ΠΑΡΑΡΤΗΜΑ I
Στο παράρτημα I της εκτελεστικής απόφασης (ΕΕ) 2021/1073 προστίθεται η ακόλουθη ενότητα 9:
«9. ΛΥΣΗ ΑΝΑΚΛΗΣΗΣ
9.1. Παροχή κατάστασης [καταλόγου] ανάκλησης πιστοποιητικών DCC (DRL)
Η πύλη παρέχει καταληκτικά σημεία και δυνατότητα τήρησης και διαχείρισης των καταλόγων ανάκλησης:
9.2. Μοντέλο εμπιστοσύνης
Όλες οι συνδέσεις πραγματοποιούνται μέσω του πρότυπου μοντέλου εμπιστοσύνης της DCCG με τα πιστοποιητικά NBTLS και NBUP (βλέπε διαχείριση πιστοποιητικών). Όλες οι πληροφορίες συσκευάζονται και μεταφορτώνονται με μηνύματα CMS ώστε να διασφαλίζεται η ακεραιότητα.
9.3. Κατασκευή παρτίδων
9.3.1. Παρτίδα
Κάθε κατάλογος ανάκλησης περιέχει μία ή περισσότερες καταχωρίσεις και ομαδοποιείται σε παρτίδες που περιέχουν ένα σύνολο κατακερματισμών (hashes) και τα μεταδεδομένα τους. Μια παρτίδα είναι αμετάβλητη (immutable) και ορίζει μια ημερομηνία λήξης που υποδεικνύει πότε μπορεί να διαγραφεί η παρτίδα. Η ημερομηνία λήξης όλων των τεμαχίων της παρτίδας πρέπει να είναι ακριβώς η ίδια — πράγμα που σημαίνει ότι οι παρτίδες πρέπει να ομαδοποιούνται με βάση την ημερομηνία λήξης και με την υπογραφή DSC. Κάθε παρτίδα περιλαμβάνει 1 000 καταχωρίσεις κατ’ ανώτατο όριο. Εάν ο κατάλογος ανάκλησης αποτελείται από περισσότερες από 1 000 καταχωρίσεις, δημιουργούνται πολλές παρτίδες. Οποιαδήποτε καταχώριση μπορεί να γίνει το πολύ σε μία παρτίδα. Η παρτίδα συσκευάζεται σε δομή CMS και υπογράφεται από το πιστοποιητικό NBUP της χώρας μεταφόρτωσης.
9.3.2. Ευρετήριο παρτίδων
Όταν δημιουργείται μια παρτίδα, της αποδίδεται μοναδικό ID από την πύλη και προστίθεται αυτόματα στο ευρετήριο. Το ευρετήριο των παρτίδων διατάσσεται με βάση την τροποποιημένη ημερομηνία, κατά αύξουσα χρονολογική σειρά.
9.3.3. Συμπεριφορά της πύλης
Η πύλη επεξεργάζεται τις παρτίδες ανάκλησης χωρίς αλλαγές: δεν μπορεί ούτε να επικαιροποιεί ούτε να αφαιρεί ούτε να προσθέτει πληροφορίες στις παρτίδες. Οι παρτίδες διαβιβάζονται σε όλες τις εγκεκριμένες χώρες (βλέπε κεφάλαιο 9.6).
Η πύλη παρακολουθεί ενεργά τις ημερομηνίες λήξης των παρτίδων και αφαιρεί τις παρτίδες που έχουν λήξει. Μετά τη διαγραφή μιας παρτίδας, η πύλη δίνει απάντηση “HTTP 410 Gone” για τη διεύθυνση URL της παρτίδας που έχει διαγραφεί. Ως εκ τούτου, η παρτίδα εμφανίζεται στο ευρετήριο παρτίδων ως “έχει διαγραφεί”.
9.4. Τύποι κατακερματισμού (Hash types)
Ο κατάλογος ανάκλησης περιέχει κατακερματισμούς που μπορούν να αντιπροσωπεύουν διαφορετικούς τύπους/χαρακτηριστικά ανάκλησης. Στην παροχή των καταλόγων ανάκλησης γίνεται μνεία των εν λόγω τύπων ή χαρακτηριστικών. Οι ισχύοντες τύποι είναι:
|
Τύπος |
Χαρακτηριστικό |
Υπολογισμός κατακερματισμού |
|
SIGNATURE |
DCC Signature |
SHA256 of DCC Signature |
|
UCI |
UCI (Unique Certificate Identifier) |
SHA256 of UCI |
|
COUNTRYCODEUCI |
Issuing Country Code + UCI |
SHA256 of Issuing CountryCode + UCI |
Μόνο τα πρώτα 128 δυφία (bits) των κατακερματισμών που κωδικοποιούνται ως συμβολοσειρές base64 τοποθετούνται στις παρτίδες και χρησιμοποιούνται για την ταυτοποίηση του ανακληθέντος DCC (1).
9.4.1. Τύπος κατακερματισμού: SHA256(DCC Signature)
Στην περίπτωση αυτή, ο κατακερματισμός υπολογίζεται επί των οκταδυφίων (bytes) της υπογραφής COSE_SIGN1 από το CWT. Για τις υπογραφές RSA, ως είσοδος χρησιμοποιείται το σύνολο της υπογραφής. Ο τύπος για τα υπογεγραμμένα πιστοποιητικά EC-DSA χρησιμοποιεί την τιμή r ως είσοδο:
SHA256(r)
[απαιτείται για όλες τις νέες υλοποιήσεις]
9.4.2. Τύπος κατακερματισμού: SHA256(UCI)
Στην περίπτωση αυτή, ο κατακερματισμός υπολογίζεται επί της συμβολοσειράς UCI που είναι κωδικοποιημένη σε UTF-8 και μετατρέπεται σε μονοδιάστατο πίνακα οκταδυφίων (byte).
[καταργημένο (2), αλλά υποστηρίζεται για λόγους αναδρομικής συμβατότητας]
9.4.3. Τύπος κατακερματισμού: SHA256(Issuing CountryCode+UCI)
Στην περίπτωση αυτή, ο CountryCode κωδικοποιείται ως συμβολοσειρά UTF-8 σε συνδυασμό με τον UCI, κωδικοποιημένο ως συμβολοσειρά UTF-8. Στη συνέχεια, μετατρέπεται σε μονοδιάστατο πίνακα οκταδυφίων και χρησιμοποιείται ως είσοδος στη συνάρτηση κατακερματισμού.
[καταργημένο2, αλλά υποστηρίζεται για λόγους αναδρομικής συμβατότητας]
9.5. Δομή API
9.5.1. API που παρέχει δυνατότητα ανάκλησης καταχώρισης
9.5.1.1.
Η API παραδίδει τις καταχωρίσεις του καταλόγου ανακλήσεων σε παρτίδες, συμπεριλαμβανομένου ενός ευρετηρίου παρτίδων.
9.5.1.2.
9.5.1.2.1. Καταληκτικό σημείο τηλεφόρτωσης (download) καταλόγου παρτίδων
Τα καταληκτικά σημεία έχουν ένα απλό σχέδιο, επιστρέφοντας κατάλογο παρτίδων με ένα μικρό περιτύλιγμα που παρέχει μεταδεδομένα. Οι παρτίδες ταξινομούνται με βάση την ημερομηνία κατά αύξουσα (χρονολογική) σειρά:
/revocation-list
Verb: GET
Content-Type: application/json
Response: JSON Array
|
|
{
|
|
|
} |
Σημείωση: Τα αποτελέσματα περιορίζονται εκ προεπιλογής σε 1 000. Εάν η τιμή της ένδειξης “more” ορίζεται ως “true”, στην απάντηση εμφαίνεται ότι είναι διαθέσιμες περισσότερες παρτίδες προς τηλεφόρτωση. Για να τηλεφορτώσει περισσότερα στοιχεία, ο πελάτης πρέπει να ορίσει την κεφαλίδα (header) If-Modified-Since σε ημερομηνία που δεν είναι προγενέστερη από την τελευταία ληφθείσα καταχώριση.
Η απόκριση περιέχει μονοδιάστατο πίνακα JSON με την ακόλουθη δομή:
|
Πεδίο |
Ορισμός |
|
more |
Σημαία Boolean που δείχνει ότι υπάρχουν περισσότερες παρτίδες. |
|
batches |
Μονοδιάστατος πίνακας με τις υφιστάμενες παρτίδες. |
|
batchId |
https://en.wikipedia.org/wiki/Universally_unique_identifier |
|
country |
Κωδικός χώρας ISO 3166 |
|
date |
ISO 8601 Date UTC. Ημερομηνία προσθήκης ή διαγραφής της παρτίδας. |
|
deleted |
boolean. True εάν έχει διαγραφεί. Όταν οριστεί η διαγραφόμενη σημαία, η καταχώριση μπορεί τελικά να αφαιρεθεί από τα αποτελέσματα του ερωτήματος μετά από 7 ημέρες. |
9.5.1.2.1.1. Κωδικοί απόκρισης
|
Κωδικός |
Περιγραφή |
|
200 |
Όλα ok. |
|
204 |
Χωρίς περιεχόμενο, αν το περιεχόμενο της κεφαλίδας “If-Modified-Since” δεν έχει αντιστοιχία. |
Κεφαλίδα αίτησης
|
Κεφαλίδα |
Υποχρεωτική |
Περιγραφή |
|
If-Modified-Since |
Ναι |
Αυτή η κεφαλίδα περιέχει την τελευταία ημερομηνία τηλεφόρτωσης για να ληφθούν τα πιο πρόσφατα αποτελέσματα. Στην αρχική κλήση, η κεφαλίδα θα πρέπει να τεθεί στην τιμή ‘2021-06-01T00:00:00Z’ |
9.5.1.2.2. Καταληκτικό σημείο τηλεφόρτωσης (download) παρτίδας
Οι παρτίδες περιέχουν κατάλογο των αναγνωριστικών των πιστοποιητικών:
/revocation-list/{batchId}
Verb: GET
Accepts: application/cms
Response:CMS with Content
|
|
{
|
|
|
} |
Η απάντηση περιέχει CMS που περιλαμβάνει υπογραφή η οποία πρέπει να αντιστοιχεί στο πιστοποιητικό NBUP της χώρας. Όλα τα στοιχεία του μονοδιάστατου πίνακα JSON έχουν την ακόλουθη δομή:
|
Πεδίο |
Υποχρεωτικό |
Τύπος |
Ορισμός |
|
expires |
Ναι |
String |
Ημερομηνία κατά την οποία το τεμάχιο μπορεί να αφαιρεθεί. ISO8601 Ημερομηνία/ώρα UTC |
|
country |
Ναι |
String |
Κωδικός χώρας ISO 3166 |
|
hashType |
Ναι |
String |
Τύπος κατακερματισμού των παρεχόμενων καταχωρίσεων (βλέπε τύπους κατακερματισμού) |
|
entries |
Ναι |
JSON Object Array |
Βλέπε πίνακα Καταχωρίσεις |
|
kid |
Ναι |
String |
Για την υπογραφή του DCC χρησιμοποιείται το KID του DSC σε κωδικοποίηση base64. Αν δεν είναι γνωστό το KID, τότε μπορεί να χρησιμοποιηθεί η συμβολοσειρά `UNKNOWN_KID` (χωρίς τα `). |
|
Σημειώσεις: |
|||
|
— |
Οι παρτίδες ομαδοποιούνται με βάση την ημερομηνία λήξης και το DSC — όλα τα τεμάχια λήγουν ταυτόχρονα και έχουν υπογραφεί από το ίδιο κλειδί. |
|
— |
Η ώρα λήξης είναι μια ημερομηνία/ώρα σε UTC, διότι το ΕΕ-DCC είναι ένα παγκόσμιο σύστημα και πρέπει να χρησιμοποιήσουμε μη αμφίσημη ώρα. |
|
— |
Η ημερομηνία λήξης ενός μόνιμα ανακληθέντος DCC ορίζεται ως ημερομηνία λήξης του αντίστοιχου DSC που χρησιμοποιείται για την υπογραφή του DCC ή ως η ώρα λήξης του ανακληθέντος DCC (οπότε οι χρησιμοποιούμενες ώρες NumericDate/epoch θα θεωρούνται ότι βρίσκονται στη ζώνη ώρας UTC). |
|
— |
National Backend (Σημείωση: εθνικό σύστημα λειτουργιών παρασκηνίου) αφαιρεί τεμάχια από τον κατάλογο ανάκλησής τους κατά την ημερομηνία λήξης. |
|
— |
Το Σημείωση μπορεί να αφαιρέσει στοιχεία από τον κατάλογο ανάκλησης σε περίπτωση ανάκλησης του kid που χρησιμοποιήθηκε για την υπογραφή του DCC. |
9.5.1.2.2.1. Καταχωρίσεις
|
Πεδίο |
Υποχρεωτικό |
Τύπος |
Ορισμός |
|
hash |
Ναι |
String |
Τα πρώτα 128 bits του κατακερματισμού SHA256 κωδικοποιημένου ως συμβολοσειρά base64 |
Σημείωση: Το αντικείμενο καταχώρισης περιέχει επί του παρόντος απλώς έναν κατακερματισμό, αλλά για να είναι συμβατό με μελλοντικές αλλαγές επιλέχθηκε ένα αντικείμενο, αντί ενός μονοδιάταστου πίνακα json.
9.5.1.2.2.2. Κωδικοί απόκρισης
|
Κωδικός |
Περιγραφή |
|
200 |
Όλα ok. |
|
410 |
Η παρτίδα αφαιρέθηκε. Η παρτίδα μπορεί να διαγραφεί στο εθνικό σύστημα λειτουργιών παρασκηνίου. |
9.5.1.2.2.3. Κεφαλίδες της απόκρισης
|
Κεφαλίδα |
Περιγραφή |
|
ETag |
ID παρτίδας. |
9.5.1.2.3. Καταληκτικό σημείο μεταφόρτωσης (upload) της παρτίδας
Η μεταφόρτωση πραγματοποιείται στο ίδιο καταληκτικό σημείο μέσω του ρήματος POST:
/revocation-list
Verb: POST
Accepts: application/cms
Request: CMS with Content
ContentType: application/cms
Content:
|
|
{
|
|
|
} |
Η παρτίδα υπογράφεται χρησιμοποιώντας το πιστοποιητικό NBUP. Η πύλη επαληθεύει ότι η υπογραφή έχει τεθεί από την NBUP για τη δεδομένη χώρα. Εάν ο έλεγχος υπογραφής αποτύχει, τότε η μεταφόρτωση αποτυγχάνει.
ΣΗΜΕΙΩΣΗ: Κάθε παρτίδα είναι αμετάβλητη και δεν μπορεί να αλλάξει μετά τη μεταφόρτωση. Ωστόσο, μπορεί να διαγραφεί. Αποθηκεύεται το αναγνωριστικό κάθε διαγραμμένης παρτίδας και απορρίπτεται κάθε μεταφόρτωση νέας παρτίδας με το ίδιο αναγνωριστικό.
9.5.1.2.4. Καταληκτικό σημείο διαγραφής παρτίδας
Μια παρτίδα μπορεί να διαγραφεί στο ίδιο καταληκτικό σημείο μέσω του ρήματος DELETE:
/revocation-list
Verb: DELETE
Accepts: application/cms
ContentType: application/cms
Request: CMS with Content
Content:
|
|
{
|
|
|
} |
ή, για λόγους συμβατότητας, στο ακόλουθο καταληκτικό σημείο με το ρήμα POST:
/revocation-list/delete
Verb: POST
Accepts: application/cms
ContentType: application/cms
Request: CMS with Content
Content:
|
|
{
|
|
|
} |
9.6. Προστασία API/ΓΚΠΔ
Στην παρούσα ενότητα προσδιορίζονται μέτρα για την υλοποίηση με σκοπό τη συμμόρφωση με τις διατάξεις του κανονισμού 2021/953 όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα.
9.6.1. Υφιστάμενη επαλήθευση ταυτότητας
Η πύλη χρησιμοποιεί επί του παρόντος το πιστοποιητικό NBTLS για την επαλήθευση της ταυτότητας των χωρών που συνδέονται με την πύλη. Η εν λόγω επαλήθευση ταυτότητας μπορεί να χρησιμοποιηθεί για τον προσδιορισμό της ταυτότητας της χώρας που συνδέεται με την πύλη. Η ταυτότητα αυτή μπορεί στη συνέχεια να χρησιμοποιηθεί για την υλοποίηση ελέγχου πρόσβασης.
9.6.2. Έλεγχος πρόσβασης
Για να είναι σε θέση να επεξεργάζεται νομίμως δεδομένα προσωπικού χαρακτήρα, η πύλη υλοποιεί μηχανισμό ελέγχου της πρόσβασης.
Η πύλη υλοποιεί κατάλογο ελέγχου πρόσβασης σε συνδυασμό με ασφάλεια βάσει Ρόλων. Στο σύστημα αυτό, πρέπει να τηρούνται δύο πίνακες — ο ένας πίνακας περιγράφει ποιοι Ρόλοι μπορούν να εφαρμόσουν ποιες Πράξεις σε ποιους Πόρους, ενώ ο άλλος πίνακας περιγράφει τους Ρόλους που αποδίδονται στους Χρήστες.
Για την υλοποίηση των ελέγχων που απαιτούνται από το παρόν έγγραφο, απαιτούνται τρεις Ρόλοι, οι ακόλουθοι:
|
|
RevocationListReader |
|
|
RevocationUploader |
|
|
RevocationDeleter |
Τα ακόλουθα καταληκτικά σημεία ελέγχουν αν ο Χρήστης έχει τον Ρόλο RevocationListReader· εάν τον έχει, χορηγείται πρόσβαση, διαφορετικά επιστρέφεται το μήνυμα HTTP 403 Forbidden:
GET/revocation-list/
GET/revocation-list/{batchId}
Τα ακόλουθα καταληκτικά σημεία ελέγχουν αν ο Χρήστης έχει τον Ρόλο RevocationUploader· εάν τον έχει, χορηγείται πρόσβαση, διαφορετικά επιστρέφεται το μήνυμα HTTP 403 Forbidden:
POST/revocation-list
Τα ακόλουθα καταληκτικά σημεία ελέγχουν αν ο Χρήστης έχει τον Ρόλο RevocationDeleter· εάν τον έχει, χορηγείται πρόσβαση, διαφορετικά επιστρέφεται το μήνυμα HTTP 403 Forbidden:
DELETE/revocation-list
POST/revocation-list/delete
Η πύλη παρέχει επίσης μια αξιόπιστη μέθοδο με την οποία οι διαχειριστές μπορούν να διαχειρίζονται τους Ρόλους που συνδέονται με τους Χρήστες με τρόπο που μειώνει την πιθανότητα ανθρώπινων σφαλμάτων και ταυτόχρονα δεν επιβαρύνει τους λειτουργικούς διαχειριστές.»
(1) Παρακαλείστε επίσης να εξετάσετε το σημείο 9.5.1.2 για τις λεπτομερείς περιγραφές API
(2) Καταργημένο σημαίνει ότι το χαρακτηριστικό αυτό δεν λαμβάνεται υπόψη για νέες υλοποιήσεις, αλλά υποστηρίζεται για υφιστάμενες υλοποιήσεις για σαφώς καθορισμένο χρονικό διάστημα.