ÎS CENTRUL DE TELECOMUNICAŢII SPECIALE CODUL DE PRACTICI ŞI PROCEDURI AL CENTRULUI DE CERTIFICARE A CHEILOR PUBLICE Noiembrie 2013 Chişinău 2013

Transcriere

1 ÎS CENTRUL DE TELECOMUNICAŢII SPECIALE Noiembrie 2013 Chişinău 2013

2 CUPRINS 1. INTRODUCERE Rezumat Definirea Codului de practici şi proceduri (denumirea şi identificarea documentului) Participanţi ai infrastructurii cheilor publice (PKI) Centre de certificare (СА) Centre de înregistrări (RA) Utilizatori finali Părţi de încredere Alte servicii Aplicabilitate Aplicabilitatea certificatului cheii publice Restricţii de aplicabilitate a certificatelor cheilor publice Administrarea Codului de practici şi proceduri Instituţia administratoare a Codului de practici şi proceduri Date de contact Procedura de coordonare şi aprobare a Codului de practici şi proceduri REPOZITORIUL ŞI PUBLICAREA Repozitoriul Centrului de certificare Publicarea informaţiei despre certificatele cheilor publice Frecvenţa de publicare Controlul accesului la Repozitoriu IDENTIFICAREA ŞI AUTENTIFICAREA Nume Tipuri de nume Numele caracteristice Anonimatul sau pseudonimele abonaţilor Regulile de interpretare a diferitor forme de nume Unicitatea numelor Recunoaşterea şi rolul mărcilor comerciale Înregistrarea Autentificarea persoanelor juridice Autentificarea persoanelor fizice Autentificarea echipamentului (fizic sau logic) Identificarea şi autentificarea la solicitarea certificării noii perechi de chei Autentificarea la certificarea noii perechi de chei în cazul expirării perioadei de valabilitate a certificatului Autentificarea în cazul introducerii modificărilor în certificatul valid Autentificarea în cazul certificării perechii noi de chei după revocarea certificatului Identificarea şi autentificarea la depunerea cererii pentru revocarea certificatului CERINŢE FAŢĂ DE GESTIONAREA CICLULUI DE VIAŢĂ AL CERTIFICATULUI Cererea pentru certificare Entităţi care pot depune cerere pentru certificare Înregistrarea cererii pentru certificare Prelucrarea cererilor pentru certificare Realizarea autentificării şi identificării Acceptarea sau refuzul cererii pentru certificare Timpul de prelucrare a cererii pentru certificare Eliberarea certificatului Acţiunile administratorului certificare în procesul de generare a certificatului cheii publice Notificarea abonatului despre emiterea certificatului RG / 95

3 4.4 Acceptarea certificatului Acţiunea ce semnifică acceptarea certificatului Publicarea certificatului de către Centrul de certificare Notificarea altor persoane despre eliberarea certificatului abonatului Cheile privată şi publică şi utilizarea certificatului Cheia privată a abonatului şi utilizarea certificatului Cheia publică a abonatului şi utilizarea certificatului de partea de încredere Reînnoirea certificatului Reînnoirea cheilor Introducerea modificărilor în certificat Revocarea şi suspendarea valabilităţii certificatului Cauze pentru revocare Entităţi ce pot solicita revocarea certificatului Procedurile de revocare a certificatului Termenul de prelucrare a cererii de revocare a certificatului în Centrul de certificare Verificarea certificatelor revocate de către părţile de încredere Frecvenţa publicării listei certificatelor revocate Verificarea accesibilităţii service-ului OCSP Cerinţe înaintate la verificarea certificatului prin service-ul OCSP Alte forme de verificare a statutului certificatului Cerinţe speciale faţă de încălcarea securităţii cheii private Circumstanţe ce determină suspendarea valabilităţii certificatului Entităţi ce pot solicita suspendarea certificatului Procedurile de suspendare şi restabilire a valabilităţii certificatului Restricţii pe perioada suspendării valabilităţii certificatului Restabilirea valabilităţii certificatului Depozitarea cheii şi restabilirea ei RESURSE, GESTIONARE ŞI CONTROLUL OPERAŢIONAL Controlul fizic al securităţii Amplasare Accesul fizic Alimentarea electrică şi condiţionarea aerului Umiditatea Securitatea antiincendiară şi măsurile de prevenire Păstrarea purtătorilor de informaţie Nimicirea purtătorilor de informaţie Copierea de rezervă completă Organizarea controlului securităţii Rolurile şi atribuţiile funcţionale Numărul persoanelor cu funcţii de răspundere, necesare pentru realizarea unui proces Identificarea şi autentificarea rolurilor Rolurile ce interzic cumularea funcţiilor Securitatea personalului Cerinţe faţă de calificarea şi experienţa personalului Procedurile de verificare a personalului Cerinţe de instruire a personalului Frecvenţa desfăşurării perioadelor repetate de instruire şi cerinţe Frecvenţa şi consecutivitatea transferurilor (rotaţiilor) de funcţii Sancţiuni în cazul acţiunilor neautorizate Cerinţe de angajare temporară a personalului Documentaţie pusă la dispoziţia personalului Evenimente supuse înregistrării şi procedurile auditului Tipurile de evenimente supuse înscrierii Frecvenţa de verificare a registrelor evenimentelor RG / 95

4 5.4.3 Perioada de utilizare a registrelor evenimentelor Protecţia registrelor evenimentelor Proceduri aplicate în procesul de arhivare a registrelor evenimentelor Notificarea persoanelor responsabile despre evenimente Evaluarea punctelor vulnerabile ale sistemului Arhivarea înscrierilor Tipurile de date supuse arhivării Frecvenţa de arhivare a datelor Termenele de păstrare a datelor de arhivă Protecţia arhivelor Procedurile copierii de rezervă Cerinţe de aplicare a mărcii temporale pe înscriere Procedurile de acces şi de verificare a informaţiei de arhivă Schimbarea cheilor Încălcarea securităţii cheilor şi restabilirea după avarie Proceduri în caz de compromitere a cheilor sau de suspiciune de compromitere a cheilor Centrului de certificare Deteriorarea resurselor informaţionale, a mijloacelor de program sau a datelor Proceduri în caz de compromitere a cheilor sau de suspiciune de compromitere a cheilor abonaţilor Restabilirea securităţii după starea de avarie Încetarea activităţii Centrului de certificare Cerinţe ce ţin de obligaţiile de transmitere Publicarea certificatelor şi succesorii proceselor finisate CONTROLUL TEHNIC AL SECURITĂŢII Generarea şi utilizarea perechii de chei Crearea cheilor privată şi publică Transmiterea cheii publice în Centrul de certificare Răspîndirea cheilor publice de Centrul de certificare Lungimea cheilor Parametrii cheilor publice şi verificarea calităţii parametrilor Scopurile de utilizare a cheilor (în conformitate cu X.509 v3) Metodele software şi/sau hardware de creare a cheilor Protecţia cheilor private şi controlul ingineresc al modulilor criptografici Standarde pentru modulele criptografice Partajarea şi distribuirea cheii private Depozitarea cheilor private Copierea de rezervă a cheilor private Intrarea şi stocarea cheii private pe modulul criptografic Metode de activare a cheilor private Metode de dezactivare a cheilor private Metode de distrugere (nimicire) a cheilor private Alte aspecte de administrare a cheilor Arhivele cheilor publice Termenul de valabilitate a certificatului şi perioada de utilizare a cheilor privată şi publică Activarea datelor Crearea şi utilizarea datelor de activare Protecţia datelor de activare Alte aspecte ale procesului de activare a datelor Controlul de securitate Cerinţe tehnice specifice de control de securitate Evaluarea securităţii Controlul tehnic al ciclului de viaţă Administrarea controlului de securitate Administrarea securităţii de reţea RG / 95

5 6.8 Marca temporală PROFILURILE CERTIFICATULUI, A LISTEI CERTIFICATELOR REVOCATE ŞI OCSP Profilul certificatelor Versiunea certificatului Cîmpurile de bază ale certificatului Cîmpurile auxiliare ale certificatului Extensiile certificatului şi tipuri de certificate Extensiile certificatelor centrelor de certificare Certificate de autentificare a serverului Certificate pentru semnare de cod Certificatele abonaţilor Identificatorul algoritmului semnăturii digitale Cîmpul semnăturii digitale Profilul CRL Extensiile acceptate Profilul răspunsului OCSP Versiunea Informaţie despre statutul certificatului AUDITUL ŞI ALTE EVALUĂRI Frecvenţa efectuării auditului Identificarea şi calificarea auditorului Controale de audit şi intercorelaţia cu supervizaţii Întrebări cu specific de audit Acţiuni desfăşurate în caz de depistare a discrepanţelor Notificare despre rezultatele auditului RG / 95

6 1. INTRODUCERE Prezentul Cod de practici şi proceduri (Regulamentul Centrului de certificare a cheilor publice) este elaborat în baza Legii cu privire la documentul electronic şi semnătura digitală 264-XV din 15 iulie 2004, a Hotărîrii Guvernului 945 din 5 septembrie 2005 cu privire la centrele de certificare, a Condiţiilor speciale de activitate a centrelor de certificare a cheilor publice, aprobate prin ordinul directorului Serviciului de Informaţii şi Securitate al Republicii Moldova 13 din 3 aprilie 2006, a Regulamentului Centrului de certificare a cheilor publice al autorităţilor administraţiei publice, aprobat prin Ordinul directorului Serviciului de Informaţii şi Securitate al Republicii Moldova 32 din 15 iunie 2006, în corespundere cu recomandările IETF (Internet Engineering Task Force) RFC 3647 (Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework). Codul de practici şi proceduri (în continuare Cod) stabileşte condiţiile de organizare a activităţii Centrului de certificare a cheilor publice (în continuare Centru de certificare), creat în cadrul Î.S. Centrul de telecomunicaţii speciale (în continuare Întreprindere), şi determină: funcţiile, obligaţiile şi drepturile centrului de certificare; procedurile şi mecanismele utilizate în procesul de prestare a serviciilor de certificare; ordinea de interacţiune cu alte centre de certificare şi cu utilizatorii semnăturii digitale; măsuri tehnico-organizatorice de bază pentru asigurarea securităţii. Codul reprezintă un document reglementat al activităţii Întreprinderii în calitate de Centru de certificare şi se răsfrînge asupra: centrelor de certificare a cheilor publice subordonate sau care se află în relaţii comerciale cu Centrul de certificare; utilizatorilor semnăturii digitale, care-şi certifică cheile publice în Centrul de certificare. Infrastructura Centrului de certificare prevede 3 tipuri de certificate (certificatele persoanelor împuternicite ale Centrului de certificare, certificatele cheilor publice ale utilizatorilor semnăturii digitale şi certificatele serviciilor), pentru care Codul determină cerinţele faţă de securitatea generală. RG / 95

7 Codul descrie infrastructura cheilor publice (Public Key Infrastructure) a Centrului de certificare atât din punct de vedere juridic, cât şi cel tehnic; determină procedurile şi mecanismele de funcţionare a Centrului de certificare în conformitate cu standardele aprobate; determină: obligaţiile centrelor de certificare a cheilor publice şi ale utilizatorilor semnăturii digitale reieşind din infrastructura cheilor publice a Centrului de certificare; aspecte juridice ce ţin de serviciile de certificare prestate; asigurarea securităţii şi efectuarea auditului activităţii Centrului de certificare; metodele de identificare a solicitantului pentru certificarea cheii publice; procedurile operaţionale pentru prestarea serviciilor de certificare; cererile pentru certificarea cheilor publice, cererile pentru suspendarea şi restabilirea validităţii, revocarea şi confirmarea autenticităţii certificatelor; procedurile de securitate operaţională pentru înscrierea rezultatelor auditului, păstrarea datelor şi restabilirea după pana de funcţionare; regulile de asigurare a securităţii fizice, ale personalului, de administrare a cheilor şi a securităţii logice a Centrului de certificare; lista certificatelor eliberate, lista certificatelor revocate administrate în Centrul de certificare; aplicarea Codului, inclusiv metodele de îmbunătăţire şi ordinea de introducere a modificărilor. Codul presupune faptul că cititorul posedă cunoştinţe generale despre semnătura digitală şi infrastructura cheilor publice (PKI). În lipsa acestora informaţie cu privire la criptografia cheii publice şi utilizarea infrastructurii cheilor publice se poate găsi pe site-ul Centrului de certificare REZUMAT Centrul de certificare prestează servicii de certificare în cadrul infrastructurii cheilor publice (PKI) unice în Republica Moldova (a se vedea Fig. 1), fără crearea unui domen de certificare separat. RG / 95

8 Centrul de certificare de nivel superior (ROOT CA) Centrul de certificare a cheilor publice (СА) Centre de înregistrări la distanţă (RA) Utilizatori Autorităţile administraţiei publice, persoane fizice şi juridice Figura 1. Centrul de certificare a cheilor publice în infrastructura cheilor publice din Republica Moldova. Aplicarea cu succes a Codului necesită un şir de documente stabilite de către organul competent şi legislaţia în domeniul semnăturii digitale. Aceste documente au caracter general şi fac legătura între utilizatori şi centrele de certificare, stabilind standarde obligatorii pentru toţi. Tabelul 1 conţine lista de bază a documentelor, accesibilitatea pentru documentare publică şi locul amplasării acestora. Documente Statut Accesibilitate Documente ajutătoare cu privire la securitate şi proceduri în cadrul Întreprinderii Politica de certificare a cheilor publice Accesibil RG / 95

9 Politica de securitate a Centrului de certificare Inaccesibil pentru utilizare în interes de servici Politica de acordare şi control al accesului la resursele Centrului de certificare Inaccesibil pentru utilizare în interes de servici Planul de gestionare a riscurilor Inaccesibil pentru utilizare în interes de servici Planul de asigurare a continuităţii activităţii Centrului de certificare Inaccesibil pentru utilizare în interes de servici Procedurile de restabilire a activităţii Centrului de certificare Inaccesibil pentru utilizare în interes de servici Instrucţiunea ce reglementează securitatea şi exploatarea MPCI Inaccesibil pentru utilizare în interes de servici Ordinea de sincronizare a timpului după GMT Codul de practici şi proceduri al Centrului de certificare Inaccesibil Accesibil Documente specifice pentru utilizare în interes de servici Tabelul 1. Documente ce reglementează activitatea Centrului de certificare. Prevederile prezentului Cod corespund cerinţelor din standardele unanim recunoscute, inclusiv AICPA/CICA WebTrust Program for Certification Authorities, ANS X9.79:2001 PKI Practices and Policy Framework, şi ale altor standarde din domeniul activităţii centrelor de certificare. Structura Codului corespunde standardului Internet X.509 Public Key Infrastructure. Certificate Policy and Certification Practices Framework, cunoscut sub numele de RFC 3647, cu excepţia câtorva modificări în denumiri şi detalii ce corespund modelelor business ale Întreprinderii. Corespunderea cu RG / 95

10 standardul dat simplifică dezvoltarea politicii de certificare, interacţiunea cu utilizatorii semnăturii digitale şi alte centre de certificare. 1.2 DEFINIREA CODULUI DE PRACTICI ŞI PROCEDURI (DENUMIREA ŞI IDENTIFICAREA DOCUMENTULUI) Prezentul Cod reprezintă un document reglementat al activităţii Întreprinderii în calitate de Centru de certificare a cheilor publice. Codul are denumiri în limbile de stat (Codul de Practici şi Proceduri), rusă (Свод Правил и Процедур) şi engleză (Certification Practice Statement). Toate versiunile acestui document pot fi găsite pe site-ul Centrului de certificare: versiunea electronică în repozitoriu sau; versiunea pe suport de hârtie la cerere pe adresa Centrului de certificare (a se vedea Secţiunea 1.5). 1.3 PARTICIPANŢI AI INFRASTRUCTURII CHEILOR PUBLICE (PKI) Codul de practici şi proceduri se răsfrînge asupra tuturor utilizatorilor semnăturii digitale care sunt abonaţi sau parteneri ai Centrului de certificare, indiferent de locul aflării acestora. Centrul de certificare prestează servicii de certificare a cheilor publice ale abonaţilor atît ca persoane fizice, cît şi ca persoane juridice, reglînd aceste corelaţii prin prezentul Cod. Scopul acestui document (inclusiv descrierea procedurilor de generare a perechii de chei publică şi privată, de asigurare a securităţii sistemului) este informarea şi convingerea abonaţilor Centrului de certificare în faptul că nivelul de încredere în certificatele publicate se datorează practicii de lucru în domeniul respectiv al Centrului de certificare CENTRE DE CERTIFICARE (СА) Centrul de certificare a cheilor publice prestează servicii de certificare în cadrul infrastructurii cheilor publice (PKI) unice a Republicii Moldova (a se vedea Fig. 1). RG / 95

11 În cadrul domenului de certificare a Centrului de certificare pot fi create centre de certificare de nivelul trei. Prin centru de certificare de nivelul trei se subînţelege departamentul persoanei juridice ce prestează servicii de certificare a cheilor publice şi alte servicii în domeniul semnăturii digitale în scopuri corporative, în conformitate cu propriul Cod de practici şi proceduri, ce poate fi acelaşi pentru toate centrele de certificare sau pot diferenţia de la un centru la altul în dependenţă de scopul urmărit de respectivul centru CENTRE DE ÎNREGISTRĂRI (RA) Centrul de certificare oferă posibilitatea de a crea Centru de înregistrări la distanţă, reprezentanţă a Centrului de certificare în interacţiunea cu abonaţii. Centrul de înregistrări activează în bază de Contract şi asistă Centrul de certificare, executînd funcţiile administratorului înregistrări în conformitate cu prezentul Cod. În acest sens, în Centrul de înregisrări au loc următoarele proceduri: identificarea şi înregistrarea solicitantului pentru certificarea cheii publice; primirea şi prelucrarea cererilor pentru certificare, suspendare, restabilire a validităţii şi revocare a certificatului cheii publice. Orice persoană juridică poate fi Centru de înregistrări cu condiţia executării tuturor cerinţelor înaintate de Centrul de certificare. Centrul de înregistrări la distanţă nu are dreptul de a deschide alte centre de înregistrări, nici de a delega funcţiile sale altei persoane juridice neacreditată de Centrul de certificare. Centrul de înregistrări la distanţă interacţionează doar cu Abonaţii solicitanţii pentru certificarea cheilor publice. Cererea pentru certificarea cheii publice a persoanei împuternicite a centrului de certificare de nivelul trei se depune doar la Centrul de certificare UTILIZATORI FINALI În condiţiile legislaţiei în vigoare Centrul de certificare prestrează servicii oricărui tip de utilizatori ai semnăturii digitale. RG / 95

12 Tipul certificatului Eliberat Serviciul pentru care se eliberează certificatul Utilizatori Certificatul cheii publice Persoanei fizice Corporativ Colaboratorii centrului de certificare, administratorii centrelor de înregistrări la distanţă Persoanei fizice Vînzare Orice utilizator al semnăturii digitale (angajaţi ai autorităţilor publice, ai persoanelor juridice cu diverse forme de activitate, cetăţeni) Persoanei fizice Administrarea infrastructurii cheilor publice Persoanele împuternicite ale centrelor de certificare a cheilor publice de nivelul trei Certificate service-urilor ale Persoanei fizice service- Gestionarea ului Administratorii dispozitivelor (fizice şi logice) Persoanei fizice Administrarea service-ului Persoane juridice cu diverse forme de activitate ce prestează servicii de nonrepudiere. Tabelul 2. Utilizatorii serviciilor prestate de Centrul de certificare. Prin utilizatori finali se subînţeleg: abonaţi utilizatori finali, ale căror date personale de identificare sunt înscrise în câmpul Subject al certificatului cheii publice şi care nu eliberează certificate ale cheilor publice altor persoane; părţi de încredere utilizatori finali, care folosesc certificatele cheilor publice ale abonatilor în scop de verificare a semnăturii digitale a abonatului sau în scop de asigurare a securităţii informaţiei transmise. Orice persoană fizică sau juridică, inclusiv dispozitivul (fizic sau logic) al acestora, poate deveni Abonat al Centrului de certificare. Abonatul se adresează personal în Centrul de certificare după serviciile corespunzătoare. Instituţiile, ce doresc să procure certificate ale cheilor publice pentru angajaţii săi, se pot adresa la Centrul de certificare prin reprezentantul împuternicit (persoana responsabilă). RG / 95

13 1.3.4 PĂRŢI DE ÎNCREDERE Partea de încredere, ce foloseşte serviciile Centrului de certificare, poate fi reprezentată de orice persoană, decizia căreia depinde de legătura directă între identitatea abonatului şi cheia publică a acestuia (fapt confirmat de certificatul cheii publice eliberat de Centrul de certificare). Partea de încredere este responsabilă de verificarea statutului certificatului abonatului, de verificarea semnăturii digitale în scop de identificare a sursei sau autorului mesajului, sau pentru crearea canalului de comunicaţii securizat cu titularul certificatului cheii publice. Reieşind din informaţia conţinută în câmpurile certificatului cheii publice, partea de încredere verifică corectitudinea utilizării certificatului cheii publice după destinaţie şi în conformitate cu restricţiile menţionate în certificat ALTE SERVICII Centrul de certificare prestează şi alte servicii, cum ar fi: accesul public la repozitoriu; serviciul de marcare temporală (Time-Stamping Authority); serviciul de verificare în regim de timp real a statutului certificatului cheii publice (Online Certificate Status Protocol OCSP); serviciul de aplicare a semnăturii digitale prin intermediul aplicaţiei web, serviciul de aplicare a semnăturii digitale prin intermediul aplicaţiei desktop, serviciul de aplicare şi/sau verificare automatizată a semnăturii digitale; serviciul MobileSignature. 1.4 APLICABILITATE Prezentul CPP se aplică tuturor participanţilor la infrastructura cheilor publice a Centrului de certificare, inclusiv Centrului de certificare, Centrului de înregistrări, abonaţilor şi părţilor terţe de încredere. Prezentul CPP descrie regulile stabilite în procesul de utilizare a certificatelor cheilor publice, emise de Centrul de certificare. RG / 95

14 1.4.1 APLICABILITATEA CERTIFICATULUI CHEII PUBLICE Certificatele cheilor publice, emise de Centrul de certificare, permit părţilor terţe de încredere, participanţilor în procesul de comunicare electronică să verifice semnăturile digitale ale abonaţilor. În conformitate cu legislaţia în vigoare semnătura digitală sau orice tranzacţie, ce ţine de certificatul cheii publice emis de Centrul de certificare, va fi considerată validă, indiferent de locul unde a fost emis certificatul cheii publice sau a fost creată/utilizată semnătura digitală şi indiferent de locul unde Centrul de certificare sau utilizatorul semnăturii digitale îşi desfăşoară activitatea. Domeniul de aplicabilitate a certificatelor cheilor publice se determină de două elemente: aplicarea certificatului (e.g., pentru verificarea semnăturii digitale, pentru asigurarea confidenţialităţii, etc. în restricţiile menţionate în certificat); lista sau descrierea aplicaţiilor ce permit sau interzic utilizarea certificatului. Certificatele cheilor publice, emise de Centrul de certificare, pot fi utilizate în aplicaţii, ce corespund următoarelor cerinţe: administrează perechea de cheii publică şi privată; utilizează certificatele şi cheile publice corespunzătoare după destinaţia lor; dispun de mecanisme interne de verificare a statutului certificatului, de creare a lanţului de certificare şi verificare a valabilităţii certificatului/semnăturii digitale; propun utilizatorului informaţia corespunzătoare despre certificate şi statutele acestora RESTRICŢII DE APLICABILITATE A CERTIFICATELOR CHEILOR PUBLICE Utilizarea certificatelor cheilor publice, emise de Centrul de certificare, nu este limitată la un anumit mediu de afaceri, cum ar fi sistemul serviciilor financiare sau un mediu de piaţă virtuală. Cu toate acestea, Centrul de certificare sau alţi participanţi la infrastructura cheilor publice nu poartă răspundere pentru RG / 95

15 monitorizarea sau stabilirea cărorva restricţii de aplicabilitate a certificatului cheii publice în aceste medii. Este interzisă utilizarea certificatelor în aplicaţiile ce nu sunt incluse în lista sus-menţionată şi nu corespund cerinţelor, înaintate în p al CPP. Unele certificate ale cheilor publice, emise de Centrul de certificare, au restricţii de utilizare. De exemplu, certificatele cheilor publice ale persoanelor împuternicite ale centrelor de certificare nu pot fi utilizate decât pentru semnarea certificatelor cheilor publice ale utilizatorilor semnăturii digitale, a listei certificatelor revocate. Certificatele cheilor publice ale utilizatorilor se supun aplicaţiilor clienţilor şi nu sunt utilizate drept certificate pentru servicii. De asemenea, certificatele administratorilor se utilizează doar pentru executarea atribuţiilor funcţionale de administrator. În ce priveşte certificatele cheilor publice, emise de Centrul de certificare, ce corespund recomandării X.509 v3 The Directory: Public-key and attribute certificate framework, utilizarea cheii este restricţionată de obiectivele cu caracter tehnic, pentru care se utilizează cheia privată, corespunzătoare cheii publice certificate. Certificatele cheilor publice ale utilizatorilor finali nu pot fi utilizate drept certificate ale Centrului de certificare. Alte restricţii de aplicabilitate a certificatelor cheilor publice sunt determinate de însuşi utilizatori şi se înscriu în câmpurile corespunzătoare ale certificatului. Certificatele cheilor publice se utilizează doar conform câmpurilor, stabilite la crearea lor, şi în conformitate cu legislaţia în vigoare. 1.5 ADMINISTRAREA CODULUI DE PRACTICI ŞI PROCEDURI INSTITUŢIA ADMINISTRATOARE A CODULUI DE PRACTICI ŞI PROCEDURI Întreprinderea este persoana juridică responsabilă pentru elaborarea, înregistrarea, aplicarea şi modificarea ulterioară a CPP al Centrului de certificare. RG / 95

16 1.5.2 DATE DE CONTACT Întrebări cu privire la prezentul CPP puteţi adresa la următoarea adresă: Î.S. Centrul de telecomunicaţii speciale Republica Moldova, or. Chişinău, Piaţa Marii Adunări naţionale, 1, MD 2033, Telefon/fax: (+373) PROCEDURA DE COORDONARE ŞI APROBARE A CODULUI DE PRACTICI ŞI PROCEDURI Prezentul Cod este publicat în formă electronică în Repozitoriul Centrului de certificare ( Modificarea prevederilor acestui Cod este rezultatul depistării erorilor, al actualizării sau al propunerilor parvenite de la utilizatorii semnăturii digitale. Propunerile cu privire la modificările Codului se primesc prin poşta electronică sau pe adresa Centrului de certificare. După fiecare modificare, introdusă în Cod, se schimbă identificatorul lui. Modificările se fac de Centrul de certificare sub formă de documente ce conţin acele modificări sau actualizări. Centrul de certificare îşi asumă dreptul de a introduce modificări în prezentul CPP fără notificarea utilizatorilor semnăturii digitale în compartimentele ce ţin de greşeli de redactare, schimbarea URL-ului şi a datelor de contact. RG / 95

17 Centrul de certificare va introduce modificări în prezentul Cod cu notificarea persoanelor interesate. Modificări esenţiale, însoţite de notificări, sunt cele ce schimbă esenţa prevederilor prezentului Cod şi sunt determinate de Centrul de certificare. Toate actualizările şi completările propuse în prezentul Cod sunt pe site-ul Centrul de certificare este deschis observaţiilor utilizatorilor semnăturii digitale asupra CPP şi, în caz că acestea sunt acceptabile, vor trece procedura de aprobare în conformitate cu secţiunea dată. În cazuri excepţionale, dacă Centrul de certificare consideră că modificările au un caracter urgent, în scop de prevenire sau de stopare a încălcării securităţii infrastructurii cheii publice, Centrul de certificare are dreptul de a formula astfel de modificări, publicându-le în Repozitoriul Centrului de certificare. Termenul pentru depunerea obiecţiilor şi comentariilor cu privire la modificările propuse ale prevederilor prezentului CPP este de cincisprezece (15) zile din momentul publicării lor pe site-ul Centrului de certificare. Vor fi luate în consideraţie toate obiecţiile şi comentariile şi: modificările propuse vor intra în vigoare fără rectificări, modificările vor fi supuse rectificărilor şi vor fi republicate ca rectificări noi, în conformitate cu prezenta secţiune, modificările propuse vor fi şterse. Modificările propuse, cu excepţia celor şterse, intră în vigoare din momentul expirării termenului pentru depunerea obiecţiilor şi comentariilor. Aprobarea CPP este o procedură internă a Întreprinderii şi are loc conform regulilor stabilite la Întreprindere. 2. REPOZITORIUL ŞI PUBLICAREA 2.1 REPOZITORIUL CENTRULUI DE CERTIFICARE Repozitoriul Centrului de certificare este sursa informaţională de bază a Centrului de certificare şi reprezintă totalitatea datelor, accesibile public, sub formă de documente pe suport de hârtie şi documente electronice. RG / 95

18 În Repozitoriu sunt stocate certificatele cheilor publice, emise de Centrul de certificare, şi informaţia suplimentară cu privire la funcţionarea corectă a infrastructurii (CRL, prezentul CPP, etc.). 2.2 PUBLICAREA INFORMAŢIEI DESPRE CERTIFICATELE CHEILOR PUBLICE Repozitoriul Centrului de certificare este o interfaţă publică ce conţine următoarea informaţie: versiunile actuale ale Codului de practici şi proceduri, ale Politicilor de certificare; contracte-tip şi anexe, ce urmează a fi semnate cu utilizatorii semnăturii digitale; declaraţia cu privire la confidenţialitatea informaţiei primite şi prelucrate; lista centrelor de înregistrări împuternicite; Registrul în care se conţin: o certificatele cheilor publice ale abonaţilor; o certificatele cheilor publice ale persoanelor împuternicite ale centrelor de certificare de nivelul trei; o lista certificatelor revocate; altă informaţie ce se modifică în timp real. Cu conţinutul Repozitoriului a se lua cunoştinţă pe FRECVENŢA DE PUBLICARE Informaţia, publicată în Repozitoriul Centrului de certificare, se actualizează în următorul mod: Politicile de certificare şi Codul de practici şi proceduri la introducerea modificărilor în caz de depistare a erorilor, modificare a standardelor corespunzătoare sau la propunerile abonaţilor; contractele-tip şi anexele după introducerea modificărilor; RG / 95

19 certificatele cheilor publice ale persoanelor împuternicite ale Centrului de certificare după primirea noilor certificate; certificatele abonaţilor după eliberarea noului certificat în baza acordului în scris al abonatului; lista certificatelor revocate a se vedea Secţiunea 4.9.7; informaţie suplimentară la fiecare completare. 2.4 CONTROLUL ACCESULUI LA REPOZITORIU Informaţia, publicată în Repozitoriul Centrului de certificare, este informaţie publică. Întreprinderea a implementat măsuri de securitate fizică şi logică pentru a preveni adăugarea, ştergerea sau schimbarea informaţiei publicate în Repozitoriul Centrului de certificare. 3. IDENTIFICAREA ŞI AUTENTIFICAREA 3.1 NUME TIPURI DE NUME Certificatele cheilor publice, emise de Centrul de certificare, corespund cerinţelor standardului ITU-T X.509, versiunea 3, standardului SMV ISO CEI RG / 95

20 9594-8:2007 Information technology. Open Systems Interconnection. The Directory: Public-key and attribute certificate frameworks sau IETF RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. Certificatele cheilor publice, emise de Centrul de certificare, conţin nume caracteristice X.501 (cunoscut ca standard ISO/IEC ) în câmpurile emitentului şi subiectului. Structurile certificatelor cheilor publice ale persoanelor împuternicite şi ale utilizatorilor semnăturii digitale sunt prezentate în anexele 1 şi 2 la Normele tehnice în domeniul semnăturii digitale, aprobate prin Ordinul directorului Serviciului de Informaţii şi Securitate al Republicii Moldova nr. 64 din (Monitorul Oficial /481 din ) (în continuare Norme tehnice) NUMELE CARACTERISTICE Numele ce se conţin în certificatele cheilor publice, emise de Centrul de certificare abonaţilor, trebuie să fie cu sens şi să identifice persoana fizică drept subiect de certificare. Nu se acceptă utilizarea pseudonimelor. Numele distinguished name (DN) constă din câmpuri obligatorii ce corespund Normelor tehnice, recomandărilor RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile şi X.520 The Directory: Selected attribute types. Numele, utilizate pentru crearea înscrierilor DN în certificatele abonaţilor, se scriu în grafia latină cu utilizarea simbolurilor diacritice. În cazul persoanelor juridice DN constă din următoarele câmpuri obligatorii: a) SerialNumber -- IDNP-ul abonatului; b) câmpul CN numele, prenumele abonatului; c) câmpul L localitatea; d) câmpul S statul; e) câmpul ОU subdiviziunea persoanei juridice în care activează abonatul; RG / 95

21 f) câmpul О denumirea, IDNO-ul persoanei juridice, în care activează abonatul; g) câmpul Phone numărul de telefon al abonatului; h) câmpul Т funcţia abonatului; i) câmpul С codul internaţional al statului (pentru Republica Moldova acesta este MD); j) câmpul Е adresa de a abonatului; k) câmpul STREET adresa juridică a persoanei juridice. În cazul persoanelor fizice DN constă din următoarele câmpuri obligatorii: l) SerialNumber -- IDNP-ul abonatului; m) câmpul CN numele, prenumele abonatului; n) câmpul L localitatea; o) câmpul S statul; p) câmpul Phone numărul de telefon al abonatului (opţional); q) câmpul С codul internaţional al statului (pentru Republica Moldova acesta este MD); r) câmpul Е adresa de a abonatului. Datele indicate de abonat sunt verificate şi identificate de administratorul înregistrări. Centrul de certificare garantează unicitatea numelor în cadrul domeniului său ANONIMATUL SAU PSEUDONIMELE ABONAŢILOR Anonimatul şi pseudonimele abonaţilor nu se aplică REGULILE DE INTERPRETARE A DIFERITOR FORME DE NUME Interpretarea diferitor forme de nume ale certificatelor cheilor publice se bazează pe profilurile certificatelor, expuse în 7 al prezentului CPP. Pentru crearea şi interpretarea DN se folosesc recomandările expuse în Secţiunea RG / 95

22 3.1.5 UNICITATEA NUMELOR În scopul identificării utilizatorului certificatele cheilor publice, emise de Centrul de certificare, sunt legalizate în conformitate cu DN. Centrul de certificare asigură unicitatea certificatului abonatului în cadrul domeniului Centrului de certificare prin intermediul unicităţii numărului de serie al fiecărui certificat şi a unicităţii codului numeric personal al abonatului (IDNP) RECUNOAŞTEREA ŞI ROLUL MĂRCILOR COMERCIALE Centrul de certificare posedă marca sa comercială înregistrată, ce constă din imaginea grafică şi inscripţie: Imaginea grafică şi inscripţia reprezintă mărci comerciale înregistrate ale Întreprinderii şi nu pot fi utilizate de nimeni fără permisiunea în scris a Întreprinderii. Marca comercială a Centrului de certificare este un element suplimentar al logotipului pentru fiecare Centru de înregistrări, ce intră în componenţa domeniului Centrului de certificare; dreptul de utilizare a acestui logotip este permis automat noului Centru de înregistrări. 3.2 ÎNREGISTRAREA Înregistrarea abonatului constă din proceduri ce permit Centrului de certificare primirea şi verificarea veridicităţii datelor prezentate. Înregistrarea are loc în caz când solicitantul pentru certificarea cheii publice nu a fost abonat al Centrului de certificare. Înregistrarea presupune un şir de RG / 95

23 proceduri pentru colectarea datelor veridice necesare la identificarea persoanei abonatului. Fiecare abonat este supus procedurii de înregistrare o singură dată. După verificarea datelor pentru certificare, prezentate de către solicitant, acesta este inclus în lista abonaţilor Centrului de certificare. Depunerea pachetului de documente pentru certificarea cheii publice este anticipată de consultarea şi executarea paşilor expuşi în instrucţinea de pe site-ul Centrului de certificare AUTENTIFICAREA PERSOANELOR JURIDICE Identificarea persoanei juridice are drept scop: dovada că la momentul depunerii cererii pentru certificarea cheii publice persoana juridică, menţionată în cerere, există; dovada că solicitantul pentru certificarea cheii publice este persoană împuternicită din cadrul persoanei juridice menţionate. Procedura de identificare are loc în caz că persoana juridică: are rol de abonat prin intermediul persoanei sale împuternicite; solicită eliberarea certificatului pentru echipament sau pentru mijloace de program, posesorul cărora este; crează centru de certificare de nivelul trei în infrastructura cheilor publice a Centrului de certificare. Identificarea persoanei juridice are loc în prezenţa reprezentantului împuternicit al persoanei juridice în faţa administratorului înregistrări. Pachetul de documente depus are următorul conţinut: copia extrasului din Registrul de Stat al persoanelor juridice, copiile actului ce identifică identitatea reprezentantului împuternicit (emis de o autoritate de încredere şi recunoscut pe teritoriul Republicii Moldova) şi a actului ce confirmă împuternicirea acestuia. Administratorul înregistrări identifică persoana juridică conform prevederilor Instrucţiunii administratorului înregistrări. RG / 95

24 Dacă persoana juridică utilizează certificatele emise de Centrul de certificare, procedura de identificare pentru certificarea noii perechi de chei are loc în baza pachetului de documente depus anterior AUTENTIFICAREA PERSOANELOR FIZICE Identificarea persoanelor fizice are drept scop: dovada că informaţia, prezentată în cererea pentru certificare, se referă la persoana fizică în cauză; dovada că solicitantul pentru certificarea cheii publice este o persoană fizică, identificată în cerere. Identificarea persoanelor fizice are la bază actele ce identifică persoana solicitantă. Procedura de identificare, desfăşurată de administratorul înregistrări, constă în: verificarea autenticităţii actelor prezentate de solicitant, inclusiv în bazele de date ale Centrului de certificare şi ale centrelor de înregistrări; verificarea autenticităţii cererii: o verificarea corespunderii datelor indicate în cerere cu cele din documente; o verificarea corespunderii numelui distinctiv; Administratorul înregistrări identifică persoana fizică conform prevederilor Instrucţiunii administratorului înregistrări. Acţiunile ulterioare ale administratorului înregistrări sunt similare celor din procedura de autentificare a persoanei juridice AUTENTIFICAREA ECHIPAMENTULUI (FIZIC SAU LOGIC) Autentificarea echipamentului (fizic sau logic) are loc similar procedurii de autentificare a persoanei juridice. 3.3 IDENTIFICAREA ŞI AUTENTIFICAREA LA SOLICITAREA CERTIFICĂRII NOII PERECHI DE CHEI Autentificarea identităţii abonatului care depune cererea pentru certificarea noii perechi de chei sau pentru modificarea cărorva date din certificatul cheii RG / 95

25 publice valid are loc conform prevederilor Instrucţiunii administratorului înregistrări AUTENTIFICAREA LA CERTIFICAREA NOII PERECHI DE CHEI ÎN CAZUL EXPIRĂRII PERIOADEI DE VALABILITATE A CERTIFICATULUI Procedura de certificare a noii perechi de chei pentru abonaţii Centrului de certificare, ale căror certificate valide expiră, are loc în momentul depunerii cererii pentru certificare cu cel puţin 30 zile pînă la expirarea perioadei de valabilitate. Certificatul, emis de Centrul de certificare pentru noua pereche de chei, conţine aceeaşi parametri ca şi cel a cărui perioadă de valabilitate expiră, cu excepţia numărului de serie, a perechii de chei şi a perioadei de valabilitate a certificatului. Abonaţii Centrului de certificare, care depun cererile pentru certificarea noii perechi de chei sub formă de document electronic, sunt identificaţi în baza semnăturii digitale şi a certificatului cheii publice valid AUTENTIFICAREA ÎN CAZUL INTRODUCERII MODIFICĂRILOR ÎN CERTIFICATUL VALID Modificări în certificatul cheii publice valid al abonatului se fac în cazul necesităţii modificării măcar a unui câmp (e.g., la schimbarea funcţiei abonatului, a informaţiei de contact, a adresei electronice, a adresei juridice, a numelui la casătorie, divorţ, etc.). La fel se modifică perechea de chei certificată şi numărul de serie al certificatului. Autentificarea abonatului are loc în baza pachetului de documente depus anterior, iar introducerea modificărilor în baza documentului ce atestă modificarea datelor abonatului AUTENTIFICAREA ÎN CAZUL CERTIFICĂRII PERECHII NOI DE CHEI DUPĂ REVOCAREA CERTIFICATULUI RG / 95

26 Nu este permisă certificarea noii perechi de chei a abonatului după revocarea certificatului dacă: cauza revocării a fost eliberarea certificatului dat altei persoane, decât cea indicată în câmpul Subject (subiectul certificării); certificatul dat a fost eliberat fără permisiunea persoanei -- subiect al certificării; administratorii certificare sau înregistrări află sau au temei de a presupune că informaţia, înscrisă în cererea pentru certificare, nu este veridică. La schimbarea certificatelor cheilor publice revocate autentificarea are loc conform procedurii de autentificare la înregistrarea iniţială a utilizatorului semnăturii digitale (a se vedea Secţiunea 3.2 a CPP). 3.4 IDENTIFICAREA ŞI AUTENTIFICAREA LA DEPUNEREA CERERII PENTRU REVOCAREA CERTIFICATULUI În cazul compromiterii cheii private abonatul este obligat, în modul stabilit de CPP, să anunţe Centrul de certificare despre aceasta, solicitînd ulterior prin cerere revocarea certificatului cheii publice (a se vedea Secţiunea 4.9 Revocarea şi suspendarea certificatului). Cererea pentru revocare se depune ca document pe suport de hârtie, semnată olograf de către solicitant. În cazul persoanei fizice identitatea solicitantului se stabileşte prin propria prezenţă în faţa administratorului înregistrări în baza buletinului de identitate, iar în cazul persoanei juridice în baza documentelor parvenite din partea acesteia. În cazurile determinate de Cod administratorii Centrului de certificare au dreptul unilateral să revoce certificatele cheilor publice ale utilizatorilor. 4. CERINŢE FAŢĂ DE GESTIONAREA CICLULUI DE VIAŢĂ AL CERTIFICATULUI Centrul de certificare îndeplineşte următoarele proceduri: RG / 95

27 a) certificarea cheii publice a persoanei împuternicite a Centrului de certificare în Centrul de certificare de nivel superior (conform procedurii stabilită în Regulamentul Centrului de certificare de nivel superior); b) certificarea cheii publice a persoanei împuternicite a centrului de certificare de nivelul trei; c) certificarea cheii publice a solicitantului pentru certificarea cheii publice; d) certificarea cheii publice a mijloacelor de program şi a echipamentului; e) suspendarea şi restabilirea validităţii certificatului cheii publice; f) revocarea certificatului cheii publice; g) confirmarea autenticităţii şi validităţii certificatului cheii publice; h) aplicarea mărcii temporale (TSA); i) confirmarea statutului certificatului cheii publice în regim de timp real (OCSP); j) punerea la dispoziţie a listei certificatelor revocate (CRL); k) realizarea acţiunilor necesare pentru emiterea certificatelor SSL de către alte autorităţi de certificare în beneficiul solicitantului. Fiecare procedură începe cu pregătirea pachetului de documente pentru prestarea unui anumit serviciu, stabilit de Centrul de certificare, şi depunerea acestuia de către abonat la centrul de înregistrări sau direct la Centrul de certificare. 4.1 CEREREA PENTRU CERTIFICARE Pentru certificarea cheii publice solicitantul depune la Centrul de certificare pachetul de documente ce conţine: a) cererea pentru certificarea cheii publice sub formă de document pe suport de hîrtie, semnat cu semnătura olografă; b) copia buletinului de identitate; c) purtătorul material al certificatului cheii publice sub formă de document electronic, ce satisface cerinţele impuse de organul competent (a se vedea Normele tehnice în domeniul semnăturii digitale). Persoana juridică suplimentar depune: d) cererea centralizată, semnată de conducătorul persoanei juridice, ce conţine lista cu numele şi prenumele, funcţia angajaţilor, cheile publice ale cărora urmează a fi certificate, numărul cererii de certificare şi idnp-ul angajatului; e) copia extrasului din Registrul de Stat al persoanelor juridice; f) copia actului privind numirea persoanei împuternicite RG / 95

28 În cazul persoanei împuternicite a centrului de certificare de nivelul trei pachetul de documente mai conţine: g) certificatul de înregistrare a centrului de certificare de nivelul trei; h) ordinul conducătorului centrului de certificare de nivelul trei cu privire la numirea persoanei împuternicite a centrului. Cererea pentru certificarea cheii publice este depusă personal de solicitant la Centrul de certificare sau la centrele de înregistrări. Cererea este creată de solicitant la completarea formularului electronic pe site-ul centrului de certificare ( Cererea este printată, semnată cu semnătura olografă şi depusă sub formă de document pe suport de hîrtie. Cererea pentru certificarea cheii publice trebuie să conţină: a) numele şi familia solicitantului, IDNP, numărul documentului ce atestă identitatea; b) informaţie de contact (numărul de telefon, adresa poştală, adresa poştei electronice); c) denumirea persoanei juridice, al cărei angajat este, IDNO, funcţia deţinută (în caz de necesitate); d) alte date de identificare ale persoanei în dependenţă de scopurile pentru care este eliberat certificatul cheii publice ENTITĂŢI CARE POT DEPUNE CERERE PENTRU CERTIFICARE Cererile pot fi depuse de diverşi solicitanţi şi pot conţine solicitări pentru diverse tipuri de certificate (în dependenţă de necesităţi a se vedea Tabelul 2) ÎNREGISTRAREA CERERII PENTRU CERTIFICARE Solicitantul, care satisface toate condiţiile prevăzute în Cod, este înregistrat de către administratorul înregistrări. În caz contrar, administratorul înregistrări refuză înregistrarea solicitantului pentru certificare şi restituie solicitantului pachetul de documente depus pentru înlăturarea cauzelor ce au servit temei de refuz. După înregistrarea solicitantului pentru certificare administratorul înregistrări transmite administratorului certificare cererea pentru certificarea cheii publice pe suport de hîrtie, înregistrată şi semnată cu semnătura sa olografă, şi documentele ataşate acesteia. RG / 95

29 4.2 PRELUCRAREA CERERILOR PENTRU CERTIFICARE Fiecare cerere pentru certificare este prelucrată în următorul mod: administratorul înregistrări primeşte cererea pentru certificare de la abonat; administratorul înregistrări verifică datele din cerere; ca urmare a verificării administratorul înregistrări confirmă corespunderea datelor, conţinute în cerere, prin semnătura sa aplicată pe cerere; cererea confirmată şi documentele ataşate se transmit administratorului certificare REALIZAREA AUTENTIFICĂRII ŞI IDENTIFICĂRII Administratorul înregistrări al Centrului de certificare identifică solicitantul în baza documentelor depuse şi realizează verificarea prealabilă în conformitate cu Instrucţiunea administratorului înregistrări. În procesul verificării prealabile administratorul înregistrări trebuie să constate respectarea următoarelor condiţii: a) respectarea de către solicitant a legislaţiei în vigoare în domeniul semnăturii digitale la întocmirea şi depunerea cererii pentru certificarea cheii publice; b) respectarea de către solicitant a drepturilor persoanelor terţe la întocmirea şi depunerea cererii pentru certificarea cheii publice; c) autenticitatea informaţiei prezentate în cererea pentru certificarea cheii publice ACCEPTAREA SAU REFUZUL CERERII PENTRU CERTIFICARE La primirea pachetului de documente de la administratorul înregistrări administratorul certificare efectuează următoarele proceduri: a) compară cererea cu baza de date existentă a utilizatorilor (abonaţilor) înregistraţi; b) verifică autenticitatea cererii (semnătura administratorului înregistrări); c) verifică corespunderea cererii (sintaxa şi conţinutul); d) verifică împuternicirile solicitantului de a depune cerere pentru certificare; e) înscrie procedurile efectuate în baza de date şi în registrele de sistem. RG / 95