1
Εισαγωγή
Το Ακαδημαϊκό Διαδίκτυο GUnet έχει μέλη όλα τα
Ακαδημαϊκά Ιδρύματα (22 Πανεπιστήμια και 16 ΤΕΙ), και μεταξύ άλλων παρέχει
δικτυακές υπηρεσίες στα μέλη του και σε οποιοδήποτε τρίτο (φορείς, ινστιτούτα,
ιδρύματα), οι δραστηριότητες του οποίου στοχεύουν στην εξυπηρέτηση της
εκπαίδευσης και της έρευνας.
Σύμφωνα με τη κοινή κατανόηση και αποδοχή του
Εθνικού Δικτύου Έρευνας και Τεχνολογίας (ΕΔΕΤ), του Ακαδημαϊκού Διαδικτύου (GUNet), του Αριστοτέλειου Πανεπιστημίου Θεσσαλονίκης, του Γεωπονικού
Πανεπιστημίου Αθηνών, του Δημοκρίτειου Πανεπιστημίου Θράκης, του Εθνικού
Κέντρου Έρευνας και Τεχνολογικής Ανάπτυξης, του Εθνικού Κέντρου Τεκμηρίωσης, του
Εθνικού Μετσόβιου Πολυτεχνείου, του Ιόνιου Πανεπιστημίου, του Πανεπιστημίου
Αιγαίου, του Πανεπιστημίου Θεσσαλίας, του Πανεπιστημίου Ιωαννίνων, του
Πανεπιστημίου Κρήτης, του Πολυτεχνείου Κρήτης, των ΤΕΙ Αθήνας, Καλαμάτας,
Κρήτης, Λαμίας, Μεσολογγίου, Σερρών και άλλων φορέων της Ελληνικής Ακαδημαϊκής
και Ερευνητικής κοινότητας που θα προσυπογράψουν μνημόνιο συνεργασίας και
συναντίληψης (Memorandum of Understanding – MoU), δημιουργείται Υποδομή Δημόσιου Κλειδιού (Public Key Infrastructure – PKI) που στη συνέχεια θα αναφέρεται ως Αρχή
Πιστοποίησης των Ελληνικών Ακαδημαϊκών και Ερευνητικών Ιδρυμάτων (Hellenic
Academic & Research Institutions Certification Authority – HARICA) που δρα ως Πάροχος Υπηρεσιών
Πιστοποίησης (Certification Services Provider – CSP). Το μνημόνιο βρίσκεται αναρτημένο στον ιστοχώρο http://www.harica.gr/procedures. Η ανάπτυξη και η διαχείριση της
υπηρεσίας ξεκίνησε στα πλαίσια των λειτουργιών του Ιδεατού Κέντρου Διαχείρισης
Δικτύων (Virtual Network Operations Center – VNOC) του ΕΔΕΤ και συνεχίζεται στα πλαίσια του GUNet.
Οι φορείς που συμμετέχουν σε αυτή την Υποδομή Δημοσίου Κλειδιού, αποδέχονται
ανεπιφύλακτα την παρούσα Δήλωση Διαδικασιών Πιστοποίησης/Πολιτική Πιστοποίησης
και συνυπογράφουν το προαναφερθέν σχετικό μνημόνιο.
Η παρούσα Πολιτική Πιστοποίησης και Δήλωση
Διαδικασιών Πιστοποίησης περιγράφει το σύνολο κανόνων το οποίο εφαρμόζεται για
την έκδοση πιστοποιητικών από την Υποδομή Δημοσίου Κλειδιού της HARICA.
Η Αρχή Πιστοποίησης της HARICA εκδίδει Πιστοποιητικά Χρήστη, Πιστοποιητικά Δικτυακών Συσκευών (π.χ.
εξυπηρετητές, δρομολογητές κλπ.) και Πιστοποιητικά Υφιστάμενων Αρχών
Πιστοποίησης. Όλα τα πιστοποιητικά περιέχουν αναφορά προς το παρόν κείμενο. Οι
κάτοχοι πιστοποιητικών, ιδιωτικών κλειδιών, καθώς και οι οντότητες που
βασίζονται στην εγκυρότητά του, θα πρέπει να λαμβάνουν γνώση και να
συμμορφώνονται με το παρόν κείμενο.
Το παρόν κείμενο ονομάζεται «Πολιτική
Πιστοποίησης και Δήλωση Διαδικασιών Πιστοποίησης της Υποδομής Δημοσίου Κλειδιού
της HARICA» και αποτελεί την
τεκμηρίωση και τον κανονισμό λειτουργίας της Υποδομής Δημοσίου Κλειδιού της Αρχής Πιστοποίησης των Ελληνικών Ακαδημαϊκών και Ερευνητικών
Ιδρυμάτων (Hellenic Academic & Research Institutions
Certification Authority – HARICA). Σε σύντμηση πρέπει να αναφέρεται ως «ΠΠ-ΔΔΠ της HARICA» και στην αγγλική
του έκδοση ως ‘HARICA CP-CPS’.
Σκοπός της Πολιτικής Πιστοποίησης είναι να
προσδιορίσει, να καταγράψει και να κοινοποιήσει προς κάθε ενδιαφερόμενο μέρος
(π.χ. μέλη της ακαδημαϊκής κοινότητας, συνεργάτες, εγγραφόμενοι, τρίτα μέρη που
βασίζονται στην εγκυρότητα των υπηρεσιών, άλλους οργανισμούς, Ιδρύματα και
Αρχές) τις συνθήκες και τις λειτουργικές πρακτικές που εφαρμόζονται ή διέπουν
την παροχή των Υπηρεσιών Πιστοποίησης της HARICA.
Η δομή του παρόντος κειμένου βασίζεται στο
πρότυπο IETF RFC- 3647 με ελάχιστες
διαφοροποιήσεις που είναι αναγκαίες για να περιγραφούν οι ιδιαίτερες ανάγκες
του Ακαδημαϊκού χώρου.
Ο παγκόσμια μοναδικός Αριθμός Αναγνώρισης
(OID) αυτού του εγγράφου είναι: 1.3.6.1.4.1.26513.1.0.2.6 όπου:
|
1.3.6.1.4.1.26513
|
Αριθμός Αναγνώρισης (OID) της HARICA, καταχωρημένος από τον οργανισμό ΙΑΝΑ (www.iana.org)
|
|
1
|
Υπηρεσία Πιστοποίησης
|
|
0
|
Δήλωση Διαδικασιών Πιστοποίησης
|
|
2.6
|
Πρώτο και δεύτερο ψηφίο του αριθμού έκδοσης (version) της Δήλωσης Διαδικασιών Πιστοποίησης
|
Η κοινότητα που διέπεται από αυτή την Πολιτική
Πιστοποίησης και Δήλωση Διαδικασιών Πιστοποίησης είναι το σύνολο των οντοτήτων
που χρησιμοποιούν τα πιστοποιητικά που εκδίδονται από την Υποδομή Δημοσίου
Κλειδιού της HARICA.
Οι αρχές πιστοποίησης είναι οι οντότητες της
Υποδομής Δημόσιου Κλειδιού που εκδίδουν τα πιστοποιητικά. Κάθε αρχή
πιστοποίησης χρησιμοποιεί μία η περισσότερες Αρχές Καταχώρισης για τη
μεταβίβαση των αιτήσεων των συνδρομητών στην Αρχή Πιστοποίησης.
Η Ιεραρχία της Υπηρεσίας Πιστοποίησης
αποτελείται από τις παρακάτω οντότητες:
1. Κορυφαία Κεντρική Αρχή Πιστοποίησης (Root
Certification Authority, HARICA-ROOT-CA) η οποία εκδίδει
αποκλειστικά ψηφιακά πιστοποιητικά για υφιστάμενες Αρχές Πιστοποίησης που
πιθανά λειτουργούν σε άλλα ακαδημαϊκά ιδρύματα ή σε άλλους οργανισμούς και δεν
εκδίδει πιστοποιητικά για τελικές οντότητες. Κατ’ εξαίρεση, επιτρέπεται η
έκδοση πιστοποιητικού για τον OCSP responder σύμφωνα με το
RFC2560 και το draft-cooper-pkix-rfc2560bis-00.txt (βλ. Figure 7 στο draft: “Designated
OCSP Responder and CA with Two Keys Certified by Root CA”).
Το πιστοποιητικό της HARICA-ROOT-CA έχει διάρκεια ισχύος
είκοσι (20) έτη.
2. Υφιστάμενες Αρχές Πιστοποίησης, που μπορούν
να λειτουργούν για διαχειριστικούς λόγους της HARICA, σε διοικητικές
μονάδες του ΕΔΕΤ, του GUnet ή σε άλλα ακαδημαϊκά ιδρύματα
που συμμορφώνονται και υιοθετούν πλήρως την παρούσα Πολιτική Πιστοποίησης και
Δήλωση Διαδικασιών Πιστοποίησης. Τα πιστοποιητικά των Υφιστάμενων Αρχών
Πιστοποίησης έχουν διάρκεια ισχύος έως δέκα (10) έτη. Αρχικά λειτουργεί
η υφιστάμενη Αρχή Πιστοποίησης για τις οντότητες που ανήκουν διαχειριστικά στην
HARICA (HARICA-Administration-CA η οποία εκδίδει πιστοποιητικά σε χρήστες και συσκευές της HARICA, αλλά όχι για τελικούς χρήστες άλλων φορέων. Εφόσον ζητηθεί η έκδοση
ψηφιακών πιστοποιητικών από την HARICA για τελικές
οντότητες άλλων Ιδρυμάτων, θα δημιουργούνται οι αντίστοιχες υφιστάμενες Κεντρικές
Αρχές Πιστοποίησης (Central Certification Authorities) για
κάθε Ίδρυμα. Υπάρχει η δυνατότητα δημιουργίας περισσότερων της μίας υφιστάμενης
ΑΠ πχ να δημιουργηθούν οι ΑΠ (<ΙΔΡΥΜΑ>-SUBSCRIBERS-CA και <ΙΔΡΥΜΑ>-SERVERS-CA) οι οποίες θα εκδίδουν ανάλογα πιστοποιητικά τελικών χρηστών,
εξυπηρετητών αντίστοιχα αλλά θα υπογράφονται από την αντίστοιχη Κεντρική Αρχή
Πιστοποίησης του ιδρύματος. Η λειτουργία αυτών των ΑΠ είναι δυνατό να αναληφθεί
είτε από την HARICA με τη μορφή outsourcing είτε από το ίδιο το Ίδρυμα.
Οι Αρχές Καταχώρισης είναι οντότητες αρμόδιες
για την πιστοποίηση της ταυτότητας των εγγραφόμενων πριν από την έκδοση του
πιστοποιητικού. Οι ΑΚ διαβιβάζουν με ασφαλή τρόπο τις αιτήσεις στην αρμόδια
Αρχή Πιστοποίησης. Το GUnet λειτουργεί ως κεντρική Αρχή
Καταχώρισης της ΥΔΚ HARICA και εφαρμόζει αυστηρές
διαδικασίες πιστοποίησης ταυτότητας των χρηστών της υπηρεσίας πιστοποίησης.
Συνδρομητές στην Υποδομή Δημοσίου Κλειδιού
είναι όσοι αιτούνται και αποκτούν ψηφιακό πιστοποιητικό υπογεγραμμένο από Αρχή
Πιστοποίησης της HARICA ή από άλλη υφιστάμενη ΑΠ. Συνδρομητές
στην Υπηρεσία μπορούν να είναι οντότητες (φυσικά πρόσωπα και συσκευές) που
ανήκουν στους φορείς – συνδρομητές της ελληνικής ακαδημαϊκής, ερευνητικής και
εκπαιδευτικής κοινότητας.
Η εγγραφή μη φυσικών προσώπων ή ρόλων (π.χ.
‘Πρύτανης’) στην Υπηρεσία, εκτός από την περίπτωση των δικτυακών συσκευών, δεν
προβλέπεται στο παρόν κείμενο αλλά δεν απαγορεύεται. Η έκδοση ψηφιακών
πιστοποιητικών ρόλων από μία υφιστάμενη ΑΠ κάποιου Ιδρύματος είναι δυνατή,
εφόσον έχει προβλεφθεί και περιγραφεί η σχετική διαδικασία στην ΠΠ-ΔΔΠ και
εφόσον η διαδικασία αυτή δεν συγκρούεται με κάποιον από τους όρους του παρόντος
κειμένου.
Οι οντότητες που βασίζονται στις παρεχόμενες
υπηρεσίες πιστοποίησης ή αλλιώς τα «μέρη που βασίζονται στην υπηρεσία» (Relying
Parties) ή απλά «χρήστες» των υπηρεσιών πιστοποίησης μπορεί να είναι οποιεσδήποτε
οντότητες, εντός ή εκτός της ελληνικής ακαδημαϊκής κοινότητας, οι οποίες
χρησιμοποιούν κατ' οποιονδήποτε τρόπο τα τεκμήρια πιστοποίησης (ψηφιακά πιστοποιητικά,
ψηφιακές υπογραφές, χρονοσφραγίδες κλπ) και επαφίενται στις πληροφορίες που
περιέχουν.
Για την ακρίβεια, οι οντότητες που
εμπιστεύονται την Υπηρεσία Πιστοποίησης είναι τα φυσικά ή νομικά πρόσωπα που,
αφού ενημερωθούν και συμφωνήσουν με τους όρους και τις προϋποθέσεις χρήσης του
πιστοποιητικού που βρίσκονται στο παρόν κείμενο και τη σχετική πολιτική
πιστοποιητικού και αφού ελέγξουν και επαληθεύσουν την εγκυρότητα ενός
πιστοποιητικού που έχει εκδοθεί από την Υπηρεσία Πιστοποίησης της HARICA σύμφωνα με τα παραπάνω, αποφασίζουν τα ίδια αν θα βασισθούν ή όχι στα
περιεχόμενα του πιστοποιητικού και κατά συνέπεια να προβούν σε συγκεκριμένες
ενέργειες ή να αποκτήσουν τη δικαιολογημένη πεποίθηση για ένα γεγονός.
Για την επαλήθευση της εγκυρότητας ενός
πιστοποιητικού, ο χρήστης θα πρέπει να ελέγξει ότι:
Ö
Βρίσκεται εντός της περιόδου ισχύος του, δηλαδή
έχει ξεκινήσει και δεν έχει λήξει η ισχύς του.
Ö
Είναι έγκυρα υπογεγραμμένο από έμπιστη Αρχή
Πιστοποίησης.
Ö
Δεν έχει ανακληθεί για οποιοδήποτε λόγο.
Ö
Τα στοιχεία ταυτότητας του υποκειμένου που περιέχει
ταιριάζουν με τα στοιχεία που παραθέτει ο υπογράφων.
Ö
Η χρήση για την οποία υποβάλλεται το πιστοποιητικό
συμφωνεί με την χρήση για την οποία έχει εκδοθεί από την ΑΠ.
Ö
Ακολουθούνται οι όροι και οι συνθήκες που
περιγράφονται στο παρόν κείμενο
Δεν ορίζεται.
Τα πιστοποιητικά μπορούν να χρησιμοποιηθούν
από τα μέλη της ευρύτερης ακαδημαϊκής και ερευνητικής κοινότητας, αλλά και από άλλους
χρήστες, όπως περιγράφονται στη παράγραφο 1.3.
Τα πιστοποιητικά μπορούν να χρησιμοποιηθούν
μόνο για ακαδημαϊκούς και ερευνητικούς σκοπούς, σε όλες τις δικτυακές υπηρεσίες
και εφαρμογές στις οποίες το απαιτούμενο επίπεδο ασφάλειας είναι ίσο ή
χαμηλότερο από αυτό της διαδικασίας έκδοσης των πιστοποιητικών.
Ενδεικτικές εφαρμογές στις οποίες μπορούν να
χρησιμοποιηθούν τα ψηφιακά πιστοποιητικά που εκδίδονται από την Υπηρεσία είναι
οι εξής (η λίστα δεν είναι περιοριστική):
α) Στην υπογραφή ενός «ηλεκτρονικού εγγράφου»
από ένα φυσικό πρόσωπο με τη χρήση του ψηφιακού πιστοποιητικού του και κατά
προτίμηση με τη χρήση μιας «ασφαλούς διάταξης δημιουργίας υπογραφής» (π.χ. smart
card ή e-token), ώστε
να εξασφαλίζονται τουλάχιστον τα παρακάτω χαρακτηριστικά: 1) η αυθεντικότητα
της προέλευσης (authenticity), 2) η ακεραιότητα του
υπογεγραμμένου κειμένου (integrity) δηλαδή ότι το
περιεχόμενό του δεν έχει τροποποιηθεί από τη στιγμή της υπογραφής του και 3) η
δέσμευση του υπογράφοντα ως προς το περιεχόμενο του εγγράφου και η μη άρνηση
της υπογραφής του (non-repudiation).
β) Στην υπογραφή «μηνυμάτων ηλεκτρονικού
ταχυδρομείου», για την εξασφάλιση της αυθεντικότητας της διεύθυνσης
ηλεκτρονικού ταχυδρομείου του αποστολέα και για όλες τις ιδιότητες που
περιγράφηκαν στο (α). Επιπλέον μπορούν να χρησιμοποιηθούν για την αποστολή «ασφαλών
αποδείξεων παραλαβής μηνυμάτων» (non-repudiation of
receipt).
γ) Στην «ισχυρή απόδειξη της ταυτότητας» (Strong
Authentication) ενός φυσικού προσώπου ή μιας συσκευής κατά την
επικοινωνία τους με άλλες οντότητες, εξασφαλίζοντας επιπλέον χαρακτηριστικά
ασφάλειας, ισχυρότερα από αυτά που παρέχει η κλασική μέθοδος πρόσβασης με
συνθηματικό χρήστη.
δ) Στην «κρυπτογράφηση εγγράφων και μηνυμάτων»
με την χρήση του δημοσίου κλειδιού κάποιας οντότητας, εξασφαλίζοντας ότι μόνο ο
επιδιωκόμενος παραλήπτης και κάτοχος του αντίστοιχου ιδιωτικού κλειδιού μπορεί
να αποκρυπτογραφήσει και να διαβάσει το έγγραφο ή το μήνυμα.
ε) Στην «πιστοποίηση άλλων παρόχων υπηρεσιών
πιστοποίησης» είτε πρόκειται για υφιστάμενες Αρχές Πιστοποίησης (Subordinate
CAs) είτε πρόκειται για παροχή επιπλέον υπηρεσιών πιστοποίησης
όπως για παράδειγμα η χρονοσήμανση, οι συμβολαιογραφικές πράξεις και η
μακροπρόθεσμη ασφαλής αποθήκευση δεδομένων.
στ) Στην υλοποίηση ασφαλών δικτυακών
πρωτοκόλλων, όπως τα SSL, secure DNS,
IPSec κλπ.
Τα πιστοποιητικά δεν μπορούν να
χρησιμοποιηθούν για εμπορικές συναλλαγές, για συναλλαγές που αφορούν μεταφορά
χρημάτων, για συναλλαγές που εμπεριέχουν νομικές δεσμεύσεις ή για χρήσεις που
δεν περιλαμβάνονται σε αυτές της 1ης παραγράφου της ενότητας 1.4.1.
ca-admin@harica.gr
ΑΚΑΔΗΜΑΙΚΟ ΔΙΑΔΙΚΤΥΟ GUnet
Ε.Κ.Π.Α. - ΚΕΝΤΡΟ ΛΕΙΤΟΥΡΓΙΑΣ &
ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΚΤΥΟΥ
ΠΑΝΕΠΙΣΤΗΜΙΟΥΠΟΛΗ 157 84
Τηλ: 210 7275611
Fax: 210 7275601
ca@harica.gr
Δημήτρης Ζαχαρόπουλος [jimmy@ccf.auth.gr]
Δημήτρης Δασκόπουλος [dimitris@ccf.auth.gr]
Σπύρος Μπόλης [sbol@noc.uoa.gr]
Αρχή Πιστοποίησης HARICA
ΑΚΑΔΗΜΑΙΚΟ ΔΙΑΔΙΚΤΥΟ GUnet
Ε.Κ.Π.Α. - ΚΕΝΤΡΟ ΛΕΙΤΟΥΡΓΙΑΣ &
ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΚΤΥΟΥ
ΠΑΝΕΠΙΣΤΗΜΙΟΥΠΟΛΗ 157 84
Τηλ: 210 7275611
Fax: 210 7275601
cp@harica.gr
Δημήτρης Ζαχαρόπουλος [jimmy@ccf.auth.gr]
Δημήτρης Δασκόπουλος [dimitris@ccf.auth.gr]
Σπύρος Μπόλης [sbol@noc.uoa.gr]
Διαχείριση Πολιτικής Πιστοποίησης
ΑΚΑΔΗΜΑΙΚΟ ΔΙΑΔΙΚΤΥΟ GUnet
Ε.Κ.Π.Α. - ΚΕΝΤΡΟ ΛΕΙΤΟΥΡΓΙΑΣ &
ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΚΤΥΟΥ
ΠΑΝΕΠΙΣΤΗΜΙΟΥΠΟΛΗ 157 84
Τηλ: 210 7275611
Fax: 210 7275601
Η ΠΠ/ΔΔΠ εγκρίνεται από τα μέλη που
συμμετέχουν στην HARICA σύμφωνα με το «Μνημόνιο
συνεργασίας και συναντίληψης» που βρίσκεται στην ιστοσελίδα http://www.harica.gr/procedures.
|
Ελληνικός όρος
|
Συντόμευση
|
Αγγλικός όρος
|
Συντόμευση
|
|
Αναγνωριστικό Αντικειμένου
|
AA
|
Object Identifier
|
OID
|
|
Αρχή Καταχώρισης
|
ΑΚ
|
Registration
Authority
|
RA
|
|
Αρχή Πιστοποίησης Πολιτικής
|
ΑΠΠ
|
Policy
Certification Authority
|
PCA
|
|
Αρχή Πιστοποίησης
|
ΑΠ
|
Certification
Authority
|
CA
|
|
Δήλωση Διαδικασιών Πιστοποίησης
|
ΔΔΠ
|
Certification
Practice Statement
|
CPS
|
|
Δημόσιο Κλειδί
|
|
Public
Key
|
|
|
Διαδρομή Πιστοποίησης
|
ΔΠ
|
Certification
Path
|
|
|
Διακεκριμένο Όνομα
|
ΔΟ
|
Distinguished
Name
|
DN
|
|
Έμπιστη Τρίτη Οντότητα
|
ΕΤΟ
|
Trusted
Third Party
|
TTP
|
|
Ιδιωτικό Κλειδί
|
|
Private
Key
|
|
|
Ιεραρχική Δομή Πιστοποίησης
|
ΙΔΠ
|
Hierarchic Certification Structure
|
HCS
|
|
Κοινό Όνομα
|
ΚΟ
|
CommonName
|
CN
|
|
Λίστα Ανάκλησης Πιστοποιητικών
|
ΛΑΠ
|
Certificate Revocation List
|
CRL
|
|
Λίστα Έμπιστων Πιστοποιητικών
|
ΛΕΠ
|
Certification
Trust List
|
CTL
|
|
Όνομα Οργανισμού
|
Ο
|
OrganizationName
|
O
|
|
Οργανωτική Μονάδα
|
ΟΜ
|
Organizational
Unit
|
OU
|
|
Όνομα Χώρας
|
Χ
|
CountryName
|
C
|
|
Πιστοποιητικό
|
|
Certificate
|
|
|
Πολιτική Πιστοποίησης
|
ΠΠ
|
Certification
Policy
|
CP
|
|
Υποδομή Δημοσίου Κλειδιού
|
ΥΔΚ
|
Public
Key Infrastructure
|
PKI
|
|
Υποκείμενο Πιστοποιητικού
|
|
Certificate
Subject
|
|
|
Ψηφιακά Πιστοποιητικά για Αρχή Πιστοποίησης
|
|
Certification
Authority Digital Certificates
|
|
|
Ψηφιακά Πιστοποιητικά για Εξυπηρετητές
|
|
Server
Digital Certificates
|
|
|
Ψηφιακά Πιστοποιητικά Ταυτότητας
|
|
Personal
Identity Digital Certificates
|
|
|
Ψηφιακά Πιστοποιητικά για Υπογραφή Αντικειμένων
|
|
Object-Signing
Digital Certificates
|
|
|
|
|
Public-Key
Cryptography Standards
|
PKCS
|
|
Εγγραφόμενος
|
|
Subscriber
|
|
|
Οντότητα που εμπιστεύεται τα πιστοποιητικά
|
|
Relying
Party
|
|
|
Αποθήκη Δεδομένων
|
|
Data
Repository
|
|
|
Αυθυπόγραφα πιστοποιητικά
|
|
Self
signed certificates
|
|
|
Αναγνώριση
|
|
Identification
|
|
|
Απόδειξη ταυτότητας
|
|
Authentication
|
|
|
Συνοδεία ιδιωτικού κλειδιού
|
|
Private
Key Escrow
|
|
|
Χαρακτηριστικό πολιτικής
|
|
Policy
Qualifier
|
|
|
|
|
Secure
Socket Layer
|
SSL
|
|
|
|
Uniform
Resource Identifier
|
URI
|
Η ΥΔΚ HARICA διαθέτει
κεντρική αποθήκη δεδομένων όπου δημοσιεύονται κείμενα πολιτικής, πιστοποιητικά
Αρχών Πιστοποίησης και τελικά πιστοποιητικά συνδρομητών/συσκευών. Κατά
περίπτωση μπορεί να υπάρχουν κατανεμημένες αποθήκες για κάθε ενδιάμεση Αρχή
Πιστοποίησης/Αρχή Καταχώρισης που συμμετέχει στην ΥΔΚ.
Η ΥΔΚ HARICA διαθέτει
κεντρική αποθήκη δεδομένων διαθέσιμη από το διαδίκτυο στην οποία δημοσιεύει το
Ψηφιακό Πιστοποιητικό της (τύπου X.509.v3), τα Ψηφιακά Πιστοποιητικά που εκδίδονται σύμφωνα με τη Δήλωση
Διαδικασιών Πιστοποίησης, την τρέχουσα ΛΑΠ, το κείμενο της Πολιτικής
Πιστοποίησης / Δήλωση Διαδικασιών Πιστοποίησης και άλλα κείμενα σχετικά με τη
λειτουργία της (πχ μνημόνιο συνεργασίας και συναντίληψης - MoU).
Η ΥΔΚ HARICA εκτελεί όλες
τις ενέργειες για την αδιάλειπτη - κατά το δυνατόν - διαθεσιμότητα της αποθήκης
της.
Η ηλεκτρονική διεύθυνση της αποθήκης της
Υποδομής Δημοσίου Κλειδιού HARICA είναι http://www.harica.gr/rep_dyn.
Επιπλέον, είναι δυνατή η αποθήκευση και αναζήτηση
πιστοποιητικών και ΛΑΠ σε υπηρεσίες καταλόγου της HARICA ή
των συνεργαζόμενων ιδρυμάτων.
Η Λίστα Ανάκλησης Πιστοποιητικών ενημερώνεται
σύμφωνα με τη παράγραφο 4.9.7.
Τα πιστοποιητικά που εκδίδονται από κάποια ΑΠ,
δημοσιοποιούνται μετά την παραλαβή τους προς τον εγγραφόμενο
Η πρόσβαση στο τμήμα της αποθήκης που περιέχει
τα πιστοποιητικά που έχουν εκδοθεί είναι δημόσια και γίνεται με τη μορφή
αναζήτησης. Η αναζήτηση γίνεται είτε με το σειριακό αριθμό του πιστοποιητικού,
οπότε προβάλλεται μία εγγραφή, ή με τμήμα του διακεκριμένου ονόματος του
αντικειμένου του πιστοποιητικού, οπότε είναι πιθανό να επιστραφεί λίστα
πιστοποιητικών.
Ενδέχεται να επιβάλλεται περιορισμός στην πρόσβαση
της αποθήκης μόνο για λόγους προστασίας της διαθεσιμότητάς της από επιθέσεις.
3
Αναγνώριση
και απόδειξη ταυτότητας
Τα ονόματα που χρησιμοποιούνται για την έκδοση
των πιστοποιητικών εξαρτώνται από την κατηγορία του πιστοποιητικού και ακολουθούν
το πρότυπο X.500.
Τα πιστοποιητικά χρήστη πρέπει να
περιλαμβάνουν το ονοματεπώνυμο του χρήστη, την ηλεκτρονική του διεύθυνση
(σύμφωνα με το rfc822), το όνομα του φορέα στον οποίον ανήκει, και τη
συντομογραφία της χώρας.
Επίσης μπορούν να περιλαμβάνονται
(προαιρετικά), συμπληρωματικά στοιχεία όπως οργανωτική μονάδα του φορέα στον
οποίο ανήκει ο χρήστης και τοποθεσία στην οποία βρίσκεται και κατηγορία
πιστοποιητικού.
Τα πιστοποιητικά συσκευής (διακομιστή,
δρομολογητή ή άλλης δικτυακής συσκευής) πρέπει να περιλαμβάνουν το πλήρες διακεκριμένο
όνομα της συσκευής κατά την υπηρεσία ονοματολογίας (FQDN DNS), το όνομα του φορέα στον οποίον ανήκει, και τη συντομογραφία της
χώρας. Δεν επιτρέπεται η πιστοποίηση διευθύνσεων IP ή γενικών ονομάτων συσκευών
(hostnames).
Επίσης μπορούν να περιλαμβάνονται
(προαιρετικά) συμπληρωματικά στοιχεία όπως η οργανωτική μονάδα του φορέα στον
οποίο ανήκει η συσκευή και η τοποθεσία στην οποία βρίσκεται.
3.1.1.3
Πιστοποιητικά υπογραφής κώδικα (code signing)
Τα πιστοποιητικά υπογραφής κώδικα (code
signing certificates), παρέχονται μέσω των πιστοποιητικών χρηστών
που περιγράφονται στην παράγραφο 3.1.1.1. Ο χρήστης, επιπλέον από τους όρους
που αναφέρονται στα πιστοποιητικά χρηστών, δεσμεύεται (μέσω τυποποιημένης
διαδικασίας της ΑΚ) να παρέχει πλήρεις, ακριβείς και αληθείς πληροφορίες (πχ
όνομα εφαρμογής, URL με πληροφορίες της εφαρμογής,
περιγραφή εφαρμογής, κ.α.) στον κώδικα που υπογράφει ψηφιακά.
Επίσης, απαγορεύεται ρητά η ψηφιακή υπογραφή
κακόβουλου κώδικα (malware).
Παράβαση των όρων, μπορεί να οδηγήσει σε
αυτεπάγγελτη ανάκληση του πιστοποιητικού που υπέγραψε τον κώδικα.
Τα ονόματα που περιλαμβάνονται στα πιστοποιητικά
χρηστών, πρέπει με κάποιο τρόπο να συσχετίζονται με τον συνδρομητή/δικαιούχο
του πιστοποιητικού.
Η ΥΔΚ HARICA δεν επιτρέπει
έκδοση πιστοποιητικών σε ανώνυμους χρήστες. Η έκδοση πιστοποιητικών με την
ύπαρξη ψευδωνύμων στο διακεκριμένο όνομα π.χ. «Πρύτανης», δεν προβλέπεται στην
παρούσα δήλωση διαδικασιών πιστοποίησης αλλά και δεν απαγορεύεται. Για τα
συγκεκριμένου τύπου διακριτά ονόματα, μπορεί να δημιουργηθεί ενδιάμεση Αρχή
Πιστοποίησης ειδικού σκοπού.
3.1.4
Κανόνες
σύνταξης των ονομάτων
Τα ονόματα συντάσσονται ανάλογα με την
κατηγορία του πιστοποιητικού. Το όνομα συνδρομητή που συντάσσεται σύμφωνα με
τους κανόνες της παρούσας ενότητας, ονομάζεται Διακεκριμένο Όνομα (ΔΟ).
Στα πιστοποιητικά χρήστη, το όνομα χρήστη
αντιστοιχίζεται στο χαρακτηριστικό «CN», η ηλεκτρονική διεύθυνση στο
χαρακτηριστικό «Ε», το όνομα του φορέα στον οποίο ανήκει στο χαρακτηριστικό «O»
ή/και «OU», η χώρα στο χαρακτηριστικό «C», και προαιρετικά, η τοποθεσία στην
οποία βρίσκεται στο χαρακτηριστικό «L». Είναι επιθυμητό,
σε κάθε περίπτωση, να ακολουθείται η ονοματολογία που χρησιμοποιείται από την Εθνική
υπηρεσία καταλόγου (σήμερα στεγάζεται στο ds.grnet.gr). Τα πιστοποιητικά χρηστών της ΥΔΚ HARICA πρέπει στο Διακεκριμένο Όνομα να περιλαμβάνει το χαρακτηριστικό “C=GR”.
Στα πιστοποιητικά συσκευής, το όνομα της (FQDN
DNS) αντιστοιχίζεται στο χαρακτηριστικό «CN», το όνομα του φορέα
στον οποίο ανήκει στο χαρακτηριστικό «O» ή/και «OU», η χώρα στο χαρακτηριστικό
«C» και προαιρετικά, η τοποθεσία στην οποία βρίσκεται στο χαρακτηριστικό «L». Τα πιστοποιητικά συσκευών της ΥΔΚ HARICA πρέπει
στο Διακεκριμένο Όνομα να περιλαμβάνει το χαρακτηριστικό “C=GR”.
Το Διακεκριμένο Όνομα
του εγγραφόμενου με ιδιότητα μέλους συγκεκριμένου φορέα πρέπει να είναι
μοναδικό για τη συγκεκριμένη ΑΠ που εκδίδει το πιστοποιητικό, ενώ είναι
επιθυμητό να είναι μοναδικό και σε ολόκληρη την ιεραρχία πιστοποίησης της HARICA. Επιτρέπεται
η έκδοση περισσότερων του ενός πιστοποιητικού με ίδιο Διακεκριμένο Όνομα μόνο
στην περίπτωση διαφορετικής κλάσης ή χρήσης των πιστοποιητικών.
Αρμόδιο όργανο για θέματα επίλυσης διαφορών
σχετικά με την κυριότητα ονομάτων στην ΥΔΚ HARICA είναι η
Γενική Συνέλευση των μελών της HARICA.
Η Αρχή Καταχώρισης πρέπει να
επαληθεύει ότι ο φερόμενος ως συνδρομητής κατέχει το ιδιωτικό κλειδί που
αντιστοιχεί στο δημόσιο κλειδί που περιλαμβάνεται στο προς έκδοση
πιστοποιητικό. Αυτό επιτυγχάνεται με την εξής διαδικασία:
·
Πιστοποιείται η ταυτότητα του συνδρομητή.
·
Υποβάλλεται αίτηση για έκδοση πιστοποιητικού η
οποία περιέχει το δημόσιο κλειδί του συνδρομητή και έχει υπογραφεί με το
ιδιωτικό κλειδί του συνδρομητή.
·
Ελέγχεται η αντιστοιχία των κλειδιών.
Η Αρχή Καταχώρισης πρέπει να επιβεβαιώνει ότι
ο συνδρομητής ανήκει στον φορέα, το όνομα του οποίου περιλαμβάνεται στο
πιστοποιητικό.
Ο συνδρομητής πρέπει:
α) να είναι εγγεγραμμένος σε επίσημη υπηρεσία
καταλόγου του φορέα του και να φαίνεται στην εγγραφή του ο φορέας στον οποίον
ανήκει
β) ή να κατέχει διεύθυνση ηλεκτρονικού ταχυδρομείου
σε επίσημη υπηρεσία του φορέα και η διοίκηση του φορέα να επιβεβαιώσει τη σχέση
του συνδρομητή.
Όλα τα πιστοποιητικά φυσικών προσώπων που
εκδίδονται στην ΥΔΚ HARICA πρέπει να ελέγχονται για
ταυτοπροσωπία. Προβλέπονται δύο κλάσεις πιστοποιητικών χρηστών. Η κλάση Α
περιλαμβάνει πιστοποιητικά των οποίων το ιδιωτικό κλειδί δημιουργείται και
παραμένει εντός κάποιας ασφαλούς κρυπτοσυσκευής (eToken ή smartcard) και πιστοποιούνται παρουσία εξουσιοδοτημένου προσωπικού της Αρχής
Καταχώρισης. Η κλάση Β, περιλαμβάνει πιστοποιητικά των οποίων το ιδιωτικό
κλειδί δημιουργείται με χρήση κάποιου λογισμικού (software certificate store). Διευκρινίζεται ότι και στις δύο κλάσεις πιστοποιητικών, υπάρχει
ασφαλής ταυτοποίηση του δικαιούχου με φυσική παρουσία και εμφάνιση αποδεκτού
επίσημου εγγράφου που αποδεικνύει την ταυτότητα του αιτούντος.
Η Αρχή Καταχώρισης ιδρύματος μπορεί να
εκχωρήσει τον έλεγχο της ταυτότητας σε υπηρεσίες των μονάδων όπου ανήκουν οι
συνδρομητές (πχ γραμματείες Σχολών/Τμημάτων) και στη συνέχεια να χρησιμοποιεί ηλεκτρονικούς
τρόπους πιστοποίησης της ταυτότητας του συνδρομητή. Οι συνεργαζόμενες μονάδες
είναι υποχρεωμένες να έχουν πιστοποιήσει την ταυτότητα του χρήστη από κάποιο
επίσημο έγγραφο που φέρει τη φωτογραφία του δικαιούχου (π.χ. αστυνομική
ταυτότητα, διαβατήριο, δίπλωμα οδήγησης, φοιτητική ταυτότητα) και το οποίο
θεωρείται αξιόπιστο από την οικεία μονάδα. Εναλλακτικά, η ίδια η ΑΚ κάθε
ιδρύματος μπορεί να εκτελέσει την παραπάνω διαδικασία ταυτοποίησης του
αιτούντος.
Εφόσον η οικεία μονάδα του χρήστη, σύμφωνα με
την πολιτική της, έχει ήδη εκτελέσει διαδικασία φυσικής ταυτοποίησης του χρήστη
στο παρελθόν (π.χ. για την εκχώρηση κωδικού πρόσβασης ή λογαριασμού e-mail) τότε δεν είναι απαραίτητη η επανάληψη της
διαδικασίας, αλλά θεωρείται αρκετή μία τυπική επιβεβαίωση της αίτησης μέσω της
πιστοποιημένης διεύθυνσης ηλεκτρονικής αλληλογραφίας.
Η Κεντρική Αρχή Καταχώρησης της HARICA χρησιμοποιεί δύο μεθόδους ελέγχου της κυριότητας μιας διεύθυνσης e-mail:
·
Η πρώτη μέθοδος χρησιμοποιεί απλή επιβεβαίωση μέσω e-mail. Ο χρήστης εισάγει τη διεύθυνση e-mail σε ιστοσελίδα της ΑΚ και ένα μήνυμα
επιβεβαίωσης αποστέλλεται στην διεύθυνση αυτή για επιβεβαίωση. Στη συνέχεια,
εφόσον επιβεβαιωθεί η δ/νση από τον χρήστη, αποστέλλεται μήνυμα προς τον
διαχειριστή e-mail του Ιδρύματος στο
οποίο ανήκει ο χρήστης το οποίο περιλαμβάνει τη διεύθυνση e-mail του χρήστη και το πλήρες ονοματεπώνυμό του.
Στη συνέχεια, ο διαχειριστής ελέγχει αν τα στοιχεία είναι έγκυρα και δίνει τη
συγκατάθεσή του στην ΑΚ για την έκδοση του πιστοποιητικού. Η έγκριση αυτή
απαιτεί την αναγνώριση του χρήστη με έλεγχο ταυτοπροσωπίας. Σε περίπτωση η
διαδικασία ελέγχου ταυτότητας προηγήθηκε (πχ κατά την δημιουργία του λογαριασμού
e-mail), δεν υπάρχει λόγος να
επαναληφθεί.
·
Η δεύτερη μέθοδος χρησιμοποιεί κάποιον κεντρικό
εξυπηρετητή LDAP. Ο χρήστης εισάγει την ιδρυματική
διεύθυνση e-mail στην αίτηση
πιστοποιητικού και το ιδρυματικό κωδικό. Η πληροφορία αυτή επαληθεύεται μέσω
του ιδρυματικού εξυπηρετητή LDAP και της υπηρεσία
καταλόγου. Σε περίπτωση επιτυχίας, η ΑΚ αντλεί συμπληρωματικά στοιχεία από τον
κατάλογο (το πλήρες ονοματεπώνυμο, Τμήμα κ.α.) τα οποία στη συνέχεια συνθέτουν
το πιστοποιητικό. Προκειμένου να βρίσκεται ένας χρήστης στην Ιδρυματική
Υπηρεσία Καταλόγου, το ίδρυμα θα πρέπει να έχει επαληθεύσει τα στοιχεία του
χρήστη με έλεγχο ταυτοπροσωπίας μέσω επίσημου εγγράφου που φέρει την φωτογραφία
του κατόχου.
Τα πιστοποιητικά της κλάσης Α συνιστάται να
περιέχουν ένα επιπλέον πεδίο οργανωτικής μονάδας (OU) στο
πεδίο του αντικειμένου με τιμή ‘Class Α – Private Key created and stored in hardware CSP’. Τα πιστοποιητικά της κλάσης B συνιστάται να
περιέχουν ένα επιπλέον πεδίο οργανωτικής μονάδας (OU) στο
πεδίο του αντικειμένου με τιμή ‘Class B – Private Key
created and stored in software CSP’.
Το άτομο που δηλώνει υπεύθυνος για τη
λειτουργία και τη συμμόρφωση της συσκευής στην πολιτική πιστοποίησης, συνιστάται
να είναι ο ίδιος συνδρομητής πιστοποιητικού που έχει εκδοθεί από ΑΠ η οποία
συμμορφώνεται με τη Δήλωση Διαδικασιών Πιστοποίησης/Πολιτική Πιστοποίησης της HARICA.
Ο συνδρομητής συνιστάται να συμπληρώνει αίτηση
για έκδοση πιστοποιητικού σε ιστοσελίδα όπου πρέπει να πιστοποιηθεί παρουσιάζοντας
το προσωπικό πιστοποιητικό του. Δεν επιτρέπεται η έκδοση πιστοποιητικού για
συσκευή φορέα διαφορετικού από τον φορέα στον οποίο ανήκει ο υπεύθυνός του.
Η Κεντρική Αρχή Καταχώρησης της HARICA χρησιμοποιεί συγκεκριμένες μεθόδους για έλεγχο κυριότητας της πιστοποιούμενης
συσκευής. Πρώτα απ’ όλα, η έκδοση πιστοποιητικού SSL/TLS
για συσκευή επιτρέπεται μόνο για ζώνη DNS (domain) που ανήκει στο Ίδρυμα. Στη συνέχεια, προκειμένου ένας χρήστης να
μπορεί να αιτηθεί πιστοποιητικό συσκευής (SSL/TLS), πρέπει να είναι κάτοχος πιστοποιητικού χρήστη το οποίο χρησιμοποιεί
για να πιστοποιήσει την ταυτότητά του. Έπειτα, αποστέλλεται ένα μήνυμα e-mail σε εξουσιοδοτημένο Διαχειριστή της ΥΔΚ του
Ιδρύματος ο οποίος ελέγχει το FQDN του αιτήματος αν είναι
έγκυρο καθώς και αν ο χρήστης που αιτείται το πιστοποιητικό είναι διαχειριστής
του συγκεκριμένου FQDN μέσω του μητρώου
χρηστών/υπολογιστών που τηρείται στο ίδρυμα.
Τα πιστοποιητικά που εκδίδονται δεν
περιλαμβάνουν μη επιβεβαιωμένα στοιχεία του συνδρομητή.
Οι Αρχές Καταχώρισης διαθέτουν διαδικασίες με
τις οποίες πιστοποιείται και επικυρώνεται η ιδιότητα του κάθε συνδρομητή και η
συμβατική του σχέση με το ίδρυμα. Αυτό γίνεται είτε με ηλεκτρονικές λίστες που
συγκεντρώνει η κάθε ΑΚ από τις αρμόδιες -για κάθε κατηγορία- πηγές (πχ
γραμματείες τμημάτων/σχολών, δ/νση μηχανοργάνωσης διοίκησης κ.α.), είτε με
προσκόμιση επικυρωμένων έγγραφων βεβαιώσεων των συνδρομητών όπου πιστοποιείται
η σχέση του ενδιαφερόμενου με το ίδρυμα.
Δεν ορίζεται.
Ο χρήστης μπορεί να αιτηθεί την έκδοση νέου
κλειδιού-Πιστοποιητικού του δεκαπέντε (15) ημέρες πριν την λήξη του
ισχύοντος πιστοποιητικού, ακολουθώντας την διαδικασία που περιγράφεται στην
παράγραφο 3.2.
Ο χρήστης μπορεί να αιτηθεί την έκδοση νέου
κλειδιού-Πιστοποιητικού αμέσως μετά την ανάκληση του αρχικού πιστοποιητικού
του, ακολουθώντας την διαδικασία που περιγράφεται στην παράγραφο 3.2.
Ισχύουν όσα περιγράφονται στην παράγραφο 3.2.3.
Επιπλέον, συνιστάται ο συνδρομητής, κατά την παραλαβή του πιστοποιητικού, να
μαθαίνει έναν μυστικό κωδικό ανάκλησης του πιστοποιητικού (είτε πρόκειται για
πιστοποιητικό χρήστη είτε για πιστοποιητικό συσκευής). Ο συνδρομητής συνιστάται
να μπορεί να αιτηθεί την ανάκληση του πιστοποιητικού μέσω κατάλληλης
ιστοσελίδας, με τη χρήση του μυστικού κωδικού ανάκλησης. Εναλλακτικά, μπορεί να
ζητηθεί ανάκληση πιστοποιητικού με τηλεφωνική επικοινωνία ή επιτόπου επίσκεψη του
συνδρομητή στην αρμόδια Αρχή Καταχώρησης, οπότε και θα πρέπει να ακολουθήσει
επιβεβαίωση της ταυτότητάς του.
Αιτήσεις για έκδοση πιστοποιητικού μπορούν να
καταθέσουν μόνο οι συνδρομητές που περιγράφονται στην παράγραφο 1.3.3.
Το Διακεκριμένο Όνομα του πιστοποιητικού του
αιτούντος πρέπει να είναι σύμφωνο με όσα αναφέρονται στην παράγραφο 3.2. Η
πιστοποίηση της ταυτότητας του χρήστη πρέπει να έχει γίνει σύμφωνα με όσα
ορίζονται στο κεφάλαιο 3.
Ο συνδρομητής μπορεί να υποβάλει την αίτηση
για έκδοση του πιστοποιητικού στην ιστοσελίδα της Κεντρικής Αρχής Καταχώρισης, http://www.harica.gr/, ή στην Αρχή
Καταχώρισης του ιδρύματός του.
Η επεξεργασία των αιτήσεων βασίζεται σε όσα
αναγράφονται στην παράγραφο 3.2. Όλα τα αιτήματα πρέπει να ελέγχονται ως προς
την εγκυρότητά τους. Ελέγχονται επίσης η απόδειξη ταυτότητας των δικαιούχων
συνδρομητών καθώς και η ύπαρξη ή όχι συμβατικής σχέσης τους με τον οικείο
φορέα.
Μετά από όλους τους ελέγχους
ταυτότητας/ιδιότητας του αιτούμενου συνδρομητή, ελέγχεται και το περιεχόμενο
της ψηφιακής αίτησης πιστοποιητικού. Σε περίπτωση που ο αιτούμενος δεν
δικαιούται ψηφιακό πιστοποιητικό ή η ψηφιακή αίτηση περιέχει σφάλματα, η αίτηση
απορρίπτεται. Διαφορετικά η αίτηση εγκρίνεται.
Τα αιτήματα πιστοποιητικών πρέπει να εξυπηρετούνται
σε διάστημα το πολύ δέκα (10) εργάσιμων ημερών, εκτός από τις
περιπτώσεις ανωτέρας βίας.
Τα πιστοποιητικά εκδίδονται μετά την ασφαλή
μεταφορά των αιτήσεων από την αρχή καταχώρισης στην ΑΠ και μετά από έλεγχο του διακεκριμένου
ονόματος του πιστοποιητικού. Το διακεκριμένο όνομα του πιστοποιητικού του
αιτούντος πρέπει να είναι σύμφωνο με όσα αναφέρονται στην παράγραφο 3.1.
Η ΑΠ ενημερώνει τον συνδρομητή για την έκδοση
ή απόρριψη έκδοσης του πιστοποιητικού (συνιστάται με ηλεκτρονικό ταχυδρομείο).
Στο ίδιο μήνυμα και εφόσον η αίτηση έχει γίνει αποδεκτή, ζητείται από τον
συνδρομητή η αποδοχή και παραλαβή του πιστοποιητικού. Συνιστάται να γίνεται από
συγκεκριμένη ιστοσελίδα της ΑΚ.
Οι συνδρομητές της ΥΔΚ HARICA, συνιστάται να πρέπει να παραλάβουν (να ανακτήσουν και να
εγκαταστήσουν) το νέο πιστοποιητικό μέσα σε τριάντα (30) ημέρες,
διαφορετικά, συνιστάται το Πιστοποιητικό να ακυρώνεται και ο συνδρομητής να πρέπει
να κάνει εκ νέου αίτηση. Προκειμένου να ανακτήσουν το πιστοποιητικό τους, συνιστάται
να δηλώνουν σε συγκεκριμένη ιστοσελίδα ότι έχουν ελέγξει όλα τα στοιχεία του
πιστοποιητικού, ότι αυτά είναι σωστά και αληθή και τέλος, ότι αποδέχονται και
παραλαμβάνουν το πιστοποιητικό.
Οι ΑΠ δημοσιεύουν τα πιστοποιητικά μόνο εφόσον
έχει γίνει παραλαβή τους από τους δικαιούχους σύμφωνα με την παράγραφο 4.4.1.
Δεν προβλέπεται ενημέρωση άλλων οντοτήτων για τα
νέα πιστοποιητικά πέραν των όσων περιγράφονται στην παράγραφο 9.16.
Οι συνδρομητές της ΥΔΚ HARICA επιτρέπεται να χρησιμοποιούν τα ιδιωτικά κλειδιά και τα πιστοποιητικά
τους σε χρήσεις για τις οποίες αυτά έχουν εκδοθεί. Τέτοιες χρήσεις
περιγράφονται στην παράγραφο 6.1.7.
Τα μέρη που βασίζονται στην υπηρεσία μπορούν να
χρησιμοποιούν τα δημόσια κλειδιά και τα πιστοποιητικά των συνδρομητών της
Υποδομής Δημοσίου Κλειδιού HARICA ακολουθώντας τα όσα
αναγράφονται στην παράγραφο 1.3.4. Οι λειτουργίες που μπορούν να εκτελέσουν
είναι:
Ø
Επαλήθευση ψηφιακά υπογεγραμμένων μηνυμάτων
ηλεκτρονικού ταχυδρομείου μέσω πρωτοκόλλου S/MIME
Ø
Κρυπτογράφηση μηνυμάτων ηλεκτρονικού ταχυδρομείου
μέσω πρωτοκόλλου S/MIME
Ø
Επαλήθευση ψηφιακά υπογεγραμμένων κειμένων/κώδικα
εφαρμογών
Ø
Επαλήθευση ψηφιακών χρονοσφραγίδων σε κείμενα
Ø
Κρυπτογράφηση αρχείων και δεδομένων καθώς και
καναλιών επικοινωνίας
Ø
Έλεγχος ταυτότητας (authentication)
Ø
Έλεγχος δικαιώματος πρόσβασης (authorization)
Ανανεώσεις πιστοποιητικών επιτρέπονται εφόσον
δεν ξεπεραστεί το χρονικό όριο ισχύος των κλειδιών που συνοδεύουν τα
πιστοποιητικά. Θα πρέπει να ισχύουν όλα όσα αναγράφονται στην παράγραφο 1.3.3.
Τα χρονικά όρια περιγράφονται στην παράγραφο 6.3.2.
Το αίτημα ανανέωσης κατατίθεται από τον ίδιο τον
δικαιούχο συνδρομητή. Συνιστάται να γίνεται μέσω πιστοποιημένης ιστοσελίδας
μετά από διαδικασία ελέγχου ταυτότητας (authentication)
στην οποία επιλέγει την ανανέωση.
Ø
Αρχικά ελέγχεται αν έχουν γίνει ανανεώσεις του
ίδιου πιστοποιητικού στο παρελθόν
Ø
Στη συνέχεια ελέγχεται αν το πιστοποιητικό ή τα
πιστοποιητικά που περιείχαν το ίδιο κλειδί βρίσκονται σε ισχύ για μικρότερο
χρονικό διάστημα από τη μέγιστη διάρκεια ισχύος του κλειδιού.
Ø
Για το υπόλοιπο επιτρεπόμενο χρονικό διάστημα
εκδίδεται νέο πιστοποιητικό χρησιμοποιώντας το αρχικό certificate request που βρίσκεται αποθηκευμένο στην Αρχή Καταχώρισης.
Για παράδειγμα, ένας
χρήστης που έχει ενεργό πιστοποιητικό το οποίο ισχύει για ένα χρόνο, μπορεί να
το ανανεώσει (χωρίς να αλλάξει το ιδιωτικό κλειδί) για άλλο ένα έτος, επειδή η
μέγιστη διάρκεια ισχύος ιδιωτικού κλειδιού για πιστοποιητικά χρηστών είναι δύο
(2) χρόνια.
Ακολουθείται η ίδια διαδικασία με την έκδοση
νέου πιστοποιητικού, όπως περιγράφεται στην παράγραφο 4.3.2.
Ο χρήστης/συνδρομητής πρέπει να παραλάβει το
ανανεωμένο πιστοποιητικό ακολουθώντας την ίδια διαδικασία με την αποδοχή και
παραλαβή νέου πιστοποιητικού, όπως περιγράφεται στην παράγραφο 4.4.1.
Το ανανεωμένο πιστοποιητικό δημοσιεύεται,
σύμφωνα με τις διαδικασίες που περιγράφονται στην παράγραφο 4.4.2.
Δεν προβλέπεται ενημέρωση άλλων οντοτήτων για τα
ανανεωμένα πιστοποιητικά πέραν των όσων περιγράφονται στην παράγραφο 9.16.
Επανέκδοση κλειδιών πιστοποιητικών επιτρέπονται
όταν πλησιάζει η λήξη ισχύοντος πιστοποιητικού ή όταν έχει ανακληθεί
πιστοποιητικό και πρέπει να εκδοθεί καινούριο.
Οι δικαιούχοι συνδρομητές, συνιστάται να λαμβάνουν
μήνυμα ηλεκτρονικού ταχυδρομείου από την Αρχή Καταχώρισης δεκαπέντε (15)
μέρες πριν τη λήξη του πιστοποιητικού τους και να ενημερώνονται για την
επικείμενη λήξη του. Οι δικαιούχοι στη συνέχεια έχουν τη δυνατότητα να καταθέτουν
αίτημα επανέκδοσης. Συνιστάται να γίνεται μέσω πιστοποιημένης ιστοσελίδας μετά
από διαδικασία ελέγχου ταυτότητας (authentication) στην
οποία επιλέγουν έκδοση νέου πιστοποιητικού.
Ακολουθείται η διαδικασία που προβλέπεται για
έκδοση νέων πιστοποιητικών όπως περιγράφεται στην παράγραφο 4.3.
Ακολουθείται η ίδια διαδικασία με την έκδοση
νέων πιστοποιητικών όπως περιγράφεται στην παράγραφο 4.3.2.
Ο χρήστης/συνδρομητής πρέπει να παραλάβει το
πιστοποιητικό με το νέο κλειδί, ακολουθώντας την ίδια διαδικασία με την αποδοχή
νέου πιστοποιητικού, όπως περιγράφεται στην παράγραφο 4.4.1.
Το πιστοποιητικό με το νέο κλειδί δημοσιεύεται,
σύμφωνα με τις διαδικασίες της αποθήκης όπως περιγράφονται στην παράγραφο 4.4.2.
Δεν προβλέπεται ενημέρωση άλλων οντοτήτων για τα
πιστοποιητικά στα οποία το κλειδί επανεκδόθηκε πέραν των όσων περιγράφονται
στην παράγραφο 9.16.
Μεταβολή στοιχείων πιστοποιητικών δεν
επιτρέπονται. Σε περίπτωση που έχει γίνει λάθος κατά την έκδοση του
πιστοποιητικού (ορθογραφικό ή άλλο), το πιστοποιητικό ανακαλείται και
ακολουθείται η διαδικασία έκδοσης νέου πιστοποιητικού, όπως περιγράφεται στην
παράγραφο 4.3
Μεταβολή στοιχείων πιστοποιητικών δεν
επιτρέπονται.
Μεταβολή στοιχείων πιστοποιητικών δεν
επιτρέπεται.
Μεταβολή στοιχείων πιστοποιητικών δεν
επιτρέπεται.
Μεταβολή στοιχείων πιστοποιητικών δεν
επιτρέπεται.
Μεταβολή στοιχείων πιστοποιητικών δεν
επιτρέπεται.
Μεταβολή στοιχείων πιστοποιητικών δεν
επιτρέπεται.
Το πιστοποιητικό ανακαλείται όταν αυτό δεν
χρησιμοποιείται πλέον, όταν τα στοιχεία που περιέχει έχουν αλλάξει και όταν
έχει εκτεθεί ή χαθεί ή υπάρχει υποψία ότι έχει εκτεθεί ή χαθεί το ιδιωτικό
κλειδί. Επίσης, το πιστοποιητικό συνιστάται να ανακαλείται όταν δεν το παραλάβει
ο συνδρομητής μέσα στο χρονικό διάστημα που ορίζεται στη παράγραφο 4.4.1 ή αν
αποδειχθεί ότι η χρήση του δεν είναι σύμφωνη με τη δήλωση διαδικασιών
πιστοποίησης/πολιτική πιστοποίησης. Τέλος, ανακαλείται εάν το πιστοποιητικό
περιέχει λανθασμένες πληροφορίες.
Λόγος ανάκλησης είναι και η απώλεια της
ιδιότητας ή της σχέσης, εργασιακής ή άλλης, του αιτούντα με τον φορέα στον οποίο
ανήκε όταν πιστοποιήθηκε (π.χ., αποφοίτηση, απόλυση, διακοπή σχέσης εργασίας).
Το πιστοποιητικό μπορεί να ανακληθεί από τον
συνδρομητή ή από άλλη οντότητα η οποία μπορεί αποδείξει την έκθεση του μυστικού
κλειδιού ή την εκτός πολιτικής πιστοποίησης χρήση του πιστοποιητικού.
Επίσης, οι γραμματείες ή υπηρεσίες προσωπικού
των φορέων, υποχρεούνται να αιτούνται ανάκληση για τα άτομα που χάνουν την
ιδιότητα υπό την οποία πιστοποιήθηκαν.
Απαιτείται η πιστοποίηση της ταυτότητας του
συνδρομητή σύμφωνα με τη παράγραφο 3.3.3.
Απαιτείται η υποβολή απόδειξης ότι α) έχει
εκτεθεί το ιδιωτικό κλειδί του πιστοποιητικού ή β) η χρήση του πιστοποιητικού
δεν είναι σύμφωνη με τη πολιτική πιστοποίησης ή γ) έχει πάψει να υφίσταται η
συμβατική σχέση του κατόχου του πιστοποιητικού με τον φορέα του.
Ο συνδρομητής μπορεί να καταθέσει αίτημα
ανάκλησης οποιαδήποτε στιγμή μέσα στη διάρκεια ισχύος του αρχικού
πιστοποιητικού. Ανακλήσεις πιστοποιητικών μπορούν επίσης να γίνουν εφόσον η ΑΠ
που τα εξέδωσε συνεχίζει να βρίσκεται σε λειτουργία.
Οι Αρχές Πιστοποίησης οφείλουν να επεξεργάζονται
τα αιτήματα ανάκλησης εντός πέντε (5) εργάσιμων ημερών εκτός περιπτώσεων
ανωτέρας βίας.
Τα μέρη που βασίζονται στην υπηρεσία θα πρέπει
προτού βασιστούν σε κάποιο πιστοποιητικό να ακολουθούν τις διαδικασίες της
παραγράφου 1.3.4. Επίσης, θα πρέπει κάθε φορά πριν εμπιστευθούν οποιοδήποτε
πιστοποιητικό της ΥΔΚ HARICA, να μεταφορτώνουν τις Λίστες
Ανάκλησης Πιστοποιητικών (ΛΑΠ) όλων των ενδιάμεσων Αρχών Πιστοποίησης που μεσολαβούν
μέχρι την εκδότρια αρχή του τελικού πιστοποιητικού. Οι λίστες ανάκλησης
βρίσκονται πάντα δημοσιευμένες στην Αποθήκη.
Η ΛΑΠ θα εκδίδεται τουλάχιστον κάθε πέντε (5)
ημέρες. Η ΛΑΠ θα ισχύει για χρονικό διάστημα ίσο με πέντε (5) ημέρες.
Σε περίπτωση έκθεσης μυστικού κλειδιού
συνδρομητή ή άλλου σημαντικού συμβάντος θα εκδίδεται άμεσα ενημερωμένη ΛΑΠ.
4.9.8
Χρόνος
δημοσίευσης ΛΑΠ στην αποθήκη
Μετά από την ανάκληση κάποιου πιστοποιητικού δημιουργείται
η ΛΑΠ και ενημερώνεται η αποθήκη. Ο χρόνος που μεσολαβεί μεταξύ έκδοσης ΛΑΠ και
δημοσίευσής της στην αποθήκη είναι της τάξης των λεπτών της ώρας. Στην αποθήκη
το πιστοποιητικό χαρακτηρίζεται ως ανακληθέν.
Κατά την ανάκληση πιστοποιητικού πρέπει να ειδοποιείται
ο συνδρομητής και ο υπεύθυνος ασφαλείας της ΑΠ σε περίπτωση έκθεσης ιδιωτικού
κλειδιού.
Στην ΥΔΚ HARICA
λειτουργεί υπηρεσία ελέγχου καταστάσεις πιστοποιητικών σε πραγματικό χρόνο (On-line Certificate Status Protocol – OCSP). Η διεύθυνση της υπηρεσίας είναι ενσωματωμένη στα πιστοποιητικά που εκδίδονται.
Η λειτουργία της υπηρεσίας OCSP δεν είναι υποχρεωτική για
υφιστάμενες Αρχές Πιστοποίησης που βρίσκονται υπό τη διαχείριση των φορέων της HARICA.
Τα μέρη που βασίζονται στην υπηρεσία θα πρέπει
προτού βασιστούν σε κάποιο πιστοποιητικό να ακολουθούν τις διαδικασίες της
παραγράφου 1.3.4. Επίσης, θα πρέπει κάθε φορά πριν εμπιστευθούν οποιοδήποτε
πιστοποιητικό της ΥΔΚ HARICA, να ελέγχουν την υπηρεσία OCSP της ΥΔΚ HARICA και να ρωτούν για την κατάσταση
όλων των ενδιάμεσων Αρχών Πιστοποίησης που μεσολαβούν μέχρι την εκδότρια αρχή
του τελικού πιστοποιητικού, καθώς και για την κατάσταση του τελικού
πιστοποιητικού. Η διεύθυνση της υπηρεσίας OCSP βρίσκεται
ενσωματωμένη σε κάθε πιστοποιητικό που έχει εκδοθεί. Η λειτουργία της υπηρεσίας
OCSP δεν είναι υποχρεωτική για υφιστάμενες Αρχές
Πιστοποίησης που βρίσκονται υπό τη διαχείριση των φορέων της HARICA.
Στην αποθήκη πιστοποιητικών όπου λειτουργεί
αναζήτηση πιστοποιητικών μέσω ιστοσελίδας, τα πιστοποιητικά που ανακαλούνται
εμφανίζονται στην περιγραφή τους ως «Ανακληθέντα»
Ισχύει ότι ορίζεται στη παράγραφο 4.9.3.2.
Δεν προβλέπεται αναστολή των πιστοποιητικών.
Δεν προβλέπεται αναστολή των πιστοποιητικών..
Δεν προβλέπεται αναστολή των πιστοποιητικών.
Δεν προβλέπεται αναστολή των πιστοποιητικών.
Τα μέρη που βασίζονται στην υπηρεσία,
προκειμένου να αποφανθούν για την εγκυρότητα ή μη κάποιων πιστοποιητικών,
μπορούν να χρησιμοποιήσουν μια από τις παρακάτω προσφερόμενες υπηρεσίες ελέγχου
κατάστασης ή συνδυασμό τους.
Ισχύουν όσα περιγράφονται στην παράγραφο 4.9.10
Η on-line αποθήκη πιστοποιητικών, προσφέρει ένα περιβάλλον αναζήτησης
πιστοποιητικών μέσω ιστοσελίδων, στο οποίο γίνονται ερωτήσεις που μπορεί να
περιλαμβάνουν το σειριακό αριθμό ή τμήμα του διακεκριμένου ονόματος των
πιστοποιητικών. Στα αποτελέσματα των αναζητήσεων, εμφανίζονται τα στοιχεία των
πιστοποιητικών και μια περιγραφή που αναφέρει αν το πιστοποιητικό βρίσκεται σε
ισχύ ή αν έχει ανακληθεί. Η αποθήκη πρέπει να εμφανίζει όλα τα πιστοποιητικά
που έχουν εκδοθεί/ανακληθεί για όσο διάστημα είναι λειτουργική η ΥΔΚ HARICA.
Ισχύουν όσα περιγράφονται στην παράγραφο 4.9.6.
Θα καταβάλλεται προσπάθεια για πολύ υψηλή
διαθεσιμότητα (~99%) των υπηρεσιών ελέγχου κατάστασης πιστοποιητικών.
Δεν ορίζεται.
Μετά τη λήξη της χρονικής ισχύος των
πιστοποιητικών της ΥΔΚ HARICA, δεν είναι απαραίτητη η
ανάκλησή τους, παρά μόνο αν συντρέχει κάποιος από τους λόγους που αναφέρονται
στην παράγραφο 4.9.1.
Δεν ορίζεται.
Δεν ορίζεται.
Η Κεντρική Αρχή Πιστοποίησης της HARICA βρίσκεται σήμερα εγκατεστημένη στο Κέντρο Λειτουργίας Δικτύου (ΚΛΔ) του
Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης στον 1ο όροφο του κτιρίου
Βιολογίας της Σχολής Θετικών Επιστημών στην Πανεπιστημιούπολη Θεσσαλονίκης.
Άλλες ενδιάμεσες Αρχές Πιστοποίησης μπορεί να βρίσκονται εντός και εκτός του
ΚΛΔ ΑΠΘ.
Η φυσική πρόσβαση στον εξοπλισμό των ΑΠ και
της αρχής καταχώρισης επιτρέπεται μόνο σε εξουσιοδοτημένο προσωπικό.
Απαγορεύεται η σύνδεση της ΚΑΠ σε δίκτυο ή οποιοδήποτε τηλεπικοινωνιακό μέσο.
Όλος ο εξοπλισμός της Υποδομής Δημοσίου
Κλειδιού HARICA που σήμερα φιλοξενείται στο ΚΛΔ ΑΠΘ,
βρίσκεται σε κλιματιζόμενους χώρους με παροχή ρεύματος που προστατεύεται από
μονάδες αδιάλειπτης παροχής (UPS) και εφεδρικά
ηλεκτροπαραγωγά ζεύγη.
Ο εξοπλισμός της HARICA
που σήμερα φιλοξενείται στο ΚΛΔ ΑΠΘ βρίσκεται σε χώρο που δεν κινδυνεύει σε
μεγάλο βαθμό από πλημμύρες.
Ο εξοπλισμός της ΥΔΚ HARICA που σήμερα φιλοξενείται στο ΚΛΔ ΑΠΘ υπόκειται στην ελληνική νομοθεσία
σχετικά με την πρόληψη και την προστασία πυρκαγιάς στα δημόσια κτίρια.
Τα ιδιωτικά κλειδιά των Αρχών Πιστοποίησης της
HARICA, πρέπει να βρίσκονται σε αποσπώμενα αποθηκευτικά
μέσα (CD Roms) ή άλλο αφαιρούμενο μέσο σε κρυπτογραφημένη
μορφή, με κωδικό (passphrase) που γνωρίζει μόνο
εξουσιοδοτημένο προσωπικό και μάλιστα τμηματικά. Κανένα μέλος του προσωπικού
δεν μπορεί, ατομικά, να γνωρίζει το σύνολο του κωδικού κρυπτογράφησης ενός
ιδιωτικού κλειδιού.
Αντίγραφα ασφαλείας όλης της Υποδομής Δημοσίου
Κλειδιού της HARICA, βρίσκονται σε μαγνητικές ταινίες ή memory
flash disks που κατέχουν εξουσιοδοτημένα στελέχη.
Και τα δύο παραπάνω αποθηκευτικά μέσα
βρίσκονται σε φυσικές τοποθεσίες διαφορετικές από τους κεντρικούς εξυπηρετητές
της HARICA, προστατευμένα από έκθεση σε νερό και φωτιά.
Απορρίμματα που περιέχουν οποιαδήποτε
εμπιστευτική πληροφορία όπως εύκαμπτοι μαγνητικοί δίσκοι, σκληροί δίσκοι κ.α.
καταστρέφονται πριν απορριφθούν.
Τηρούνται αντίγραφα ασφαλείας εκτός
εγκαταστάσεων των εξυπηρετητών της HARICA. Το ιδιωτικό
κλειδί της κάθε ΑΠ αποθηκεύεται πάντα κρυπτογραφημένο. Η μυστική φράση
αποκρυπτογράφησης του κλειδιού είναι γνωστή τμηματικά, στο αρμόδιο έμπιστο
προσωπικό των ΑΠ. Τα ιδιωτικά κλειδιά των Αρχών Πιστοποίησης που διαχειρίζεται η
HARICA, βρίσκονται σε αποσπώμενα αποθηκευτικά μέσα.
Αντίγραφο ασφαλείας όλης της Υποδομής Δημοσίου Κλειδιού της HARICA, βρίσκεται σε μαγνητική ταινία που κατέχει εξουσιοδοτημένο προσωπικό.
Κανένα μέλος του αρμόδιου προσωπικού δεν έχει δυνατότητα, ατομικά, να αποκτήσει
πρόσβαση σε κάποιο ιδιωτικό κλειδί ΑΠ και τη μυστική φράση αποκρυπτογράφησης
του κλειδιού, ταυτόχρονα.
Και τα δύο παραπάνω αποθηκευτικά μέσα
βρίσκονται σε φυσικές τοποθεσίες διαφορετικές από τους κεντρικούς εξυπηρετητές
της HARICA, προστατευμένες από έκθεση σε νερό και φωτιά.
Το προσωπικό που ορίζεται για να λειτουργεί τις
ΑΠ θεωρείται έμπιστο και είναι εξουσιοδοτημένο να εκτελεί όλες τις εργασίες των
ΑΠ και των Αρχών Καταχώρισης. Το προσωπικό που ορίζεται να διαχειρίζεται τους εξυπηρετητές
των Αρχών Καταχώρισης είναι εξουσιοδοτημένο να εκτελεί τις εργασίες τήρησης
αντιγράφων ασφαλείας των αρχείων συναλλαγών.
Δεν ορίζεται.
Δεν ορίζεται.
Δεν ορίζεται.
Το προσωπικό που χειρίζεται ρόλους των Αρχών
Πιστοποίησης και των Αρχών Καταχώρισης πρέπει να διαθέτει εμπειρία σε θέματα
ψηφιακών πιστοποιητικών και σε θέματα υποδομής δημοσίου κλειδιού. Επίσης,
πρέπει να διαθέτει προϋπηρεσία σε διαχείριση ευαίσθητων προσωπικών δεδομένων
και γενικά απόρρητων πληροφοριών.
Ακολουθείται η κείμενη νομοθεσία και το
πλαίσιο που ισχύει για το προσωπικό του κάθε φορέα που διαχειρίζεται Αρχές
Πιστοποίησης και Αρχές Καταχώρησης.
Το προσωπικό που λειτουργεί τις ΑΠ και τις ΑΚ
και έχει πρόσβαση σε κρυπτογραφικές διαδικασίες, εκπαιδεύεται και καταρτίζεται
στα θέματα της Υποδομής Δημοσίου Κλειδιού της HARICA από
τεχνικούς του GUnet. Για το σκοπό αυτό υπάρχει κατάλληλη
τεκμηρίωση που περιγράφει όλες τις λειτουργικές διαδικασίες της υποδομής. Το
προσωπικό που λειτουργεί μέσα στην ΥΔΚ HARICA πρέπει να
γνωρίζει μεταξύ άλλων όλα τα κείμενα πολιτικής/διαδικασιών και ειδικά την
Δήλωση Διαδικασιών Πιστοποίησης και την Πολιτική Πιστοποίησης της ΥΔΚ HARICA.
Δεν ορίζεται.
Δεν ορίζεται.
Ακολουθούνται όλες οι νόμιμες διαδικασίες που
προβλέπονται για συγκεκριμένα αδικήματα.
Σε περίπτωση κλήσης ανεξάρτητων εργολάβων για
εργασίες στην ΥΔΚ HARICA, ο εργολάβος θα πρέπει να
υπογράφει δέσμευση μέσω μνημονίου συνεργασίας και - συμφωνητικό
εμπιστευτικότητας. Το ίδιο ισχύει και στις περιπτώσεις ελέγχων μέσω ομάδας Εξωτερικών
Ελεγκτών (External Auditors).
Σχετικό υλικό τεκμηρίωσης βρίσκεται διαθέσιμο
από το GUnet και παρέχεται στους εκπαιδευόμενους που
αναλαμβάνουν συγκεκριμένους ρόλους μέσα στην ΥΔΚ HARICA.
Τα συστήματα της ΥΔΚ HARICA καταγράφουν τις αιτήσεις για έκδοση πιστοποιητικού, τα εκδιδόμενα
πιστοποιητικά, τις εκδιδόμενες ΛΑΠ και τα μηνύματα που ανταλλάχθηκαν με την Αρχή
Καταχώρισης. Επίσης, καταγράφονται σε όλους τους εξυπηρετητές της ΥΔΚ HARICA και άλλες διεργασίες των λειτουργικών συστημάτων και των εφαρμογών
όπως π.χ. η είσοδος-έξοδος των διαχειριστών από τα συστήματα, οι http συνδέσεις με τους εξυπηρετητές ιστοσελίδων κ.α. Όλες οι καταγραφές
γίνονται με χρονοσφραγίδες που είναι συγχρονισμένες μέσω πρωτοκόλλου NTP όπως περιγράφεται στην παράγραφο 6.8.
Το σύστημα αρχειοθετεί όλες τις συναλλαγές
καθημερινά.
Τα αρχεία συναλλαγών-συμβάντων τηρούνται για
χρονικό διάστημα δύο (2) ετών, ώστε να είναι διαθέσιμα για ενδεχόμενο
νόμιμο έλεγχο. Το διάστημα αυτό δύναται να τροποποιηθεί ανάλογα με τις
εξελίξεις της σχετικής νομοθεσίας.
Δεν επιτρέπεται η πρόσβαση στο αρχείο
συναλλαγών παρά μόνο για ανάγνωση και προσθήκη από εξουσιοδοτημένα συστήματα
και εξουσιοδοτημένο προσωπικό. Δεν επιτρέπονται διαγραφές εγγραφών του αρχείου.
Πρόσβαση στο αρχείο των συναλλαγών επιτρέπεται
μόνο για ανάγνωση από συγκεκριμένες εφαρμογές των ΑΠ και ΑΚ καθώς και σε
εξουσιοδοτημένο προσωπικό.
Εφαρμόζεται πολιτική πρόσβασης η οποία δεν
επιτρέπει τις μεταβολές παρά μόνο στους διαχειριστές του λειτουργικού
συστήματος της ΑΠ και ΑΚ.
Εφαρμόζεται πολιτική πρόσβασης η οποία δεν
επιτρέπει τις διαγραφές παρά μόνο στους διαχειριστές του λειτουργικού
συστήματος της ΑΠ και ΑΚ.
Τηρείται αντίγραφο ασφαλείας του αρχείου
συναλλαγών-συμβάντων.
Δεν ορίζεται.
Δεν ορίζεται.
Δεν ορίζεται.
Όλα τα αρχεία συναλλαγών που αναφέρονται στην
παράγραφο 5.4 αρχειοθετούνται, καθώς και όλα τα συνοδευτικά έγγραφα που
σχετίζονται με αιτήματα έκδοσης/ανάκλησης ψηφιακών πιστοποιητικών.
Τα αρχεία εγγραφών τηρούνται για χρονικό
διάστημα δύο (2) ετών, ώστε να είναι διαθέσιμα για ενδεχόμενο νόμιμο
έλεγχο. Το διάστημα αυτό δύναται να τροποποιηθεί ανάλογα με τις εξελίξεις της σχετικής
νομοθεσίας.
Δεν επιτρέπεται η πρόσβαση στο αρχείο εγγραφών
παρά μόνο για ανάγνωση από εξουσιοδοτημένα συστήματα και εξουσιοδοτημένο
προσωπικό. Δεν επιτρέπονται διαγραφές ή μεταβολές εγγραφών του αρχείου.
Πρόσβαση στο αρχείο των εγγραφών επιτρέπεται
μόνο σε εξουσιοδοτημένο προσωπικό.
Εφαρμόζεται πολιτική πρόσβασης η οποία δεν
επιτρέπει τις μεταβολές.
Εφαρμόζεται πολιτική πρόσβασης η οποία δεν
επιτρέπει τις διαγραφές.
Δεν ορίζεται.
Δεν ορίζεται.
Τηρείται αντίγραφο ασφαλείας των αρχείων
εγγραφών.
Στην παρούσα φάση δεν απαιτείται
χρονοσήμανση-χρονοσφράγιση των αρχείων εγγραφών.
Δεν ορίζεται.
Δεν ορίζεται.
Σε περίπτωση αλλαγής κλειδιού κάποιας Αρχής
Πιστοποίησης, τα κλειδιά των τελικών πιστοποιητικών πρέπει να ακυρωθούν και να
ξαναδημιουργηθούν με τις διαδικασίες της παραγράφου 4.1.
Τα αρχεία καταγραφής ελέγχονται περιοδικά για
ανίχνευση παραβίασης ασφάλειας συστημάτων ή υποσυστημάτων. Σε περίπτωση που
ανιχνευθεί κάποια ανωμαλία ή υπάρχει υποψία παραβίασης, διακόπτεται η παροχή
της υπηρεσίας και γίνεται ενδελεχής έλεγχος όλων των συστημάτων.
Σε περίπτωση υποψίας παραβίασης, διακόπτεται η
παροχή της υπηρεσίας και γίνεται ενδελεχής έλεγχος όλων των συστημάτων. Σε
περίπτωση που επιβεβαιωθεί παραβίαση, ελέγχεται αν υπάρχει παραβίαση σε
ιδιωτικά κλειδιά. Σε περίπτωση παραβίασης χωρίς απώλεια ιδιωτικών κλειδιών,
γίνεται επαναφορά των συστημάτων από αντίγραφα ασφαλείας στα οποία δεν υπάρχει
υποψία παραβίασης, γίνονται νέοι έλεγχοι ασφάλειας ώστε να βρεθούν πιθανά κενά
και στη συνέχεια η υπηρεσία επανέρχεται. Σε περίπτωση απώλειας κλειδιών,
ακολουθούνται οι διαδικασίες της επομένης παραγράφου.
Σε περίπτωση απώλειας ιδιωτικών κλειδιών τελικών
πιστοποιητικών, γίνεται ανάκλησή τους από την υπηρεσία πιστοποίησης και έκδοση
νέων χωρίς την διακοπή της υπηρεσίας. Σε περίπτωση απώλειας ιδιωτικού κλειδιού
ενδιάμεσης Αρχής Πιστοποίησης, ειδοποιούνται όλοι οι συνδρομητές της συγκεκριμένης
ενδιάμεσης ΑΠ, ανακαλούνται όλα τα τελικά πιστοποιητικά που εκδόθηκαν από τη
συγκεκριμένη Αρχή, καθώς και το πιστοποιητικό της ίδιας της Αρχής. Σε περίπτωση
απώλειας του ιδιωτικού κλειδιού της Κορυφαίας Αρχής Πιστοποίησης, κάθε ΑΠ
οφείλει να διακόψει την υπηρεσία, να ειδοποιήσει όλους τους συνδρομητές όλων
των ενδιάμεσων Αρχών Πιστοποίησης, να προχωρήσει στην ανάκληση όλων των
πιστοποιητικών, να εκδώσει μια τελευταία ΛΑΠ και τέλος να ειδοποιήσει τις
σχετικές επαφές ασφάλειας. Στη συνέχεια η Υποδομή Δημοσίου Κλειδιού θα πρέπει
να συσταθεί ξανά με δημιουργία νέων Αρχών Πιστοποίησης, ξεκινώντας από νέα Κορυφαία
Κεντρική Αρχή Πιστοποίησης.
Η ΥΔΚ HARICA έχει προβλέψει
δυνατότητες αδιάλειπτης λειτουργίας με αποθήκευση αντιγράφων όλων των
συστημάτων/υποσυστημάτων σε ασφαλή τοποθεσία εκτός των χώρων των εξυπηρετητών
της HARICA.
Κατά τον τερματισμό της, κάθε ΑΠ ενημερώνει
τους συνδρομητές, ανακαλεί όλα τα πιστοποιητικά που έχει εκδώσει, ανακοινώνει
τη σχετική ΛΑΠ και ανακαλεί και το δικό της πιστοποιητικό. Τέλος, ενημερώνει
τους υπεύθυνους ασφαλείας συνεργαζόμενων φορέων και δημοσιοποιεί τον τερματισμό
της λειτουργίας της. Τα αρχεία καταγραφής των ΑΚ και ΑΠ τηρούνται για χρονικό
διάστημα δύο (2) ετών, ώστε να είναι διαθέσιμα για ενδεχόμενο νόμιμο
έλεγχο. Το διάστημα αυτό δύναται να τροποποιηθεί ανάλογα με τις εξελίξεις της σχετικής
νομοθεσίας.
Τα κλειδιά των συνδρομητών δημιουργούνται από
υλικό και κατάλληλο λογισμικό στην πλευρά των υποψήφιων συνδρομητών και
παραμένουν κάτω από τον απόλυτο έλεγχό τους, σε όλη τη διάρκεια της ισχύος
τους. Σε περίπτωση που κάποια Αρχή Πιστοποίησης επιτρέψει στις διαδικασίες της
να ισχύει η δημιουργία κλειδιών για λογαριασμό τρίτου μαζικά από την ΑΠ, θα
πρέπει να προβλέπεται η καταστροφή όλων των αντιγράφων ιδιωτικών κλειδιών μετά
την παράδοσή τους στους χρήστες, ώστε στο τέλος το ιδιωτικό κλειδί να βρίσκεται
μόνο στην κατοχή του δικαιούχου συνδρομητή. Ειδικά για την περίπτωση που
κάποιος συνδρομητής επιθυμεί να αποκτήσει πιστοποιητικό κλάσης Α, όπως
περιγράφεται στην παράγραφο 3.2.3.1, θα πρέπει να υποβάλει την αίτηση παρουσία
τεχνικού Αρχής Καταχώρησης ώστε να πιστοποιηθεί η χρήση της hardware κρυπτοσυσκευής.
Τα κλειδιά των ΑΠ δημιουργούνται από λογισμικό
ή ειδικές hardware κρυπτοσυσκευές (eToken, smartcard) οι οποίες είναι εγκατεστημένες στην
ΑΠ και πληρούν τις προδιαγραφές FIPS 140-2. Πρέπει να
ελέγχεται κατά το χρόνο δημιουργίας των κλειδιών η ύπαρξη πληροφοριών για
σφάλματα του λογισμικού ή του υλικού που χρησιμοποιείται, που αφορούν τη
δημιουργία κλειδιών.
Δεν επιτρέπεται η δημιουργία κλειδιών από
οποιαδήποτε οντότητα για λογαριασμό του υποψήφιου συνδρομητή ή άλλης οντότητας
ούτε από την ΑΠ για λογαριασμό των συνδρομητών. Δεν επιτρέπεται η παράδοση του
ιδιωτικού κλειδιού του υποψήφιου συνδρομητή σε οποιαδήποτε τρίτη οντότητα. Σε
περίπτωση που κάποια Αρχή Πιστοποίησης επιτρέψει στις διαδικασίες της να ισχύει
η δημιουργία κλειδιών για λογαριασμό τρίτου, θα πρέπει να ακολουθείται η
παρακάτω διαδικασία:
·
Αν η ΑΠ έχει αρκετές πληροφορίες για να
επιβεβαιώσει την εγκυρότητα της ταυτότητας του χρήστη εκ των προτέρων, έχει την
δυνατότητα να δημιουργήσει ζεύγη κλειδιών και πιστοποιητικό για αυτόν τον
χρήστη.
·
Η εξακρίβωση της γνησιότητας αυτών των
πιστοποιητικών υλοποιείται όταν οι ιδιοκτήτες τους παραλαμβάνουν τα
διαπιστευτήρια (πιστοποιητικό και κλειδιά) τους από την Αρχή Καταχώρησης. Το
μοντέλο αυτό ονομάζεται ομαδικό.
·
Η ΑΠ πρέπει να έχει διαδικασία διαγραφής του
μυστικού κλειδιού που σχετίζεται με το κάθε Ψηφιακό Πιστοποιητικό Ταυτότητας
μόλις αυτό παραδοθεί στον δικαιούχο τελικό χρήστη, έτσι ώστε τελικά το ιδιωτικό
κλειδί να βρίσκεται στην κατοχή αποκλειστικά του δικαιούχου.
Ο εγγραφόμενος υποβάλλει στην Αρχή Καταχώρισης
το δημόσιο κλειδί του μέσω δομημένης αίτησης (π.χ. τύπου PKCS#10) για έκδοση πιστοποιητικού. Η αίτηση είναι υπογεγραμμένη με το
σχετικό ιδιωτικό κλειδί. Η ΑΚ επαληθεύει την ορθότητα της υπογραφής και
συμπεραίνει ότι ο αιτών κατέχει πράγματι το σχετικό με την αίτηση ιδιωτικό
κλειδί.
Οι ΑΠ παρέχουν μηχανισμούς για την ασφαλή
παράδοση των ψηφιακών πιστοποιητικών τους. Το κάθε ψηφιακό πιστοποιητικό περιέχει
το δημόσιο κλειδί όταν αυτό ζητείται από ενδιαφερόμενες οντότητες. Οι
ενδιαφερόμενοι αποστέλλουν αίτηση με ηλεκτρονικό ταχυδρομείο. Η ΑΠ αποστέλλει
με ταχυδρομείο σε μαγνητικό μέσο το πιστοποιητικό της, το οποίο εμπεριέχει το
δημόσιο κλειδί της. Εναλλακτικά, το πιστοποιητικό της κάθε ΑΠ δημοσιοποιείται
μέσω ασφαλούς ιστοσελίδας, της οποίας η ταυτότητα πιστοποιείται από διαφορετική
έμπιστη τρίτη οντότητα.
Η κάθε ΑΠ δημοσιοποιεί στην αποθήκη της
παραγράφου 2.1 το Πιστοποιητικό της.
Το ελάχιστο επιτρεπτό μέγεθος κλειδιού
εγγραφόμενου είναι 2048 bits ανεξάρτητα από τη χρήση του κλειδιού αυτού.
Δεν ορίζεται.
Οι σκοποί χρήσης ενός κλειδιού αναφέρονται στο
σχετικό βασικό πεδίο και στη σχετική επέκταση του πιστοποιητικού τύπου Χ.509v3. Οι αναφερόμενοι σκοποί χρήσης του πιστοποιητικού δεν είναι
περιοριστικοί (π.χ. μη κρίσιμη επέκταση πιστοποιητικού) αλλά «προτεινόμενοι». Ο
έλεγχος συμμόρφωσης με τους επιτρεπόμενους σκοπούς χρήσης γίνεται κατά την
κρίση των βασιζόμενων μερών.
Ανάλογα με την κλάση του πιστοποιητικού, τα
πεδία του πιστοποιητικού περιλαμβάνουν τουλάχιστον τις παρακάτω χρήσεις:
Κλάσεις πιστοποιητικών φυσικών προσώπων:
Βασικές χρήσεις: ‘Digital
Signature’, ‘Non-Repudiation’, ‘Data Encipherment’, ‘Key Encipherment’.
Επεκτάσεις: ‘Client Authentication’, ‘Secure Email’, ‘Encrypting File System’
Κλάσεις πιστοποιητικών συσκευών:
Βασικές χρήσεις: ‘Digital Signature’, ‘Key Encipherment’.
Επεκτάσεις: ‘Client
Authentication’, ‘Server Authentication’
Κλάσεις με επιπλέον χρήσεις ειδικών
υπηρεσιών:
Επεκτάσεις:
‘IP Security User’, ‘Timestamping’, ‘Code Signing’, ‘OCSPSigning’
Δεν ορίζεται.
Για τα ιδιωτικά κλειδιά των Αρχών
Πιστοποίησης, προβλέπεται μηχανισμός κατακερματισμού των κωδικών ενεργοποίησης
των ιδιωτικών κλειδιών ο οποίος περιγράφεται σε ξεχωριστό εσωτερικό έγγραφο.
Δεν ορίζεται.
Το ιδιωτικό κλειδί πρέπει να φυλάσσεται σε
αντίγραφο ασφαλείας. Το κλειδί στο αντίγραφο πρέπει να είναι κρυπτογραφημένο και
να ακολουθούνται οι διαδικασίες που περιγράφονται στην παράγραφο 5.1.6.
Η πρόσβαση στο αντίγραφο ασφαλείας επιτρέπεται μόνο σε εξουσιοδοτημένο
προσωπικό.
Το αντίγραφο ασφαλείας του ιδιωτικού κλειδιού
κάθε Αρχής Πιστοποίησης πρέπει να αρχειοθετείται και να φυλάσσεται με ασφαλείς
μεθόδους και σε ασφαλή χώρο. Τα ιδιωτικά κλειδιά στο αντίγραφο είναι ούτως ή
άλλως πάντα κρυπτογραφημένα αλλά υπάρχει πρόσθετη προστασία κρυπτογράφησης των
αρχειοθετημένων αντιγράφων ασφαλείας. Επίσης, ακολουθούνται οι διαδικασίες που
περιγράφονται στην παράγραφο 5.1.6. Η πρόσβαση στο αρχειοθετημένο αντίγραφο
ασφαλείας επιτρέπεται μόνο σε εξουσιοδοτημένο προσωπικό.
Οι κάτοχοι των ιδιωτικών κλειδιών, μπορούν να
μεταφέρουν κατά την κρίση τους το ιδιωτικό κλειδί τους από ειδικό κρυπτογραφικό
σύστημα μορφής λογισμικού (software certificate store) σε
οποιοδήποτε κρυπτογραφικό σύστημα μορφής υλικού (hardware)
πχ crypto-tokens, smartcards. Αυτή η διαδικασία ΔΕΝ αλλάζει την κλάση του πιστοποιητικού από Β σε Α
διότι το ιδιωτικό κλειδί δεν δημιουργήθηκε εξ αρχής σε hardware κρυπτοσυσκευή. Η αντίστροφη διαδικασία (μεταφορά κλειδιού από hardware σε software certificate store) δεν επιτρέπεται.
Δεν ορίζεται
Το ιδιωτικό κλειδί της κάθε ΑΠ βρίσκεται
προστατευμένο (κρυπτογραφημένο) με κάποιον κωδικό. Κάθε εξουσιοδοτημένος διαχειριστής της ΑΠ γνωρίζει διαφορετικό
τμήμα αυτού του κωδικού. Μόνο συνδυασμός από εξουσιοδοτημένους διαχειριστές
μπορεί να αποκρυπτογραφήσει το ιδιωτικό κλειδί της κάθε ΑΠ προκειμένου να
πραγματοποιήσουν κρυπτογραφικές διαδικασίες. Η διαδικασία περιγράφεται σε
εσωτερικό κείμενο διαδικασιών της ΥΔΚ HARICA που
περιγράφει την «τελετή ενεργοποίησης Αρχών Πιστοποίησης»
Το ιδιωτικό κλειδί τελικών πιστοποιητικών
συνδρομητών-συσκευών βρίσκεται επίσης προστατευμένο-κρυπτογραφημένο. Μόνο ο
δικαιούχος συνδρομητής ή διαχειριστής συσκευής ή υπηρεσίας, επιτρέπεται να
ενεργοποιήσει και να χρησιμοποιήσει ιδιωτικό κλειδί που αντιστοιχεί στο τελικό
πιστοποιητικό που διαχειρίζεται.
Για την ενεργοποίηση ενός ιδιωτικού κλειδιού
απαιτείται η εισαγωγή κάποιου κωδικού (pass-phrase) προκειμένου να αποκρυπτογραφηθεί και να χρησιμοποιηθεί το ιδιωτικό
κλειδί σε συνδυασμό με το πιστοποιητικό. Ειδικά για κρυπτογραφικά συστήματα
υλικού (πχ crypto-tokens) απαιτείται
η εισαγωγή κάποιου PIN.
Για την ενεργοποίηση κλειδιών Αρχών Πιστοποίησης
που βρίσκονται σε ειδικές κρυπτοσυσκευές, απαιτείται συνδυασμός κωδικών που
γνωρίζει εξουσιοδοτημένο προσωπικό. Κάθε εξουσιοδοτημένος διαχειριστής της ΑΠ
γνωρίζει διαφορετικό τμήμα του PIN ενεργοποίησης. Μόνο
συνδυασμός από εξουσιοδοτημένους διαχειριστές μπορεί να ενεργοποιήσει ένα
ιδιωτικό κλειδί.
Σε περιπτώσεις τελικών πιστοποιητικών χρηστών
που χρησιμοποιούν κρυπτογραφικά συστήματα σε μορφή λογισμικού (πχ CryptoAPI στα MS Windows), ενδέχεται να μην ερωτάται
κωδικός αλλά μια απλή ερώτηση επιβεβαίωσης χρήσης ή μη, του ιδιωτικού κλειδιού.
Τέλος, τα ιδιωτικά κλειδιά που χρησιμοποιούνται σε συσκευές-υπηρεσίες ενδέχεται
να είναι μονίμως ενεργοποιημένα και να μην προστατεύονται καθόλου από κάποιον
κωδικό, εφόσον υπάρχουν άλλα ικανοποιητικά επίπεδα ασφάλειας σε επίπεδο αρχείων
συστήματος (file system permissions) και άλλων.
Δεν ορίζεται. Συνήθως το κλειδί παραμένει
«ενεργό» για όσο διάστημα λειτουργεί η συγκεκριμένη εφαρμογή που το
χρησιμοποιεί.
Δεν ορίζεται.
Δεν ορίζεται.
Δεν ορίζεται.
Τα δημόσια κλειδιά ενσωματώνονται στα ψηφιακά
πιστοποιητικά κατά την έκδοσή τους και αρχειοθετούνται σύμφωνα με τις
διαδικασίες που περιγράφονται στην παράγραφο 5.4.
Η διάρκεια χρήσης των ζευγών των
κρυπτογραφικών κλειδιών προσδιορίζεται από την αντίστοιχη περίοδο ισχύος του
σχετικού ψηφιακού πιστοποιητικού. Η μέγιστη διάρκεια χρήσης των κλειδιών
ορίζεται σε είκοσι (20) έτη για Κεντρική ΑΠ, σε δέκα (10) έτη για
ενδιάμεση ΑΠ και σε δύο (2) έτη για πιστοποιητικά τελικών χρηστών και
συσκευών. Η διάρκεια χρήσης σε κάθε περίπτωση θα πρέπει να αποφασίζεται σε
συνάρτηση με το μέγεθος των κλειδιών και με τις τρέχουσες τεχνολογικές
εξελίξεις στο χώρο της κρυπτογραφίας, έτσι ώστε να εξασφαλίζεται το βέλτιστο
επίπεδο ασφάλειας αλλά και αποτελεσματικότητας χρήσης.
Τα δεδομένα ενεργοποίησης, δηλαδή οι μυστικοί
κωδικοί και τα PIN πρέπει να επιλέγονται έτσι ώστε να
είναι δύσκολο να ανακαλυφθούν. Το ελάχιστο μέγεθος του μυστικού κωδικού και του
PIN είναι οκτώ (8) ψηφία.
Σε περίπτωση ιδιωτικών κλειδιών τελικών
χρηστών όπου χρησιμοποιείται μηχανισμός καταστροφής του ιδιωτικού κλειδιού μετά
από ορισμένο αριθμό εσφαλμένων προσπαθειών πρόσβασης το μέγεθος του PIN μπορεί να είναι μικρότερο. Σε κάθε περίπτωση ισχύουν οι διαδικασίες
που περιγράφονται στην παράγραφο 6.2.8.
Δεν ορίζεται.
Δεν ορίζεται.
Ø
Τα Λειτουργικά Συστήματα των υπολογιστών της ΥΔΚ HARICA διατηρούνται σε υψηλό επίπεδο ασφάλειας με εφαρμογή όλων των διεθνών
προτύπων σε θέματα και οδηγίες ασφάλειας
Ø
Υπάρχουν συστήματα καταγραφής ενεργειών στους
υπολογιστές της ΥΔΚ HARICA και περιοδικός έλεγχος των
αρχείων καταγραφής για διαπίστωση τυχόν ανωμαλιών.
Ø
Τα προγράμματα που συνοδεύουν το Λειτουργικό
Σύστημα είναι τα απολύτως απαραίτητα για την εύρυθμη λειτουργία των ΑΚ/ΑΠ.
Δεν ορίζεται.
Δεν ορίζεται.
Δεν ορίζεται.
Δεν ορίζεται.
Απαγορεύεται η σύνδεση των ΑΠ σε ευρύτερα δίκτυα
δεδομένων ή άλλο τηλεπικοινωνιακό μέσο (πχ στο τηλεφωνικό δίκτυο μέσω modem). Η Αρχή Καταχώρισης προστατεύεται από το διαδίκτυο με ισχυρούς
μηχανισμούς ασφάλειας συμπεριλαμβανομένου και firewall.
Όλες οι χρονοσφραγίδες και η χρονοσήμανση στην
ΥΔΚ HARICA (είτε σε Αρχές Καταχώρισης είτε σε Αρχές
Πιστοποίησης) συγχρονίζονται μέσω πρωτοκόλλου NTP (Network
Time Protocol).
Χρησιμοποιείται περίγραμμα πιστοποιητικού σύμφωνα με το RFC 3280 “Internet X.509
Public Key Infrastructure: Certificate and Certificate Revocation List (CRL) Profile”
Ο αριθμός έκδοσης του πιστοποιητικού είναι 2,
που αντιστοιχεί στα πιστοποιητικά Χ.509v3.
Σε κάθε πιστοποιητικό που εκδίδεται θα πρέπει
να περιλαμβάνεται η επέκταση BasicConstraints χαρακτηρισμένη ως κρίσιμη και οι
επεκτάσεις KeyUsage, SubjectKeyIdentifier,
AuthorityKeyIdentifier και CertificatePolicies χαρακτηρισμένες ως μη κρίσιμες.
Επίσης, πρέπει να περιλαμβάνεται η επέκταση CRLDistributionPoint χαρακτηρισμένη
ως μη κρίσιμη.
Για την υπογραφή των πιστοποιητικών
χρησιμοποιείται ο αλγόριθμος SHA1 ή ισχυρότερος.
Απαγορεύεται η χρήση του αλγόριθμου MD5 ή άλλων για τους
οποίους υπάρχουν αποδείξεις ότι έχουν παραβιαστεί.
Η μορφή των ονομάτων είναι σύμφωνη με τους
κανόνες της παραγράφου 3.1.
Η HARICA εφαρμόζει περιορισμούς ονομάτων σε όλες τις ΑΠ
σύμφωνα με το RFC 5280. Η
συγκεκριμένη επέκταση χαρακτηρίζεται ως « μη κρίσιμη».
Η Κεντρική Αρχή Πιστοποίησης της HARICA περιορίζεται στα domains:
.gr, .eu, .edu, .org.
Ειδικά για το domain “.org”, σε περίπτωση που κάποιο Ίδρυμα απαιτεί πιστοποιητικό εξυπηρετητή για
συγκεκριμένη εκπαιδευτική ή ερευνητική δράση (δεν θα επιτρέπεται έκδοση πιστοποιητικών
χρηστών για το συγκεκριμένο domain), η αίτηση θα εξυπηρετηθεί
από μία κεντρική ενδιάμεση Αρχή Πιστοποίησης που θα περιορίζεται μόνο στο domain .org. Αυτή η ενδιάμεση
Αρχή Πιστοποίησης δεν υφίσταται ακόμα αλλά θα δημιουργηθεί μόλις υπάρξει σχετικό
αίτημα.
Οι ενδιάμεσες Αρχές Πιστοποίησης ΠΡΕΠΕΙ να
περιορίζονται στο domain του Ιδρύματος που εξυπηρετούν.
Για παράδειγμα, η Αρχή Πιστοποίησης του Αριστοτελείου Πανεπιστημίου
Θεσσαλονίκης θα είναι περιορισμένη στο domain “auth.gr”, εφαρμόζοντας το σχετικό χαρακτηριστικό
πιστοποιητικού.
Το αναγνωριστικό της πολιτικής πιστοποίησης,
OID (Object Identifier) : 1.3.6.1.4.1.26513.1.0.2.6,
με την οποία συμμορφώνεται η ΠΠ/ΔΔΠ, περιλαμβάνεται στα πιστοποιητικά.
Δεν ορίζεται.
Το χαρακτηριστικό πολιτικής είναι URI το οποίο δείχνει στην δημοσιευμένη ΠΠ/ΔΔΠ της ΥΔΚ HARICA.
Δεν ορίζεται.
Ο αριθμός έκδοσης της είναι 1 ή/και 2, που
αντιστοιχεί σε ΛΑΠ Χ.509v2, ακολουθώντας το RFC-3280.
Δεν ορίζεται.
Το Online Certificate Status Protocol (OCSP) χρησιμοποιείται για την επικύρωση της
κατάστασης ανάκλησης όλων των πιστοποιητικών που έχουν εκδοθεί από την Κορυφαία
Κεντρική Αρχή Πιστοποίησης. Η χρήση του OCSP είναι
υποχρεωτική για τις υφιστάμενες Αρχές Πιστοποίησης. Οι εξυπηρετητές OCSP πρέπει να συμμορφώνονται με το RFC2560.
Υποστηρίζεται η έκδοση 1 των προδιαγραφών OCSP
όπως αυτή ορίζεται στο RFC2560.
7.3.2
OCSP και επεκτάσεις των εγγραφών
Η υπηρεσία OCSP χρησιμοποιεί
ασφαλή χρονοσφραγίδα και μέγιστη περίοδο εγκυρότητας 5 λεπτών για να
επιβεβαιώσει την εγκυρότητα της υπογεγραμμένης απάντησης. Ο αλγόριθμος
κατακερματισμού που χρησιμοποιείται για το όνομα και το κλειδί του εκδότη είναι
ο SHA1.
Η επέκταση nonce υποστηρίζεται
από τον εξυπηρετητή OCSP. Αιτήματα τα οποία περιέχουν ένα nonce
θα πρέπει να το χρησιμοποιούν για να επιβεβαιώσουν την εγκυρότητα
της απάντησης. Διαφορετικά, πρέπει να χρησιμοποιηθεί το τοπικό ρολόι και η
χρονοσφραγίδα που περιέχεται στην απάντηση.
Η ΥΔΚ HARICA καλύπτει τις τεχνικές προδιαγραφές του ETSI TS 101 456 “Electronic
Signatures and Infrastructures (ESI); Policy
requirements for certification authorities
issuing qualified certificates”. Ένας εξωτερικός έλεγχος συμμόρφωσης απαιτείται
σε ετήσια βάση για την εξέταση της συμμόρφωσης της ΥΔΚ προς την ΠΠ/ΔΔΠ.
Έλεγχος συμμόρφωσης μπορεί να διεξαχθεί από
τους ενδιαφερόμενους για συνεργασία με την Υπηρεσία, μετά από άδεια του φορέα
που λειτουργεί την Υπηρεσία και εφόσον ο ενδιαφερόμενος καλύψει όλα τα έξοδα
του ελέγχου.
Δεν καταβάλλονται τέλη για τις παρεχόμενες
υπηρεσίες. Απαγορεύεται ρητά κάθε είδους μεταπώληση ή άλλου τύπου εκμετάλλευση
των παρεχόμενων υπηρεσιών από τους αποδέκτες τους.
Δεν ορίζεται
Δεν ορίζεται
Δεν ορίζεται
Δεν ορίζεται
Δεν ορίζεται
Η ΥΔΚ HARICA δεν
αναλαμβάνει ούτε μπορεί να της αποδοθεί οικονομική ευθύνη.
Η ΥΔΚ της HARICA δεν
χειρίζεται πληροφορίες εμπορικού χαρακτήρα.
Δεν ορίζεται.
Πληροφορίες που τηρούνται από τις Αρχές
Πιστοποίησης και Καταχώρησης και θεωρούνται ως εμπιστευτικές, είναι τα ιδιωτικά
κλειδιά των Αρχών Πιστοποίησης που λειτουργούν, καθώς και ο μηχανισμός ασφαλούς
αποθήκευσης και χρήσης τους. Εμπιστευτικές θεωρούνται επίσης οι πληροφορίες
φυσικής πρόσβασης και ασφάλειας του χώρου όπου εγκαθίστανται και λειτουργούν τα
συστήματα των Αρχών Καταχώρισης και των Αρχών Πιστοποίησης.
Οι Αρχές Καταχώρισης είναι πιθανό να επεξεργάζονται
προσωπικά δεδομένα κατά τον έλεγχο της ταυτότητας των αιτούντος.
Δεν θεωρούνται εμπιστευτικές οι πληροφορίες
που περιέχονται στα ψηφιακά πιστοποιητικά που εκδίδονται.
Η διαχείριση από την ΥΔΚ HARICA, των δεδομένων που χαρακτηρίζονται εμπιστευτικά και προσωπικού
χαρακτήρα, συμμορφώνεται με τη σχετική νομοθεσία περί προστασίας Προσωπικών
Δεδομένων.
Οι μη εμπιστευτικές πληροφορίες που
τηρεί κάθε Αρχή Πιστοποίησης και Καταχώρησης είναι διαθέσιμες στις αρχές
επιβολής του νόμου, μετά από έγγραφη αίτησή τους. Για τη διάθεση στις
δικαστικές αρχές εμπιστευτικών πληροφοριών ή προσωπικών δεδομένων των
εγγραφόμενων, θα γίνεται αίτηση σύμφωνα με την ισχύουσα νομοθεσία και μέσω της
διοίκησης του φορέα λειτουργίας της HARICA. Εφόσον
πρόκειται για στοιχεία Αρχών Πιστοποίησης και Καταχώρησης που βρίσκονται υπό τη
διαχείριση ιδρυμάτων της HARICA, η αίτηση θα πρέπει να
γίνεται μέσω της διοίκησης του εκάστοτε ιδρύματος. Σήμερα, φορέας λειτουργίας
της HARICA είναι η GUnet Α.Ε.
Ιδιωτικά κλειδιά που χρησιμοποιούνται για την υπογραφή πιστοποιητικών, δεν
δημοσιοποιούνται σε τρίτους σε καμία περίπτωση, εκτός αν ο νόμος το απαιτεί ρητά.
Οι μη εμπιστευτικές πληροφορίες που τηρεί κάθε
ΑΠ και ΑΚ είναι διαθέσιμες για την αναζήτηση οντοτήτων, μετά από αίτηση.
Οι πληροφορίες που τηρεί κάθε ΑΠ και ΑΚ είναι
διαθέσιμες στον ιδιοκτήτη τους, μετά από αίτησή του.
Δεν ορίζεται.
Η ΥΔΚ HARICA δεν έχει
δικαιώματα πνευματικής ιδιοκτησίας στα εκδιδόμενα πιστοποιητικά.
Οποιοσδήποτε μπορεί να αντιγράφει μέρη της ΠΠ/ΔΔΠ
με την προϋπόθεση αναφοράς του αρχικού κειμένου.
Δεν ορίζεται
Δεν ορίζεται
Η Υποδομή Δημοσίου Κλειδιού της HARICA δεν ευθύνεται για προβλήματα ή ζημιές που μπορεί να προκύψουν από την
μη υπαίτια πλημμελή λειτουργία της ή από την κακή χρήση των πιστοποιητικών που
εκδίδει. Η χρήση της ΥΔΚ HARICA και των υπηρεσιών
Πιστοποίησης προϋποθέτει την ανεπιφύλακτη παραδοχή εκ μέρους του χρήστη ότι η
ΥΔΚ HARICA δεν ευθύνεται για ζημία ή βλάβη, δεν
αναλαμβάνει, ούτε μπορούν να τις αποδοθούν οικονομικές, αστικές ή άλλου είδους
ευθύνες, παρά μόνο σε περιπτώσεις που αποδεικνύεται δόλος ή αμέλειά της.
Η Υποδομή Δημοσίου Κλειδιού HARICA και οι υπηρεσίες Πιστοποίησης δεν αναλαμβάνουν ούτε μπορούν να τις
αποδοθούν οικονομικές, αστικές ή άλλου είδους ευθύνες, παρά μόνο σε περιπτώσεις
που αποδεικνύεται δόλος ή αμέλειά τους. Επίσης, χρησιμοποιείται αποκλειστικά
για Ακαδημαϊκούς και Ερευνητικούς σκοπούς και απαγορεύεται ρητά η εμπορική
εκμετάλλευσή της. Συνεπώς, η ΥΔΚ απαλλάσσεται από κάθε ζημία, που δε συνδέεται
αιτιωδώς με την χρήση των υπηρεσιών πιστοποίησης για τους παραπάνω σκοπούς.
Η παρούσα ΠΠ/ΔΔΠ ισχύει για το χρονικό διάστημα
λειτουργίας της ΥΔΚ HARICA.
Σε περίπτωση που κάποια συνεργαζόμενη Αρχή
Καταχώρισης ή Αρχή Πιστοποίησης επιθυμεί να διακόψει τη συνεργασία με την ΥΔΚ HARICA, οφείλει να ενημερώσει εγγράφως την Κεντρική Υπηρεσία Πιστοποίησης.
Ανάλογη επικοινωνία επιβάλλεται σε περιπτώσεις εκδήλωσης ενδιαφέροντος από
μονάδες της Ελληνικής Ακαδημαϊκής και Ερευνητικής κοινότητας που επιθυμούν να
συμμετέχουν στην ΥΔΚ HARICA.
Συντακτικές αλλαγές μπορούν να γίνουν στην
ΠΠ/ΔΔΠ χωρίς καμία ειδοποίηση και χωρίς ανάγκη αλλαγής του αναγνωριστικού του
κειμένου (OID).
Οι συνδρομητές θα ενημερώνονται εκ των
προτέρων σε περίπτωση σημαντικών αλλαγών στην ΠΠ/ΔΔΠ. Η ΥΔΚ HARICA, οφείλει σε περιπτώσεις αλλαγών να δημοσιεύει και τις προηγούμενες
κύριες εκδόσεις των κειμένων ΠΠ/ΔΔΠ στον ιστοχώρο της υπηρεσίας. Η τρέχουσα
ενεργή ΠΠ/ΔΔΠ είναι δημοσιευμένη στη διεύθυνση: http://www.harica.gr/documents/CPS.php
Σε περίπτωση σημαντικών-ουσιαστικών αλλαγών
που δύνανται να επηρεάσουν την δυνατότητα αποδοχής της ΥΔΚ HARICA, θα πρέπει να μεταβληθεί το όνομα και το αναγνωριστικό (OID) της πολιτικής πιστοποίησης το οποίο αναφέρεται στην παράγραφο 1.2.
Διαφορές που προκύπτουν από την ερμηνεία της
ΠΠ/ΔΔΠ και τη λειτουργία της ΥΔΚ HARICA θα επιλύονται
σύμφωνα με την Ακαδημαϊκή δεοντολογία και τον Ελληνικό Νόμο. Αρμόδια ορίζονται
τα δικαστήρια της Αθήνας.
Η ΥΔΚ HARICA
δημιουργήθηκε για να υπηρετήσει την Ελληνική Ακαδημαϊκή και Ερευνητική
κοινότητα. Κάθε πιστοποιητικό που εκδίδεται, αναφέρει ρητά στο
πεδίο Certificate Policy Notice, το κείμενο: “This certificate is subject to Greek laws and our CPS. This Certificate must only be used for academic, research or educational purposes” το οποίο μεταφράζεται στο εξής
κείμενο: «Το συγκεκριμένο πιστοποιητικό υπόκειται στην Ελληνική νομοθεσία
και τη Δήλωση Διαδικασιών Πιστοποίησης. Το πιστοποιητικό αυτό πρέπει να χρησιμοποιείται
αποκλειστικά για ακαδημαϊκή, ερευνητική ή εκπαιδευτική χρήση». Η ΥΔΚ HARICA δεν θα εκτελεί οικονομικές συναλλαγές εκτός αν οριστεί διαφορετικά σε
κάποια ενδιάμεση Αρχή Πιστοποίησης, μέσω ξεχωριστού κειμένου Πολιτικής
Πιστοποίησης. Η λειτουργία της ΥΔΚ HARICA καθώς και η
ερμηνεία της Πολιτικής Πιστοποίησης/Δήλωσης Διαδικασιών Πιστοποίησης υπόκεινται
κύρια στα Ακαδημαϊκά ήθη και στην Ελληνική Νομοθεσία. Ιδιαίτερα όσον αφορά το
Προεδρικό Διάταγμα 150/2001 «Προσαρμογή στην οδηγία 99/93/ΕΚ του Ευρωπαϊκού
Κοινοβουλίου και του Συμβουλίου σχετικά με το κοινοτικό πλαίσιο για
ηλεκτρονικές υπογραφές», τα πιστοποιητικά που εκδίδονται ΔΕΝ θεωρούνται
γενικά ως «Αναγνωρισμένα Πιστοποιητικά», αν και όλες οι Αρχές Πιστοποίησης και
τα εκδιδόμενα πιστοποιητικά ΚΑΛΥΠΤΟΥΝ τις τεχνικές προδιαγραφές των
«Αναγνωρισμένων Πιστοποιητικών».
Κάτω από συγκεκριμένες προϋποθέσεις και
συνθήκες, μπορούν τα πιστοποιητικά που εκδίδονται να χρησιμοποιηθούν ως «αναγνωρισμένα»-όπως
αυτά ορίζονται στο ΠΔ 150/2001- πιστοποιητικά σε κλειστές ομάδες οντοτήτων,
όπως για παράδειγμα σε κάποια διοικητική υπηρεσία του Ιδρύματος. Οι αντίστοιχες
διαδικασίες θα πρέπει να περιγράφονται σε κείμενο Πολιτικής Πιστοποίησης/Δήλωση
Διαδικασιών Πιστοποίησης (CP/CPS) της
υφιστάμενης αυτής Αρχής Πιστοποίησης, λαμβάνοντας υπ’ όψιν τις κείμενες
διατάξεις και όλους τους όρους του ΠΔ 150/2001 (συμπεριλαμβανομένων των όρων
για την Οικονομική ευθύνη). Όπως ορίζεται στην παράγραφο 1.3.3, το κείμενο CP/CPS κάθε υφιστάμενης αρχής δεν πρέπει να έρχεται
σε αντίθεση με τους όρους του παρόντος κειμένου. Βασικές προϋποθέσεις για αυτή
την αναγνώριση και κατά συνέπεια της αναγνώρισης της σχετικής παραγόμενης
ψηφιακής υπογραφής ως ισότιμης με τη χειρόγραφη, είναι α) η χρήση «ασφαλούς διάταξης
δημιουργίας υπογραφής» στην πλευρά του πελάτη (π.χ. έξυπνη κάρτα όπου
δημιουργείται, αποθηκεύεται και χρησιμοποιείται αποκλειστικά το ιδιωτικό κλειδί
του πελάτη) και β) η έγκριση του εκάστοτε αρμόδιου οργάνου (π.χ. σύγκλητος
Ιδρύματος ή Διοικητικό Συμβούλιο φορέα).
Η ΥΔΚ HARICA συμμορφώνεται
πλήρως με την κείμενη Ελληνική νομοθεσία.
Μια αρχή πιστοποίησης είναι υπεύθυνη για την
έκδοση και τη διαχείριση των πιστοποιητικών. Συγκεκριμένα, οι Αρχές
Πιστοποίησης της HARICA δεσμεύονται:
Ö
Να παρέχουν και να συντηρούν την υποδομή που
απαιτείται για την σύσταση μιας ιεραρχίας πιστοποίησης για την ελληνική
ακαδημαϊκή και ερευνητική κοινότητα, σύμφωνα με τις Πολιτικές Πιστοποίησης και
τις Διαδικασίες Πιστοποίησης που περιγράφονται στο έγγραφο αυτό.
Ö
Να υλοποιούν και να συντηρούν τις απαιτήσεις
ασφαλείας σύμφωνα με τα όσα ορίζονται στις σχετικές παραγράφους του παρόντος
εγγράφου.
Ö
Να αποδέχονται ή να απορρίπτουν αιτήσεις για έκδοση
πιστοποιητικών σύμφωνα με τα όσα ορίζονται στις σχετικές παραγράφους του
παρόντος εγγράφου.
Ö
Να συντηρούν ένα χώρο αποθήκευσης ευρείας πρόσβασης
για την αποθήκευση των πιστοποιητικών και των Λιστών Ανάκλησης Πιστοποιητικών.
Οι πληροφορίες αυτές θα πρέπει να δημοσιοποιούνται μέσω ευρέως
χρησιμοποιούμενων πρωτοκόλλων του παγκόσμιου ιστού, όπως HTTP, FTP και LDAP.
Ö
Να ανακαλούν πιστοποιητικά όταν συντρέχουν λόγοι ή
μετά από αίτημα του υποκειμένου ενός πιστοποιητικού.
Ö
Να διατηρούν τις Λίστες Ανάκλησης Πιστοποιητικών
πρόσφατα ενημερωμένες.
Ö
Να διαχειρίζονται εμπιστευτικά όλες τις προσωπικές
πληροφορίες που παρέχονται από τους εγγραφόμενους στις Αρχές Καταχώρησης.
Ö
Να ενημερώνουν άμεσα το τεχνικό προσωπικό των
υφιστάμενων ΑΠ, για έκθεση, απώλεια, δημοσιοποίηση, τροποποίηση, ή μη
εγκεκριμένη χρήση του ιδιωτικού κλειδιού των ΑΠ.
Ö
Να διασφαλίζουν ότι όλα τα θέματα αναφορικά με τις
υπηρεσίες που παρέχουν, όλες οι λειτουργίες που εκτελούνται και το σύνολο της
υποδομής συμμορφώνονται με την παρούσα Πολιτική Πιστοποίησης και Δήλωση
Διαδικασιών Πιστοποίησης.
Κάθε υφιστάμενη ή δια-πιστοποιούμενη Αρχή
Πιστοποίησης εγκεκριμένη από την Υποδομή Δημοσίου Κλειδιού της HARICA δεσμεύεται:
Ö
Να μην χορηγεί πιστοποιητικά με περίοδο εγκυρότητας
μεγαλύτερη από την περίοδο ισχύος της εργασιακής ή άλλου είδους σχέσης, μεταξύ
του αιτούντος και του φορέα με τον οποίο αυτός σχετίζεται, με την ιδιότητα που
κατέχει κατά τη στιγμή της έκδοσης του πιστοποιητικού (π.χ. φοιτητή,
εργαζόμενου, κλπ.).
Ö
Να ενημερώνει άμεσα την σχετική Κεντρική Αρχή
Πιστοποίησης της HARICA σε περιπτώσεις έκθεσης του ιδιωτικού
της κλειδιού.
Ö
Να προστατεύει το μυστικό κωδικό που
χρησιμοποιείται για την υπογραφή πιστοποιητικών τουλάχιστον στο επίπεδο
ασφαλείας που ορίζεται στο παρόν κείμενο.
Ö
Να αναπτύξει –αν το επιθυμεί- τις δικές της
Διαδικασίες Πιστοποίησης, οι οποίες θα πρέπει να είναι τουλάχιστον τόσο
αυστηρές και δεσμευτικές όσο είναι αυτή που περιγράφεται σε αυτό το έγγραφο.
Ö
Σε περίπτωση που κάποιο ίδρυμα –το οποίο συμμετέχει
στη HARICA- επιθυμεί να λειτουργήσει αυτόνομη Αρχή
Πιστοποίησης, πρέπει να καταθέσει επίσημο πιστοποιητικό ελέγχου συμμόρφωσης
σύμφωνα με τις απαιτήσεις του προτύπου ETSI TS 101 456 (ή
αντίστοιχου).
Κάθε Αρχή Καταχώρισης διεκπεραιώνει τις αιτήσεις
εγγραφών των συνδρομητών.
Ö
Κάθε ΑΚ είναι υπεύθυνη για τη λήψη των αιτήσεων
πιστοποίησης, την πιστοποίηση της ταυτότητας του συνδρομητή, την επιβεβαίωση
ότι το δημόσιο κλειδί που υποβάλλεται ανήκει σε αυτόν και για τη μεταβίβαση της
αίτησης με ασφαλή τρόπο στην αντίστοιχη ΑΠ.
Ö
Η λήψη των αιτήσεων μπορεί να πραγματοποιηθεί –
ανάλογα με την κλάση του πιστοποιητικού που πρόκειται να εκδοθεί - είτε με την
αυτοπρόσωπη υποβολή από τον ενδιαφερόμενο, είτε μέσω ηλεκτρονικού ταχυδρομείου
είτε μέσω ειδικής φόρμας σε ιστοσελίδα, όπου υπάρχει μηχανισμός ασφαλούς
αυθεντικοποίησης του χρήστη. Η αίτηση θα πρέπει να περιλαμβάνει τα προσωπικά
στοιχεία ταυτότητας του εγγραφόμενου και το δημόσιο κλειδί που ο ίδιος έχει
δημιουργήσει.
Ö
Είναι δυνατή η μαζική υποβολή αιτήσεων από μία
συγκεκριμένη υπηρεσία, για λογαριασμό των φυσικών προσώπων που ανήκουν σε αυτή.
Ö
Κάθε ΑΚ πρέπει να ελέγχει αν το πρόσωπο που
αιτείται προσωπικό πιστοποιητικό χρήστη, είναι ο δικαιούχος της πιστοποιημένης
διεύθυνσης e-mail.
Ö
Κάθε ΑΚ πρέπει να ελέγχει αν το πρόσωπο που
αιτείται πιστοποιητικό συσκευής είναι ο κάτοχος του ονόματος FQDN και ο διαχειριστής της συσκευής.
Ö
Σε περίπτωση που κάποιο ίδρυμα –το οποίο συμμετέχει
στη HARICA- επιθυμεί να λειτουργήσει αυτόνομη Αρχή
Καταχώρισης, πρέπει να καταθέσει επίσημο πιστοποιητικό ελέγχου συμμόρφωσης
σύμφωνα με τις απαιτήσεις του προτύπου ETSI TS 101 456 (ή
αντίστοιχου).
Ö
Οι συνδρομητές στην Υπηρεσία είναι υποχρεωμένοι να
διαβάσουν, να αποδεχθούν και να τηρούν την ΠΠ/ΔΔΠ. Οι συνδρομητές είναι
υποχρεωμένοι να χρησιμοποιούν το πιστοποιητικό μόνο σε χρήσεις σύμφωνες με την ΠΠ/ΔΔΠ
και το ισχύον νομοθετικό πλαίσιο.
Ö
Οι συνδρομητές πρέπει να δημιουργήσουν ένα ζεύγος
κλειδιών χρησιμοποιώντας ένα αξιόπιστο σύστημα και να λάβουν προφυλάξεις για
την προστασία του ιδιωτικού κλειδιού τους από τυχαία καταστροφή, απώλεια ή
κλοπή.
Ö
Οι συνδρομητές με την παραλαβή του πιστοποιητικού,
αποδέχονται ότι οι πληροφορίες που περιέχονται σε αυτό είναι αληθινές και
σωστές.
Ö
Οι συνδρομητές είναι υποχρεωμένοι να ζητούν από την
ΑΠ την ανάκληση του πιστοποιητικού τους όταν αυτό δεν χρησιμοποιείται πλέον,
όταν τα στοιχεία που περιέχει έχουν αλλάξει και όταν έχει εκτεθεί ή χαθεί ή
υποπτευθεί ότι έχει εκτεθεί ή χαθεί το ιδιωτικό τους κλειδί.
Ö
Ειδικά για την περίπτωση ψηφιακής υπογραφής κώδικα
(code signing), οι συνδρομητές δεσμεύονται από την ΑΚ να
παρέχουν πλήρεις, ακριβείς και αληθείς πληροφορίες (πχ όνομα εφαρμογής, URL
με πληροφορίες της εφαρμογής, περιγραφή εφαρμογής, κ.α.) στον
κώδικα που υπογράφουν.
Ö
Οι οντότητες που εμπιστεύονται τα πιστοποιητικά
είναι υποχρεωμένες να διαβάσουν και να αποδεχθούν την ΠΠ/ΔΔΠ και να
χρησιμοποιούν το πιστοποιητικό μόνο σε χρήσεις σύμφωνες με την ΠΠ/ΔΔΠ και το
ισχύον εθνικό νομικό πλαίσιο.
Ö
Οι οντότητες που εμπιστεύονται τα πιστοποιητικά
πρέπει να ελέγχουν την εγκυρότητα της υπογραφής του ψηφιακού πιστοποιητικού, να
εμπιστεύονται το πιστοποιητικό της ΑΠ που το έχει εκδώσει, να ελέγχουν την
περίοδο ισχύος του πιστοποιητικού και να ελέγχουν περιοδικά την ΛΑΠ για τυχόν
ανάκλησή της ισχύος του.
Κάθε ΑΠ (κεντρική ή ενδιάμεση) είναι
υποχρεωμένη να τηρεί δημόσια προσβάσιμη αποθήκη δεδομένων στην οποία να
καταχωρεί:
Ö
το ψηφιακό πιστοποιητικό της,
Ö
τη Δήλωση Διαδικασιών Πιστοποίησης/Πολιτική
Πιστοποίησης,
Ö
το Μνημόνιο Συνεργασίας και Συναντίληψης,
Ö
τα εκδοθέντα πιστοποιητικά και
Ö
τη ΛΑΠ.
