Δήλωση πρακτικών πιστοποίησης
Η
Δήλωση Πρακτικών Πιστοποίησης (Certificate Practice Statement)
(ΔΠΠ (CPS))
της ΕΤΟ αναφέρεται σε όλες εκείνες τις διαδικασίες που απαιτούνται για την
ασφαλή και αποδοτική έκδοση και διαχείριση πιστοποιητικών που εκδίδονται
για όλους τους χρήστες που επιθυμούν υψηλών προδιαγραφών εξασφάλιση των
πληροφοριών τους, όταν αυτές μεταδίδονται μέσω δικτύου μετάδοσης δεδομένων.
Επίσης περιγράφει λεπτομερώς την διαδικασία πιστοποίησης ξεκινώντας από
την δημιουργία και έναρξη λειτουργίας Αρχής Πιστοποιητικών,
τις λειτουργίες που σχετίζονται με τη συντήρηση της αποθήκης εγγραφών της ΑΠ και
καταλήγοντας στην υποβολή αίτησης απόκτησης πιστοποιητικού από τους συνδρομητές.
Παράλληλα, συχνά περιγράφονται και οι διαδικασίες που απαιτούνται και εφαρμόζονται
από την ΕΤΟ για τη διαχείριση και διατήρηση της
υποδομής δημοσίου κλειδιού (public key infrastructure)
για την υποστήριξη των υπηρεσιών δημόσιας πιστοποίησης.
Οι υπηρεσίες δημόσιας πιστοποίησης εμπερικλείουν την έκδοση, διαχείριση, χρήση,
προσωρινή και μόνιμη ακύρωση και επανενεργοποίηση πιστοποιητικών.
Η ΔΠΠ της ΕΤΟ είναι ο κεντρικός συντονιστής μιας σειράς από επί μέρους
οντότητες που παρουσιάζονται στο παρακάτω σχήμα.
Οι επόμενες παράγραφοι περιγράφουν συνοπτικά τα ενδεικτικά στοιχεία
του κάθε τμήματος της ΔΠΠ.
Σχέσεις με άλλες οντότητες και καταλληλότητα αποδοχής
Η λειτουργία 1.1
σχέσεις με άλλες οντότητες και καταλληλότητα αποδοχής
αφορά στις σχέσεις με τις άλλες οντότητες και την
καταλληλότητα αποδοχής. Στη λειτουργία αυτή περιγράφονται εξής:
- Οι τύποι των υποκείμενων Αρχών Πιστοποίησης που μπορούν να ενσωματωθούν στη
ν υποδομή δημοσίου κλειδιού της ΕΤΟ καθώς και η σειρά τους στην ιεραρχική
δομή της υποδομής.
- Οι τύποι των Αρχών Καταχώρησης που πιστοποιούνται από την ΕΤΟ
καθώς και η σειρά τους στην ιεραρχική δομή της υποδομής δημοσίου κλειδιού
της ΕΤΟ.
- Οι τύποι των οντοτήτων που πιστοποιούνται από την ΕΤΟ.
Οι οντότητες αυτές αντιστοιχούν στους συνδρομητές ή χρήστες της ΕΤΟ.
- Εφαρμογές για τις οποίες είναι κατάλληλη η πολιτική πιστοποιητικών.
Επίσης περιγράφονται τυχόν εφαρμογές σε συνδυασμό με τις οποίες δεν
πρέπει να εφαρμόζεται η πολιτική πιστοποιητικών.
- Πρότυπα τα οποία ακολουθούνται για την λειτουργία της υποδομής,
οι διεπαφές που χρησιμοποιούνται για την επικοινωνία χρήστη και υποδομής.
Επίσης περιγράφονται τα πρότυπα που εμπεριέχονται στα δεδομένα που
δημιουργούνται και διανέμονται μέσω της υποδομής (π.χ. πιστοποιητικά,
Λίστες Ακυρωμένων Πιστοποιητικών, προσδιοριστές πολιτικών πιστοποιητικών κ.λ.π).
Μέθοδοι ταυτοποίησης και αυθεντικοποίησης
Η λειτουργία 1.2
μέθοδοι ταυτοποίησης και αυθεντικοποίησης
περιγράφει τις διαδικασίες που απαιτούνται για την
ακεραιότητα της αντιστοίχησης μεταξύ μιας οντότητας που χρησιμοποιεί το
πιστοποιητικό και του ίδιου του πιστοποιητικού.
Διαχείριση κλειδιών
Η λειτουργία 1.3
διαχείριση κλειδιών
παρουσιάζει τα μέτρα που λαμβάνονται από την ΕΤΟ για την
προστασία των κλειδιών κρυπτογράφησης και άλλων κρίσιμων παραμέτρων ασφαλείας
(πχ. η φύλαξη των συνθηματικών που χρησιμοποιούνται για την αυθεντικοποίηση
των διαχειριστών της υποδομής με τις λειτουργικές μονάδες που περιέχονται
στην υποδομή.
Η ασφαλής διαχείριση κλειδιών είναι κριτικής σημασίας για την λειτουργία της
ΕΤΟ και εξασφαλίζει ότι τα ιδιωτικά κλειδιά και οι κρίσιμες παράμετροι
ασφάλειας προστατεύονται και χρησιμοποιούνται μόνο από εξουσιοδοτημένους
χρήστες.
Τα δημόσια κλειδιά των οντοτήτων (ανθρώπων και οργανισμών) οι οποίοι
πιστοποιούνται από την ΕΤΟ φυλάσσονται σε κατάλληλα διαμορφωμένη βάση
δεδομένων, στους χώρους της ΕΤΟ.
Τα κλειδιά αποθηκεύονται στην ενσωματωμένη μορφή τους, μέσα στα
Χ.509 πιστοποιητικά.
Τα εκδοθέντα πιστοποιητικά φυλάσσονται επίσης στον Κατάλογο, ο οποίος είναι
προσβάσιμος από το κοινό.
Η πρόσβαση αυτή παρέχει τη δυνατότητα στις οντότητες που κατέχουν
πιστοποιητικά να ελέγξουν την εγκυρότητα του πιστοποιητικού της οντότητας
με την οποία συναλλάσσονται.
Συνήθως τα ιδιωτικά κλειδιά των πιστοποιούμεων οντοτήτων δεν γνωστοποιούνται
στην ΕΤΟ.
Το ζεύγος ιδιωτικού και δημόσιου κλειδιού παράγεται από τον εξοπλισμό Η/Υ
της προς πιστοποίηση οντότητας, κατά την πρώτη επικοινωνία της προαναφερθείσας
με την υπηρεσία αίτησης πιστοποιητικών της ΕΤΟ.
Μετά την παραγωγή του ζεύγους κλειδιών, το δημόσιο κλειδί αποστέλλεται
στην ΕΤΟ για να ενσωματωθεί στο αιτηθέν πιστοποιητικό.
Το ιδιωτικό κλειδί παραμένει μόνο στο μέσο δευτερεύουσας αποθήκευσης
της οντότητας που πραγματοποίησε την αίτηση πιστοποίησης και δεν
γνωστοποιείται ποτέ στην ΕΤΟ ή σε οποιαδήποτε άλλη οντότητα.
Αποτελεί ευθύνη της οντότητας που αιτεί πιστοποίηση, η φύλαξη του
ιδιωτικού κλειδιού και η διασφάλιση της τήρησης του απορρήτου του.
Συνήθως,
αν το ιδιωτικό κλειδί αποκαλυφθεί σε οποιαδήποτε άλλη οντότητα,
αν απολεσθεί ή αν οι πράξεις του κατόχου του κλειδιού οδηγήσουν με
οποιοδήποτε τρόπο στην παραβίαση του κλειδιού από τρίτους, η ΕΤΟ δεν
φέρει καμία ευθύνη για τις συνέπειες στις συναλλαγές της πιστοποιηθείσας
οντότητας με οποιαδήποτε άλλη οντότητα.
Πολιτική ασφάλειας της υποδομής δημόσιου κλειδιού της ΕΤΟ
Η λειτουργία 1.4
πολιτική ασφάλειας της υποδομής δημόσιου κλειδιού της ΕΤΟ
περιγράφει τις διαδικασίες, νόμους και ρυθμίσεις που
έχουν τεθεί σε λειτουργία για τη δημιουργία ενός ασφαλούς περιβάλλοντος
μέσα στο οποίο λειτουργεί η ΕΤΟ.
Παράλληλα περιγράφονται τυχόν πολιτικές ασφάλειας που θα πρέπει
να εφαρμόζουν οι υποκείμενες ΑΠ και ΑΚ και οι οντότητες που χρησιμοποιούν τα
πιστοποιητικά.
Η λειτουργία αυτή είναι πολύ σημαντική να εφαρμόζεται από όλες τις
οντότητες που συμμετέχουν στην υποδομή δημοσίου κλειδιού της ΕΤΟ,
διότι απουσία ελέγχων ασφάλειας σε οποιαδήποτε οντότητα μπορεί να θέσει
σε κίνδυνο όλη την υποδομή.
Πολιτκή ασφάλειας πιστοποιητικών
Η λειτουργία 1.5
πολιτκή ασφάλειας πιστοποιητικών
περιγράφει όλους τους ελέγχους ασφάλειας που χρησιμοποιούνται
από την ΕΤΟ, έτσι ώστε όλες οι λειτουργίες της ΕΤΟ να διεκπεραιώνονται
με ασφαλή τρόπο.
Οι λειτουργίες της ΕΤΟ περιλαμβάνουν τη δημιουργία κλειδιών,
την αυθεντικοποίηση χρηστών, την καταχώρηση πιστοποιητικών,
την ακύρωση πιστοποιητικών, τις διαδικασίες ελέγχου (audit)
και αρχειοθέτησης (archive).
Πολιτική λειτουργιών
Η λειτουργία 1.6
Πολιτική λειτουργιών
περιγράφει τη συχνότητα με την οποία διενεργούνται διάφοροι
έλεγχοι που σχετίζονται με τη σωστή λειτουργία της ΕΤΟ όπως η έκδοση
της Λίστας Ακυρωμένων Πιστοποιητικών, ο χρόνος διάρκειας του πιστοποιητικού
της ίδιας της ΕΤΟ, τους περιοδικούς ελέγχους ασφάλειας που διενεργούνται
για τον έλεγχο ασφάλειας της ΕΤΟ, τους υπεύθυνους για την κατάργηση ενός
πιστοποιητικού και κάτω από ποιες προϋποθέσεις μπορεί να γίνει αυτό και
άλλα επιπλέον στοιχεία.
Νομικές ρυθμίσεις και προβλέψεις
Η λειτουργία 1.7
νομικές ρυθμίσεις και προβλέψεις
περιγράφει την πολιτική αξιοπιστίας και εγγύησης και
της προϋποθέσεις ισχύος της εγγύησης.
Επιπλέον περιγράφονται οι υποχρεώσεις όλων των οντοτήτων (της ΕΤΟ,
άλλων Αρχών Πιστοποίησης, των ΑΚ και των οντοτήτων που χρησιμοποιούν
τα πιστοποιητικά).
Τέλος, περιγράφεται το θεσμικό πλαίσιο στο οποίο έχει ισχύ το έγγραφο
καθώς και οι διαδικασίες επίλυσης τυχόν διαφορών μεταξύ των οντοτήτων
που συμμετέχουν στη δημιουργία της υποδομής δημοσίου κλειδιού της ΕΤΟ.
Προφίλ πιστοποιητικών και ΛΑΠ
Η λειτουργία 1.8
προφίλ πιστοποιητικών και ΛΑΠ
περιγράφει τις εκδόσεις των πιστοποιητικών και
των ΛΑΠ που υποστηρίζονται από την υποδομή της ΕΤΟ.
Στην διαδικασία αυτή περιγράφονται οι τιμές των προεκτάσεων των πιστοποιητικών.
Τα πιστοποιητικά που εκδίδονται από την ΕΤΟ ακολουθούν συχνά το πρότυπο Χ509.
Οι Λίστες Ανακληθέντων Πιστοποιητικών που εκδίδονται από την ΕΤΟ
είναι συχνά διαθέσιμες τόσο διαμέσου του Καταλόγου όσο και μέσω της
γραφικής διεπαφής Ιστού των υπηρεσιών της Αρχής Πιστοποίησης.
Οι υπηρεσίες της Αρχής Πιστοποίησης προσφέρουν τις εξής δυνατότητες,
σχετικά με την ΛΑΠ :
- Ελεγχο της εγκυρότητας ενός συγκεκριμένου πιστοποιητικού,
- Ενσωμάτωση της ΛΑΠ στον φυλλομετρητή του ιστού
- Απόκτηση της ΛΑΠ, σε δυαδική μορφή, για έλεγχο και επεξεργασία από
μια οντότητα που διαθέτει τα ανάλογα μέσα,
- Προβολή της ΛΑΠ στην οθόνη του υπολογιστή.
Διαχείριση ΔΠΠ
Τέλος, η λειτουργία 1.9
διαχείριση ΔΠΠ
περιγράφει την αρχή που είναι υπεύθυνη
για την καταχώρηση, συντήρηση και εφαρμογή των πολιτικών που
περιγράφονται στην ΔΠΠ.