MINISTARSTVO ZNANOSTI I TEHNOLOGIJE
Na temelju članka 34., stavka 2., Zakona o elektroničkom potpisu (»Narodne novine«, br. 10/02.) ministar znanosti i tehnologije donosi
I. OPĆE ODREDBE
Članak 1.
Ovim Pravilnikom utvrđuju se tehnička pravila za osiguranje povezanosti evidencija izdanih i opozvanih certikata davatelja usluga certifikata u Republici Hrvatskoj.
II. ELEKTRONIČKI POTPIS
Članak 2.
Struktura elektroničkog potpisa temelji se na ETSI TS 101 733 V1.3.1. (2002-02) – Electronic signature formats, odnosno ETSI TS 101 733 V1.2.2. (200-12) za postojeće sustave certificiranja, kao specifikaciji obrazaca (formata) elektroničkog potpisa.
Uz specifikaciju iz stavka 1. ovog članka, u izradi strukture elektroničkog potpisa preuzimaju se obrasci temeljeni na CMS (Cryptographic Message Syntax) modelu utvrđenom u dokumentu RFC 2630 te ESS (Enhanced Security Services) modelu utvrđenom u dokumentu RFC 2634.
Elektronički potpis mora sadržavati osnovna obilježja (atribute) utvrđene u CMS, ESS i ETSI TS 101 733 V1.3.1.
Članak 3.
Elektronički potpis mora biti ugradiv u sve raspoložive oblike računalnih zapisa.
Za potrebe automatskog prepoznavanja vrste potpisanih podataka može se koristiti obrazac MIME-encapsulated message (Multipurpose Internet Mail Extensions- RFC-1341).
Članak 4.
Elektronički potpis koriste potpisnik i primatelj u skladu s utvrđenom politikom uporabe potpisa.
Politika uporabe potpisa mora se iskazivati u dokumentu čitljivom korisnicima potpisa koji moraju imati mogućnost uvida u obveze i prava koja proizlaze iz sadržaja koji se potpisuje.
Za potrebe strojnog, odnosno automatskog obrađivanja elektroničkog potpisa nužno je izraditi politiku uporabe potpisa i u formatiranom obliku za potrebe izravnog preuzimanja od strane računalnih programa (aplikacija).
Formatirani oblik politike uporabe potpisa mora biti izrađen primjenom obrasca ASN.1:1997 (Abstract Syntax Notation 1) i mora imati jedinstvenu binarno kodiranu vrijednost dobivenu kodiranjem po BER (Basic Encoding Rules)/X.209 obrascu-ISO/IEC 8825-1 ASN.1 Encoding Rules-BER.
Potpisnik i primatelj (ovjerovitelj) moraju koristiti istu politiku uporabe potpisa radi postizanja istovjetnosti potpisa kod njegove izrade i ovjere.
Za nesumnjivo identificiranje politike uporabe potpisa u potpis se mora ugraditi identifikator ili sažetak politike uporabe potpisa.
Kod računalnih aplikacija koje koriste velik broj istorodnih dokumenata s jednom politikom uporabe elektroničkog potpisa dopušteno je unaprijed definirati ugradnju te politike u elektronički potpis ili je ugraditi u aplikaciju.
Članak 5.
Potpisniku u procesu potpisivanja mora biti predstavljen i opis procedure (postupka) potpisivanja u čitljivom obliku s najmanje sljedećim skupom podataka:
– upozorenje – sadržaj pravnih i drugih činjenica povezanih s potpisivanjem, mora biti iskazan prije čina potpisivanja
– izjava potpisnika – o prihvaćanju politike uporabe potpisa i saznanja o sadržaju koji potpisuje
– potpisni skup podataka – dio je elektroničkog potpisa i dodaje se potpisanom elektroničkom zapisu; sadrži ime potpisnika, vrijeme i mjesto potpisivanja i razlog/svrhu potpisivanja.
Članak 6.
Svaki elektronički potpis mora sadržavati jedinstven identifikator (ime potpisnika) koji mora biti kriptografski zaštićen.
Članak 7.
Kod sustava certificiranja koji podržavaju i koriste promet dokumenata i suradnju računalnih aplikacija u obrascu XML (Extended Markup Language) može se prihvatiti i uporaba elektroničkog potpisa oblikovanog u skladu s XAdES (XML Advanced Electronic Signatures) dokumentom ETSI TS 101 903 V1.1.1.
Prilikom uporabe obrasca elektroničkog potpisa iz stavka 1. ovog članka, elektronički potpis mora uključivati politiku uporabe elektroničkog potpisa i biti izrađen u sustavu certificiranja javnih ključeva.
Članak 8.
Podaci koje sadrži elektronički potpis moraju biti kodirani jednim od tri sljedeća obvezna obrasca kodiranja: DER (Definitive Encoding Rules), Base 64, CMS (Cryptographic Message Syntax) – PKCS#7.
Elektronički potpis objedinjuje se (programski zatvara) u omotnicu primjenom jednog ili svih sljedećih obrazaca: PKCS #7, ISO/IEC 9796-2 (Digital Signature Schemes), S/MIME (Secure Multipurpose Internet Mail Extensions).
Svaki omot s PKCS7 strukturom mora sadržavati samo osnovni digitalni dokument bez zaglavlja ili dodatnih obilježja za identifikaciju vrste dokumenta.
III. CERTIFIKAT
Članak 9.
Struktura certifikata temelji se na obrascu ITU X.509 v3 i uključuje kao obvezne atribute:
– inačicu obrasca X.509
– serijski broj
– jednoznačni identifikacijski kod (Object Identifier prema ASN.1) Općih pravila davatelja usluga certificiranja (ako je prethodno pridobio OID)
– oznaku (ID) algoritma izrade elektroničkog potpisa (sha1/RSA, MD5/RSA)
– ime izdavatelja certifikata – po strukturi utvrđenoj u obrascu X.500
– razdoblje valjanosti certfikata
– ime potpisnika (korisnika certifikata) – po strukturi utvrđenoj u obrascu X.500
– podaci o javnom ključu potpisnika
– jedinstveni identifikator izdavatelja certifikata
– jedinstveni identifikator korisnika certifikata (potpisnika)
– dodatni atributi (proširenje osnovnog skupa atributa)
– elektronički potpisane prethodne podatke od strane izdavatelja certifikata.
Članak 10.
Certifikat izrađen temeljem obrasca X.509v3 mora sadržavati i dodatne atribute (proširenje).
Obvezni skup dodatnih atributa je:
– identifikator ključa davatelja usluga certificiranja
– identifikator ključa potpisnika (korisnika certifikata)
– namjene uporabe ključa
– politika certificiranja
– dopunski podaci o potpisniku uključujući fizičku/poštansku i elektroničku adresu
– postupak i mjesto pristupa listi opozvanih certifikata.
Dodatni atributi (proširenje) moraju biti strukturirani u skladu s dokumentom ETSI 101 862 v1.2.1 – Qualified Certificate Profile i RFC 3039, koji osiguravaju međupovezljivost kvalificiranih certifikata.
Članak 11.
Obrazac i sadržaj kvalificiranih certifikata u skladu s odredbama Zakona o elektroničkom potpisu i smjernicama Europske unije utvrđeni su dokumentom ETSI TS 101 862 V1.2.1 (2001-06) Qualified Certificate Profile.
Primjena certifikata u okružju Internet sustava temelji se na obrascu RFC 2459 izvedenom iz X.509v3. Tu se pridružuju i sljedeći dodatni obrasci:
– RFC 2632 – S/MIME v3 Certificate Handling
– RFC 2633 – S/MIME v3 Message Specification
– RFC 3039 – Qualified Certificates Profiles.
Članak 12.
Svi podaci sadržani u certifikatu moraju se kodirati putem dva međupovezana modula:
1. ASN.1:1997 (Abstract Syntax Notation 1) usklađen s ISO/IEC 8824-1:1998 kojim se opisuju podaci
2. DER (Definitve Encoding Rules) kojim se opisuje jedinstven obrazac pohrane i razmjene podataka.
Certifikati (uključujući i javne ključeve potpisnika kod primjene sustava javnih ključeva) moraju biti pohranjeni u standardnom X.509v3 formatu i biti neovisni o modelu sustava upravljanja bazama podataka.
IV. OPREMA
Članak 13.
Svaka oprema uključena u sustav certificiranja mora biti sukladna opće prihvaćenim i u upotrebi najzastupljenijim obrascima.
Članak 14.
Svaka oprema mora omogućiti izdvajanje podataka elektroničkog potpisa i certifikata u jedan od najmanje tri osnovna obrasca:
– DER Encoded Binary X.509 (*.cer)
– Cryptographics Message Syntax Standard PKCS#7 Certificates (*.p7b)
– Personal Information Exchange Syntax Standard PKCS#12 (*.pfx).
Članak 15.
Kod uporabe smart kartica nužna je mogućnost izdvajanja privatnih ključeva, certifikata i osobnih podataka u jedan od standardnih zapisa iz članka 14. ovog Pravilnika.
Kod uporabe smart kartica nužna je primjena ISO/IEC 7816 (1,2.3) te ISO 7816 (4, 5, 6, 7, 8, 9, 10) obrasca ujednačavanja oblika, veličine i funkcionalnosti kartica i terminala za prihvat kartica.
Kod uporabe smart kartica u postupcima primjene elektroničkih potpisa i certifikata nužna je primjena obrasca PKCS#15 zapisa kriptoključeva, certifikata i drugih podataka (PKCS#15 smart card file format).
Uređaji/terminali za čitanje i pisanje zapisa na smart kartice moraju u okružju osobnih računala imati podršku za tehničke obrasce PCMCIA i PC/SC.
Uređaji za izradu, pohranu i uporabu podataka za izradu elektroničkog potpisa i ovjeru elektroničkog potpisa i certifikata u obliku ključeva i drugih oblika (tokeni) moraju osigurati priključak u standardna komunikacijska sučelja RS232, USB, Firewire, PCMCIA, Bluetooth.
Članak 16.
Oprema korisnika sustava certificiranja mora omogućiti najmanje sljedeće radnje:
– slanje i primanje elektronički potpisanih sadržaja
– provjeravanje primljenih certifikata putem liste opozvanih cerifikata
– provjeravanje primljenih certifikata putem najmanje tri razine
– primanje i slanje kriptiranih zapisa
– upotrebu i provjeru kvalificiranih certifikata
– upotrebu smart kartica i drugih medija za kriptografsku obradu.
Članak 17.
Kod uporabe opreme u okružju računala nužna je upotreba API (Application Program Interface) programskih sklopova kojima se mora osigurati korištenje bilo koje vrste smart kartica, PCMCIA (Personal Computer Memory Card International Association) modula, tokena i drugih uređaja.
Oprema s ugrađenim API programskim sklopovima mora izvršavati:
– izradu elektroničkog potpisa
– ovjeru elektroničkog potpisa
– oblikovanje podataka
– komuniciranje uređaja i podataka.
API programski sklopovi moraju se temeljiti na sljedećim kriptografskim obrascima:
– CRYPTOKI – BSAFE/PKCS (RSA) za ugradnju u uređaje i programe
– IDUP-API (Independent Data Unit Protection) za ugradnju u uređaje
– GSS-API (General Security Services) za ugradnju u programe.
Kod uporabe kartica Fortezza nužna je primjena RFC 2876 (Use of the KEA and SKIPJACK Algorithms in CMS) obrasca povezivanja procesa kriptiranja i procesa potpisivanja.
Članak 18.
Svaka oprema mora omogućiti uporabu najmanje triju osnovna sigurnosna obrasca za izradu i ovjeru elektroničkog potpisa i izradu kriptiranih zapisa:
– Microsoft Crypto API
– Netscape Security Framework
– Entrust PKI.
Oprema bilo koje namjene uključena u sustav certificiranja mora osigurati međudjelovanje putem sučelja PKCS#11 (Public Key Cryptographic Standard 11/Cryptographic Token Interface Standard – Cryptoki) neovisno o vrsti uređaja i medija kojima se izrađuje, koristi ili ovjerava elektronički potpis.
Zapisi, podaci i kriptoelementi ugrađeni u uređaje moraju biti usklađeni s obrascem PKCS#15 (Cryptographic Token Information Format) i osigurati primjenu uređaja neovisno o vrsti sučelja izrađenog u skladu s obrascem PKCS#11.
Članak 19.
Zapisi i elektronički potpisi izrađeni jednom opremom primjenom bilo kojeg od odabranih obrazaca moraju biti čitljivi primjenom druge opreme uz pretpostavku istovjetnog algoritma potpisivanja (DSS/DSA) ili kriptiranja (PKCS#1-RSA).
Oprema koja se koristi u sustavu kvalificiranih certifikata mora biti sukladna FIPS PUB 104-1 Validation of Cryptographic Modules obrascu sigurnosti uređaja, programa i zapisa.
Članak 20.
Svaka oprema koja uključuje biometrijske metode identifikacije potpisnika može biti primijenjena ako se pridruži sustavu certificiranja X.509 te ako se jedinstveno identificira sredstvo za izradu elektroničkog potpisa na taj način da se jamči da biometrijski uzorak može biti korišten samo s tim sredstvom.
V. SUSTAV CERTIFICIRANJA
Usluge certificiranja
Članak 21.
Svaki sustav certificiranja koji pruža usluge certificiranja mora biti u neprekidnom radu i javno dostupan putem telekomunikacijskog sustava.
Sustav certificiranja obuhvaća jednu ili više od sljedećih usluga:
– usluge registracije korisnika certifikata
– usluge izdavanja, dostave, čuvanja i opoziva certifikata
– usluge upravljanja i čuvanja ključeva
– usluge čuvanja potpisanih zapisa
– usluge elektroničkih imenika.
Članak 22.
Svaki sustav certificiranja mora prihvatiti (imati sustav certificiranja koji može prihvatiti) ulazne podatke u obrascima DER, PKCS i PEM.
Svaki sustav certificiranja mora prihvaćati (imati sustav certificiranja koji može upravljati) minimalni skup X.509 v3 dodatnih atributa u certifikatima.
Članak 23.
Svaki sustav certificiranja mora osigurati povezanost s drugim sustavima certificiranja.
Svaki sustav certificiranja mora omogućiti izravnu komunikaciju s potpisnicima uključenim u sustav certificiranja neovisno kojem sustavu certificiranja pripadaju.
Članak 24.
Postupak povezivanja sustava certificiranja temelji se na primjeni dogovorenih obrazaca za sljedeća područja:
– certifikati
– poruke
– razmjena certifikata i poruka
– prijenos certifikata i poruka.
Certifikat ima dogovoreni obvezni format utvrđen putem obrasca X.509v3:1997.
Poruke uključuju:
– upite za izdavanje certifikata koji se iskazuju putem obrasca PKCS#10
– nepotpisane/potpisane/kritpirane poruke koje se iskazuju putem obrasca PKCS#7
– skupne podatke o potpisniku koji se iskazuju putem obrasca PKCS#12 (Personal Information Exchange Syntax).
Razmjena certifikata i poruka ima dogovoreni obvezni obrazac CMC (Certificate Management Messages over CMS), pri čemu se upit za izdavanje certifikata temelji na potpisanoj PKCS#109 oblikovanoj poruci, a odgovor (certifikat) na PKCS#7 nepotpisanoj ili CMS potpisanoj poruci. Sustavi certificiranja koji imaju mogućnost tehnološke podrške mogu koristiti i CMP (Certificate Management Protocols).
Prijenos certifikata i poruka provodi se putem telekomunikacijskih sustava uz obveznu uporabu obrasca S/MIME (Secure Multipurpose Internet Mail Extensions) odnosno obrasca SSL (Secure Socket Layer).
Provjera certifikata putem liste opozvanih certifikata
Članak 25.
Opozvani certifikati moraju se upisati u listu opozvanih certifikata koja mora biti dostupna svim subjektima koji imaju pristup sustavu certificiranja.
Lista opozvanih certifikata oblikuje se u skladu s obrascem X.509; The Directory; Authentication Framework i dokumentom RFC 2459; PKI Certificate and CRL Profile.
Članak 26.
Lista opozvanih certifikata mora sadržavati najmanje sljedeće elemente:
– redni broj radne inačice liste
– kriptografski algoritam korišten pri izradi elektroničkog potpisa davatelja usluga certificiranja
– elektronički potpis davatelja usluga certificiranja
– ime davatelja usluga certificiranja
– datum izrade liste.
Svaki opozvani certifikat u Listi opozvanih certifikata sadrži:
– serijski broj dodijeljen certifikatu kod izdavanja
– datum opoziva (od kada certifikat više nije važeći).
Članak 27.
Svaki sustav certificiranja mora omogućiti trenutačan i nesmetani uvid u listu opozvanih certifikata kod potvrđivanja valjanosti (od strane primatelja elektronički potpisanog sadržaja) certifikata koje je izdao.
Elektronički imenici
Članak 28.
Svi potpisnici i subjekti sustava certificiranja upisuju se u elektroničke imenike.
Usluge elektroničkih imenika temelje se na primjeni obrasca ITU-T X.500:2001 (Directory Service) – ISO/IEC 9594:2001 putem jedinstvene strukture (DIT-Directory Information Tree).
Nazivi subjekata u elektroničkom imeniku (DN) kodiraju se po obrascu ASN.1 i moraju biti izraženi sa sljedećom minimalnom listom atributa:
– ime subjekta u imeniku (fizička, pravna osoba) – CommonName
– naziv organizacijske jedinice – OrganizationalUnitName
– naziv pravne osobe – OrganizationName
– mjesto/adresa – LocalityName
– država – CountryName (Nazivi i oznake u skladu s obrascem ISO 3166-1:1997+Alpha 2).
Sadržaj elektroničkog imenika mora biti izrađen primjenom obrasca kodiranja ISO/IEC 10646 – 1:2000 Universal Multiple Octet Coded Character Set (UCS) – Basic Multiple Plane (BMP), odnosno u skladu s obrascem UTF-8 o okruženju Unix, Linux i srodnih operacijskih sustava.
Članak 29.
Pristup sadržajima elektroničkih imenika mora biti oblikovan u skladu s okružjem X.500 i primjenom obrasca DAP (Directory Access Protocol).
Sustavi certificiranja mogu radi jednostavnijeg pružanja usluga elektroničkih imenika koristiti LDAPv3/RFC 2251 (Lightweight Directory Access Protocol) obrazac oblikovanja i pristupa elektroničkim imenicima.
LDAP elektronički imenici mogu biti sadržajno ograničeni za jedan sustav certificiranja.
Svaki sustav certificiranja mora osigurati prosljeđivanje upita u elektroničke imenike drugih sustava certificiranja. Prosljeđivanje upita može se provoditi uporabom vlastitog elektroničkog imenika ili usmjeravanjem upita davatelju imeničkih usluga koji za njega vodi elektronički imenik.
Povezivanje elektroničkih imenika koji koriste obrazac LDAP mora se provoditi primjenom obrasca LDUP (LDAP Duplication/Replication/Update Protocol) putem dva temeljna modula:
– Replication Information Model:2001
– Replication Update Protocol:2001.
Povezivanje elektroničkih imenika koji koriste obrazac X.500 mora se provoditi primjenom obrasca DISP (Directory Information Shadowing Protocol) putem primjene dogovorene strukture DIT (Directory Information Tree) objedinjene obrascima ISO 9594 odnosno X.520:1988 (Selected Attribute Types) i X.521:1988 (Selected Object Classes).
Povezivanje računalnih sustava koji pružaju usluge elektroničkih imenika mora se provoditi primjenom obrasca X.518:1993 kojim se definira obrazac povezivanje DSP (Directory System Protocol).
Članak 30.
Svaki elektronički imenik mora sadržavati dvije skupine podataka:
– jedinični skup podataka o davatelju usluga certificiranja, njegovo jednoznačno ime (DN), njegov certifikat i podatke o listi opozvanih certifikata
– jedinični skup podataka o potpisniku, njegovo jednoznačno ime (DN) i njegov certifikat.
VI. ZAVRŠNE ODREDBE
Članak 31.
Ovaj Pravilnik stupa na snagu danom objave u »Narodnim novinama« i ostaje na snazi najdulje dvije godine od dana stupanja na snagu.
Klasa: 011-02/02-01/19 Urbroj: 533-03/353-02-1 Zagreb, 19. srpnja 2002.
Ministar znanosti i tehnologije prof. dr. sc. Hrvoje Kraljević, v. r.
Izvor: http://narodne-novine.nn.hr/clanci/sluzbeni/2002_07_89_1472.html