Digital Signatur OCES en fælles offentlig certifikat-standard

Transkript

1 Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002

2 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard for de certifikater, der er en af hjørnestenene i infrastrukturen til digital signatur. Standarden hedder OCES, Offentlige Certifikater til Elektronisk Service. OCES er udarbejdet for at skabe en ny type certifikater, der er lettere og hurtigere at udbrede end de kvalificerede certifikater, der findes på området i dag. Samtidig er hensigten at undgå, at mange konkurrerende standarder skaber samspilsproblemer for brugerne og for de offentlige systemer. Certifikaternes indhold og kravene til, hvordan certificeringscentrene skal håndtere dem, er fastlagt i en certifikatpolitik. Den indeholder blandt meget andet: Krav til certifikaternes indhold herunder at certifikatet som standard indeholder indehaverens navn og adresse samt den offentlige nøgle, der skal bruges ved kryptering og kontrol af digital signatur Krav til udstedelse af certifikater herunder, at modtagerens identitet som minimum skal sikres via verificering af CPR-postadresse. Det er derimod ikke nødvendigt at møde personligt frem for at få udstedt et certifikat Krav til certificeringscenterets sikkerhed herunder krav til fremstilling, beskyttelse og opbevaring af nøgler Certificeringscenteret formulerer et CPS (Certificate Pratice Statement) en erklæring om, hvordan centeret vil leve op til kravene i certifikatpolitikken. CPS et danner grundlag for en ekstern revision af certificeringscentrets praksis, når det gælder drift og sikkerhed omkring certifikatet. Denne vejledning uddyber baggrunden for OCES, indholdet i standarden og hovedlinierne i den omfattende certifikatpolitik, der ligger til grund herfor. Vejledningen henvender sig især til IT-chefer, projektledere og andre, der skal beskæftige sig indgående med digital signatur og implementeringen af denne i myndigheden. Digital signatur Side 2 af 10

3 Indholdsfortegnelse 1 FORMÅL OG MÅLGRUPPE OCES-STANDARDEN BEHOVET FOR EN FÆLLES STANDARD SÅDAN UDSTEDES OCES-CERTIFIKATER INDHOLDET I OCES-CERTIFIKATET EN CERTIFIKATPOLITIK FOR OCES KRAV TIL CERTIFICERINGSCENTRET KRAV TIL CERTIFIKATET SÅDAN ADMINISTRERES CERTIFIKATPOLITIKKEN Digital signatur Side 3 af 10

4 1 Formål og målgruppe Igennem længere tid har det været et udbredte ønske, at der blev etableret en fælles offentlig PKI og en fælles offentlig standard for certifikater, der understøtter digital signatur. Derfor har Ministeriet for Videnskab, Teknologi og Udvikling (VTU) taget initiativ til at udarbejde en sådan standard. Den hedder OCES: Offentlige Certifikater til Elektronisk Service. Formålet med denne vejledning er at introducere offentlige myndigheder til OCES. Målgruppen er IT-chefer, projektledere og andre, der skal beskæftige sig indgående med digital signatur og implementeringen af denne i myndigheden. Vejledningen forudsætter kendskab til de grundlæggende begreber som PKI, kryptering, certifikater og certificeringscentre. Vejledningen er én blandt flere om digital signatur. De øvrige er: Infrastrukturen til digital signatur Målgruppe: IT-chefer, projektledere og andre, der aktivt skal være med til at implementere digital signatur i en offentlig myndighed Digital signatur forudsætninger og fordele Målgruppe: Beslutningstagere i offentlige institutioner, der skal afveje forudsætninger mod de økonomiske fordele og mulige serviceforbedringer, der ligger i at implementere digital signatur Sikker brug af digital signatur Målgruppe: Beslutningstagere og projektledere, der skal arbejde med digital signatur-projekter Juridiske aspekter ved at bruge digital signatur Målgruppe: Projektledere, jurister og andre, der har et særligt behov for at kende de retlige aspekter af brugen af digital signatur Alle ovenstående vejledninger findes på IT- og Telestyrelsens/Signatursekretariatets hjemmeside ( Digital signatur Side 4 af 10

5 2 OCES-standarden 2.1 Behovet for en fælles standard Der udbydes allerede i dag certifikater på det danske marked. Således kan man f.eks. købe kvalificerede certifikater, der lever op til kravene i loven om elektroniske signaturer (Lov nr. 417 af 31. maj 2000 se loven på denne side: Der er imidlertid knyttet visse krav til at udstede og benytte kvalificerede certifikater. Krav der i praksis gør det meget svært at få digitale signatur-løsninger hurtigt udbredt. Det gælder primært kravet om, at brugerne skal møde personligt frem for at få udleveret deres certifikat. Hertil kommer, at en række offentlige myndigheder, der har behov for digitale signaturløsninger, har efterspurgt en standardisering på området. Dels for at gøre et certifikat med digitale signatur bredt anvendeligt for borgerne, dels for at undgå problemer med interoperabiliteten, dvs. samspilsproblemer mellem flere konkurrerende standarder. På denne baggrund har Videnskabsministeriet taget initiativ til at indføre OCEScertifikaterne. Her stilles der ikke krav om personligt fremmøde, når certifikatet skal udleveres og da OCES-certifikaterne ikke skal leve op til kravene i loven om elektroniske signaturer, er det i OCES tillige muligt for certifiseringscentrene at begrænse deres erstatningsansvar overfor myndigheder og erhvervsdrivende virksomheder. Desuden er certifikatet softwarebaseret, og det betyder, at det kan udbredes og anvendes billigere end et tilsvarende hardwarebaseret certifikat. På lidt længere sigt er det dog hensigten, at OCES-certifikatet skal gøres hardwarebaseret. OCES-certifikatet kan principielt anvendes til al kommunikation mellem myndigheder indbyrdes og mellem myndigheder og virksomheder eller borgere. Det er desuden tilstræbt, at OCES-certifikater også med fordel kan bruges i den private sektor. Digital signatur Side 5 af 10

6 2.2 Sådan udstedes OCES-certifikater Det er enklere at udstede OCES-certifikater end de kvalificerede certifikater, der skal leve op til kravene i loven om elektroniske signaturer. Men selv om der ikke kræves personligt fremmøde, er der stor sikkerhed for, at certifikatet udstedes til den rette person eller virksomhed. Certificeringscenteret skal nemlig i løbet af udstedelsesproceduren bruge to forskellige metoder til at tjekke modtagerens identitet, før et certifikat kan udleveres: Den opgivne bopælsadresse skal svare til den adresse, som er opført i CPRregisteret under det oplyste CPR-nummer Certifikatmodtageren skal anvende informationer, som dels modtages med almindelig brevpost dels via en anden kanal typisk en e-postadresse. Hermed kontrolleres, at både postadressen og den anden kanal hører sammen med modtageren 2.3 Indholdet i OCES-certifikatet OCES-certifikatet vil som standard indeholde certifikatindehaverens navn og adresse. Da indeholdet af et OCES-certifikat i princippet er offentligt tilgængeligt, indeholder det ikke ejerens CPR-nummer. Af samme grund kan en certifikatindehaver faktisk kræve, at navn og adresse heller ikke skal stå i certifikatet, men det vil unægtelig gøre certifikatet mindre anvendeligt. Certificeringscenteret vil imidlertid kunne oplyse CPR-nummeret til myndigheder eller andre, der har tilladelse til at bruge det. Det kan enten være en tilladelse, der følger af lovgivningen på området, eller en underskrevet tilladelse fra certifikatejeren. Herudover indeholder et OCES-certifikat naturligvis den offentlige nøgle og andre informationer, som standarden for udformningen af certifikater kræver - f.eks. certifikatets type. Der findes nemlig tre OCES-certifikattyper: Personcertifikater til privatpersoner Virksomhedscertifikater til myndigheder og private virksomheder Medarbejdercertifikater til medarbejdere i myndigheder og virksomheder I det følgende afsnit gennemgås certifikatpolitikken for OCES Digital signatur Side 6 af 10

7 3 En certifikatpolitik for OCES Grundlaget for at udstede OCES-certifikater er en såkaldt certifikatpolitik. Denne politik definerer parterne på området, dvs. certificeringscentre samt certifikatindehavere, certifikatholdere og signaturmodtagere. Politikken fastlægger også, hvad certifikaterne kan bruges til. Politikken opstiller kravene til identifikation og autentifikation og forklarer desuden, hvordan certifikater skal udstedes, ændres, fornyes, spærres eller afsluttes. Der er også regler for tredjeparts opbevaring af nøgler. Via certifikatpolitikken for OCES er der dermed etableret en fælles standard for certifikaternes indhold og for certificeringscentrenes håndtering af dem. Politikken fastlægger det sikkerhedsniveau, certificeringscenteret som minimum skal overholde, hvis det vil udstede OCES-certifikater. Certifikatpolitikken er udviklet i tre forskellige versioner til hhv. privatpersoner (borgere), virksomheder og medarbejdere. OCES-standarden dækker således i virkeligheden over tre certifikatpolitikker. Den foreløbige certifikatpolitik kan læses i sin helhed på Den har været til høring hos alle interesserede parter og er desuden blevet vurderet af Datatilsynet. Vurderingen findes i vejledningen Juridiske aspekter ved anvendelse af digital signatur og kan i sin helhed ses på under menupunktet oces og certifikatpolitikker. Afgrænsning Certifikatpolitikken indeholder bevidst ingen bestemmelser om gebyrer f.eks. hvad man kan tage gebyr for, og hvor store de i givet fald må være. Spørgsmål om gebyrer og betaling af certifikater og/eller transaktioner vil blive afklaret i forbindelse med forhandlinger med OCES-certificeringscentrene. Heller ikke det såkaldte PID-nummer, der er et individuelt nummer tildelt certifikatindehaveren af certificeringscenteret, er omtalt i certifikatpolitikken. En del af PID-nummeret identificerer certificeringscenteret, så PID-nummeret bliver unikt for certifikatindehaveren. PID-nummeret kan myndighederne få vekslet til et CPR-nr. Denne tjeneste bliver formodentlig ikke gratis, men må betragtes som en tillægstjeneste. Derfor er den heller ikke omfattet af certifikatpolitikken. Digital signatur Side 7 af 10

8 3.1 Krav til certificeringscentret Certifikatpolitikken opstiller krav til certificeringscentrets drift på følgende områder: Fysiske krav: Sikring af elforsyning og vandtryk og mod brand etc. Procedurer: Sikring af, at de administrative og ledelsesmæssige procedurer er tilstrækkelige og følger internationalt anerkendte standarder Logging: Hvilke aktiviteter skal logges, i hvor lang tid og hvordan sikres en lav sårbarhed (f.eks. via backup)? Personale: Krav til uddannelse, sikkerhedsklassifikation, underleverandører etc. Arkivering: Hvad og hvordan skal der arkiveres, og hvordan skal arkiverne beskyttes? Kompromittering: Hvilke forholdsregler skal der tages, hvis et certifikat bliver kompromitteret? Ophør: Hvordan og under hvilke forudsætninger kan et certificeringscentrer bringe sine aktiviteter til ophør? Kravene til driften og til revision af infrastrukturen og interne forretningsgange er i store træk de samme, som stilles til de certifikatudstedere, der udbyder kvalificerede certifikater. Der stilles også i certifikatpolitikken krav til den tekniske styring af sikkerheden. Dette omfatter krav til, hvordan nøglerne fremstilles og derefter beskyttes og opbevares. Heri er inkluderet krav til den aktiveringskode, som skal benyttes for at bruge den private nøgle, og til sikkerhed af netværk og tidsstempling i forbindelse med spærrelister. Bemærk, at certifikatpolitikken ikke stiller krav om, at der etableres en tidsstemplingseller en arkivtjeneste. En tidsstemplingstjeneste kombineret med en arkivtjenestestyrker uafviseligheden altså at ingen af parterne senere kan benægte, at en bestemt kommunikation har fundet sted. Se Juridiske aspekter ved anvendelsen af digital signatur afsnit 3.2 for en belysning af problematikken omkring lagring og bevisværdi. Digital signatur Side 8 af 10

9 3.2 Krav til certifikatet En certifikatpolitik specificerer også, hvordan selve certifikatet skal se ud - altså de data, som skal findes i certifikatet. Politikken opstiller således regler for, hvilke oplysninger der skal eller kan stå i certifikatet. Det kan f.eks. være, at man gerne må bruge pseudonym, eller at man må nøjes med at angive sit fornavn eller efternavn. Et personcertifikat skal bl.a. indeholde følgende oplysninger: Attribut Krav Kommentarer countryname: M Landekode organizationnam e: O "Ingen organisatorisk tilknytning" serialnumber: M PersonId, evt. med kvalifikator og løbenummer (f.eks.: PID: eller ). givenname: O Personens fornavne surname: O Personens efternavn commonname M Personens fulde navn eller pseudonym postaladdress O Personens postadresse address O Personens e-post-konto pseudonym O Personens pseudonym M = Mandatory krav O = Optional - valgfri Eksempel: countryname=dk, organizationname=ingen organisatorisk tilknytning, serialnumber= , commonname=navn // PID: , address=navn@nethotel.dk Politikken definerer også de værdier, der digitalt signalerer, hvad certifikatet kan bruges til. Eksempelvis om man kan bruge det til at styrke uafviselighed eller til signering og autentifikation. I certifikatet er der en henvisning, som præciserer, hvilken politik certifikatet er udstedt efter. Når man modtager en signatur, kan man derfor se, hvilken sikkerhed netop denne type signatur giver. Endelig henviser certifikatet til, hvor man kan tjekke om certifikatet Digital signatur Side 9 af 10

10 er spærret, og hvordan man gør det. Det vil typisk være ved at downloade en spærreliste eller ved at foretage et online-opslag. 3.3 Sådan administreres certifikatpolitikken Certifikatpolitikken omtaler også de omgivelser, et certifikat vil fungere i. Det omfatter blandt andet følgende forhold: Hvordan personlige data skal behandles og beskyttes At det er Signatursekretariatet i IT- og Telestyrelsen, der udarbejder, opdaterer og vedligeholder certifikatpolitikken Krav om revision Endelig opstiller certifikatpolitikken regler for, hvordan den overholdes - nemlig ved revision. Bestemmelserne om revision omfatter: Hvor ofte den skal foregå. Hvem der kan foretage den Hvilke relationer, der må være mellem certificeringscenter og revisor, Hvilke områder der skal revideres Hvordan evt. mangler rettes, og hvordan dette kommunikeres På grundlag af certifikatpolitikken udarbejder certificeringscenteret et såkaldt CPS (certificate practice statement). Det beskriver, hvordan certificeringscenteret har tænkt sig at overholde certifkatpolitikken, og er dermed grundlaget for den efterfølgende revision. CPS'et vil som udgangspunkt være offentligt, men dele af det kan holdes hemmeligt af konkurrencehensyn. Digital signatur Side 10 af 10