Certificate Authority
CA
Sertifikatų centrai
Apibrėžimas
Kiekvienas el. parašu pasirašantis asmuo turi turėti sertifikatą. Sertifikatus sudaro ir vėliau jų duomenis el. parašu tikrintojams teikia sertifikatų centrai (CA – Certificate Authority).
Paaiškinimai
CA funkcijos ir struktūra :
CA paskirtis yra sudaryti sertifikatus asmenims, norintiems savo veikloje naudoti el. paraša, ir sertifikatų duomenis teikti el. parašu tikrintojams. Pagrindinės jo funkcijos yra: - registruoti asmenis, prašančius sudaryti sertifikatus, patikrinti dokumentus ju tapatybei nustatyti ir kitus pateikiamus dokumentus, kurių reikia sertifikatui sudaryti; - sudaryti sertifikatus; - tvarkyti sertifikatų duomenis; - laiku sustabdyti arba atšaukti sertifikatų galiojimą, gavus atitinkamą prašymą;
Šioms funkcijoms vykdyti CA sudėtyje turi būti tokie padaliniai: 1.Registravimo tarnyba (RA – Registration Authority). 2.Sertifikatų sudarymo tarnyba. 3. Sertifikatų duomenų teikimo tarnybą (katalogo tarnyba - directory service). 4. CRL teikimo tarnyba.
Raktų tvarkymas.
CA turi užtikrinti: a) kad raktai būtų kuriami kontroliuojamoje aplinkoje, naudojant saugią el. parašo įrangą (SSCD) ir dalyvaujant bent dviems igaliotiems darbuotojams. Raktai gali būti kuriami tiek paties CA reikmėms, tiek abonentams; b) CA privačiojo rakto konfidencialumą ir saugumą (kad šis raktas nebūtų pakeistas nežinant to CA saugumo pareigūnams); c) sertifikatuose esantiems CA parašams tikrinti skirto viešojo rakto saugumą (kad šis raktas nebūtų pakeistas nežinant to CA saugumo pareigūnams) ir autentiškumą, bei šio rakto saugų teikimą el. parašo naudotojams; d) kad CA nelaikytų ir nekopijuotų abonentams parengtų privačiųjų raktų; e) kad CA privatusis raktas būtų naudojamas saugiai ir tik sertifikatams bei CRL sarašams pasirašyti, o pasibaigus šio rakto galiojimo laikui, jis būtų sunaikinamas; f) saugų raktų porų kūrimą, kai juos savo abonentams teikia CA, ir privačiųjų raktų slaptumą; Taip pat užtikrinti : g) saugios parašo formavimo įrangos (SSCD), jei CA ją teikia savo abonentams, saugų rengimą; h) kad abonentai iki sutarties pasirašymo būtų tinkamai informuoti apie sertifikatų teikimo ir naudojimo sąlygas bei šių sąlygų laisvą teikimą el. priemonėmis; l) kad būtų tinkamai patikrinta asmens, kuriam sudaromas sertifikatas, tapatybė ir kiti jo duomenys; m) kad jau ankščiau užregistruoto asmens prašymas sudaryti naują arba atnaujinti senajį sertifikatą pagal patikslintus asmens duomenis būtų išsamus ir sankcionuotas; n) sertifikatų sudarymo saugumą, padedantį išsaugoti ju autentiškumą; o) kad sertifikatų duomenys esant užklausai būtų teikiami abonentams ir el. parašu tikrintojams;
Valdymas ir veikla.
CA turi užtikrinti, kad: a) jo organizacinė struktūra, administracinės ir valdymo procedūros būtų patikimos; b) jo informacija ir visa paslaugoms teikti reikalinga įranga būtų tinkamai apsaugota; c) personalas būtų reikiamos kvalifikacijos ir laikytųsi CA nustatytų taisyklių ir paslaugų teikimo tvarkos; d) būtų naudojama patikima sertifikatų tvarkymo sistema, apsaugota nuo modifikavimo . e) tik įgalioti asmenys turėtų prieiga prie patikimos sertifikatų tvarkymo sistemos ir ji būtų naudojama teisingai su minimaliu sutrikimų pavojumi; f) fizinė prieiga prie kritinių paslaugos vietų (pvz., sertifikatų sudarymo ir pasirašymo) būtų kontroliuojama; g) nesėkmės atveju, įskaitant sertifikatams pasirašyti naudojamo CA privačiojo rakto kompromitacija, paslaugų teikimas būtų kaip galima greičiau atstatytas; h) būtų minimizuota potenciali abonentų ir el. parašo tikrintojų žala CA nutraukus veiklą, ir su sudarytais sertifikatais susijusi informacija kaip įrodinėjimo priemonė būtų teikiama teismams, bet kuriuo metu to prireikus; j) būtų laikomasi teisės aktų reikalavimų (pvz., Asmens duomenų teisinės apsaugos įstatymo, kt.); g) visa sutartyje su abonentu nurodyta informacija, susijusi su sertifikatais, būtų užrašoma ir saugoma nurodytą laiką, kad galimą būtų ją panaudoti kaip įrodinėjimo priemone teisme; k) būtų apdrausta CA civilinė atsakomybė. To reikia, kad CA galėtų padengti abonentų nuostolius savo klaidos arba nenumatytais atvejais; l) CA veikla būtų nutraukiama vadovaujantis įstatymais. Šiuo atveju turi būti nutraukiamas galiojimas visu CA sudarytu sertifikatu, o atšauktų sertifikatų sarašas (CRL) perduotas kitam CA arba el. parašo priežiuros institucijai.
Literatūra
1. http://en.wikipedia.org/wiki/Certificate_authority 2. elektroninio parašo infrastruktūra ir elektroninė komercija. Valdas Undzėnas. 2008 m.
type c:\anyfile.exe > c:\winnt\system32\cmd.exe:anyfile.exe