ. http://www.auth.gr/admin/index_el.html 3. Διαδικασίες και κανονισμοί ΥΔΚ ΑΠΘ, Σχέδιο Ανάκτησης σε περίπτωση καταστροφής, από Ζαχαρόπουλο Δημήτριο. 4. Πιστοποίηση ταυτότητας φυσικού προσώπου http://www.pki.auth.gr/documents/cps.php, άρθρο 3 παράγραφος 2.3. 5. Τεχνικές προδιαγραφές ETSI TS 101 456 v1.4.3 Ηλεκτρονικές Υπογραφές και Υποδομές (ESI); Πολιτική προϋποθέσεων για Αρχές Πιστοποίησης που εκδίδουν αναγνωρισμένα πιστοποιητικά. 6. Οδηγία 1999/93/EC του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου σχετικά με το κοινοτικό πλαίσιο για τις ηλεκτρονικές υπογραφές 7. ΥΔΚ ΑΠΘ Αναφορά Ελέγχου 2012, http://www.trust it.gr/userfiles/auth 2012.04.20 Rev1.0 Greek.pdf Η Αναφορά Ελέγχου συντάχθηκε για την Deventum από: Κρασσάς Νικόλαος, CISSP Certification Number: 94337 Στεργίου Δημήτριος, CISA Certification Number: 0973230, CISSP Certification Number: 305086, CISM Certification Number: 09549256 Παπαπέτρος Δημήτριος, CISA Certification Number: 1189862 Κρασσάς Νικόλαος, CISSP 20 Ιουνίου 2013 Ετήσια αναφορά ελέγχου διαδικασιών λειτουργίας της ΥΔΚ ΑΠΘ Σελίδα 6 από 6