BILAG
Liste over referencestandarder og specifikationer for kvalificerede tidsstempeltjenester
Standard ETSI EN 319 421 V1.3.1 ("ETSI EN 319 421") og ETSI EN 319 422 V1.1.1 ("ETSI EN 319 422") finder anvendelse med følgende tilpasninger:
1.For ETSI EN 319 421:
(1)2.1 Normative references:
–[3] ISO/IEC 15408:2022 (del 1-5) "Informationssikkerhed, cybersikkerhed og privatlivsbeskyttelse – Evalueringskriterier for IT-sikkerhed".
–[4] ETSI EN 319 401 V3.1.1 (2024-06) "Electronic Signatures and Infrastructures (ESI) General Policy Requirements for Trust Service Providers".
–[5] ETSI EN 319 422 V1.1.1 (2016-03) "Electronic Signatures and Infrastructures (ESI) Time-stamping protocol and time-stamp token profiles".
–[6] udgår.
–[9] Den Europæiske Cybersikkerhedscertificeringsgruppe, undergruppen om kryptografi: "Agreed Cryptographic Mechanisms", offentliggjort af Den Europæiske Unions Agentur for Cybersikkerhed ("ENISA").
–[10] Kommissionens gennemførelsesforordning (EU) 2024/482 af 31. januar 2024 om regler for anvendelsen af Europa-Parlamentets og Rådets forordning (EU) 2019/881 for så vidt angår vedtagelsen af den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC).
–[11] Kommissionens gennemførelsesforordning (EU) 2024/3144 af 18. december 2024 om ændring af gennemførelsesforordning (EU) 2024/482 for så vidt angår gældende internationale standarder og om berigtigelse af nævnte gennemførelsesforordning
(2)3.1 Terms
–certifikatgyldighedsperiode: tidsinterval fra notBefore til og med notAfter, hvor certificeringsmyndigheden garanterer, at den vil opbevare oplysninger om certifikatets status.
(3)3.3 Abbreviations
–EUCC Den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier
(4)6.2 Trust Service Practice Statement
–OVR-6.2-03 TSA'en skal medtage erklæringer om tilgængeligheden af sin tidsstemplingstjeneste i sin TSA-oplysningserklæring.
(5)7.3 Personnel security
–OVR-7.3-02 TSA'ens personale i betroede roller og, hvis det er relevant, dennes underleverandører i betroede roller skal kunne opfylde kravet om at have opnået "ekspertviden, erfaring og kvalifikation" gennem formel uddannelse og eksaminer eller faktisk erfaring eller en kombination af de to.
–OVR-7.3-03 Overholdelse af OVR-7.3-02 skal omfatte regelmæssige (mindst hver 12. måned) opdateringer om nye trusler og aktuel sikkerhedspraksis.
(6)7.6.2 TSU key generation
–TIS-7.6.2-03 Genereringen af TSU'ens nøgle(r) skal foretages i en sikker kryptografisk enhed, som er et pålideligt system, der er certificeret i overensstemmelse med:
(a)Fælles kriterier for evaluering af informationsteknologisikkerhed, jf. ISO/IEC 15408 [3] eller Fælles kriterier for evaluering af informationsteknologisikkerhed, version CC:2022, del 1-5, der er offentliggjort af deltagerne i ordningen vedrørende anerkendelse af certifikater for fælles kriterier inden for IT-sikkerhed og certificeret til EAL 4 eller højere, eller
(b)EUCC [10][11] og certificeret til EAL 4 eller højere, eller
(c)indtil den 31.12.2030, FIPS PUB 140-3 [7] niveau 3.
Denne certificering skal omfatte et sikkerhedsmål eller en beskyttelsesprofil eller et moduldesign og sikkerhedsdokumentation, der opfylder kravene i dette dokument, på grundlag af en risikoanalyse og under hensyntagen til fysiske og andre ikketekniske sikkerhedsforanstaltninger.
Hvis den sikre kryptografiske enhed er omfattet af en certificering under EUCC [10][11], skal enheden konfigureres og anvendes i overensstemmelse med denne certificering.
–TIS-7.6.2-04 udgår.
–NOTE 3 udgår.
–TIS-7.6.2-05A TSU-nøglegenereringsalgoritmen, den deraf følgende signeringsnøglelængde og signaturalgoritme, der anvendes til signering af henholdsvis tidsstempler og TSU-certifikater for offentlige nøgler, skal være i overensstemmelse med de aftalte kryptografiske mekanismer, der er godkendt af Den Europæiske Cybersikkerhedscertificeringsgruppe [9] og offentliggjort af ENISA.
–NOTE 4 udgår.
–TIS-7.6.2-06 En TSU's signeringsnøgle må kun eksporteres og importeres til en anden sikker kryptografisk enhed, hvis denne eksport og import gennemføres sikkert og i overensstemmelse med certificeringen af disse enheder.
(7)7.6.3 TSU private key protection
–TIS-7.6.3-02 TSU'ens private nøgle opbevares og anvendes i en sikker kryptografisk enhed, som er et pålideligt system, der er certificeret i overensstemmelse med:
(a)Fælles kriterier for evaluering af informationsteknologisikkerhed, jf. ISO/IEC 15408 [3] eller Fælles kriterier for evaluering af informationsteknologisikkerhed, version CC:2002, del 1-5, der er offentliggjort af deltagerne i ordningen vedrørende anerkendelse af certifikater for fælles kriterier inden for IT-sikkerhed og certificeret til EAL 4 eller højere, eller
(b)den europæiske cybersikkerhedscertificeringsordning baseret på fælles kriterier (EUCC) [10][11] og certificeret til EAL 4 eller højere, eller
(c)indtil den 31.12.2030, FIPS PUB 140-3 [7] niveau 3.
Denne certificering skal omfatte et sikkerhedsmål eller en beskyttelsesprofil eller et moduldesign og sikkerhedsdokumentation, der opfylder kravene i dette dokument, på grundlag af en risikoanalyse og under hensyntagen til fysiske og andre ikketekniske sikkerhedsforanstaltninger.
Hvis den sikre kryptografiske enhed er omfattet af en certificering under EUCC [10][11], skal enheden konfigureres og anvendes i overensstemmelse med denne certificering.
–TIS-7.6.3-03 udgår.
–NOTE 2 udgår.
(8)7.6.7 End of TSU key life cycle
–TIS-7.6.7-03A Udløbsdatoen for TSU's private nøgler skal være i overensstemmelse med de aftalte kryptografiske mekanismer [9].
–NOTE 1 udgår.
(9)7.10 Network security
–OVR-7.10-05 Den sårbarhedsscanning, der kræves i henhold til REQ-7.8-13 i ETSI EN 319 401 [1], skal udføres mindst én gang pr. kvartal.
–OVR-7.10-06 Den penetrationstest, der kræves i henhold til REQ-7.8-17X i ETSI EN 319 401 [1], skal udføres mindst én gang om året.
–OVR-7.10-07 Firewalls skal være konfigurerede til at forhindre alle protokoller og al adgang, der ikke er nødvendige for TSA'ens drift.
(10)7.14 TSA termination and termination plans
–OVR-7.14-01A Tillidstjenesteudbyderens plan i tilfælde af virksomhedsafbrydelse skal opfylde kravene i de gennemførelsesretsakter, der er vedtaget i henhold til artikel 24, stk. 5, i forordning (EU) nr. 910/2014 [i.4].
2.For ETSI EN 319 422:
(1)2.1 Normative references
–[5] udgår.
–[6] udgår.
–[8] Den Europæiske Cybersikkerhedscertificeringsgruppe, undergruppen om kryptografi: "Agreed Cryptographic Mechanisms".
–[9] RFC 9110 HTTP Semantics.
(2)4.1.3 Hash algorithms to be used
–Følgende bestemmelse finder anvendelse:
Hashalgoritmer, der anvendes til at mærke oplysninger, der skal tidsstemples, den forventede varighed af tidsstemplet og de valgte hashfunktioner i forhold til tid skal være i overensstemmelse med de aftalte kryptografiske mekanismer, der er godkendt af Den Europæiske Cybersikkerhedscertificeringsgruppe og offentliggjort af ENISA [8].
–NOTE udgår.
(3)4.2.3 Algorithms to be supported
–Følgende bestemmelse finder anvendelse:
De signaturalgoritmer til tidsstempeltokens, der skal understøttes, skal være i overensstemmelse med de aftalte kryptografiske mekanismer, der er godkendt af Den Europæiske Cybersikkerhedscertificeringsgruppe og offentliggjort af ENISA [8]".
–NOTE udgår.
(4)4.2.4 Key lengths to be supported
–Følgende bestemmelse finder anvendelse:
Signaturalgoritmens nøglelængder for den valgte signaturalgoritme skal være i overensstemmelse med de aftalte kryptografiske mekanismer, der er godkendt af Den Europæiske Cybersikkerhedscertificeringsgruppe og offentliggjort af ENISA.
–NOTE udgår.
(5)5.1.3 Algorithms to be supported
–Følgende bestemmelse finder anvendelse:
Hashalgoritmer for tidsstempeldata, der skal understøttes, den forventede varighed af tidsstemplet og de valgte hashfunktioner i forhold til tid skal være i overensstemmelse med de aftalte kryptografiske mekanismer, der er godkendt af Den Europæiske Cybersikkerhedscertificeringsgruppe og offentliggjort af ENISA [8].
–NOTE udgår.
(6)5.2.3 Algorithms to be used
–Følgende bestemmelse finder anvendelse:
Hashalgoritmer, der anvendes til at mærke oplysninger, der skal tidsstemples, og signaturalgoritmer til tidsstempeltokens, skal være i overensstemmelse med de aftalte kryptografiske mekanismer, der er godkendt af Den Europæiske Cybersikkerhedscertificeringsgruppe og offentliggjort af ENISA [8].
–NOTE udgår.
(7)6.3 Key lengths requirements
–Følgende bestemmelse finder anvendelse:
Nøglelængden for den valgte signaturalgoritme i TSU-certifikatet skal være i overensstemmelse med de aftalte kryptografiske mekanismer, der er godkendt af Den Europæiske Cybersikkerhedscertificeringsgruppe og offentliggjort af ENISA [8].
–NOTE udgår.
(8)6.5 Algorithm requirements
–Følgende bestemmelse finder anvendelse:
Den offentlige TSU-nøgle og TSU-certifikatsignaturen skal anvende de algoritmer, der er i overensstemmelse med de aftalte kryptografiske mekanismer, der er godkendt af Den Europæiske Cybersikkerhedscertificeringsgruppe og offentliggjort af ENISA [8].
–NOTE udgår.
(9)7 Profiles for the transport protocols to be supported
–Tidsstemplingsklienten og tidsstemplingsserveren skal understøtte tidsstemplingsprotokollen via HTTPS [9] som defineret i afsnit 3.4 i IETF RFC 3161 [1].
(10)8 Object identifiers of the cryptographic algorithms
–Følgende bestemmelse finder anvendelse:
Den offentlige TSU-nøgle og TSU-certifikatsignaturen skal anvende algoritmer i overensstemmelse med de aftalte kryptografiske mekanismer, der er godkendt af Den Europæiske Cybersikkerhedscertificeringsgruppe og offentliggjort af ENISA [8].
(11)9.1 Regulation compliance statement
–Hvis et tidsstempeltoken af TSA'en erklæres for at være et kvalificeret elektronisk tidsstempel i overensstemmelse med forordning (EU) nr. 910/2014 [i.2], skal det indeholde en forekomst af udvidelsen qcStatements i feltet til udvidelse af tidsstempeltokenet med syntaks som defineret i IETF RFC 3739 [i.3], afsnit 3.2.6.
–Udvidelsen af qcStatements skal indeholde en forekomst af angivelsen "esi4-qtstStatement-1" som defineret i bilag B.
–Udvidelsen qcStatements må ikke markeres som kritisk.
