SADRŽAJ
1.Uvod9
1.1.Pregled i područje primjene ove politike9
1.2.Definicije i pokrate11
1.3.Sudionici u PKI-ju13
1.3.1.Uvod13
1.3.2.Tijelo za politiku upravljanja certifikatima C-ITS-a16
1.3.3.Upravitelj popisa pouzdanih certifikata17
1.3.4.Ovlašteni revizor za PKI17
1.3.5.Kontaktna točka za C-ITS (CPOC)17
1.3.6.Operativne uloge18
1.4.Upotreba certifikata18
1.4.1.Primjenjiva područja upotrebe18
1.4.2.Ograničenja odgovornosti19
1.5.Administracija politike upravljanja certifikatima19
1.5.1.Ažuriranje CPS-ova CA-ova na ECTL-u19
1.5.2.Postupci odobravanja CPS-a20
2.Dužnosti povezane s objavljivanjem i repozitorijima20
2.1.Metode za objavljivanje informacija o certifikatima20
2.2.Vrijeme ili učestalost objavljivanja21
2.3.Repozitoriji21
2.4.Kontrole pristupa repozitorijima21
2.5.Objavljivanje informacija o certifikatima22
2.5.1.Objavljivanje informacija o certifikatima – TLM22
2.5.2.Objavljivanje informacija o certifikatima – CA-ovi22
3.Identifikacija i autentifikacija23
3.1.Imenovanje23
3.1.1.Vrste imena23
3.1.1.1.Imena TLM-a, vršnih CA-ova, EA-ova, AA-ova23
3.1.1.2.Imena krajnjih subjekata23
3.1.1.3.Identifikacija certifikata23
3.1.2.Smislenost imena23
3.1.3.Anonimnost i pseudonimnost krajnjih subjekata23
3.1.4.Pravila za tumačenje različitih oblika imena23
3.1.5.Jedinstvenost imena24
3.2.Prva provjera identiteta24
3.2.1.Metoda za dokazivanje posjedovanja privatnog ključa24
3.2.2.Autentifikacija identiteta organizacije24
3.2.2.1.Autentifikacija identiteta organizacije vršnog CA-a24
3.2.2.2.Autentifikacija identiteta organizacije TLM-a25
3.2.2.3.Autentifikacija identiteta organizacija podređenih CA-ova25
3.2.2.4.Autentifikacija organizacije pretplatnika krajnjih subjekata26
3.2.3.Autentifikacija pojedinačnog subjekta26
3.2.3.1.Autentifikacija TLM-a/CA-a pojedinačnog subjekta26
3.2.3.2.Autentifikacija identiteta pretplatnika stanica C-ITS-a27
3.2.3.3.Autentifikacija identiteta stanica C-ITS-a27
3.2.4.Neprovjerene informacije o pretplatniku27
3.2.5.Provjera vjerodostojnosti tijela27
3.2.5.1.Provjera TLM-a, vršnog CA-a, EA-a, AA-a27
3.2.5.2.Provjera pretplatnika stanice C-ITS-a28
3.2.5.3.Provjera stanica C-ITS-a28
3.2.6.Kriteriji za interoperabilnost28
3.3.Identifikacija i autentifikacija za zahtjeve za obnavljanje s novim parom ključeva28
3.3.1.Identifikacija i autentifikacija za rutinske zahtjeve za obnavljanje s novim parom ključeva28
3.3.1.1.Certifikati TLM-a28
3.3.1.2.Certifikati vršnog CA-a28
3.3.1.3.Certifikati EA-a/AA-a: obično obnavljanje ili obnavljanje s novim parom ključeva28
3.3.1.4.Upisne vjerodajnice krajnjih subjekata29
3.3.1.5.Autorizacijski kuponi krajnjih subjekata29
3.3.2.Identifikacija i autentifikacija za zahtjeve za obnavljanje s novim parom ključeva nakon povlačenja29
3.3.2.1.Certifikati CA-a29
3.3.2.2.Upisne vjerodajnice krajnjih subjekata29
3.3.2.3.Zahtjevi za odobrenje krajnjih subjekata29
3.4.Identifikacija i autentifikacija za zahtjeve za povlačenje29
3.4.1.Certifikati vršnog CA-a/EA-a/AA-a29
3.4.2.Upisne vjerodajnice stanice C-ITS-a30
3.4.3.Autorizacijski kuponi stanice C-ITS-a30
4.Operativni zahtjevi za životni vijek certifikata30
4.1.Zahtjev za certifikat30
4.1.1.Tko može podnijeti zahtjev za certifikat30
4.1.1.1.Vršni CA-ovi30
4.1.1.2.TLM31
4.1.1.3.EA i AA31
4.1.1.4.Stanica C-ITS-a31
4.1.2.Upisni postupak i dužnosti31
4.1.2.1.Vršni CA-ovi31
4.1.2.2.TLM32
4.1.2.3.EA i AA32
4.1.2.4.Stanica C-ITS-a32
4.2.Obrada zahtjeva za certifikat33
4.2.1.Izvršavanje funkcija identifikacije i autentifikacija33
4.2.1.1.Identifikacija i autentifikacija vršnih CA-ova33
4.2.1.2.Identifikacija i autentifikacija TLM-a33
4.2.1.3.Identifikacija i autentifikacija EA-a i AA-a33
4.2.1.4.Identifikacija i autentifikacija pretplatnika EE-a34
4.2.1.5.Autorizacijski kuponi34
4.2.2.Odobrenje ili odbijanje zahtjeva za certifikat34
4.2.2.1.Odobrenje ili odbijanje certifikata vršnih CA-a34
4.2.2.2.Odobrenje ili odbijanje certifikata TLM-a34
4.2.2.3.Odobrenje ili odbijanje certifikata EA-a i AA-a34
4.2.2.4.Odobrenje ili odbijanje EC-a34
4.2.2.5.Odobrenje ili odbijanje AT-a35
4.2.3.Rok za obradu zahtjeva za certifikat35
4.2.3.1.Zahtjev za certifikat vršnog CA-a35
4.2.3.2.Zahtjev za certifikat TLM-a35
4.2.3.3.Zahtjev za certifikat EA-a i AA-a35
4.2.3.4.Zahtjev za EC35
4.2.3.5.Zahtjev za AT35
4.3.Izdavanje certifikata35
4.3.1.Radnje CA-a u postupku izdavanja certifikata35
4.3.1.1.Izdavanje certifikata vršnog CA-a35
4.3.1.2.Izdavanje certifikata TLM-a36
4.3.1.3.Izdavanje certifikata EA-a i AA-a36
4.3.1.4.Izdavanje EC-a36
4.3.1.5.Izdavanje AT-a36
4.3.2.CA-ova obavijest pretplatniku o izdavanju certifikata36
4.4.Prihvaćanje certifikata37
4.4.1.Vođenje prihvaćanja certifikata37
4.4.1.1.Vršni CA37
4.4.1.2.TLM37
4.4.1.3.EA i AA37
4.4.1.4.Stanica C-ITS-a37
4.4.2.Objavljivanje certifikata37
4.4.3.Obavijest o izdavanju certifikata37
4.5.Upotreba parova ključeva i certifikata37
4.5.1.Upotreba privatnih ključeva i certifikata37
4.5.1.1.Upotreba privatnih ključeva i certifikata – TLM37
4.5.1.2.Upotreba privatnih ključeva i certifikata – vršni CA-ovi37
4.5.1.3.Upotreba privatnih ključeva i certifikata – EA-ovi i AA-ovi37
4.5.1.4.Upotreba privatnih ključeva i certifikata – krajnji subjekt38
4.5.2.Upotreba privatnih ključeva i certifikata – pouzdajuće strane38
4.6.Obnavljanje certifikata38
4.7.Obnavljanje certifikata s novim parom ključeva38
4.7.1.Okolnosti za obnavljanje certifikata s novim parom ključeva38
4.7.2.Tko može zatražiti obnavljanje s novim parom ključeva38
4.7.2.1.Vršni CA38
4.7.2.2.TLM38
4.7.2.3.EA i AA38
4.7.2.4.Stanica C-ITS-a39
4.7.3.Postupak obnavljanja s novim parom ključeva39
4.7.3.1.Certifikat TLM-a39
4.7.3.2.Certifikat vršnog CA-a39
4.7.3.3.Certifikati EA-a i AA-a39
4.7.3.4.Certifikati stanica C-ITS-a40
4.8.Izmjena certifikata40
4.9.Povlačenje i suspenzija certifikata40
4.10.Usluge povezane sa statusom certifikata40
4.10.1.Operativne karakteristike40
4.10.2.Dostupnost usluge40
4.10.3.Opcionalne karakteristike40
4.11.Kraj pretplate40
4.12.Pohrana ključeva kod treće strane i vraćanje pohranjenih ključeva40
4.12.1.Pretplatnik40
4.12.1.1.Koji par ključeva može biti pohranjen kod treće strane40
4.12.1.2.Tko može podnijeti zahtjev za vraćanje pohranjenih ključeva40
4.12.1.3.Postupak vraćanja pohranjenih ključeva i dužnosti40
4.12.1.4.Identifikacija i autentifikacija40
4.12.1.5.Odobrenje ili odbijanje zahtjeva za vraćanje pohranjenih ključeva40
4.12.1.6.Radnje tijela za pohranu ključeva kod treće strane (KEA) i tijela za vraćanje pohranjenih ključeva (KRA)41
4.12.1.7.Dostupnost KEA-a i KRA-a41
4.12.2.Enkapsulacija ključa sesije i pravila i praksa za vraćanje pohranjenih ključeva41
5.Objekti, upravljanje i operativne mjere41
5.1.Fizičke sigurnosne mjere41
5.1.1.Lokacija i izgradnja objekata41
5.1.1.1.Vršni CA, CPOC, TLM41
5.1.1.2.EA/AA42
5.1.2.Fizički pristup42
5.1.2.1.Vršni CA, CPOC, TLM42
5.1.2.2.EA/AA43
5.1.3.Opskrba energijom i klimatizacija43
5.1.4.Izloženost vodi43
5.1.5.Sprečavanje i zaštita od požara44
5.1.6.Upravljanje medijima44
5.1.7.Zbrinjavanje otpada44
5.1.8.Pričuvna kopija na drugoj lokaciji44
5.1.8.1.Vršni CA, CPOC i TLM44
5.1.8.2.EA/AA45
5.2.Proceduralne mjere45
5.2.1.Pouzdane uloge45
5.2.2.Potreban broj osoba po zadatku45
5.2.3.Identifikacija i autentifikacija za svaku ulogu46
5.2.4.Uloge za koje je potrebna razdvojenost dužnosti46
5.3.Provjere osoblja47
5.3.1.Zahtjevi za osoblje s obzirom na kvalifikacije, iskustvo i sigurnosnu provjeru47
5.3.2.Postupci za provjeru podobnosti47
5.3.3.Zahtjevi u pogledu osposobljavanja48
5.3.4.Učestalost ponavljanja osposobljavanja i zahtjevi48
5.3.5.Učestalost i slijed rotacije na radnim mjestima48
5.3.6.Sankcije za neovlaštene radnje48
5.3.7.Zahtjevi za vanjske izvođače49
5.3.8.Dokumentacija za osoblje49
5.4.Postupci za vođenje revizijskih dnevnika aktivnosti49
5.4.1.Vrste događaja koje svaki CA mora bilježiti i prijavljivati49
5.4.2.Učestalost obrade dnevnika aktivnosti50
5.4.3.Razdoblje čuvanja revizijskih dnevnika aktivnosti50
5.4.4.Zaštita revizijskih dnevnika aktivnosti51
5.4.5.Postupci za izradu pričuvnih kopija revizijskih dnevnika aktivnosti51
5.4.6.Sustav za prikupljanje podataka za reviziju (unutarnji ili vanjski)51
5.4.7.Obavijest predmetu koji je uzrokovao događaj51
5.4.8.Procjena ranjivosti51
5.5.Arhiviranje zapisa52
5.5.1.Vrste arhiviranih zapisa52
5.5.2.Razdoblje čuvanja arhive53
5.5.3.Zaštita arhive53
5.5.4.Arhiva sustava i pohrana53
5.5.5.Zahtjevi za stavljanje vremenskog žiga na zapise54
5.5.6.Sustav za prikupljanje podataka za arhivu (unutarnji ili vanjski)54
5.5.7.Postupci za dobivanje informacija iz arhive i za provjeravanje informacija u arhivi54
5.6.Prebacivanje ključeva za elemente modela pouzdanosti C-ITS-a54
5.6.1.TLM54
5.6.2.Vršni CA54
5.6.3.Certifikat EA-a/AA-a54
5.6.4.Revizor55
5.7.Kompromitirana sigurnost i oporavak od katastrofe55
5.7.1.Rješavanje incidenata i kompromitirane sigurnosti55
5.7.2.Korupcija računalnih resursa, softvera i/ili podataka56
5.7.3.Postupci u slučaju kompromitacija sigurnosti privatnog ključa subjekta56
5.7.4.Sposobnost kontinuiteta poslovanja nakon katastrofe56
5.8.Prekid i prenošenje57
5.8.1.TLM57
5.8.2.Vršni CA57
5.8.3.EA/AA58
6.Tehničke sigurnosne kontrole58
6.1.Generiranje i unošenje para ključeva58
6.1.1.TLM, vršni CA, EA, AA58
6.1.2.EE – mobilna stanica C-ITS-a58
6.1.3.EE – fiksna stanica C-ITS-a59
6.1.4.Kriptografski zahtjevi59
6.1.4.1.Algoritam i duljina ključa – algoritmi za potpisivanje59
6.1.4.2.Algoritam i duljina ključa – algoritmi za šifriranje za upis i odobrenje60
6.1.4.3.Kriptografska prilagodljivost61
6.1.5.Sigurno čuvanje privatnih ključeva61
6.1.5.1.Razina vršnih CA-ova, podređenih CA-ova i TLM-a61
6.1.5.2.Krajnji subjekt62
6.1.6.Pričuvna kopija privatnih ključeva63
6.1.7.Uništenje privatnih ključeva63
6.2.Aktivacijski podaci63
6.3.Informatičke sigurnosne mjere63
6.4.Tehničke kontrole i životni vijek63
6.5.Mjere mrežne sigurnosti63
7.Profili certifikata, CRL i CTL63
7.1.Profil certifikata63
7.2.Valjanost certifikata64
7.2.1.Pseudonimni certifikati65
7.2.2.Autorizacijski kuponi za fiksne stanice C-ITS-a65
7.3.Povlačenje certifikata65
7.3.1.Povlačenje certifikata CA-a, EA-a i AA-a65
7.3.2.Povlačenje upisnih vjerodajnica66
7.3.3.Povlačenje autorizacijskih kupona66
7.4.Popis povučenih certifikata66
7.5.Europski popis pouzdanih certifikata66
8.Revizija sukladnosti i druga ocjenjivanja66
8.1.Teme obuhvaćene revizijom i temelj revizije66
8.2.Učestalost revizija67
8.3.Identitet/kvalifikacije revizora67
8.4.Odnos revizora i subjekta pod revizijom67
8.5.Mjere poduzete na temelju nedostataka68
8.6.Javljanje ishoda68
9.Ostale odredbe68
9.1.Naknade68
9.2.Financijska odgovornost69
9.3.Povjerljivost poslovnih informacija69
9.4.Plan privatnosti69
10.Referentni dokumenti69
PRILOG III.
1.Uvod
1.1.Pregled i područje primjene ove politike
Ovom se politikom upravljanja certifikatima definira europski model pouzdanosti C-ITS-a temeljen na infrastrukturi javnih ključeva (PKI) u okviru cijelog sustava EU-a za upravljanje sigurnosnim vjerodajnicama C-ITS-a (EU CCMS). Definiraju se zahtjevi koji se odnose na to kako izdavatelji upravljaju certifikatima javnih ključeva za aplikacije C-ITS-a i kako te certifikate upotrebljavaju krajnji subjekti u Europi. Na najvišoj razini PKI se sastoji od skupa vršnih certifikacijskih tijela „aktiviranih” time što je upravitelj popisa pouzdanih certifikata (TLM) unio njihove certifikate na europski popis pouzdanih certifikata (ECTL), koji TLM izdaje i objavljuje (vidjeti odjeljke 1.2. i 1.3.).
Ova je politika obvezujuća za sve subjekte koji sudjeluju u sustavu pouzdanosti za C-ITS u Europi. Time se olakšava procjena pouzdanosti informacija koje neki primatelj primi porukom čija je autentičnost potvrđena certifikatom krajnjeg subjekta PKI-ja. Kako bi se omogućilo procjenjivanje pouzdanosti certifikata dobivenih iz EU CCMS-a, u politici je utvrđen obvezujući skup zahtjeva za rad središnjeg subjekta, TLM-a, za sastavljanje ECTL-a i za upravljanje ECTL-om. U ovom se dokumentu utvrđuju sljedeći aspekti koji se odnose na ECTL:
·Identifikacija i autentifikacija glavnih nositelja uloga PKI-ja, uključujući izjave o ovlastima dodijeljenima svakoj ulozi,
·minimalni zahtjevi za lokalne sigurnosne prakse za TLM-a, među kojima su fizičke i proceduralne mjere te mjere koje se odnose na osoblje,
·minimalni zahtjevi za tehničke sigurnosne prakse za TLM-a, među kojima su sigurnosne mjere za računala, i mreže te inženjerska rješenja kriptografskog modula,
·minimalni zahtjevi za operativne prakse za TLM-a, među kojima su registracija novih certifikata vršnih CA-ova, privremeno ili trajno brisanje registracije postojećih uvrštenih vršnih CA-ova i objavljivanje i distribuiranje ažuriranog ECTL-a,
·profil ECTL-a, uključujući obvezna i opcionalna podatkovna polja ECTL-a, koji se kriptografski algoritmi moraju upotrebljavati, točan format ECTL-a i preporuke za obradu ECTL-a,
·upravljanje životnim vijekom certifikata s ECTL-a, što uključuje distribuiranje, aktiviranje, istjecanje i povlačenje tih certifikata,
·upravljanje povlačenjem statusa pouzdanosti vršnog CA-a, ako je potrebno.
Budući da pouzdanost ECTL-a ne ovisi isključivo o samom popisu nego znatno i o vršnim CA-ovima, od kojih se PKI sastoji, i o njihovim podređenim CA-ovima, u ovoj se politici također utvrđuju minimalni zahtjevi koji su obvezni za sve CA-ove sudionike (vršne CA-ove i podređene CA-ove). Područja tih zahtjeva su:
·identifikacija i autentifikacija glavnih nositelja uloga PKI-ja (npr. službenik za sigurnost, službenik za zaštitu podataka, administrator sigurnosti, administrator imenika i krajnji korisnik), uključujući izjave o dužnostima, obvezama, odgovornostima i ovlastima dodijeljenima svakoj ulozi,
·upravljanje ključevima, uključujući prihvatljive i obvezne algoritme za potpisivanje certifikata i podataka te razdoblja valjanosti certifikata,
·minimalni zahtjevi za lokalne sigurnosne prakse, među kojima su fizičke i proceduralne mjere te mjere koje se odnose na osoblje,
·minimalni zahtjevi za tehničke sigurnosne prakse, kao što su sigurnosne mjere za računala, i mreže te inženjerska rješenja kriptografskog modula,
·minimalni zahtjevi za operativne prakse CA-a, EA-a, AA-a i krajnjih subjekata, uključujući aspekte registracije i brisanja s popisa, povlačenja, kompromitirane ključeve, uvjetovani otkaz, ažuriranje certifikata, prakse u reviziji i neiznošenje informacija povezanih s privatnošću,
·profil certifikata i CRL-a, uključujući formate, prihvatljive algoritme, obvezna i opcionalna podatkovna polja i valjane raspone vrijednosti tih polja te način na koji se u provjerama obrađuju certifikati,
·redovito praćenje, izvješćivanje, upozoravanje i vraćanje dužnosti subjekata u modelu pouzdanosti C-ITS-a kako bi se uspostavio siguran rad, uključujući u slučajevima kršenja pravila.
Uz te minimalne zahtjeve subjekti koji upravljaju vršnim i podređenim CA-ovima mogu uvesti dodatne zahtjeve te ih uvrstiti u odgovarajuće izjave o primjeni certifikata (CPS-ovi), pod uvjetom da ti zahtjevi nisu u suprotnosti zahtjevima utvrđenima u politici upravljanja certifikatima. Vidjeti odjeljak 1.5. za detalje o revidiranju i objavljivanju CPS-ova.
U CP-u se definira i svrha u koju se vršni i podređeni CA-ovi te certifikati koje su ti CA-ovi izdali mogu upotrebljavati. U njemu se utvrđuju preuzete odgovornosti:
·TLM-a,
·svakog vršnog CA-a čiji su certifikati na ECTL-u,
·podređenih CA-ova (EA-ova i AA-ova) vršnog CA-a,
·svakog člana ili organizacije koji je odgovoran za neki subjekt u modelu pouzdanosti C-ITS-a ili koji upravlja tim subjektom.
U CP-u se definiraju i obveze koje se primjenjuju na:
·TLM-a,
·svakog vršnog CA-a čiji su certifikati na ECTL-u,
·svakog podređenog CA-a kojem je vršni CA izdao certifikat,
·sve krajnje subjekte,
·svaku organizaciju člana koja je odgovorna za neki subjekt u modelu pouzdanosti C-ITS-a ili koji upravlja tim subjektom.
Konačno, u CP-u su utvrđeni zahtjevi s obzirom na dokumentiranje ograničenja odgovornosti i obveza u CPS-u svakog vršnog CA-a čiji su certifikati na ECTL-u.
Ovaj je CP u skladu s politikom upravljanja certifikatima i certifikacijskim praksama koje je donijela Radna skupina za razvoj interneta (IETF) [3].
1.2.Definicije i pokrate
Primjenjuju se definicije iz [2], [3] i [4].
AA
|
autorizacijsko tijelo
|
AT
|
autorizacijski kupon
|
CA
|
certifikacijsko tijelo
|
CP
|
politika upravljanja certifikatima
|
CPA
|
tijelo za politiku upravljanja certifikatima C-ITS-a
|
CPOC
|
kontaktna točka za C-ITS
|
CPS
|
izjava o primjeni certifikata
|
CRL
|
popis povučenih certifikata
|
EA
|
upisno tijelo
|
EC
|
upisna vjerodajnica
|
ECIES
|
integrirani kriptosustav za šifriranje i dešifriranje temeljen na eliptičnim krivuljama
|
EE
|
krajnji subjekt (tj. stanica C-ITS-a)
|
ECTL
|
europski popis pouzdanih certifikata
|
EU CCMS
|
sustav EU-a za upravljanje sigurnosnim vjerodajnicama C-ITS-a
|
GDPR
|
Opća uredba o zaštiti podataka
|
HSM
|
hardverski sigurnosni modul
|
PKI
|
infrastruktura javnih ključeva
|
RA
|
registracijsko tijelo
|
podređeni CA
|
EA i AA
|
TLM
|
upravitelj popisa pouzdanih certifikata
|
Pojmovnik
podnositelj
|
Fizička ili pravna osoba koja podnosi zahtjev za izdavanje (ili za obnavljanje) certifikata. Nakon izrade prvog certifikata (inicijalizacija), podnositelj se naziva pretplatnikom.
Kad je riječ o certifikatima izdanim krajnjim subjektima, pretplatnik (podnositelj zahtjeva za certifikat) je subjekt pod čijom je kontrolom krajnji subjekt – ili koji upravlja tim krajnjim subjektom ili održava tog krajnjeg subjekta – kojem je certifikat izdan, čak i ako krajnji subjekt podnosi sam zahtjev za certifikat.
|
autorizacijsko tijelo
|
U ovom se dokumentu izraz „autorizacijsko tijelo” (AA) ne odnosi samo na specifičnu funkciju AA-a nego i na pravni i/ili operativni subjekt koji izvršava tu funkciju.
|
certifikacijsko tijelo
|
Na vršno certifikacijsko tijelo, upisno tijelo i autorizacijsko tijelo zajednički se upućuje izrazom certifikacijsko tijelo (CA).
|
model pouzdanosti C-ITS-a
|
Model pouzdanosti C-ITS-a služi kako bi stanice C-ITS-a uspostavile odnos u kojem se međusobno smatraju pouzdanima. Taj se model realizira na temelju PKI-ja koji se sastoji od vršnih CA-ova, CPOC-a, TLM-a, EA-ova, AA-ova i sigurne mreže.
|
kriptografska prilagodljivost
|
Sposobnost modela pouzdanosti C-ITS-a da prilagodi CP promjenama u okruženju ili budućim zahtjevima, na primjer naknadnim promjenama kriptografskih algoritama i duljine ključa.
|
kriptografski modul
|
Siguran hardverski element u kojem se generiraju i/ili pohranjuju ključevi, generiraju slučajni brojevi i potpisuju ili šifriraju podaci.
|
upisno tijelo
|
U ovom se dokumentu izraz „upisno tijelo” (EA) ne odnosi samo na specifičnu funkciju EA-a nego i na pravni i/ili operativni subjekt koji obavlja tu funkciju.
|
sudionici u PKI-ju
|
Subjekti u modelu pouzdanosti C-ITS-a, tj. TLM, vršni CA-ovi, EA-ovi, AA-ovi i stanice C-ITS-a.
|
obnavljanje s novim parom ključeva
|
|
repozitorij
|
Repozitorij se upotrebljava za čuvanje certifikata i informacija o certifikatima koje dostave subjekti u modelu pouzdanosti C-ITS-a, kako je definirano u odjeljku 2.3.
|
vršno certifikacijsko tijelo
|
U ovom se dokumentu izraz „vršno certifikacijsko tijelo” (CA) ne odnosi samo na specifičnu funkciju CA-a nego i na pravni i/ili operativni subjekt koji izvršava tu funkciju.
|
predmet
|
Fizička osoba, uređaj, sustav, jedinica ili pravna osoba koja se u certifikatu navodi kao predmet, tj. ili pretplatnik ili uređaj pod pretplatnikovom kontrolom i upravljanjem.
|
pretplatnik
|
Fizička ili pravna osoba kojoj je izdan certifikat i koja je pravno obvezana pretplatničkim ugovorom ili ugovorom o uvjetima korištenja.
|
pretplatnički ugovor
|
Ugovor između CA-a i podnositelja/pretplatnika kojim se utvrđuju prava, obveze i odgovornosti ugovornih stranaka.
|
1.3.Sudionici u PKI-ju
1.3.1.Uvod
Uloga sudionika u PKI-ju utvrđena je u ovoj politici. Sudionik može istovremeno imati više uloga, osim ako je to izričito zabranjeno. Moguće je zabraniti da isti sudionik istovremeno obavlja određene uloge kako bi se spriječili sukobi interesa ili kako bi se osigurala razdvojenost dužnosti.
Sudionici također mogu delegirati dijelove svoje uloge drugim subjektima na temelju ugovora o uslugama. Na primjer, kad se CRL-om dostave informacije o povučenim certifikatima, CA je i izdavatelj CRL-a, ali može delegirati svoju dužnost izdavanja CRL-ova nekom drugom subjektu.
Uloge PKI-ja su:
·mjerodavne uloge, tj. svaku ulogu može obavljati samo jedan subjekt,
·operativne uloge, tj. uloge koje može obavljati i više subjekata.
Na primjer, ulogu vršnog CA-a može izvršavati komercijalni subjekt, interesna skupina, nacionalna organizacija i/ili europska organizacija.
Na slici 1. prikazan je model pouzdanosti C-ITS-a na temelju [2]. Ovdje se arhitektura sažeto opisuje, a njezini glavni elementi detaljnije su opisani u odjeljcima od 1.3.2. do 1.3.6.
CPA imenuje TLM-a, koji je stoga pouzdani subjekt za sve sudionike u PKI-ju. CPA odobrava rad vršnog CA-a i TLM-u potvrđuje pouzdanost vršnog CA-a. TLM izdaje ECTL kojim se sve sudionike u PKI-ju obavješćuje o pouzdanosti odobrenih vršnih CA-ova. Vršni CA izdaje certifikate EA-ovima i AA-ovima čime jamči pouzdanost njihova rada. EA izdaje upisne certifikate stanicama C-ITS-a pošiljateljicama i prenositeljicama (kao krajnjim subjektima), čime jamči pouzdanost njihova rada. AA izdaje AT-ove stanicama C-ITS-a jer se pouzdaje u EA-a.
Stanice C-ITS-a pošiljateljice i prenositeljice (kao strana koja prenosi) mogu se pouzdavati u druge stanice C-ITS-a jer AT-ove izdaje AA u kojeg se pouzdaje vršni CA, u kojeg se pouzdaju TLM i CPA.
Treba imati u vidu da je na slici 1. prikazana samo razina vršnog CA-a modela pouzdanosti C-ITS-a. Detalji nižih razina nalaze se u daljnjim odjeljcima ovog CP-a ili u CPS-u specifičnih vršnih CA-ova.
Na slici 2. prikazan je sažetak informacijskih tokova među sudionicima u PKI-ju. Zelene točke predstavljaju tokove za koje je nužna komunikacija među strojevima. Za crveno označene komunikacijske tokove definirani su sigurnosni zahtjevi.
Model pouzdanosti C-ITS-a temelji se na arhitekturi s višestrukim vršnim CA-ovima, u kojoj se certifikati vršnih CA-ova periodično šalju (kako je prikazano na donjoj slici) središnjoj kontaktnoj točki za C-ITS (CPOC-u) pomoću sigurnog protokola (npr. certifikata za povezivanje) koji CPOC definira.
Vršnim CA-om može upravljati državna ili privatna organizacija. Model pouzdanosti C-ITS-a mora imati najmanje jedan vršni CA-a (vršni CA EU-a iste razine kao i drugi vršni CA-ovi). Vršni CA EU-a dobiva delegirane ovlasti svih subjekata koji sudjeluju u modelu pouzdanosti C-ITS-a koji ne žele uspostaviti vlastiti vršni CA. CPOC šalje primljene certifikate vršnih CA-ova TLM-u, koji je zadužen za prikupljanje i potpisivanje popisa certifikata vršnih CA-ova te vraćanje tih certifikata CPOC-u koji ih svima javno objavljuje.
Pouzdani odnosi među subjektima u modelu pouzdanosti C-ITS-a opisani su na slikama, u tablicama i u odjeljcima u nastavku.
Slika 1.: Arhitektura modela pouzdanosti C-ITS-a
Slika 2.: Informacijski tokovi u modelu pouzdanosti C-ITS-a
Identifikacijska oznaka toka
|
Pošiljatelj
|
Primatelj
|
Sadržaj
|
Upućivanje
|
(1).
|
CPA
|
TLM
|
odobrenje zahtjeva za vršni CA
|
8.
|
(2).
|
CPA
|
TLM
|
informacija o povlačenju vršnog CA-a
|
8.5.
|
(3).
|
CPA
|
vršni CA
|
ažuriranja CP-a
|
1.5.
|
(4).
|
CPA
|
vršni CA
|
odobrenje/odbijanje obrasca zahtjeva vršnog CA-a ili zahtjeva za izmjenu CPS-a ili revizijskog procesa
|
8.5., 8.6.
|
(5).
|
TLM
|
CPA
|
obavijest o izmjeni ECTL-a
|
4., 5.8.1.
|
(6).
|
TLM
|
CPOC
|
certifikat TLM-a
|
4.4.2.
|
(7).
|
TLM
|
CPOC
|
ECTL
|
4.4.2.
|
(8).
|
CPOC
|
TLM
|
informacije o certifikatu vršnog CA-a
|
4.3.1.1.
|
(9).
|
CPOC
|
TLM
|
povlačenje certifikata vršnog CA-a
|
7.3.
|
(10).
|
CPOC
|
svi krajnji subjekti
|
certifikat TLM-a
|
4.4.2.
|
(11).
|
vršni CA
|
CPOC
|
informacije o certifikatu vršnog CA-a
|
4.3.1.1.
|
(12).
|
vršni CA
|
CPOC
|
povlačenje certifikata vršnog CA-a
|
7.3.
|
(13).
|
vršni CA
|
revizor
|
nalog za reviziju
|
8.
|
(14).
|
vršni CA
|
CPA
|
obrazac zahtjeva vršnog CA-a – prvi zahtjev
|
4.1.2.1.
|
(15).
|
vršni CA
|
CPA
|
obrazac zahtjeva vršnog CA-a – izmjene CPS-a
|
1.5.1.
|
(16).
|
vršni CA
|
CPA
|
obrazac zahtjeva vršnog CA-a – revizijsko izvješće
|
8.6.
|
(17).
|
vršni CA
|
CPA
|
izvješće o incidentima vršnog CA-a, uključujući povlačenje podređenog CA-a (EA-a, AA-a)
|
Prilog III., 7.3.1.
|
(18).
|
vršni CA
|
EA
|
odgovor na zahtjev EA-a za certifikat
|
4.2.2.3.
|
(19).
|
vršni CA
|
AA
|
odgovor na zahtjev AA-a za certifikat
|
4.2.2.3.
|
(20).
|
vršni CA
|
svi
|
certifikat EA-a/AA-a, CRL
|
4.4.2.
|
(21).
|
EA
|
vršni CA
|
zahtjev za certifikat EA-a
|
4.2.2.3.
|
(22).
|
EA
|
stanica C-ITS-a
|
odgovor na upisnu vjerodajnicu
|
4.3.1.4.
|
(23).
|
EA
|
AA
|
odgovor na zahtjev za odobrenje
|
4.2.2.5.
|
(24).
|
AA
|
vršni CA
|
zahtjev za certifikat AA-a
|
4.2.2.3.
|
(25).
|
AA
|
EA
|
zahtjev za odobrenje
|
4.2.2.5.
|
(26).
|
AA
|
stanica C-ITS-a
|
odgovor na autorizacijski kupon
|
4.3.1.5.
|
(27).
|
EA
|
vršni CA
|
podnošenje zahtjeva
|
4.1.2.3.
|
(28).
|
AA
|
vršni CA
|
podnošenje zahtjeva
|
4.1.2.3.
|
(29).
|
vršni CA
|
EA
|
odgovor
|
4.12. i 4.2.1.
|
(30).
|
vršni CA
|
AA
|
odgovor
|
4.12. i 4.2.1.
|
(31).
|
stanica C-ITS-a
|
EA
|
zahtjev za upisnu vjerodajnicu
|
4.2.2.4.
|
(32).
|
stanica C-ITS-a
|
AA
|
zahtjev za autorizacijski kupon
|
4.2.2.5.
|
(33).
|
proizvođač / operator
|
EA
|
registracija
|
4.2.1.4.
|
(34).
|
proizvođač / operator
|
EA
|
deaktivacija
|
7.3.
|
(35).
|
EA
|
proizvođač / operator
|
odgovor
|
4.2.1.4.
|
(36).
|
revizor
|
vršni CA
|
izvješće
|
8.1
|
(37).
|
svi
|
CPA
|
zahtjev za izmjenu CP-a
|
1.5
|
(38).
|
TLM
|
CPA
|
obrazac zahtjeva
|
4.1.2.2.
|
(39).
|
CPA
|
TLM
|
odobrenje/odbijanje
|
4.1.2.2.
|
(40).
|
TLM
|
CPA
|
revizijsko izvješće
|
4.1.2.2.
|
Tablica 1.:
Detaljan opis informacijskih tokova u modelu pouzdanosti C-ITS-a
1.3.2.Tijelo za politiku upravljanja certifikatima C-ITS-a
(1)Tijelo za politiku upravljanja certifikatima C-ITS-a (CPA) sastavljeno je od predstavnika javnih i privatnih dionika (npr. država članica, proizvođača vozila itd.) koji sudjeluju u modelu pouzdanosti C-ITS-a. Odgovorno je za dvije uloge niže razine:
(1)upravljanje politikom upravljanja certifikatima, uključujući:
·odobravanje trenutačnog CP-a i budućih zahtjeva za izmjenu CP-a,
·odlučivanje o reviziji zahtjeva za izmjenu CP-a i preporukama koje su dostavili drugi sudionici u PKI-ju ili drugi subjekti,
·odlučivanje o objavljivanju novih verzija CP-a;
(2)upravljanje ovlašćivanjem za PKI, uključujući:
·definiranje, odlučivanje i objavljivanje za postupke odobravanja CPS-a i revizija CA-ova (zbirno „postupci odobravanja CA-ova”),
·ovlašćivanje CPOC-a za rad i redovito izvješćivanje,
·ovlašćivanje TLM-a za rad i redovito izvješćivanje,
·odobravanje CPS-a vršnog CA-a ako je u skladu sa zajedničkim, važećim CP-om,
·kontroliranje izvješća o revizijama koje nad svim vršnim CA-ovima provodi ovlašteni revizor za PKI,
·obavješćivanje TLM-a o popisu odobrenih i neodobrenih vršnih CA-ova i njihovih certifikata na temelju primljenih izvješća o odobrenju vršnih CA-ova i redovitih izvješća o radu.
(2)Ovlašteni je zastupnik CPA-a odgovoran za potvrđivanje autentičnosti ovlaštenog zastupnika TLM-a i za odobravanje TLM-ova obrasca zahtjeva za upis. CPA je odgovoran za ovlašćivanje TLM-a za rad u skladu s opisom u ovom odjeljku.
1.3.3.Upravitelj popisa pouzdanih certifikata
(3)TLM je jedinstven subjekt koji imenuje CPA.
(4)TLM je odgovoran za:
·rad ECTL-a u skladu s važećim zajedničkim CP-om i redovito izvješćivanje CPA-u o aktivnostima radi jamčenja sigurnog rada modela pouzdanosti C-ITS-a,
·primanje certifikata vršnih CA-ova od CPOC-a,
·uvrštavanje/brisanje certifikata vršnih CA-ova na ECTL/iz ECTL-a nakon primanja obavijesti CPA-a,
·potpisivanje ECTL-a,
·redovito i pravovremeno slanje ECTL-a CPOC-u.
1.3.4.Ovlašteni revizor za PKI
(5)Ovlašteni je revizor za PKI odgovoran za:
·provođenje ili organiziranje revizija vršnih CA-ova, TLM-a i podređenih CA-ova,
·distribuiranje revizijskog izvješća (iz prve ili periodične revizije) CPA-u skladu sa zahtjevima iz odjeljka 8. Revizijsko izvješće treba sadržavati preporuke ovlaštenog revizora za PKI,
·obavješćivanje subjekta koji upravlja vršnim CA-om o uspješno ili neuspješno provedenoj prvoj ili periodičnoj reviziji podređenog CA-a,
·ocjenjivanje sukladnosti CPS-ova s ovim CP-om.
1.3.5.Kontaktna točka za C-ITS (CPOC)
(6)CPOC je jedinstven subjekt koji imenuje CPA. Ovlašteni je zastupnik CPA-a odgovoran za potvrđivanje autentičnosti ovlaštenog zastupnika CPOC-a i za odobravanje CPOC-ova obrasca zahtjeva za upis. CPA je odgovoran za ovlašćivanje CPOC-a za rad u skladu s opisom u ovom odjeljku.
(7)CPOC je odgovoran za:
·uspostavljanje sigurne komunikacije među svim subjektima u modelu pouzdanosti C-ITS-a i sudjelovanje u toj komunikaciji na učinkovit i brz način,
·pregledavanje zahtjeva za mijenjanje postupaka i preporuka koje su dostavili drugi sudionici u modelu pouzdanosti (npr. vršni CA-ovi),
·slanje certifikata vršnih CA-ova TLM-u,
·objavljivanje zajedničkog temelja pouzdanosti (trenutačni javni ključ i certifikat za povezivanje TLM-a),
·objavljivanje ECTL-a.
Potpuni podaci o ECTL-u nalaze se u odjeljku 7.
1.3.6.Operativne uloge
(8)Sljedeći subjekti, definirani u [2], imaju operativnu ulogu, kako je definirano u dokumentu RFC 3647:
Funkcijski element
|
Uloga PKI-ja ([3] i [4])
|
Detaljno objašnjenje uloge
|
vršno certifikacijsko tijelo
|
CA/RA (registracijsko tijelo)
|
EA-u i AA-u dostavlja dokaz da može izdavati EC-ove ili AT-ove
|
upisno tijelo
|
pretplatnik vršnog CA-a/predmet certifikata EA-a
CA/RA
|
potvrđuje autentičnost stanice C-ITS-a i dodjeljuje joj pristup komunikaciji ITS-a
|
autorizacijsko tijelo
|
pretplatnik vršnog CA-a/predmet certifikata AA-a
CA/RA
|
stanici C-ITS-a daje vjerodostojan dokaz da smije upotrebljavati određene usluge ITS-a
|
stanica C-ITS-a pošiljateljica
|
predmet certifikata (EC) krajnjeg subjekta (EE)
|
od EA-a dobiva prava pristupa komunikaciji ITS-a
s AA-om se dogovara o pravima pozivanja usluga ITS-a
šalje poruke izravno primatelju i emitira prenošene javne poruke
|
stanica C-ITS-a prenositeljica
|
strana koja prenosi/predmet certifikata EE-a
|
prima javne poruke stanice C-ITS-a pošiljateljice pa ih prema potrebi prosljeđuje stanici C-ITS-a primateljici
|
stanica C-ITS-a primateljica
|
strana koja prenosi
|
prima javne poruke stanice C-ITS-a pošiljateljice ili stanice C-ITS-a prenositeljice
|
proizvođač
|
pretplatnik EA-a
|
tijekom proizvodnje unosi u stanicu C-ITS-a informacije potrebne za upravljanje sigurnošću
|
operator
|
pretplatnik EA-a/AA-a
|
tijekom rada unosi u stanicu C-ITS-a informacije potrebne za upravljanje sigurnošću i ažurira te informacije
|
Tablica 2.: Operativne uloge
Napomena: U skladu s [4] u ovom se CP-u upotrebljavaju različiti termini za „pretplatnika” koji ugovara izdavanje certifikata s CA-om i za „predmet” na koji se certifikat odnosi. Pretplatnici su svi subjekti u ugovornom odnosu s CA-om. Predmeti su subjekti na koje se odnosi certifikat. EA-ovi/AA-ovi su pretplatnici i predmeti vršnog CA-a te mogu zatražiti certifikate EA-a/AA-a. Stanice C-ITS-a su predmeti i mogu zatražiti certifikate krajnjeg subjekta.
(9)Registracijska tijela:
EA ima ulogu registracijskog tijela krajnjih subjekata. Isključivo ovlašteni pretplatnik potvrđene autentičnosti može registrirati nove krajnje subjekte (stanice C-ITS-a) kod EA-a. Relevantni vršni CA-ovi imaju ulogu registracijskog tijela EA-ova i AA-ova.
1.4.Upotreba certifikata
1.4.1.Primjenjiva područja upotrebe
(10)Certifikati izdani na temelju ovog CP-a namijenjeni su za provjeru valjanosti digitalnih potpisa u kontekstu komunikacije kooperativnih ITS-ova u skladu s referentnom arhitekturom iz [2].
(11)Profili certifikata iz [5] služe za određivanje upotrebe certifikata za TLM-a, vršne CA-ove, EA-ove, AA-ove i krajnje subjekte.
1.4.2.Ograničenja odgovornosti
(12)Certifikati nisu namijenjeni za upotrebu, niti se odobravaju za upotrebu, u sljedećim slučajevima :
·u okolnostima u kojima se povređuje ili krši bilo koji primjenjiv zakon, uredba (npr. GDPR), odluka ili vladin zaključak,
·u okolnostima u kojima se povređuju ili krše prava drugih,
·kako bi se prekršio ovaj CP ili relevantni pretplatnički ugovor,
·u bilo kojim okolnostima u kojima bi njihova upotreba mogla izravno uzrokovati smrt, tjelesnu ozljedu ili štetu u okolišu (na primjer, uzrokovati kvar u radu nuklearnih postrojenja, zrakoplovnoj navigaciji ili komunikaciji ili sustavima za upravljanje oružjem),
·u okolnostima koje proturječe ciljevima povećanja sigurnosti na cestama i učinkovitosti cestovnog prometa u Europi.
1.5.Administracija politike upravljanja certifikatima
1.5.1.Ažuriranje CPS-ova CA-ova na ECTL-u
(13)Svaki vršni CA na ECTL-u dužan je objaviti svoj CPS, koji mora biti u skladu s ovom politikom. Vršni CA smije uvrstiti dodatne zahtjeve, ali se mora pobrinuti da su svi zahtjevi ovog CP-a ispunjeni u svakom trenutku.
(14)Svaki vršni CA na ECTL-u dužan je uvesti primjeren postupak za izmjenu CPS-a. Najvažnija obilježja postupka za izmjenu moraju biti dokumentirana u javnom dijelu CPS-a.
(15)Postupkom za izmjenu mora se osigurati da se svaka promjena CP-a pažljivo analizira i da se, ako je to potrebno radi sukladnosti s ovim CP-om, kako je izmijenjen, CPS ažurira u roku utvrđenom u provedbenom koraku postupka za izmjenu CP-a. Postupak za izmjenu osobito mora sadržavati postupke za unošenje hitnih izmjena kojima se osigurava pravovremeno uvođenje izmjena u CP-u povezanih sa sigurnošću.
(16)Postupak za izmjenu mora sadržavati odgovarajuće mjere kojima se provjerava da je svaka izmjena CPS-a u skladu s CP-om. Svaka se promjena CPS-a mora jasno dokumentirati. Prije uvođenja nove verzije CPS-a ovlašteni revizor za PKI mora potvrditi njezinu sukladnost s CP-om.
(17)Vršni CA dužan je obavijestiti CPA-a o svakoj izmjeni CPS-a, pri čemu dostavlja barem sljedeće informacije:
·točan opis izmjene,
·razlog za izmjenu,
·izvješće ovlaštenog revizora za PKI kojim se potvrđuje sukladnost s CP-om,
·podatke za kontakt osobe koja je odgovorna za CPS,
·planirane rokove za uvođenje.
1.5.2.Postupci odobravanja CPS-a
(18)Prije početka rada potencijalni vršni CA daje svoj CPS ovlaštenom revizoru za PKI u okviru revizije sukladnosti (tok 13) i CPA-u na odobrenje (tok 15).
(19)Vršni CA pokazuje izmjene svojeg CPS-a ovlaštenom revizoru za PKI u okviru revizije sukladnosti (tok 13) i daje ih CPA-u na odobrenje (tok 15) prije nego što te izmjene stupe na snagu.
(20)EA/AA pokazuje svoj CPS ili izmjene svojeg CPS-a vršnom CA-u. Vršni CA može zatražiti certifikat o sukladnosti od nacionalnog tijela ili privatnog subjekta odgovornog za odobravanje EA-a/AA-a, kako je definirano u odjeljcima 4.1.2. i 8.
(21)Ovlašteni revizor za PKI ocjenjuje CPS u skladu s odjeljkom 8.
(22)Ovlašteni revizor za PKI javlja ishod ocjenjivanja CPS-a u okviru revizijskog izvješća, kako je utvrđeno u odjeljku 8.1. CPS se prihvaća ili odbija u okviru prihvaćanja revizijskog izvješća, kako je utvrđeno u odjeljcima 8.5. i 8.6.
2.Dužnosti povezane s objavljivanjem i repozitorijima
2.1.Metode za objavljivanje informacija o certifikatima
(23)Informacije o certifikatima mogu se objavljivati u skladu s odjeljkom 2.5.:
·redovito ili periodično, ili
·na zahtjev nekog od subjekata sudionika.
U oba slučaja postoje različiti stupnjevi hitnosti objavljivanja u skladu s kojima se primjenjuju rokovi, ali subjekti moraju biti spremni na oba moguća načina objave.
(24)Redovito objavljivanje informacija o certifikatima omogućava određivanje najduljeg roka do kojeg će informacije o certifikatima biti ažurirane za sve čvorove mreže C-ITS-a. Učestalost objavljivanja svih informacija o certifikatima utvrđena je u odjeljku 2.2.
(25)Na zahtjev subjekata koji sudjeluju u mreži C-ITS-a bilo koji sudionik može u bilo kojem trenutku početi objavljivati informacije o certifikatima i ovisno o njihovu statusu zatražiti trenutačni skup informacija o certifikatima kako bi postao potpuno pouzdani čvor mreže C-ITS-a. Svrha takvog objavljivanja prvenstveno je davanje subjektima ažurnih informacija o trenutačnom općem statusu informacija o certifikatima u mreži te omogućivanje tim subjektima da komuniciraju na temelju pouzdanosti do sljedećeg objavljivanja informacija.
(26)Pojedinačni vršni CA može također pokrenuti objavljivanje informacija o certifikatima u bilo kojem trenutku slanjem ažuriranog skupa certifikata svim „pretplaćenim članovima” mreže C-ITS-a koji redovito primaju takve informacije. Time se podupire rad CA-ova te se CA-ovima omogućava da se obrate članovima između redovitih i planiranih datuma za objavljivanje certifikata.
(27)U odjeljku 2.5. utvrđuju se mehanizam i svi postupci za objavljivanje certifikata vršnih CA-ova i ECTL-a.
(28)CPOC objavljuje certifikate vršnih CA-ova (kako su uvršteni na ECTL i namijenjeni za javnu upotrebu), certifikat TLM-a i ECTL, koji TLM izdaje.
(29)Vršni CA-ovi objavljuju svoje certifikate EA-a/AA-a i CRL te moraju podržavati sva tri ovdje navedena mehanizma za objavljivanje tih certifikata i CRL-a svojim pretplaćenim članovima i pouzdajućim stranama, poduzimajući sve nužne korake kako bi osigurali sigurno slanje, kako je navedeno u odjeljku 4.
2.2.Vrijeme ili učestalost objavljivanja
(30)Zahtjevi za raspored objavljivanja certifikata i CRL-ova moraju se utvrditi uzimajući u obzir različita ograničenja pojedinačnih čvorova C-ITS-a, pri čemu je opći cilj osiguravanje rada „pouzdane mreže” i objavljivanje ažuriranih informacija svim uključenim stanicama C-ITS-a onoliko brzo koliko je to moguće.
·U slučaju redovitog objavljivanja ažuriranih informacija o certifikatima (npr. promjene unosa na ECTL-u ili CRL-u) radi sigurnog rada mreže C-ITS-a najdulje je moguće razdoblje između objavljivanja tri mjeseca.
·Vršni CA-ovi objavljuju svoje certifikate CA-a i CRL-ove odmah nakon izdavanja, što je prije moguće.
·Za objavljivanje CRL-a upotrebljava se repozitorij vršnog CA-a.
Uz to se u CPS-u svakog CA-a navodi rok za objavljivanje certifikata nakon što CA izda certifikat.
U ovom se odjeljku utvrđuje samo vrijeme ili učestalost redovitog objavljivanja. Način za povezivanje kako bi se stanicama C-ITS-a poslali ažurirani ECTL i CRL-ovi unutar tjedan dana od njihova objavljivanja (u uobičajenim radnim uvjetima, tj. kad postoji pokrivenost mobilnom mrežom, kad je vozilo stvarno u uporabi itd.) mora biti uveden u skladu sa zahtjevima ovog dokumenta.
2.3.Repozitoriji
(31)Zahtjevi za strukturu repozitorija za pohranu certifikata i informacija koje dostavljaju subjekti mreže C-ITS-a sljedeći su za pojedinačne subjekte:
·općenito bi svaki vršni CA trebao upotrebljavati repozitorij s informacijama o svojim trenutačno aktivnim certifikatima EA-a/AA-a i CRL-om za objavljivanje certifikata ostalim sudionicima u PKI-ju (npr. imeničke usluge na temelju LDAP-a). Repozitorij svakog vršnog CA-a mora podržavati sve potrebne kontrole pristupa (odjeljak 2.4.) i rokove slanja (odjeljak 2.2.) za svaku metodu distribucije informacija povezanih s C-ITS-om,
·repozitorij TLM-a (u kojem se čuvaju ECTL i certifikati TLM-a koje je objavio CPOC, na primjer) trebao bi se temeljiti na mehanizmu objavljivanja kojim se mogu osigurati rokovi slanja iz odjeljka 2.2. za svaku distribucijsku metodu.
Zahtjevi za AA-ove nisu utvrđeni, ali AA-ovi moraju podržavati iste razine sigurnosti kao i ostali subjekti, a to mora biti deklarirano u njihovu CPS-u.
2.4.Kontrole pristupa repozitorijima
(32)Zahtjevi za kontrolu pristupa repozitorijima s informacijama o certifikatima moraju biti sukladni barem s općim standardima za sigurno postupanje s informacijama opisanima u normi ISO/IEC 27001 i zahtjevima iz odjeljka 4. Ti zahtjevi uz to moraju odražavati sigurnost postupka koju treba definirati za pojedinačne korake u postupku objavljivanja informacija o certifikatima.
·To obuhvaća realizaciju repozitorija za certifikate TLM-a i repozitorija za ECTL u TLM-u/CPOC-u. Svaki CA ili operator repozitorija dužan je uspostaviti kontrole pristupa primjenjive na sve subjekte C-ITS-a i vanjske strane za najmanje tri različite razine pristupa (npr. javni pristup, razina pristupa subjekata C-ITS-a i razina pristupa vršnih CA-ova) kako bi se spriječilo da neovlašteni subjekti dodaju, mijenjaju ili brišu zapise u repozitoriju.
·Konkretni mehanizmi kontrole pristupa pojedinačnih subjekata trebali bi biti dio odgovarajućeg CPS-a.
·Repozitoriji EA-a i AA-a svakog vršnog CA-a moraju ispunjavati iste zahtjeve za postupke kontrole pristupa neovisno o mjestu pružatelja usluga koji upravlja repozitorijem ili o ugovornim vezama s tim pružateljem usluga.
Svaki vršni CA ili operator repozitorija mora imati barem tri različite razine kontrole pristupa (npr. javni pristup, razina pristupa subjekata C-ITS-a i razina pristupa vršnih CA-ova).
2.5.Objavljivanje informacija o certifikatima
2.5.1.Objavljivanje informacija o certifikatima – TLM
(33)U europskoj zajedničkoj domeni pouzdanosti za C-ITS TLM objavljuje sljedeće informacije putem CPOC-a:
·sve trenutačno valjane certifikate TLM-a za sljedeće razdoblje rada (trenutačni certifikat i certifikat za povezivanje, ako je dostupan),
·informacije o pristupnoj točki za repozitorij CPOC-a za osiguravanje potpisanog popisa vršnih CA-ova (ECTL),
·točku za opće informacije o ECTL-u i uvođenju C-ITS-a.
2.5.2.Objavljivanje informacija o certifikatima – CA-ovi
(34)U europskoj zajedničkoj domeni pouzdanosti za C-ITS vršni CA-ovi objavljuju sljedeće informacije:
·izdane (trenutačno valjane) certifikate vršnih CA-ova (trenutačne certifikate i certifikate obnovljene s novim parom ključeva, uključujući certifikat za povezivanje) u repozitoriju iz odjeljka 2.3.,
·sve valjane EA i AA subjekte, njihove identifikacijske oznake operatora i planirano razdoblje rada,
·izdane certifikate CA-a u repozitorijima iz odjeljka 2.3.,
·CRL-ove za sve povučene certifikate CA-ova koji obuhvaćaju podređene EA-ove i AA-ove,
·informacije o točki na kojoj vršni CA daje pristup informacijama o CRL-u i CA-u.
Sve informacije o certifikatima razvrstavaju se u tri razine povjerljivosti, a dokumenti za javnost moraju biti javno dostupni bez ograničenja.
3.Identifikacija i autentifikacija
3.1.Imenovanje
3.1.1.Vrste imena
3.1.1.1.Imena TLM-a, vršnih CA-ova, EA-ova, AA-ova
(35)Ime na certifikatu TLM-a sastoji se od jednog atributa subject_name s rezerviranom vrijednošću „EU_TLM”.
(36)Ime vršnih CA-ova sastoji se od jednog atributa subject_name s vrijednošću koju dodijeli CPA. Jedinstvenost imena isključiva je odgovornost CPA-a, a TLM održava registar imena vršnih CA-ova na temelju obavijesti dobivenih od CPA-a (odobrenje, povlačenje/uklanjanje vršnog CA-a). Imena predmeta u certifikatima ograničena su na 32 bajta. Svaki vršni CA predlaže svoje ime CPA-u u obrascu zahtjeva (tok 14). CPA je odgovoran za provjeru jedinstvenosti imena. Ako ime nije jedinstveno, odbija se obrazac zahtjeva (tok 4).
(37)Ime u svakom certifikatu EA-a/AA-a može se sastojati od jednog atributa subject_name s vrijednošću koju generira izdavatelj certifikata. Jedinstvenost imena isključiva je odgovornost vršnog CA-a koji izdaje certifikat.
(38)Certifikati EA-a i AA-a ne smiju upotrebljavati imena dulja od 32 bajta jer je subject_name u certifikatima ograničen na 32 bajta.
(39)U AT-ovima nema imena.
3.1.1.2.Imena krajnjih subjekata
(40)Svakoj se stanici C-ITS-a dodjeljuju dvije vrste jedinstvenih identifikacijskih oznaka:
·primarna identifikacijska oznaka koja se pohranjuje u trenutku prve registracije stanice C-ITS-a pod odgovornošću proizvođača. Dio te identifikacijske oznake je niz kojim se proizvođač ili operator identificira na jedinstven način,
·subject_name, koji može biti dio EC-a stanice C-ITS-a, pod odgovornošću EA-a.
3.1.1.3.Identifikacija certifikata
(41)Certifikati u skladu s formatom iz [5] identificiraju se izračunavanjem vrijednosti HashedId8, kako je definirana u [5].
3.1.2.Smislenost imena
Nije propisano da se na temelju imena mora prenijeti značenje.
3.1.3.Anonimnost i pseudonimnost krajnjih subjekata
(42)AA se dužan pobrinuti za pseudonimnost stanice C-ITS-a tako što stanici C-ITS-a daje AT-ove koji ne sadržavaju imena ni informacije kojima se predmet može povezati s pravim identitetom.
3.1.4.Pravila za tumačenje različitih oblika imena
Nije propisano.
3.1.5.Jedinstvenost imena
(43)Imena TLM-a, vršnih CA-ova, EA-ova i AA-ova i primarne identifikacijske oznake stanica C-ITS-a moraju biti jedinstveni.
(44)Tijekom registracije vršnog CA-a na ECTL TLM se dužan pobrinuti da je identifikacijska oznaka certifikata (HashedId8) tog vršnog CA-a jedinstvena. Tijekom izdavanja vršni CA dužan se pobrinuti da je identifikacijska oznaka certifikata (HashedId8) svakog podređenog CA-a jedinstvena.
(45)HashedId8 EC-a mora biti jedinstven unutar CA-a izdavatelja. HashedId8 AT-a ne mora biti jedinstven.
3.2.Prva provjera identiteta
3.2.1.Metoda za dokazivanje posjedovanja privatnog ključa
(46)Vršni CA-a dokazuje da s pravom posjeduje privatni ključ koji odgovara javnom ključu u samopotpisanom certifikatu. CPOC provjerava taj dokaz.
(47)EA/AA dokazuje da s pravom posjeduje privatni ključ koji odgovara javnom ključu koji se treba unijeti u certifikat. Vršni CA provjerava taj dokaz.
(48)Posjedovanje novog privatnog ključa (radi obnavljanja s novim parom ključeva) dokazuje se potpisivanjem zahtjeva novim privatnim ključem (interni potpis) nakon čega slijedi generiranje vanjskog potpisa na potpisani zahtjev s trenutačno valjanim privatnim ključem (radi jamčenja autentičnosti zahtjeva). Podnositelj zahtjeva podnosi potpisani zahtjev za certifikat CA-u izdavatelju putem sigurnog komunikacijskog kanala. CA izdavatelj provjerava da je digitalni potpis podnositelja zahtjeva na poruci sa zahtjevom napravljen privatnim ključem koji odgovara javnom ključu priloženom zahtjevu za certifikat. Vršni CA u svojem CPS-u navodi koje zahtjeve za certifikat i koje odgovore podržava.
3.2.2.Autentifikacija identiteta organizacije
3.2.2.1.Autentifikacija identiteta organizacije vršnog CA-a
(49)U obrascu zahtjeva CPA-u (tj. tok 14) vršni CA dostavlja informacije o identitetu organizacije i registraciji, koje se sastoje od:
·imena organizacije,
·adrese,
·e-adrese,
·imena fizičke osobe za kontakt u organizaciji,
·telefonskog broja,
·digitalnog potpisa (tj. vrijednosti kontrolnog identifikacijskog broja (hash), SHA 256) certifikata vršnog CA-a u papirnatom obliku,
·kriptografskih informacija (tj. kriptografski algoritmi, duljine ključeva) u certifikatu vršnog CA-a,
·svih dozvola koje vršni CA smije upotrebljavati i prenositi podređenim CA-ovima.
(50)CPA provjerava identitet organizacije i druge registracijske informacije koje je dostavio podnositelj zahtjeva za certifikat radi unosa certifikata vršnog CA-a na ECTL.
(51)Izravno ili na temelju potvrde primjerenog i ovlaštenog izvora CPA prikuplja dokaze o identitetu (tj. imenu) i, ako je primjenjivo, svim specifičnim atributima predmeta kojima se izdaje certifikat. Dokaze je moguće dostaviti u papirnatom ili elektroničkom obliku.
(52)Identitet predmeta provjerava se u trenutku registracije na odgovarajući način i u skladu s ovom politikom upravljanja certifikatima.
(53)Uz svaki se podneseni zahtjev za certifikat dostavljaju dokazi s:
·imenom organizacijskog subjekta (privatna organizacija, vladin subjekt ili nekomercijalni subjekt),
·nacionalno priznatom registracijom ili drugim atributima koji se mogu upotrebljavati, koliko je to moguće, da bi se taj organizacijski subjekt razlikovalo od drugih istoimenih subjekata.
Prethodno navedena pravila temelje se na normi TS 102 042 [4]: CA se dužan pobrinuti za to da se dokazi o identifikaciji pretplatnika i predmeta te o točnosti njihovih imena i povezanih podataka ili razmotre na odgovarajući način u okviru definirane usluge ili, ako je primjenjivo, da se o njima zaključi na temelju potvrda primjerenih i ovlaštenih izvora, te da su zahtjevi za certifikat točni, ovlašteni i potpuni u skladu s prikupljenim dokazima ili potvrdama.
3.2.2.2.Autentifikacija identiteta organizacije TLM-a
(54)Organizacija koja upravlja TLM-om dužna je dostaviti dokaze o identifikaciji i točnosti imena i povezanih podataka kako bi omogućila odgovarajuću provjeru u trenutku prve izrade certifikata TLM-a i obnavljanja tog certifikata s novim parom ključeva.
(55)Identitet predmeta provjerava se u trenutku izrade certifikata ili obnavljanja certifikata s novim parom ključeva na odgovarajući način u i skladu s ovim CP-om.
(56)Dokazi o organizaciji dostavljaju se kako je utvrđeno u odjeljku 3.2.2.1.
3.2.2.3.Autentifikacija identiteta organizacija podređenih CA-ova
(57)Vršni CA provjerava identitet organizacije i druge registracijske informacije koje su dostavili podnositelji zahtjeva za certifikate podređenih CA-a.
(58)Vršni CA dužan je barem:
·utvrditi da organizacija postoji korištenjem barem jedne usluge treće strane ili baze podataka treće strane za dokazivanje identiteta ili alternativno na temelju dokumentacije organizacije, koju je izdala relevantna državna agencija ili priznato tijelo ili koja je podnesena takvoj agenciji ili tijelu i kojom se potvrđuje postojanje organizacije,
·upotrijebiti poštansku korespondenciju ili odgovarajući sličan postupak kako bi od podnositelja zahtjeva zahtijevao da potvrdi određene informacije o organizaciji, da je odobrio podnošenje zahtjeva za certifikat i da je osoba koja je podnijela zahtjev u ime podnositelja ovlaštena za podnošenje tog zahtjeva. Ako certifikat sadržava ime pojedinca kao ovlaštenog zastupnika organizacije, organizacija mora potvrditi da je poslodavac tog pojedinca i da ga je ovlastila za djelovanje u njezino ime.
(59)Postupci provjere za izdavanje certifikata CA-a dokumentirani su u CPS-u vršnog CA.
3.2.2.4.Autentifikacija organizacije pretplatnika krajnjih subjekata
(60)Prije nego što se pretplatnik krajnjih subjekata (proizvođač/operator) može registrirati kod pouzdanog EA-a kako bi omogućio svojim krajnjim subjektima slanje zahtjeva za certifikat EC-a, EA je dužan:
·provjeriti identitet organizacije pretplatnika i druge registracijske informacije koje je dostavio podnositelj zahtjeva za certifikat,
·provjeriti da tip stanice C-ITS-a (tj. konkretan proizvod na temelju marke, modela i verzije stanice C-ITS-a) ispunjava sve kriterije ocjenjivanja sukladnosti.
(61)EA je dužan barem:
·utvrditi da organizacija postoji korištenjem barem jedne usluge treće strane ili baze podataka treće strane za dokazivanje identiteta ili alternativno na temelju dokumentacije organizacije, koju je izdala relevantna državna agencija ili priznato tijelo ili koja je podnesena takvoj agenciji ili tijelu i kojom se potvrđuje postojanje organizacije,
·upotrijebiti poštansku korespondenciju ili odgovarajući sličan postupak kako bi od podnositelja zahtjeva zahtijevao da potvrdi određene informacije o organizaciji, da je odobrio podnošenje zahtjeva za certifikat i da je osoba koja je podnijela zahtjev u ime podnositelja ovlaštena za podnošenje tog zahtjeva. Ako certifikat sadržava ime pojedinca kao ovlaštenog zastupnika organizacije, organizacija mora potvrditi da je poslodavac tog pojedinca i da ga je ovlastila za djelovanje u njezino ime.
(62)Postupci provjere na temelju kojih pretplatnik registrira stanicu C-ITS-a dokumentirani su u CPS-u EA-a.
3.2.3.Autentifikacija pojedinačnog subjekta
3.2.3.1.Autentifikacija pojedinačnog subjekta TLM-a/CA-a
(63)Za autentifikaciju pojedinačnog subjekta (fizičke osobe) identificiranog u vezi s pravnom osobom ili organizacijskim subjektom (tj. pretplatnikom) moraju se dostaviti dokazi iz kojih je vidljivo:
·puno ime predmeta (uključujući ime i prezime, u skladu s primjenjivim pravom i nacionalnim standardima za identifikaciju),
·datum i mjesto rođenja, upućivanje na nacionalno priznatu identifikacijsku ispravu ili druge atribute pretplatnika koji se mogu upotrijebiti kako bi se razlikovalo tu osobu od drugih osoba s istim imenom,
·puno ime i pravni status povezane pravne osobe ili drugog organizacijskog subjekta (tj. pretplatnika),
·svaku drugu relevantnu registracijsku informaciju (npr. registracija poduzeća) povezane pravne osobe ili drugog organizacijskog subjekta (tj. pretplatnika),
·dokaz da je predmet povezan s pravnom osobom ili drugim organizacijskim subjektom.
Dokaze je moguće dostaviti u papirnatom ili elektroničkom obliku.
(64)Kako bi ovlašteni zastupnik vršnog CA-a, EA-a, AA-a ili pretplatnika potvrdio svoj identitet, dužan je dostaviti dokumentaciju kojom dokazuje da radi za tu organizaciju (potvrda o ovlaštenju). Dužan je pokazati i službenu identifikacijsku iskaznicu.
(65)Kako bi započeo prvi postupak upisa (tok 31/32), zastupnik EA-a/AA-a dostavlja vršnom CA-u sve potrebne informacije (vidjeti odjeljak 4.1.2.).
(66)Osoblje vršnog CA-a provjerava identitet zastupnika podnositelja zahtjeva za certifikat i sve priložene dokumente, pri čemu primjenjuje zahtjeve za „pouzdano osoblje” iz odjeljka 5.2.1. (Postupak kojim vršni CA-a provjerava informacije iz zahtjeva i izrađuje certifikat provodi „pouzdano osoblje” vršnog CA-a na temelju barem dvostrukog nadzora jer se te radnje smatraju osjetljivima u smislu odjeljka 5.2.2.).
3.2.3.2.Autentifikacija identiteta pretplatnika stanica C-ITS-a
(67)Pretplatnike predstavljaju ovlašteni krajnji korisnici u organizaciji koja je registrirana kod EA-a i AA-a izdavatelja. Krajnji korisnici, koje imenuju organizacije (proizvođači ili operatori) moraju dokazati svoj identitet i autentičnost prije:
·registracije EE-a kod odgovarajućeg EA-a, uključujući njegov primarni javni ključ, primarnu identifikacijsku oznaku (jedinstvena identifikacijska oznaka) i dozvole u skladu s EE-om,
·registracije kod AA-a i pribavljanja dokaza o pretplatničkom ugovoru koji se može poslati EA-u.
3.2.3.3.Autentifikacija identiteta stanica C-ITS-a
(68)Krajnji subjekti predmeti EC-ova autentificiraju se u trenutku podnošenja zahtjeva za EC-ove (tok 31) korištenjem svojeg primarnog privatnog ključa za prvu autentifikaciju. EA provjerava autentifikaciju korištenjem primarnog javnog ključa koji odgovara EE-u. Prije izvršavanja prvog zahtjeva EA-u se moraju dostaviti primarni javni ključevi EE-ova putem sigurnog komunikacijskog kanala uspostavljenog između proizvođača ili operatora stanice C-ITS-a i EA-a (tok 33).
(69)Krajnji subjekti predmeti AT-ova potvrđuju svoju autentičnost u trenutku podnošenja zahtjeva za AT-ove (tok 32) korištenjem svojeg jedinstvenog upisnog privatnog ključa. AA prosljeđuje potpis EA-u (tok 25) na provjeru, EA provjerava potpis i potvrđuje rezultat AA-u (tok 23).
3.2.4.Neprovjerene informacije o pretplatniku
Nije propisano.
3.2.5.Autentifikacija tijela
3.2.5.1.Provjera TLM-a, vršnog CA-a, EA-a, AA-a
(70)Svaka je organizacija obvezna u CPS-u navesti barem jednog zastupnika (npr. službenika za sigurnost) čija je dužnost podnošenje zahtjeva za izdavanje novih i obnavljanje postojećih certifikata. Primjenjuju se pravila imenovanja iz odjeljka 3.2.3.
3.2.5.2.Provjera pretplatnika stanice C-ITS-a
(71)EA mora znati i odobriti barem jednu fizičku osobu odgovornu za registraciju stanica C-ITS-a kod EA-a (npr. službenika za sigurnost) (odjeljak 3.2.3.).
3.2.5.3.Provjera stanica C-ITS-a
(72)Pretplatnik stanice C-ITS-a može registrirati stanice C-ITS-a kod određenog EA-a (tok 33) sve dok je za tog EA-a pretplatnikova autentičnost potvrđena.
Ako se stanica C-ITS-a registrira kod EA-a s jedinstvenom primarnom identifikacijskom oznakom i primarnim javnim ključem, može zatražiti EC zahtjevom potpisanim primarnim privatnim ključem koji se odnosi na prethodno registrirani primarni javni ključ.
3.2.6.Kriteriji za interoperabilnost
(73)Kako bi stanice C-ITS-a mogle komunicirati s EA-ovima (ili AA-ovima), one moraju biti sposobne uspostaviti siguran komunikacijski kanal s EA-ovima (ili AA-ovima), tj. izvršavati funkcije kojima se osiguravaju autentičnost, povjerljivost i cjelovitost, kako je utvrđeno u [1]. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1]. EA i AA moraju podržavati taj sigurni komunikacijski kanal.
(74)EA i AA moraju podržavati zahtjeve za certifikat i odgovore na te zahtjeve koji ispunjavaju odredbe iz [1], čime se utvrđuje siguran protokol za zahtjev za AT/odgovor na zahtjev za AT koji podržava anonimnost podnositelja zahtjeva u odnosu na AA-a i razdvojenost dužnosti AA-a i EA-a. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1]. Kako bi se spriječilo otkrivanje dugoročnog identiteta stanica C-ITS-a, komunikacija mobilne stanice C-ITS-a i EA-a mora biti povjerljiva (npr. podaci u komunikaciji moraju biti šifrirani u cijelom lancu).
(75)AA podnosi zahtjev za provjeru odobrenja (tok 25) za svaki zahtjev za odobrenje koji primi od predmeta certifikata EE-a. EA provjerava sljedeće elemente tog zahtjeva:
·status EE-a kod EA-a,
·valjanost potpisa,
·tražene identifikacijske oznake aplikacija ITS-a (ITS-AID-ovi) i dozvole,
·status pružanja usluga AA-a pretplatniku.
3.3.Identifikacija i autentifikacija za zahtjeve za obnavljanje s novim parom ključeva
3.3.1.Identifikacija i autentifikacija za rutinske zahtjeve za obnavljanje s novim parom ključeva
3.3.1.1.Certifikati TLM-a
(76)TLM generira par ključeva i dva certifikata: jedan samopotpisani certifikat i jedan certifikat za povezivanje, kako je navedeno u odjeljku 7.
3.3.1.2.Certifikati vršnog CA-a
Nije primjenjivo.
3.3.1.3.Certifikati EA-a/AA-a: obično obnavljanje ili obnavljanje s novim parom ključeva
(77)EA/AA prije isteka certifikata EA-a/AA-a podnosi zahtjev za novi certifikat (tok 21/tok 24) kako bi održao kontinuitet upotrebe certifikata. EA/AA generira novi par ključeva radi zamjene para ključeva na isteku i potpisuje zahtjev za obnavljanje s novim parom ključeva koji sadržava novi javni ključ služeći se trenutačno valjanim privatnim ključem („obnavljanje s novim parom ključeva”). EA ili AA generira novi par ključeva i potpisuje zahtjev služeći se novim privatnim ključem (interni potpis) radi dokazivanja posjedovanja novog privatnog ključa. Cijeli se zahtjev potpisuje (supotpisuje) služeći se trenutačno valjanim privatnim ključem (vanjski potpis) radi osiguravanja cjelovitosti i autentičnosti zahtjeva. Ako se upotrebljava par ključeva za šifriranje i dešifriranje, mora se dokazati posjedovanje privatnih ključeva za dešifriranje (za detaljan opis obnavljanja s novim parom ključeva vidjeti odjeljak 4.7.3.3.).
(78)Metoda za identifikaciju i autentifikaciju za rutinske zahtjeve za obnavljanje s novim parom ključeva metoda je koja se upotrebljava za provjeru za prvo izdavanje prvog certifikata vršnog CA-a, kako je utvrđeno u odjeljku 3.2.2.
3.3.1.4.Upisne vjerodajnice krajnjih subjekata
(79)EE prije isteka postojećeg EC-a podnosi zahtjev za novi certifikat (tok 31) kako bi održao kontinuitet upotrebe certifikata. EE generira novi par ključeva radi zamjene para ključeva na isteku i podnosi zahtjev za novi certifikat koji sadržava novi javni ključ služeći se trenutačno valjanim privatnim ključem EC-a kako bi potpisao zahtjev.
(80)EE može potpisati zahtjev služeći se upravo generiranim privatnim ključem (interni potpis) radi dokazivanja posjedovanja novog privatnog ključa. Cijeli se zahtjev tad potpisuje (supotpisuje) služeći se trenutačno valjanim privatnim ključem (vanjski potpis) i šifrira za EA-a primatelja, kako je utvrđeno u [1], radi osiguravanja povjerljivosti, cjelovitosti i autentičnosti zahtjeva. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1].
3.3.1.5.Autorizacijski kuponi krajnjih subjekata
(81)Obnavljanje s novim parom ključeva za AT-ove temelji se na istom postupku kao i prvo ovlašćivanje, kako je definirano u [1]. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1].
3.3.2.Identifikacija i autentifikacija za zahtjeve za obnavljanje s novim parom ključeva nakon povlačenja
3.3.2.1.Certifikati CA-a
(82)Autentifikacija organizacije CA-a za obnavljanje s novim parom ključeva certifikata vršnog CA-a, EA-a i AA-a nakon povlačenja rješava se na isti način kao prvo izdavanje certifikata CA-a, kako je utvrđeno u odjeljku 3.2.2.
3.3.2.2.Upisne vjerodajnice krajnjih subjekata
(83)Autentifikacija EE-a za obnavljanje s novim parom ključeva certifikata EC-a nakon povlačenja rješava se na isti način kao prvo izdavanje certifikata EE-a, kako je utvrđeno u odjeljku 3.2.2.
3.3.2.3.Zahtjevi za odobrenje krajnjih subjekata
Nije primjenjivo jer se AT-ovi ne povlače.
3.4.Identifikacija i autentifikacija za zahtjeve za povlačenje
3.4.1.Certifikati vršnog CA-a/EA-a/AA-a
(84)Autentičnost zahtjeva za brisanje certifikata vršnog CA-a s ECTL-a TLM-u mora potvrditi vršni CA (tok 12 i tok 9). Autentičnost zahtjeva za povlačenje certifikata EA-a/AA-a potvrđuje relevantni vršni CA i sam podređeni CA.
(85)Prihvatljivi postupci za provjeru autentičnosti pretplatnikova zahtjeva za povlačenje su:
·pretplatnikov pisan i potpisan dopis na memorandumu poduzeća u kojem zahtijeva povlačenje i navodi koji se certifikat treba povući,
·komunikacija s pretplatnikom na temelju koje se s razumnom sigurnošću može zaključiti da je osoba ili organizacija koja podnosi zahtjev za povlačenje doista pretplatnik. Ta komunikacija može, ovisno o okolnostima, uključivati neko od sljedećih komunikacijskih sredstava: e-poštu, običnu poštu ili kurirsku službu.
3.4.2.Upisne vjerodajnice stanice C-ITS-a
(86)Pretplatnik stanice C-ITS-a može povući EC stanice C-ITS-a koja je prethodno registrirana kod EA-a (tok 34). Pretplatnik podnositelj zahtjeva sastavlja zahtjev za povlačenje određene stanice C-ITS-a ili zahtjev s popisom stanica C-ITS-a koje treba povući. EA potvrđuje autentičnost zahtjeva za povlačenje prije obrade zahtjeva pa potvrđuje povlačenje stanica C-ITS-a i njihovih EC-ova.
(87)EA može povući EC stanice C-ITS-a u skladu s odjeljkom 7.3.
3.4.3.Autorizacijski kuponi stanice C-ITS-a
(88)Budući da se AT-ovi ne povlače, razdoblje valjanosti AT-ova mora biti ograničeno. Raspon prihvatljivih razdoblja valjanosti u ovoj politici upravljanja certifikatima utvrđen je u odjeljku 7.
4.Operativni zahtjevi za životni vijek certifikata
4.1.Zahtjev za certifikat
(89)U ovom se odjeljku utvrđuju zahtjevi za podnošenje prvog zahtjeva za izdavanje certifikata.
(90)Izraz „zahtjev za certifikat” odnosi se na sljedeće postupke:
·registraciju i uspostavljanje pouzdanog odnosa između TLM-a i CPA-a,
·registraciju i uspostavljanje pouzdanog odnosa između vršnog CA-a i CPA i TLM-a, uključujući uvrštavanje certifikata vršnog CA-a na ECTL,
·registraciju i uspostavljanje pouzdanog odnosa između EA-a/AA-a i vršnog CA-a, uključujući izdavanje novog certifikata EA-a/AA-a,
·registraciju stanice C-ITS-a kod EA-a koju izvršava proizvođač/operator,
·podnošenje zahtjeva stanice C-ITS-a za EC/AT.
4.1.1.Tko može podnijeti zahtjev za certifikat
4.1.1.1.Vršni CA-ovi
(91)Vršni CA-ovi generiraju svoje parove ključeva i izdaju svoj vršni certifikat sami sebi. Vršni CA može podnijeti zahtjev za certifikat putem imenovanog zastupnika (tok 14).
4.1.1.2.TLM
(92)TLM generira svoje parove ključeva i izdaje svoj certifikat samom sebi. Zastupnik organizacije TLM-a, pod kontrolom CPA-a, obrađuje prvu izradu certifikata TLM-a.
4.1.1.3.EA i AA
(93)Ovlašteni zastupnik EA-a i AA-a može podnijeti zahtjev za certifikat podređenog CA-a (EA-a i/ili AA-a) ovlaštenom zastupniku relevantnog vršnog CA-a (tok 27/28).
4.1.1.4.Stanica C-ITS-a
(94)Pretplatnici registriraju sve stanice C-ITS-a kod EA-a u skladu s odjeljkom 3.2.5.3.
(95)Svaka stanica C-ITS-a registrirana kod EA-a može slati zahtjeve za EC-ove (tok 31).
(96)Svaka stanica C-ITS-a može slati zahtjeve za AT-ove (tok 32), a da se pri tome ne zahtijeva aktivnost pretplatnika. Stanica C-ITS-a mora imati EC prije nego što zatraži AT.
4.1.2.Upisni postupak i dužnosti
(97)Isključivo države članice u kojima su smještene relevantne organizacije mogu dodjeljivati dozvole vršnim CA-ovima i podređenim CA-ovima koji izdaju certifikate za posebne (vladine) namjene (tj. specijalne mobilne i fiksne stanice C-ITS-a).
4.1.2.1.Vršni CA-ovi
(98)Nakon što budu podvrgnuti reviziji (tok 13 i tok 36, odjeljak 8.), vršni CA-ovi mogu podnijeti zahtjev za uvrštavanje svojih certifikata na ECTL kod CPA-a (tok 14). Upisni postupak temelji se na potpisanom obrascu za ručnu prijavu koji ovlašteni zastupnik vršnog CA-a fizički dostavlja CPA-u i koji sadržava barem informacije iz odjeljaka 3.2.2.1., 3.2.3. i 3.2.5.1.
(99)Obrazac zahtjeva vršnog CA-a potpisuje ovlašteni zastupnik.
(100)Uz obrazac zahtjeva ovlašteni zastupnik vršnog CA-a CPA-u prilaže na odobrenje (tok 16) kopiju CPS-a vršnog CA-a (tok 15) i revizijsko izvješće CPS-a. Ako CPA donese pozitivno mišljenje, CPA generira i šalje certifikat o sukladnosti CPOC-u/TLM-u i odgovarajućem vršnom CA-u.
(101)Ovlašteni zastupnik vršnog CA-a tad CPOC-u/TLM-u donosi obrazac zahtjeva (s digitalnim potpisom samopotpisanog certifikata), službenom identifikacijom i dokazom ovlašćivanja. Samopotpisani certifikat dostavlja se CPOC-u/TLM-u elektronički. CPOC/TLM provjerava sve dokumente i samopotpisani certifikat.
(102)Ako je ishod provjere pozitivan, TLM dodaje certifikat vršnog CA-a na ECTL na temelju obavijesti primljene od CPA-a (tok 1 i tok 2). Postupak je detaljno opisan u TLM-ovu CPS-u.
(103)Trebao bi biti moguć dodatni postupak za dobivanje odobrenja CPS-a i izvješća o reviziji vršnog CA-a od nacionalnog tijela specifičnih država.
4.1.2.2.TLM
(104)Nakon prolaska kroz reviziju TLM se može upisati kod CPA-a. Upisni postupak temelji se na potpisanom obrascu za ručnu prijavu koji ovlašteni zastupnik TLM-a fizički dostavlja CPA-u (tok 38) i koji sadržava barem informacije iz odjeljaka 3.2.2.2. i 3.2.3.
(105)Obrazac zahtjeva TLM-a potpisuje ovlašteni zastupnik.
(106)TLM prvo generira samopotpisani certifikat pa ga sigurnim kanalom šalje CPA-u. TLM tad CPA-u donosi svoj obrazac prijave (s digitalnim potpisom samopotpisanog certifikata), kopiju CPS-a, službenu identifikaciju, dokaz ovlašćivanja i revizijsko izvješće (tok 40). CPA provjerava sve dokumente i samopotpisani certifikat. Ako je ishod provjere svih dokumenata, samopotpisanog certifikata i digitalnog potpisa pozitivan, CPA potvrđuje upisni postupak slanjem svog odobrenja TLM-u i CPOC-u (tok 39). CPA pohranjuje informacije iz zahtjeva koje pošalje TLM. Certifikat TLM-a tad se izdaje putem CPOC-a.
4.1.2.3.EA i AA
(107)Tijekom upisnog postupka EA/AA podnose na odobrenje odgovarajućem vršnom CA-u (tok 27 i tok 28) relevantne dokumente (tj. CPS i revizijsko izvješće). Ako je ishod provjere dokumenata pozitivan, vršni CA šalje odobrenje odgovarajućem podređenom CA-u (tok 29 i tok 30). Podređeni CA (EA ili AA) tad elektronički šalje svoj potpisani zahtjev i odgovarajućem vršnom CA-u fizički dostavlja obrazac zahtjeva (u skladu s odjeljkom 3.2.2.1), dokaz ovlašćivanja i dokument s identifikacijom. Vršni CA provjerava zahtjev i primljene dokumente (obrazac zahtjeva s digitalnim potpisom, koji je vrijednost kontrolnog identifikacijskog broja, SHA 256 zahtjeva podređenog CA-a, dokaz o ovlašćivanju i dokument s identifikacijom). Ako su ishodi svih provjera pozitivni, vršni CA izdaje odgovarajući certifikat podređenog CA-a. Detaljne informacije o tome kako se podnosi prvi zahtjev navedene su u njegovu CPS-u.
(108)Uz obrazac prijave podređenog CA-a ovlašteni zastupnik podređenog CA-a vršnom CA-u prilaže kopiju CPS-a.
(109)Ovlaštenom revizoru za PKI dostavljaju se informacije za potrebe revizije u skladu s odjeljkom 8.
(110)Ako je podređeni CA u vlasništvu subjekta koji nije vlasnik vršnog CA-a, prije izdavanja zahtjeva za certifikat podređenog CA-a subjekt podređenog CA-a mora potpisati ugovor za uslugu vršnog CA-a.
4.1.2.4.Stanica C-ITS-a
(111)Prvu registraciju predmeta krajnjih subjekata (stanice C-ITS-a) kod EA-a (tok 33 i tok 35) radi odgovorni pretplatnik (proizvođač/operator) nakon uspješne autentifikacije pretplatnikove organizacije i jednog njegovog zastupnika u skladu s odjeljcima 3.2.2.4. i 3.2.2.5.
(112)Stanica C-ITS-a može generirati par ključeva za EC (vidjeti odjeljak 6.1.) i izraditi potpisani zahtjev za EC u skladu s [1]. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1].
(113)Tijekom registracije obične stanice C-ITS-a (u odnosu na posebne mobilne ili fiksne stanice C-ITS-a) EA provjerava da dozvole u prvom zahtjevu nisu namijenjene za vladine namjene. Dozvole za vladine namjene utvrđuju odgovarajuće države članice. Detaljan postupak registracije i odgovora EA-a proizvođaču/operatoru (tok 33 i tok 35) utvrđuje se u odgovarajućem EA-ovu CPS-u.
(114)Stanica C-ITS-a upisuje se kod EA-a (odjeljak 3.2.5.3.) kad pošalje prvi zahtjev za EC u skladu s [1].
(115)Nakon što zastupnik pretplatnika potvrđene autentičnosti obavi prvu registraciju, EA odobrava AT-ove koje predmet krajnjeg subjekta (tj. stanica C-ITS-a) može dobiti. Nadalje, svakom se krajnjem subjektu dodjeljuje razina pouzdanosti koja se odnosi na certifikaciju krajnjeg subjekta u skladu s jednim od profila zaštite na popisu u odjeljku 6.1.5.2.
(116)Obična vozila smiju imati samo jednu stanicu C-ITS-a koja je registrirana kod jednog EA-a. Vozila za posebnu namjenu (kao što su policijski automobili i druga vozila za posebnu namjenu sa specifičnim pravima) mogu se registrirati kod jednog dodatnog EA-a ili imati jednu dodatnu stanicu C-ITS-a za potrebe odobrenja u okviru posebne namjene. Odgovorne države članice definiraju na koja se vozila primjenjuje ta iznimka. Isključivo odgovorne države članice dodjeljuju dozvole za posebne mobilne i fiksne stanice C-ITS-a. CPS vršnih CA-ova ili podređenih CA-a koji u tim državama članicama izdaju certifikate za ta vozila određuju kako se postupak izdavanja certifikata primjenjuje na ta vozila.
(117)Ako pretplatnik upravo prebacuje stanicu C-ITS-a od jednog EA-a drugom EA-u, stanica C-ITS-a može biti registrirana kod dva (slična) EA-a.
(118)Stanica C-ITS-a generira par ključeva za AT (vidjeti odjeljak 6.1.) i izrađuje potpisani zahtjev za AT u skladu s [1]. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1].
(119)Stanica C-ITS-a šalje zahtjev za odobrenje na URL AA-a (tok 32 i tok 26), pri čemu šalje barem informacije koje se zahtijevaju u odjeljku 3.2.3.3. AA i EA provjeravaju odobrenje za svaki zahtjev u skladu s odjeljcima 3.2.6. i 4.2.2.5.
4.2.Obrada zahtjeva za certifikat
4.2.1.Izvršavanje funkcija identifikacije i autentifikacije
4.2.1.1.Identifikacija i autentifikacija vršnih CA-ova
(120)Ovlašteni je zastupnik CPA-a odgovoran za potvrđivanje autentičnosti ovlaštenog zastupnika vršnog CA-a i za odobravanje njegova upisnog postupka u skladu s odjeljkom 3.
4.2.1.2.Identifikacija i autentifikacija TLM-a
(121)Ovlašteni je zastupnik CPA-a odgovoran za potvrđivanje autentičnosti ovlaštenog zastupnika TLM-a i za odobravanje njegova obrasca zahtjeva za upisni postupak u skladu s odjeljkom 3.
4.2.1.3.Identifikacija i autentifikacija EA-a i AA-a
(122)Odgovarajući je vršni CA odgovoran za potvrđivanje autentičnosti ovlaštenog zastupnika EA-a/AA-a i za odobravanje njegova obrasca zahtjeva za upisni postupak u skladu s odjeljkom 3.
(123)Vršni CA potvrđuje EA-u/AA-u da je odobrio obrazac zahtjeva. EA/AA tad može vršnom CA-u poslati zahtjev za certifikat (tok 21 i tok 24), a vršni CA izdaje certifikate odgovarajućem EA-u/AA-u (tok 18 i tok 19).
4.2.1.4.Identifikacija i autentifikacija pretplatnika EE-a
(124)Prije nego što stanica C-ITS-a može zatražiti certifikat EC-a, pretplatnik EE-a sigurnim komunikacijskim kanalom EA-u šalje informacije za identifikaciju stanice C-ITS-a (tok 33). EA provjerava zahtjev i, ako ishod provjere bude uspješan, unosi informacije stanice C-ITS-a u svoju bazu podataka pa to potvrđuje pretplatniku EE-a (tok 35). Ovo provodi proizvođač ili operator i to samo jednom za svaku stanicu C-ITS-a. Nakon što je stanica C-ITS-a registrirana kod EA-a, ona može zatražiti jedan EC certifikat koji joj je potreban (tok 31) u tom trenutku. EA potvrđuje autentičnost i provjerava da su informacije u zahtjevu za EC certifikat valjane za stanicu C-ITS-a,
4.2.1.5.Autorizacijski kuponi
(125)Tijekom zahtjeva za odobrenje (tok 32), u skladu s [1], AA mora potvrditi autentičnost EA-a od kojeg je stanica C-ITS-a dobila svoj EC. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1]. Ako AA ne može potvrditi autentičnost EA-a, zahtjev se odbija (tok 26). AA mora posjedovati certifikat EA-a kako bi potvrdio autentičnost EA-a i provjerio njegov odgovor (tok 25 i tok 23, odjeljak 3.2.5.3.).
(126)EA potvrđuje autentičnost stanice C-ITS-a koja je podnijela zahtjev za AT provjeravanjem njezina EC-a (tok 25 i tok 23).
4.2.2.Odobrenje ili odbijanje zahtjeva za certifikat
4.2.2.1.Odobrenje ili odbijanje certifikata vršnih CA-a
(127)TL unosi/briše certifikate vršnih CA-ova na ECTL/s ECTL-a u skladu s odobrenjem CPA-a (tok 1 i tok 2).
(128)Nakon što primi odobrenje od CPA-a (tok 1), TLM bi trebao provjeriti potpis, informacije i šifriranje certifikata vršnog CA-a. Nakon pozitivnog ishoda provjere i CPA-ova odobrenja TLM unosi odgovarajući vršni certifikat na ECTL i obavješćuje o tome CPA-a (tok 5).
4.2.2.2.Odobrenje ili odbijanje certifikata TLM-a
(129)CPA je odgovoran za odobravanje ili odbijanje certifikata TLM-a
4.2.2.3.Odobrenje ili odbijanje certifikata EA-a i AA-a
(130)Vršni CA provjerava zahtjeve za certifikat podređenog CA-a (tok 21 i tok 24) i odgovarajuća izvješća (koja je izdao ovlašteni revizor za PKI) nakon što ih primi (tok 36, odjeljak 8.) od odgovarajućeg podređenog CA-a vršnog CA-a. Ako je ishod provjere pozitivan, odgovarajući vršni CA izdaje certifikat EA-u/AA-u podnositelju zahtjeva (tok 18 i tok 19), a u suprotnom odbija zahtjev te se EA-u/AA-u ne izdaje nikakav certifikat.
4.2.2.4.Odobrenje ili odbijanje EC-a
(131)EA provjerava i potvrđuje zahtjeve za EC u skladu s odjeljcima 3.2.3.2. i 3.2.5.3.
(132)Ako je zahtjev za certifikat u skladu s [1] ispravan i valjan, EA generira traženi certifikat.
(133)Ako zahtjev za certifikat nije valjan, EA ga odbija i šalje odgovor s razlogom za odbijanje u skladu s [1]. Ako stanica C-ITS-a i dalje želi EC, mora podnijeti novi zahtjev za certifikat. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1].
4.2.2.5.Odobrenje ili odbijanje AT-a
(134)EA provjerava zahtjev za certifikat. AA uspostavlja komunikaciju s EA-om kako bi potvrdio valjanost zahtjeva (tok 25). EA potvrđuje autentičnost stanice C-ITS-a podnositeljice zahtjeva i provjerava ima li pravo dobiti traženi AT u skladu s CP-om (npr. provjeravanjem statusa povlačenja, valjanosti vremena/područja certifikata, dozvola, razina pouzdanosti itd.). EA vraća odgovor na zahtjev za provjeru (tok 23) i, ako je odgovor pozitivan, AA generira traženi certifikat pa ga šalje stanici C-ITS-a. Ako zahtjev za AT nije ispravan ili ako je EA-ov odgovor na zahtjev za provjeru negativan, AA odbija zahtjev. Ako stanica C-ITS-a i dalje traži AT, mora podnijeti novi zahtjev za odobrenje.
4.2.3.Rok za obradu zahtjeva za certifikat
4.2.3.1.Zahtjev za certifikat vršnog CA-a
(135)Identifikacija i autentifikacija u postupku zahtjeva za certifikat provodi se tijekom radnog dana i mora se napraviti u krajnjem roku utvrđenom u CPS-u vršnog CA-a.
4.2.3.2.Zahtjev za certifikat TLM-a
(136)Obrada zahtjeva za certifikat TLM-a mora se napraviti u krajnjem roku utvrđenom u CPS-u TLM-a.
4.2.3.3.Zahtjev za certifikat EA-a i AA-a
(137)Identifikacija i autentifikacija u postupku zahtjeva za certifikat provodi se tijekom radnog dana u skladu sa sporazumom i ugovorom između vršnog CA-a države članice/privatne organizacije i podređenog CA-a. Rok za obradu zahtjeva za certifikat podređenog CA-a ograničen je krajnjim rokom utvrđenim u CPS-u podređenog CA-a.
4.2.3.4.Zahtjev za EC
(138)Obrada zahtjeva za EC mora se napraviti u krajnjem roku utvrđenom u CPS-u EA-a.
4.2.3.5.Zahtjev za AT
(139)Obrada zahtjeva za AT mora se napraviti u krajnjem roku utvrđenom u CPS-u AA-a.
4.3.Izdavanje certifikata
4.3.1.Radnje CA-a u postupku izdavanja certifikata
4.3.1.1.Izdavanje certifikata vršnog CA-a
(140)Vršni CA izdaje svoj samopotpisani certifikat vršnog CA-a, certifikate za povezivanje, certifikate podređenih CA-a i CRL-ove.
(141)Nakon CPA-ova odobrenja (tok 4) vršni CA šalje svoj certifikat TLM-u putem CPOC-a radi dodavanja na ECTL (tok 11 i tok 8) (vidjeti odjeljak 4.1.2.1.). TLM provjerava je li CPA odobrio certifikat (tok 1).
4.3.1.2.Izdavanje certifikata TLM-a
(142)TLM izdaje svoj samopotpisani certifikat TLM-a i certifikat za povezivanje pa ih šalje CPOC-u (tok 6).
4.3.1.3.Izdavanje certifikata EA-a i AA-a
(143)Podređeni CA-ovi generiraju zahtjeve za certifikat i šalju ih odgovarajućem vršnom CA-u (tok 21 i tok 24). Vršni CA provjerava zahtjev i podređenom CA-u izdaje certifikat u skladu s [5] što je prije moguće, kako je utvrđeno u CPS-u za uobičajeni rad, a najkasnije pet radnih dana nakon primanja zahtjeva.
(144)Vršni CA ažurira svoj repozitorij s certifikatima podređenih CA-ova.
4.3.1.4.Izdavanje EC-a
(145)Stanica C-ITS-a EA-u šalje zahtjev za EC u skladu s [1]. EA potvrđuje autentičnost i provjerava da su informacije u zahtjevu za certifikat valjane za stanicu C-ITS-a. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1].
(146)Ako je ishod provjere pozitivan, EA izdaje certifikat u skladu s registracijom stanice C-ITS-a (vidjeti 4.2.1.4.) pa ga šalje stanici C-ITS-a porukom s odgovorom na zahtjev za EC u skladu s [1]. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1].
(147)Ako nema registracije, EA generira kod pogreške pa ga šalje stanici C-ITS-a porukom s odgovorom na zahtjev za EC u skladu s [1]. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1].
(148)Zahtjevi za EC i odgovori na zahtjeve za EC šifriraju se i potpisuju radi autentifikacije i osiguravanja cjelovitosti.
4.3.1.5.Izdavanje AT-a
(149)Stanica C-ITS-a AA-u šalje poruku sa zahtjevom za AT u skladu s [1]. AA EA-u šalje zahtjev za provjeru radi AT-a u skladu s [1]. EA AA-u šalje odgovor na zahtjev za provjeru radi AT-a. Ako je odgovor pozitivan, AA generira AT pa ga šalje stanici C-ITS-a porukom s odgovorom na zahtjev za AT u skladu s [1]. Ako je odgovor negativan, AA generira kod pogreške pa ga šalje stanici C-ITS-a porukom s odgovorom na zahtjev za AT u skladu s [1]. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1].
(150)Zahtjevi za AT i odgovori na zahtjeve za AT šifriraju se (potrebno je samo za mobilne stanice C-ITS-a) radi osiguravanja povjerljivosti i potpisuju radi osiguravanja autentičnosti i cjelovitosti.
4.3.2.CA-ova obavijest pretplatniku o izdavanju certifikata
Nije primjenjivo.
4.4.Prihvaćanje certifikata
4.4.1.Postupak prihvaćanja certifikata
4.4.1.1.Vršni CA
Nije primjenjivo.
4.4.1.2.TLM
Nije primjenjivo.
4.4.1.3.EA i AA
(151)EA/AA provjerava tip certifikata, potpis i informacije na primljenom certifikatu. EA/AA odbacuje svaki certifikat EA-a/AA-a koji nije prošao provjeru ispravnosti i izdaje novi zahtjev.
4.4.1.4.Stanica C-ITS-a
(152)Stanica C-ITS-a provjerava odgovor na zahtjev za EC/AT koji je od EA/AA primila na svoj izvorni zahtjev, uključujući potpis i lanac certifikata. Odbacuje svaki odgovor na zahtjev za EC/AT koji nije prošao provjeru ispravnosti. U takvim slučajevima trebala bi poslati novi zahtjev za EC/AT.
4.4.2.Objavljivanje certifikata
(153)Certifikati TLM-a i certifikati TLM-a za povezivanje stavljaju se na raspolaganje svim sudionicima putem CPOC-a.
(154)CPOC objavljuje certifikate vršnih CA-ova na ECTL-u, koji potpisuje TLM.
(155)Vršni CA objavljuje certifikate podređenih CA-ova (EA-ova i AA-ova).
(156)EC-ovi i AT-ovi se ne objavljuju.
4.4.3.Obavijest o izdavanju certifikata
Ne postoje obavijesti o izdavanju certifikata.
4.5.Upotreba parova ključeva i certifikata
4.5.1.Upotreba privatnih ključeva i certifikata
4.5.1.1.Upotreba privatnih ključeva i certifikata – TLM
(157)TLM upotrebljava svoje privatne ključeve za potpisivanje vlastitih (certifikati TLM-a i certifikati TLM-a za povezivanje) certifikata i ECTL-a.
(158)Sudionici u PKI-ju upotrebljavaju certifikat TLM-a kako bi provjerili ECTL i potvrdili autentičnost TLM-a.
4.5.1.2.Upotreba privatnih ključeva i certifikata – vršni CA-ovi
(159)Vršni CA-ovi upotrebljavaju svoje privatne ključeve za potpisivanje vlastitih certifikata, CRL-a, certifikata za povezivanje i certifikata EA-a/AA-a.
(160)Sudionici u PKI-ju upotrebljavaju certifikate vršnih CA-ova kako bi provjerili povezane certifikate AA-a i EA-a, certifikate za povezivanje, CRL-ove.
4.5.1.3.Upotreba privatnih ključeva i certifikata – EA-ovi i AA-ovi
(161)EA-ovi upotrebljavaju svoje privatne ključeve za potpisivanje EC-ova i za opisivanje zahtjeva za upis.
(162)Certifikati EA-a upotrebljavaju se za provjeravanje potpisa povezanih EC-ova i za šifriranje zahtjeva EE-ova za EC i AT, kako je definirano u [1].
(163)AA-ovi upotrebljavaju svoje privatne ključeve za potpisivanje AT-ova i za šifriranje zahtjeva za AT.
(164)EE-ovi upotrebljavaju certifikate AA-a za provjeravanje potpisa povezanih AT-ova i za šifriranje zahtjeva za AT, kako je definirano u [1].
4.5.1.4.Upotreba privatnih ključeva i certifikata – krajnji subjekt
(165)EE-ovi upotrebljavaju privatni ključ koji odgovara valjanom EC-u za potpisivanje novog zahtjeva za upis, kako je definirano u [1]. Novi privatni ključ upotrebljava se za stvaranje internog potpisa u zahtjevu kako bi se dokazalo posjedovanje privatnog ključa koji odgovara novom javnom ključu u EC-u.
(166)EE-ovi upotrebljavaju privatni ključ koji odgovara valjanom EC-u za potpisivanje zahtjeva za odobrenje, kako je definirano u [1]. Privatni ključ koji odgovara novom AT-u trebao bi se upotrijebiti za stvaranje internog potpisa u zahtjevu kako bi se dokazalo posjedovanje privatnog ključa koji odgovara novom javnom ključu u AT-u.
(167)EE-ovi upotrebljavaju privatni ključ koji odgovara odgovarajućem AT-u za potpisivanje poruka C-ITS-a, kako je definirano u [5].
4.5.2.Upotreba privatnih ključeva i certifikata – pouzdajuće strane
(168)Pouzdajuće strane upotrebljavaju pouzdani lanac certifikata i povezane javne ključeve za namjene iz certifikata i za potvrđivanja autentičnosti pouzdanog zajedničkog identiteta EC-ova i AT-ova.
(169)Certifikati vršnog CA-a, EA-a i AA-a, EC-ovi i AT-ovi ne smiju se upotrebljavati ako pouzdajuća strana ne provede prethodnu provjeru.
4.6.Obnavljanje certifikata
Nije dopušteno.
4.7.Obnavljanje certifikata s novim parom ključeva
4.7.1.Okolnosti za obnavljanje certifikata s novim parom ključeva
(170)Obnavljanje certifikata s novim parom ključeva obavlja se ako je certifikat na kraju životnog vijeka ili ako je privatni ključ na kraju operativnog života, a još uvijek postoji pouzdani odnos s CA-om. U svim se slučajevima generiraju i izdaju novi par ključeva i odgovarajući certifikat.
4.7.2.Tko može zatražiti obnavljanje s novim parom ključeva
4.7.2.1.Vršni CA
(171)Vršni CA ne podnosi zahtjev za obnavljanje s novim parom ključeva. Postupak obnavljanja s novim parom ključeva unutarnji je proces vršnog CA-a jer je njegov certifikat samopotpisan. Vršni CA provodi obnavljanje s novim parom ključeva kad je riječ o certifikatima za povezivanje ili novom izdavanju (vidjeti odjeljak 4.3.1.1.).
4.7.2.2.TLM
(172)TLM ne podnosi zahtjev za obnavljanje s novim parom ključeva. Postupak obnavljanja s novim parom ključeva unutarnji je proces TLM-a jer je njegov certifikat samopotpisan.
4.7.2.3.EA i AA
(173)Zahtjev podređenog CA-a za certifikat mora se podnijeti na vrijeme kako bi se novi certifikat podređenog CA-a i operativni par ključeva podređenog CA-a dobili prije isteka postojećeg privatnog ključa podređenog CA-a. U datumu podnošenja zahtjeva mora se uzeti u obzir i vrijeme potrebno za odobravanje.
4.7.2.4.Stanica C-ITS-a
Nije primjenjivo.
4.7.3.Postupak obnavljanja s novim parom ključeva
4.7.3.1.Certifikat TLM-a
(174)TLM donosi odluku o obnavljanju na temelju zahtjeva iz odjeljaka 6.1. i 7.2. Postupak je detaljno opisan u njegovu CPS-u.
(175)TLM provodi postupak obnavljanja s novim parom ključeva pravovremeno kako bi uzeo u obzir vrijeme potrebno da se novi certifikat TLM-a i certifikat za povezivanje distribuiraju svim sudionicima prije isteka trenutačnog certifikata TLM-a.
(176)TLM se za obnavljanje s novim parom ključeva i za jamčenje pouzdanog odnosa novog samopotpisanog certifikata služi certifikatima za povezivanje. Novogenerirani certifikat TLM-a i certifikat za povezivanje prenose se CPOC-u.
4.7.3.2.Certifikat vršnog CA-a
(177)Vršni CA donosi odluku o obnavljanju na temelju zahtjeva iz odjeljaka 6.1.5. i 7.2. Postupak bi trebao biti detaljno opisan u njegovu CPS-u.
(178)Vršni CA provodi postupak obnavljanja s novim parom ključeva pravovremeno (prije isteka trenutačnog certifikata vršnog CA-a) kako bi uzeo u obzir vrijeme potrebno da se novi certifikat unese na ECTL prije nego što certifikat vršnog CA-a postane valjan (vidjeti odjeljak 5.6.2.). Postupak obnavljanja s novim parom ključeva provodi se certifikatima za povezivanje ili kao u prvom zahtjevu.
4.7.3.3.Certifikati EA-a i AA-a
(179)EA ili AA podnosi zahtjev za novi certifikat na sljedeći način:
Korak
|
Opis
|
Zahtjev za obnavljanje s novim parom ključeva
|
1.
|
Generiranje para ključeva
|
Podređeni CA-ovi (EA-ovi i AA-ovi) generiraju nove parove ključeva u skladu s odjeljkom 6.1.
|
2.
|
Generiranje zahtjeva za certifikat i internog potpisa
|
Podređeni CA generira zahtjev za certifikat na temelju novogeneriranog javnog ključa, uzimajući u obzir shemu imenovanja (subject_info) iz odjeljka 3., potpisni algoritam, dozvole određene usluge (SSP-ovi) i opcionalni dodatni parametar, i generira interni potpis služeći se odgovarajućim novim privatnim ključem. Ako je potreban ključ za šifriranje, podređeni CA mora dokazati i da posjeduje odgovarajući privatni ključ za dešifriranje.
|
3.
|
Generiranje vanjskog potpisa
|
Cijeli se zahtjev potpisuje trenutačno valjanim privatnim ključem radi provjere autentičnosti potpisanog zahtjeva.
|
4.
|
Slanje zahtjeva vršnom CA-u
|
Potpisani zahtjev podnosi se odgovarajućem vršnom CA-u.
|
5.
|
Provjera zahtjeva
|
Odgovarajući vršni CA provjerava cjelovitost i autentičnost zahtjeva. Prvo provjerava vanjski potpis. Ako je ishod provjere pozitivan, provjerava interni potpis. Ako je potrebno dokazati posjedovanje privatnog ključa za dešifriranje, provjerava i to.
|
6.
|
Prihvaćanje ili odbijanje zahtjeva
|
Ako su ishodi svih provjera pozitivni, vršni CA prihvaća zahtjev, ako nisu, odbija ga.
|
7.
|
Generiranje i izdavanje certifikata
|
Vršni CA generira novi certifikat pa ga šalje podređenom CA-u podnositelju zahtjeva.
|
8.
|
Slanje odgovora
|
Podređeni CA šalje poruku sa statusom (je li certifikat primljen) vršnom CA-u.
|
Tablica 3.: Postupak obnavljanja s novim parom ključeva za EA-ove i AA-ove
(180)Vršni CA dužan se pobrinuti da u postupku automatskog obnavljanja s novim parom ključeva za podređene CA-ove podnositelj zahtjeva doista posjeduje svoj privatni ključ. Primjenjuju se odgovarajući protokoli za dokazivanje posjedovanja privatnih ključeva za dešifriranje, na primjer kako je definirano u dokumentima RFC 4210 i RFC 4211. Za ključeve za privatni potpis upotrebljava se interni potpis.
4.7.3.4.Certifikati stanica C-ITS-a
Nije primjenjivo za AT.
4.8.Izmjena certifikata
Nije dopušteno.
4.9.Povlačenje i suspenzija certifikata
Vidjeti odjeljak 7.
4.10.Usluge povezane sa statusom certifikata
4.10.1.Operativne karakteristike
Nije primjenjivo.
4.10.2.Dostupnost usluge
Nije primjenjivo.
4.10.3.Opcionalne karakteristike
Nije primjenjivo.
4.11.Kraj pretplate
Nije primjenjivo.
4.12.Pohrana ključeva kod treće strane i vraćanje pohranjenih ključa
4.12.1.Pretplatnik
4.12.1.1.Koji par ključeva može biti pohranjen kod treće strane
Nije primjenjivo.
4.12.1.2.Tko može podnijeti zahtjev za vraćanje pohranjenih ključeva
Nije primjenjivo.
4.12.1.3.Postupak vraćanja pohranjenih ključeva i dužnosti
Nije primjenjivo.
4.12.1.4.Identifikacija i autentifikacija
Nije primjenjivo.
4.12.1.5.Odobrenje ili odbijanje zahtjeva za vraćanje pohranjenih ključeva
Nije primjenjivo.
4.12.1.6.Radnje tijela za pohranu ključeva kod treće strane (KEA) i tijela za vraćanje pohranjenih ključa (KRA)
Nije primjenjivo.
4.12.1.7.Dostupnost KEA-a i KRA-a
Nije primjenjivo.
4.12.2.Enkapsulacija ključa sesije i pravila i praksa za vraćanje pohranjenih ključeva
Nije primjenjivo.
5.Objekti, upravljanje i operativne mjere
(181)PKI se sastoji od vršnog CA-a, EA-a/AA-a, CPOC-a i TLM-a, uključujući njihove IKT komponente (npr. mreže i poslužitelje).
(182)U ovom se odjeljku subjekt odgovoran za element PKI-ja identificira samim elementom. Drugim riječima, rečenica „CA je odgovoran za provođenje revizije” znači isto što i „subjekt ili osoblje koji upravljaju CA-om odgovorni su za provođenje...”.
(183)Izraz „elementi modela pouzdanosti C-ITS-a” obuhvaća vršni CA, TLM, EA/AA, CPOC i sigurnu mrežu.
5.1.Fizičke sigurnosne mjere
(184)Sve operacije u modelu pouzdanosti C-ITS-a izvršavaju se u fizički zaštićenom okruženju u kojem se odvraća od neovlaštene upotrebe, pristupa ili otkrivanja osjetljivih informacija i sustava te se takva upotreba, pristup ili otkrivanje sprečava i detektira. Elementi modela pouzdanosti C-ITS-a upotrebljavaju fizičke sigurnosne mjere u skladu s normama ISO 27001 i ISO 27005.
(185)Subjekti koji upravljaju elementima modela pouzdanosti C-ITS-a u svojem CPS-u opisuju fizičke, proceduralne i sigurnosne mjere. CPS osobito mora obuhvaćati informacije o fizičkoj lokaciji objekata, izgradnji zgrada i njihovim fizičkim sigurnosnim mjerama kojima jamče kontroliran pristup svim sobama u objektu subjekata modela pouzdanosti C-ITS-a.
5.1.1.Lokacija i izgradnja objekata
5.1.1.1.Vršni CA, CPOC, TLM
(186)Lokacija i izgradnja objekata u kojima su smješteni oprema i podaci vršnog CA-a, CPOC-a i TLM-a (HSM, aktivacijski podaci, pričuvna kopija para ključeva, računalo, dnevnik aktivnosti, skripta za generiranje para ključeva, zahtjev za certifikat itd.) moraju biti u skladu s onima za objekte u kojima se čuvaju vrlo vrijedne i osjetljive informacije. Vršni CA mora raditi u zasebnom fizičkom prostoru koji je odvojen od fizičkih prostora ostalih dijelova PKI-ja.
(187)Vršni CA, CPOC i TLM dužni su uvesti opća pravila i postupke kako bi održavali visoku razinu sigurnosti u fizičkom okruženju u kojem je smještena oprema vršnog CA-a, jamčeći:
·da je oprema izolirana od mreža izvan modela pouzdanosti,
·da je oprema podijeljena u niz perimetara, minimalno dva, čija se sigurnost progresivno povećava,
·da su osjetljivi podaci (HSM, aktivacijski podaci, pričuvna kopija para ključeva itd.) pohranjeni u namjenskom sefu smještenom u namjenskom fizičkom prostoru s višestrukom kontrolom pristupa.
(188)Primijenjene sigurnosne tehnike moraju biti osmišljene tako da izdrže velik broj napada i kombinacija napada. Među tim mehanizmima moraju biti barem:
·perimetarski alarmi, videonadzor, armirani zidovi i detektori kretanja,
·autentifikacija na temelju dva faktora (npr. pametna kartica i PIN) za svaku osobu i iskaznicu pri ulasku u objekte vršnog CA-a i sigurno fizički osigurano područje te pri izlasku iz tih objekata i tog područja.
(189)Vršni CA, CPOC i TLM dužni su osigurati da ovlašteno osoblje kontinuirano nadzire objekt u kojem je smještena oprema, 24 sata dnevno, 7 dana tjedno, 365 dana godišnje. Operativno okruženje (npr. fizički objekt) nikad ne smije biti bez nadzora. Osoblje operativnog okruženja ne smije imati pristup sigurnim područjima vršnog CA-a ili podređenih CA-ova, osim ako je ovlašteno za taj pristup.
5.1.1.2.EA/AA
(190)Primjenjuju se iste odredbe iz odjeljka 5.1.1.1.
5.1.2.Fizički pristup
5.1.2.1.Vršni CA, CPOC, TLM
(191)Oprema i podaci (HSM, aktivacijski podaci, pričuvna kopija para ključeva, računalo, dnevnik aktivnosti, skripta za generiranje para ključeva, zahtjev za certifikat itd.) moraju neprestano biti zaštićeni od neovlaštenog pristupa. Fizički mehanizmi za zaštitu opreme moraju biti barem:
·neprestano ručno ili elektroničko praćenje radi detektiranja neovlaštenog upada,
·jamčenje da nije dopušten nikakav neovlašteni pristup hardveru i aktivacijskim podacima,
·osiguravanje da su svi prenosivi mediji i papiri s osjetljivim nešifriranim tekstualnim informacijama pohranjeni u siguran spremnik,
·osiguravanje da nijedan pojedinac koji nije trajno ovlašten za ulazak ne ulazi u sigurna područja objekta bez nadzora ovlaštenog zaposlenika vršnog CA-a, CPOC-a ili TLM-a,
·osiguravanje da se vodi i periodično pregledava evidencija pristupa,
·osiguravanje minimalno dva sloja sigurnosti, čija se razina sigurnosti progresivno povećava, npr. na razini perimetra, zgrade i operativne sobe,
·zahtijevanje fizičke kontrole pristupa s dvije pouzdane uloge za pristup kriptografskom HSM-u i aktivacijskim podacima.
(192)Mora se provesti sigurnosna provjera objekta s opremom ako se taj objekt treba ostaviti bez nadzora. Provjerava se barem:
·da je oprema u stanju primjerenom trenutačnom načinu rada,
·ako je riječ o dijelovima koji nisu aktivni, da je sva oprema isključena,
·da su svi sigurni spremnici (npr. omotnica otporna na manipulacije, sef itd.) odgovarajuće osigurani,
·da fizički sigurnosni sustavi (npr. brave na vratima, ventilacijske maske, struja) ispravno funkcioniraju,
·da je područje osigurano od neovlaštenog pristupa.
(193)Odvojivi kriptografski moduli moraju se deaktivirati prije skladištenja. Kad se takvi moduli ne upotrebljavaju smješta ih se u sef, kao i aktivacijske podatke za pristup tim modulima ili aktivaciju tih modula. Aktivacijski podaci moraju se ili naučiti napamet ili zabilježiti i pohraniti na način koji odgovara sigurnosti koja se primjenjuje za zaštitu kriptografskog modula. Ti se podaci ne smiju čuvati zajedno s kriptografskim modulom kako bi se spriječilo da samo jedna osoba ima pristup privatnom ključu.
(194)Za provođenje tih provjera izričito se zadužuje osoba ili skupina osoba s pouzdanim ulogama. Ako je zadužena skupina, vodi se evidencija na temelju koje se za svaku provjeru može identificirati osoba koja ju je provela. Ako prisutnost u objektu nije kontinuirana, posljednja osoba koja napusti objekt mora parafirati odjavni dokument s datumom i vremenom te potvrdom da su svi nužni fizički sigurnosni mehanizmi prisutni i aktivirani.
5.1.2.2.EA/AA
(195)Primjenjuju se iste odredbe iz odjeljka 5.1.2.1.
5.1.3.Opskrba energijom i klimatizacija
(196)Sigurni objekti elemenata modela pouzdanosti C-ITS-a (vršni CA, CPOC, TLM, EA i AA) moraju imati pouzdan pristup električnoj energiji kako bi se osigurao rad bez ikakvih kvarova ili tek s manjim kvarovima. Potrebno je imati primarnu i rezervnu instalaciju u slučaju zakazivanja opskrbe vanjskom energijom i kako bi se bez napajanja moglo ispravno isključiti opremu modela pouzdanosti C-ITS-a. Objekti modela pouzdanosti C-ITS-a moraju biti opremljeni ventilacijskim, klimatizacijskim i grijaćim sustavima kako bi se temperaturu i relativnu vlažnost opreme modela pouzdanosti C-ITS-a održavalo u radnom rasponu. CPS elementa modela pouzdanosti C-ITS-a mora detaljno opisivati plan i postupke za ispunjavanje tih zahtjeva.
5.1.4.Izloženost vodi
(197)Sigurni objekti elemenata modela pouzdanosti C-ITS-a (vršni CA, CPOC, TLM, EA i AA) moraju biti zaštićeni tako da se izloženost vodi svede na najmanju moguću mjeru. Zbog toga se izbjegava blizina vodovodnih i kanalizacijskih cijevi. CPS elementa modela pouzdanosti C-ITS-a mora detaljno opisivati plan i postupke za ispunjavanje tih zahtjeva.
5.1.5.Sprečavanje i zaštita od požara
(198)Kako bi se spriječila štetna izloženost vatri i dimu, sigurni objekti elemenata modela pouzdanosti C-ITS-a (vršni CA, CPOC, TLM, EA i AA) moraju biti sagrađeni i opremljeni na primjeren način te se moraju uvesti postupci za uklanjanje opasnosti povezanih s vatrom. Mediji se moraju pohranjivati u prikladne spremnike otporne na vatru.
(199)Sigurni elementi modela pouzdanosti C-ITS-a moraju štititi fizičke medije s pričuvnim kopijama podataka kritičnih sustava ili bilo kojih drugih osjetljivih informacija od opasnosti iz okoliša, neovlaštene upotrebe, pristupa ili otkrivanja. CPS elementa modela pouzdanosti C-ITS-a mora detaljno opisivati plan i postupke za ispunjavanje tih zahtjeva.
5.1.6.Upravljanje medijima
(200)S medijima koje upotrebljavaju elementi modela pouzdanosti C-ITS-a (vršni CA, CPOC, TLM, EA i AA) mora se sigurno postupati kako bi ih se zaštitilo od oštećenja, krađe i neovlaštenog pristupa. Moraju se uvesti postupci za upravljanje medijima kako bi mediji bili zaštićeni od zastarijevanja i pogoršanja stanja tijekom razdoblja u kojem se zapisi na njima moraju čuvati.
(201)Nužno je zaštititi osjetljive podatke od opasnosti da im se pristupi zbog ponovnog korištenja sredstva za pohranu (npr. ako se pristupi izbrisanim datotekama), čime bi osjetljivi podaci postali dostupni neovlaštenim korisnicima.
(202)Mora se održavati popis svih bitnih informacija te izraditi zahtjeve za zaštitu tih informacija koji su u skladu s analizom rizika. CPS elementa modela pouzdanosti C-ITS-a mora detaljno opisivati plan i postupke za ispunjavanje tih zahtjeva.
5.1.7.Zbrinjavanje otpada
(203)Elementi modela pouzdanosti C-ITS-a (vršni CA, CPOC, TLM, EA i AA) moraju uvesti postupke za sigurno i nepovratno zbrinjavanje otpada (papira, medija i drugog otpada) kako bi spriječili da otpad s povjerljivim/privatnim informacijama bude izložen neovlaštenoj upotrebi, pristupu ili otkrivanju. Svi mediji koji se upotrebljavaju za pohranu osjetljivih informacija, kao što su ključevi i aktivacijski podaci ili datoteke, moraju se uništiti prije nego što ih se pošalje na zbrinjavanje. CPS elementa modela pouzdanosti C-ITS-a mora detaljno opisivati plan i postupke za ispunjavanje tih zahtjeva.
5.1.8.Pričuvna kopija na drugoj lokaciji
5.1.8.1.Vršni CA, CPOC i TLM
(204)Za dijelove vršnog CA-a, CPOC-a i TLM-a rade se potpune pričuvne kopije, dovoljne za oporavak od kvara sustava i koje nisu povezane s mrežom, nakon svakog uvođenja vršnog CA-a, CPOC-a i TLM-a i nakon svake generacije novog para ključeva. Redovito se rade pričuvne kopije ključnih poslovnih informacija (par ključeva i CRL) i softvera. Osiguravaju se primjereni objekti za pričuvne kopije kako bi se osiguralo da se može doći do svih ključnih poslovnih informacija i softvera nakon katastrofe ili neispravnosti medija. Mehanizmi za izradu pričuvnih kopija za pojedinačne sustave moraju se redovito testirati kako bi se osiguralo da ispunjavaju zahtjeve iz plana za kontinuitet poslovanja. Najmanje jedna potpuna pričuvna kopija čuva se na drugoj lokaciji (oporavak od katastrofe). Pričuvna kopija pohranjuje se na lokaciji s fizičkim i proceduralnim mjerama koje odgovaraju onima koje se primjenjuju za operativni sustav u PKI-ju.
(205)Na podatke pričuvne kopije primjenjuju se isti zahtjevi za pristup kao i na operativne podatke. Podaci pričuvne kopije moraju se šifrirati i pohranjivati na drugoj lokaciji. Ako se dogodi potpuni gubitak podataka, informacije potrebne za osposobljavanje rada vršnog CA-a, CPOC-a i TLM-a u cijelosti se vraćaju iz podataka pričuvne kopije.
(206)Za podatke privatnih ključeva vršnog CA-a, CPOC-a i TLM-a pričuvne se kopije ne mogu raditi standardnim mehanizmom za izradu pričuvnih kopija, nego se mora upotrebljavati funkcija za izradu pričuvnih kopija u kriptografskom modulu.
5.1.8.2.EA/AA
(207)Postupci opisani u odjeljku 5.1.8.1. primjenjuju se na ovaj odjeljak.
5.2.Proceduralne mjere
U ovom se odjeljku opisuju zahtjevi za uloge, dužnosti i identifikaciju osoblja.
5.2.1.Pouzdane uloge
(208)Zaposlenici, vanjski izvođači i konzultanti kojima se dodjeljuju pouzdane uloge smatraju se „pouzdanim osobama”. Osobe koje žele dobiti status pouzdane osobe kako bi dobile pozicije pouzdanosti moraju ispunjavati zahtjeve za provjeru utvrđene u ovoj politici upravljanja certifikatima.
(209)Pouzdane osobe imaju pristup ili kontrolu nad operacijama autentifikacije ili kriptografiranja koje bitno utječu na:
·provjeravanje informacija iz zahtjeva za certifikat,
·prihvaćanje, odbijanje i druge obrade zahtjeva za izdavanje, povlačenje ili obnavljanje certifikata,
·izdavanje ili povlačenje certifikata, što uključuje osoblje s pristupom ograničenim dijelovima repozitorija i rad s pretplatničkim informacijama ili zahtjevima.
(210)Pouzdane uloge uključuju, među ostalim:
·službu za korisnike,
·administraciju sustava,
·ovlaštene inženjerske zadatke,
·upravitelje zadužene za upravljanje infrastrukturalnom pouzdanošću.
(211)CA u svom CPS-u jasno opisuje sve pouzdane uloge.
5.2.2.Potreban broj osoba po zadatku
(212)Elementi modela pouzdanosti C-ITS-a uspostavljaju, održavaju i primjenjuju stroge kontrolne postupke kako bi osigurali razdvojenost dužnosti koje se temelje na pouzdanim ulogama i to da je za izvršavanje osjetljivih zadataka potrebno više pouzdanih osoba. Elementi modela pouzdanosti C-ITS-a (vršni CA, CPOC, TLM, EA i AA) moraju ispunjavati zahtjeve iz [4] i zahtjeve iz sljedećih stavaka.
(213)Moraju postojati opća pravila i kontrolni postupci kako bi se osigurala razdvojenost dužnosti na temelju radne odgovornosti. Za najosjetljivije zadatke, kao što su pristup kriptografskom hardveru (HSM) CA-a i materijalima povezanim s ključevima tog hardvera te upravljanje tim hardverom i materijalima, mora biti potrebno odobrenje više pouzdanih osoba.
(214)Ti se interni kontrolni postupci moraju osmisliti tako da se zajamči da su za fizički ili logički pristup uređaju potrebne najmanje dvije pouzdane osobe. Višestruke pouzdane osobe moraju strogo primjenjivati ograničenja pristupa kriptografskom hardveru CA-a tijekom cijela njegova radnog vijeka, od primanja i pregleda u trenutku njegova dolaska do konačnog logičkog i/ili fizičkog uništenja tog hardvera. Nakon što je modul aktiviran operativnim ključevima, primjenjuju se dodatne kontrole pristupa kako bi se održavala podijeljena kontrola nad fizičkim i logičkim pristupom uređaju.
5.2.3.Identifikacija i autentifikacija za svaku ulogu
(215)Sve osobe kojima je dodijeljena uloga, kako je opisano u ovom CP-u, moraju biti identificirane i autentificirane kako bi se zajamčilo da im uloga omogućava obavljanje njihovih dužnosti u PKI-ju.
(216)Elementi modela pouzdanosti C-ITS-a provjeravaju i potvrđuju identitet i ovlaštenja svakog člana osoblja koji želi dobiti status pouzdane osobe prije nego što se toj osobi:
·izdaju uređaji za pristup i odobri pristup potrebnim objektima,
·dodijele elektroničke vjerodajnice za pristup sustavima CA-a i obavljanje specifičnih funkcija u tim sustavima.
(217)U CPS-u se opisuju mehanizmi za identifikaciji i autentifikaciju pojedinaca.
5.2.4.Uloge za koje je potrebna razdvojenost dužnosti
(218)Uloge za koje je potrebna razdvojenost dužnosti obuhvaćaju, između ostalog:
·prihvaćanje, odbijanje i povlačenje zahtjeva za certifikat i druge obrade zahtjeva za certifikat CA-a,
·generiranje, izdavanje i uništavanje certifikata CA-a.
(219)Razdvojenost dužnosti može se primjenjivati pomoću opreme PKI-ja, postupcima ili na oba ta načina. Bez odobrenja vršnog CA-a nijednom se pojedincu ne smije dodijeliti više od jednog identiteta.
(220)Dio vršnog CA-a i CA-a koji se bavi generiranjem certifikata i upravljanjem povlačenjem certifikata mora biti neovisan u odnosu na druge organizacije u pogledu odluka o uspostavljanju, pružanju, održavanju i suspendiranju u skladu s primjenjivom politikom upravljanja certifikatima. Konkretno, više rukovodstvo, rukovodstvo i osoblje s pouzdanim ulogama ne smiju biti ni pod kakvim komercijalnim, financijskim i drugim pritiscima koji bi mogli negativno utjecati na pouzdavanje u pružane usluge.
(221)EA i AA koji služe mobilnim stanicama C-ITS-a moraju biti odvojeni operativni subjekti s odvojenim informatičkim infrastrukturama i timovima za informatičko upravljanje. EA i AA ne smiju, u skladu s GDPR-om, razmjenjivati osobne podatke, osim za potrebe odobravanja zahtjeva za AT. Podatke koji se odnose na odobravanje zahtjeva za AT prenose isključivo protokolom za provjeru odobrenja iz [1] služeći se namjenskim sigurnim sučeljem. Smiju se upotrebljavati drugi protokoli ako su provedene odredbe iz [1].
(222)Datoteke dnevnika aktivnosti koje EA i AA čuvaju smiju se upotrebljavati samo za povlačenje EC-ova neispravnog rada na temelju presretenih zlonamjernih CAM-ova/DENM-ova. Nakon što se utvrdi da je CAM/DENM zlonamjeran, AA će potražiti ključ AT-a za provjeru u dnevniku izdavanja i EA-u podnijeti zahtjev za povlačenje sa šifriranim potpisom pod privatnim ključem EC-a koji je upotrijebljen u izdavanju AT-a. Sve datoteke dnevnika aktivnosti moraju se primjereno štititi od pristupa neovlaštenih strana te ih se ne smije dijeliti s drugim subjektima ili tijelima.
Napomena: U doba kad je ova verzija CP-a sastavljana nije definiran koncept funkcije za detekciju neispravnog rada. U budućim revizijama politike planira se razmotriti definiranje koncepta funkcije za detekciju neispravnog rada.
5.3.Provjere osoblja
5.3.1.Zahtjevi za osoblje s obzirom na kvalifikacije, iskustvo i sigurnosnu provjeru
(223)Elementi modela pouzdanosti C-ITS-a moraju zapošljavati dovoljan broj osoblja sa stručnim znanjem, iskustvom i kvalifikacijama potrebnima za funkcije radnog mjesta i ponuđene usluge. Osoblje u PKI-ju te zahtjeve mora ispunjavati u obliku formalne izobrazbe i isprava, stvarnog iskustva ili kombinacije ta dva načina. Pouzdane se uloge i dužnosti, kako su utvrđene u CPS-u, dokumentiraju u opisu radnih mjesta i jasno definiraju. Osoblje podizvođača u PKI-ju mora imati definiran opis radnih mjesta kako bi se osigurala razdvojenost dužnosti i ovlaštenja, a osjetljivost položaja utvrđuje se na temelju dužnosti i razina pristupa, provjere podobnosti te izobrazbe i znanja zaposlenika.
5.3.2.Postupci za provjeru podobnosti
(224)Elementi modela pouzdanosti C-ITS-a vrše provjeru podobnosti osoba koje žele dobiti status pouzdane osobe. Osoblje na pozicijama pouzdanosti ponovno se podvrgava provjeri podobnosti najmanje jednom svakih pet godina.
(225)Među čimbenicima utvrđenima u provjeri podobnosti koji se mogu smatrati temeljem za odbijanje kandidata za pozicije pouzdanosti ili za poduzimanje mjera protiv postojeće pouzdane osobe su, između ostalog:
·kandidat ili pouzdana osoba pogrešno je prikazao činjenice,
·vrlo negativne ili nepouzdane profesionalne reference,
·osude za neka kaznena djela,
·indicije o nedovoljnoj financijskoj odgovornosti.
(226)Izvješća s takvim informacijama ocjenjuje osoblje kadrovske službe, koje poduzima razumne korake s obzirom na vrstu, razmjere i učestalost ponašanja utvrđenog u provjeri podobnosti. Te mjere mogu uključivati i povlačenje ponude za posao kandidatima za pozicije pouzdanosti ili davanje otkaza postojećim pouzdanim osobama. Na upotrebu informacija utvrđenih u provjeri podobnosti kao temelja za takve mjere primjenjuje se mjerodavno pravo.
(227)Provjera podobnosti osoba koje žele dobiti status pouzdane osobe uključuje, između ostalog:
·potvrdu prethodnog zaposlenja,
·provjeru profesionalnih referenci koje obuhvaćaju njihova radna mjesta u razdoblju od najmanje pet godina,
·potvrdu najvišeg ili najrelevantnijeg postignutog stupnja obrazovanja,
·pretraživanje u kaznenoj evidenciji.
5.3.3.Zahtjevi u pogledu osposobljavanja
(228)Elementi modela pouzdanosti C-ITS-a moraju svojem osoblju osigurati potrebno osposobljavanje kako bi to osoblje moglo stručno i zadovoljavajuće ispunjavati odgovornosti koje se odnose na rad CA-a.
(229)Programi osposobljavanja periodično se preispituju, a u osposobljavanju se uzimaju u obzir teme koje se odnose na funkcije koje osoblje obavlja.
(230)Programi osposobljavanja uzimaju u obzir teme relevantne za konkretno okruženje osobe koja ih pohađa, među ostalim:
·sigurnosna načela i mehanizme elemenata modela pouzdanosti C-ITS-a,
·korištene verzije hardvera i softvera,
·sve dužnosti za koje se očekuje da će ih osoba obavljati te unutarnje i vanjske postupke i slijedove izvješćivanja,
·poslovne procese i radne tokove u PKI-ju,
·rješavanje incidenata i kompromitirane sigurnosti,
·postupke za oporavak od katastrofe i poslovni kontinuitet,
·dovoljno informatičko znanje.
5.3.4.Učestalost osposobljavanja za obnovu znanja i zahtjevi
(231)Osobe kojima su dodijeljene pouzdane usluge moraju neprestano obnavljati znanje stečeno na osposobljavanju, što se čini u okruženju za osposobljavanje. Osposobljavanje se mora ponoviti svaki put kad se zaključi da je to nužno, a najmanje jednom svake dvije godine.
(232)Elementi modela pouzdanosti C-ITS-a moraju svojem osoblju osigurati osposobljavanje za obnovu znanja i za upoznavanje s promjenama u onoj mjeri i onom učestalošću koja je potrebna kako bi se osiguralo da to osoblje zadrži razinu stručnosti potrebnu kako bi to osoblje stručno i zadovoljavajuće ispunjavalo odgovornosti svojih radnih mjesta.
(233)Pojedinci u pouzdanim ulogama moraju biti svjesni promjena u radu PKI-ja, kako je primjenjivo. Nakon svake znatne promjene u tom radu mora se napraviti plan osposobljavanja te se dokumentira izvršavanje tog plana.
5.3.5.Učestalost i slijed rotacije na radnim mjestima
(234)Nije propisano sve dok postoje tehničke vještine, iskustvo i prava pristupa. Administratori elemenata modela pouzdanosti C-ITS-a dužni su se pobrinuti da promjene osoblja ne utječu na sigurnost sustava.
5.3.6.Sankcije za neovlaštene radnje
(235)Svaki element modela pouzdanosti C-ITS-a mora izraditi formalni disciplinski postupak kako bi osigurao da se neovlaštene radnje primjereno sankcioniraju. U najozbiljnijim slučajevima oduzimaju se dodijeljene uloge i povezana ovlaštenja.
5.3.7.Zahtjevi za vanjske izvođače
(236)Elementi modela pouzdanosti C-ITS-a mogu dopustiti vanjskim izvođačima ili konzultantima da dobiju status pouzdane osobe u mjeri u kojoj je to potrebno kako bi se uspostavio jasno definiran odnos eksternalizacije i to pod uvjetom da subjekt smatra izvođače ili konzultante pouzdanima jednako kao da su njegovi zaposlenici i da ti izvođači odnosno konzultanti ispunjavaju zahtjeve koji se primjenjuju na zaposlenike.
(237)U suprotnom vanjski izvođači i konzultanti smiju imati pristup sigurnim objektima C-ITS PKI-ja samo ako ih prate i izravno nadziru pouzdane osobe.
5.3.8.Dokumentacija za osoblje
(238)Elementi modela pouzdanosti C-ITS-a pružaju svojem osoblju potrebno osposobljavanje i pristup dokumentaciji kako bi moglo stručno i zadovoljavajuće ispunjavati odgovornosti svojih radnih mjesta.
5.4.Postupci za vođenje revizijskih dnevnika aktivnosti
(239)U ovom se odjeljku utvrđuju zahtjevi s obzirom na vrste događaja koji se moraju bilježiti i na upravljanje revizijskim dnevnicima aktivnosti.
5.4.1.Vrste događaja koje svaki CA mora bilježiti i prijavljivati
(240)Predstavnik CA-a redovito pregledava dnevnike aktivnosti, događaje i postupke CA-a.
(241)Elementi modela pouzdanosti C-ITS-a moraju bilježiti sljedeće vrste događaja (ako je primjenjivo):
·fizički pristup objektu – bilježi se pristup fizičkih osoba objektu čuvanjem zahtjeva za pristup na temelju pametnih kartica. Svaki put kad nastane zapis izradi se i jedan događaj,
·upravljanje pouzdanim ulogama – bilježi se svaka promjena definicije i razine pristupa neke uloge, uključujući promjene atributa uloge. Svaki put kad nastane zapis nastane jedan događaj,
·logički pristup – događaj nastaje kad neki subjekt (npr. program) ima pristup osjetljivim područjima (tj. mrežama i poslužiteljima),
·upravljanje pričuvnim kopijama – događaj nastaje svaki put kad se dovrši izrada pričuvne kopije, neovisno o uspješnosti,
·upravljanje dnevnikom aktivnosti – snimaju se dnevnici aktivnosti. Događaj nastaje kad veličina dnevnika prijeđe određeni prag,
·podaci iz postupka autentifikacije za pretplatnike i elemente modela pouzdanosti C-ITS-a – događaji nastaju za svaki zahtjev za autentifikaciju koji pretplatnici i elementi modela pouzdanosti C-ITS-a podnesu,
·prihvaćanje i odbijanje zahtjeva za certifikat, uključujući izradu i obnavljanje certifikata – periodički nastaje događaj s popisom prihvaćenih i odbijenih zahtjeva za certifikat u prethodnih sedam dana,
·registracija proizvođača – događaj nastaje kad se proizvođač registrira,
·registracija stanice C-ITS-a – događaj nastaje kad se stanica C-ITS-a registrira,
·upravljanje HSM-om – događaj nastaje kad se zabilježi povreda sigurnosti HSM-a,
·upravljanje IT-om i mrežom, ako se odnosi na sustave u PKI-ju – događaj nastaje kad se poslužitelj u PKI-ju isključi ili ponovno pokrene,
·upravljanje sigurnošću (uspješni i neuspješni pokušaji pristupa sustavu u PKI-ju, obavljene radnje u PKI-ju i sigurnosnom sustavu, promjene sigurnosnih profila, rušenja sustava, hardverski kvarovi i druge anomalije, aktivnosti vatrozida i rutera, ulasci u objekte PKI-ja i izlasci iz objekata PKI-ja),
·podaci povezani s događajem čuvaju se najmanje pet godina, osim ako se primjenjuju dodatna nacionalna pravila.
(242)U skladu s GDPR-om zapisi revizijskih dnevnika ne smiju omogućiti pristup podacima povezanima s privatnošću koji se odnose na stanice C-ITS-a u privatnim vozilima.
(243)Kad god je moguće, automatski se prikupljaju revizijski dnevnici sigurnosnih aktivnosti. Ako to nije moguće, upotrebljava se dnevnik u papirnatom obliku ili na temelju nekog drugog fizičkog mehanizma. Svi revizijski dnevnici sigurnosnih aktivnosti, elektronički i neelektronički, moraju se čuvati i staviti na raspolaganje tijekom revizija sukladnosti.
(244)Svaki događaj koji se odnosi na životni vijek certifikata bilježi se tako da se može povezati s osobom koja ga je uzrokovala. Svi podaci koji se odnose na osobni identitet moraju se šifrirati i zaštititi od neovlaštenog pristupa.
(245)Svaki zapis dnevnika mora sadržavati barem sljedeće (zabilježeno ručno ili automatski za svaki događaj koji se može pregledati):
·vrstu događaja (kao na prethodnom popisu),
·pouzdani datum i vrijeme kad se događaj dogodio,
·ishod događaja – uspjeh ili neuspjeh ako je primjenjivo,
·identitet subjekta i/ili operatora koji je uzrokovao događaj ako je primjenjivo,
·identitet subjekta prema kojem je događaj usmjeren.
5.4.2.Učestalost obrade dnevnika aktivnosti
(246)Revizijski dnevnici pregledavaju se zbog upozorenja na temelju nepravilnosti i incidenata u sustavu CA-a te uz to periodično jednom godišnje.
(247)Obrada revizijskih dnevnika sastoji se od pregleda dnevnika i dokumentiranja razloga za sve važne događaje u sažetku dnevnika. Pregled dnevnika za reviziju mora sadržavati provjeru da nije bilo nedopuštenih zahvata na dnevnicima, pregled svih zapisa u dnevnicima i istraživanje svakog upozorenja i svake nepravilnosti u dnevnicima. Mjere poduzete na temelju pregleda dnevnika za reviziju moraju se dokumentirati.
(248)Revizijski dnevnik arhivira se barem jednom tjedno. Administrator je dužan ručno arhivirati revizijski dnevnik ako je slobodan prostor na disku za dnevnik manji od očekivane količine novih podataka za taj tjedan.
5.4.3.Razdoblje čuvanja revizijskih dnevnika aktivnosti
(249)Zapisi dnevnika koji se odnose na životni vijek certifikata čuvaju se najmanje pet godina od isteka odgovarajućeg certifikata.
5.4.4.Zaštita revizijskih dnevnika aktivnosti
(250)Integritet i povjerljivost revizijskih dnevnika jamči se mehanizmom kontrole pristupa na temelju uloga. Internim revizijskim dnevnicima mogu pristupati samo administratori, a revizijskim dnevnicima koji se odnose na životni vijek certifikata mogu pristupati i korisnici s odgovarajućim ovlaštenjem na temelju internetske stranice s korisničkom prijavom. Pristup se mora odobravati na temelju višekorisničke (najmanje dva korisnika) i barem dvostupanjske autentifikacije. Moraju postojati tehničke mjere kojima se korisnicima onemogućuje pristup datotekama njihovih dnevnika.
(251)Svaki zapis u dnevniku potpisuje se ključevima iz HSM-a.
(252)Dnevnici događaja s informacijama na temelju kojih je moguća osobna identifikacija, kao što je privatno vozilo, moraju se šifrirati tako da ih samo ovlaštene osobe mogu čitati.
(253)Događaji se unose u dnevnike tako da ih se ne može lako izbrisati ili uništiti (osim radi prijenosa na dugotrajne medije) u roku u kojem se dnevnici moraju čuvati.
(254)Dnevnici se zaštićuju tako da budu čitljivi tijekom cijelog razdoblja čuvanja.
5.4.5.Postupci za izradu pričuvnih kopija revizijskih dnevnika aktivnosti
(255)Za revizijske dnevnike i njihove sažetke izrađuju se pričuvne kopije mehanizmima poduzeća za izradu pričuvnih kopija, čime upravljaju ovlaštene pouzdane uloge, odvojenima od izrade relevantnih dijelova izvornih materijala. Pričuvne kopije dnevnika za reviziju moraju se štititi na jednakoj razini pouzdanosti koja se primjenjuje na izvorne dnevnike.
5.4.6.Sustav za prikupljanje podataka za reviziju (unutarnji ili vanjski)
(256)Oprema elemenata modela pouzdanosti C-ITS-a aktivira procese za prikupljanje podataka za reviziju u trenutku pokretanja sustava i deaktivira ih tek u trenutku isključivanja sustava. Ako procesi za prikupljanje podataka za reviziju nisu dostupni, element modela pouzdanosti C-ITS-a obustavlja svoj rad.
(257)Na kraju svakog operativnog razdoblja i kod svakog obnavljanja certifikata s novim parom ključeva zbirni status opreme prijavljuje se upravitelju operacija i upravljačkom tijelu za operacije odgovarajućeg elementa PKI-ja.
5.4.7.Obavijest predmetu koji je uzrokovao događaj
(258)Kad sustav za prikupljanje podataka za reviziju zabilježi događaj, sustav jamči da je događaj povezan s pouzdanom ulogom.
5.4.8.Procjena ranjivosti
(259)Uloga zadužena za provođenje revizije i uloge zadužene za rad sustava u PKI-ju u elementima modela pouzdanosti C-ITS-a moraju objasniti sve značajne događaje u sažetku dnevnika. Ti pregledi sadržavaju provjeru da nije bilo nedopuštenih zahvata na dnevnicima i da nema prekida u slijedu događaja ili nekog drugog gubitka podataka u dnevniku, a zatim slijedi kratak pregled svih zapisa u dnevnicima i temeljitije istraživanje svih upozorenja i nepravilnosti zabilježenih u dnevnicima. Mjere poduzete na temelju tih pregleda moraju se dokumentirati.
(260)Elementi modela pouzdanosti C-ITS-a dužni su:
·uvesti organizacijske i/ili tehničke mjere za detekciju i prevenciju pod kontrolom elemenata modela pouzdanosti C-ITS-a kako bi zaštitili sustave u PKI-ju od virusa i zlonamjernog softvera,
·dokumentirati i primjenjivati proces za uklanjanje ranjivih točaka u okviru kojeg se ranjive točke identificiraju, pregledavaju, rješavaju i ispravljaju,
·podvrgnuti se potrazi ili provesti potragu za ranjivim točkama:
·nakon svake promjene sustava ili mreže za koju elementi modela pouzdanosti C-ITS-a odrede da je važna za komponentu PKI-ja, i
·barem jednom mjesečno na javnim i privatnim IP adresama koje CA i CPOC prepoznaju kao sustave u PKI-ju,
·podvrgnuti se penetracijskom testu sustava u PKI-ju barem jednom godišnje i nakon modernizacije ili promjene infrastrukture ili aplikacija za koju elementi modela pouzdanosti C-ITS-a odrede da je važna za komponentu PKI-ja,
·za sustave povezane s internetom zabilježiti dokaze da je svaku potragu za ranjivim točkama i svaki penetracijski test proveo subjekt ili osoba (ili skupina subjekata i osoba) s vještinama, alatima, stručnošću, etičkim načelima i neovisnošću nužnima za pouzdano provođenje tih ispitivanja,
·pratiti i ispraviti ranjive točke u skladu s kiberpolitikom poduzeća i metodologijom poduzeća za ublažavanje rizika.
5.5.Arhiviranje zapisa
5.5.1.Vrste arhiviranih zapisa
(261)Elementi modela pouzdanosti C-ITS-a pohranjuju dovoljno detaljne zapise za utvrđivanje valjanosti potpisa i osiguravanje ispravnog rada PKI-ja. Arhiviraju se barem sljedeći zapisi o događajima u PKI-ju (ako je primjenjivo):
·evidencija pristupa fizičkim objektima elemenata modela pouzdanosti C-ITS-a (najmanje jednu godinu),
·evidencija upravljanja pouzdanim ulogama za elemente modela pouzdanosti C-ITS-a (najmanje deset godina),
·evidencija pristupa informatičkim sustavima za elemente modela pouzdanosti C-ITS-a (najmanje pet godina),
·evidencija izrade, upotrebe i uništenja ključeva CA-a (najmanje pet godina) (ne za TLM i CPOC),
·evidencija izrade, upotrebe i uništenja certifikata (najmanje dvije godine),
·evidencija zahtjeva za CPA (najmanje dvije godine),
·evidencija aktivacijskih podataka za elemente modela pouzdanosti C-ITS-a (najmanje pet godina),
·evidencija događaja u informatičkim sustavima i mrežama elemenata modela pouzdanosti C-ITS-a (najmanje pet godina),
·dokumentacija PKI-ja za elemente modela pouzdanosti C-ITS-a (najmanje pet godina),
·izvješće o sigurnosnim incidentima i reviziji za elemente modela pouzdanosti C-ITS-a (najmanje deset godina),
·oprema sustava, softver i konfiguracija sustava (najmanje pet godina).
(262)Elementi modela pouzdanosti C-ITS-a čuvaju sljedeću dokumentaciju koja se odnosi na zahtjeve za certifikat i njihovu provjeru i na sve certifikate TLM-a, vršnih CA-ova i CA-ova i njihove CRL-ove najmanje sedam godina nakon što bilo koji certifikat iz te dokumentacije prestane biti valjan:
·revizijsku dokumentaciju PKI-ja koju čuvaju elementi modela pouzdanosti C-ITS-a,
·dokumente CPS-a koje čuvaju elementi modela pouzdanosti C-ITS-a,
·ugovor između CPA-a i drugih subjekata koji čuvaju elementi modela pouzdanosti C-ITS-a,
·certifikate (ili druge informacije o povlačenju) koje čuvaju CA i TLM,
·zapise o zahtjevima za certifikat u sustavu vršnog CA-a (nije primjenjivo na TLM),
·druge podatke ili zahtjeve dovoljne za provjeru sadržaja arhive,
·sav rad koji se odnosi na elemente modela pouzdanosti C-ITS-a, rad tih elemenata i rad revizora sukladnosti.
(263)Subjekt CA-a čuva svu dokumentaciju koja se odnosi na zahtjeve za certifikat i njihovu provjeru i sve certifikate i njihova povlačenja najmanje sedam godina nakon što bilo koji certifikat iz te dokumentacije prestane biti valjan.
5.5.2.Razdoblje čuvanja arhive
(264)Ne dovodeći u pitanje propise koji zahtijevaju dulje arhivsko razdoblje, elementi modela pouzdanosti C-ITS-a čuvaju sve zapise najmanje pet godina nakon isteka odgovarajućeg certifikata.
5.5.3.Zaštita arhive
(265)Elementi modela pouzdanosti C-ITS-a pohranjuju arhivu sa zapisima u sigurno spremište koje je odvojeno od opreme CA-a i čije su fizičke i proceduralne sigurnosne mjere barem na razini mjera PKI-ja.
(266)Arhiva se štiti od neovlaštenog pregledavanja, izmjena, brisanja i drugih neovlaštenih zahvata pohranom u pouzdan sustav.
(267)Mediji s arhivskim podacima i aplikacije potrebne za pristup tim podacima moraju se održavati kako bi se osiguralo da se podacima može pristupiti u razdoblju utvrđenom u ovom CP-u.
5.5.4.Arhiva sustava i pohrana
(268)Elementi modela pouzdanosti C-ITS-a svakodnevno izrađuju inkrementalne pričuvne kopije sustava s takvim informacijama i tjedno izrađuju potpune pričuvne kopije. Papirnate kopije zapisa čuvaju se u sigurnom objektu na drugoj lokaciji.
5.5.5.Zahtjevi za stavljanje vremenskog žiga na zapise
(269)Elementi modela pouzdanosti C-ITS-a koji upravljaju bazom podataka o povlačenju moraju osigurati da zapisi sadržavaju informacije o datumu i vremenu nastanka zapisa o povlačenju. Cjelovitost takvih informacija temelji se na kriptografskim rješenjima.
5.5.6.Sustav za prikupljanje podataka za arhivu (unutarnji ili vanjski)
(270)Sustav za prikupljanje podataka za arhivu je unutarnji.
5.5.7.Postupci za dobivanje informacija iz arhive i za provjeravanje informacija u arhivi
(271)Svi elementi modela pouzdanosti C-ITS-a pristup arhivi dopuštaju samo ovlaštenim pouzdanim osobama. Vršni CA-ovi i CA-ovi u svojim CPS-ovima opisuju postupke za izradu, provjeru, pakiranje, slanje i pohranu arhivskih informacija.
(272)Prije vraćanja arhiviranih informacija u operativni sustav oprema vršnih CA-ova i CA-ova mora provjeriti cjelovitost tih informacija.
5.6.Prebacivanje ključeva za elemente modela pouzdanosti C-ITS-a
(273)Sljedeći elementi modela pouzdanosti C-ITS-a imaju posebne zahtjeve za prebacivanje ključeva: certifikati TLM-a, vršnog CA-a i EA-a/AA-a.
5.6.1.TLM
(274)TLM briše svoje privatne ključeve kad odgovarajući certifikat istekne. Generira novi par ključeva i odgovarajući certifikat TLM-a prije deaktivacije trenutačno valjanog privatnog ključa. TLM pazi da je novi certifikat (za povezivanje) unesen na ECTL na vrijeme da ga se distribuira svim stanicama C-ITS-a prije nego što postane valjan. Certifikat za povezivanje i novi samopotpisani certifikat prenose se CPOC-u.
5.6.2.Vršni CA
(275)Vršni CA deaktivira i briše svoj postojeći privatni ključ (uključujući rezervne ključeve) tako da ne izda nijedan certifikat EA-a/AA-a s valjanošću duljom od valjanosti certifikata vršnog CA-a.
(276)Vršni CA generira novi par ključeva i odgovarajući certifikat vršnog CA-a i certifikat za povezivanje prije deaktivacije trenutačnog privatnog ključa (uključujući rezervne ključeve) pa ga šalje TLM-u za unos na ECTL. Razdoblje valjanosti novog certifikata vršnog CA-a počinje s planiranom deaktivacijom trenutačnog privatnog ključa. Vršni CA pazi da je novi certifikat unesen na ECTL na vrijeme da ga se distribuira svim stanicama C-ITS-a prije nego što postane valjan.
(277)Vršni CA aktivira novi privatni ključ kad odgovarajući certifikat vršnog CA-a postane valjan.
5.6.3.Certifikat EA-a/AA-a
(278)EA/AA deaktivira i briše svoj postojeći privatni ključ tako da ne izda nijedan EC/AT s valjanošću duljom od valjanosti certifikata EA-a/AA-a.
(279)EA/AA generira novi par ključeva i podnosi zahtjev za odgovarajući certifikat EA-a/AA-a prije deaktivacije trenutačnog privatnog ključa. Razdoblje valjanosti novog certifikata EA-a/AA-a počinje s planiranom deaktivacijom trenutačnog privatnog ključa. EA/AA pazi da se novi certifikat može objaviti na vrijeme da ga se distribuira svim stanicama C-ITS-a prije nego što postane valjan.
(280)EA/AA aktivira novi privatni ključ kad odgovarajući certifikat vršnog EA-a/AA-a postane valjan.
5.6.4.Revizor
Nema odredaba.
5.7.Kompromitirana sigurnost i oporavak od katastrofe
5.7.1.Rješavanje incidenata i kompromitirane sigurnosti
(281)Elementi modela pouzdanosti C-ITS-a neprestano prate svoju opremu radi otkrivanja mogućih pokušaja hakiranja ili drugih oblika kompromitacije sigurnosti. Ako nešto otkriju, istražuju slučaj kako bi utvrdili vrstu i razinu štete.
(282)Ako osoblje odgovorno za upravljanje vršnim CA-om ili TLM-om otkrije mogući pokušaj hakiranja ili drugi oblik kompromitacije sigurnosti, istražuje slučaj kako bi utvrdilo vrstu i razinu štete. Ako je kompromitirana sigurnost privatnog ključa, povlači se certifikat vršnog CA-a. CPA-ovi stručnjaci za informatičku sigurnost procjenjuju razmjere potencijalne štete kako bi odredili treba li ponovno izgraditi PKI, moraju li se povući samo neki certifikati i/ili je li kompromitirana sigurnost PKI-ja. CPA uz to utvrđuje koje se usluge moraju zadržati (informacije o statusu certifikata i povlačenju) i kako, u skladu s CPA-ovim planom za kontinuitet poslovanja.
(283)Incidenti, kompromitacija sigurnosti i poslovni kontinuitet obrađeni su u CPS-u, koji se može oslanjati i na druge resurse i planove poduzeća za provedbu njegovih odredbi.
(284)Ako osoblje odgovorno za upravljanje EA-om/AA-om/CPOC-om otkrije mogući pokušaj hakiranja ili drugi oblik kompromitacije sigurnosti, istražuje slučaj kako bi utvrdilo vrstu i razinu štete. Osoblje odgovorno za upravljanje CA-om ili subjekt CPOC-a procjenjuje razmjere potencijalne štete kako bi odredilo treba li ponovno izgraditi komponentu PKI-ja, moraju li se povući samo neki certifikati i/ili je li kompromitirana sigurnost komponente PKI-ja. Subjekt podređenog CA-a uz to utvrđuje koje se usluge moraju zadržati i kako, u skladu s planom podređenog CA-a za kontinuitet poslovanja. Ako je dijelu PKI-ja kompromitirana sigurnost, subjekt CA-a upozorava svog vršnog CA-a i TLM putem CPOC-a.
(285)Incidenti, kompromitacija sigurnosti i poslovni kontinuitet obrađeni su u CPS-u vršnog CA-a ili TLM-a, ili u drugim relevantnim dokumentima kad je riječ o CPOC-u, koji se mogu oslanjati i na druge resurse i planove poduzeća za provedbu njihovih odredbi.
(286)Vršni CA i CA upozoravaju, dajući precizne informacije o posljedicama incidenta, predstavnike svake države članice i vršnog CA-a s kojima imaju sporazum u okviru C-ITS-a kako bi im omogućili da aktiviraju vlastite planove za upravljanje incidentima.
5.7.2.Korupcija računalnih resursa, softvera i/ili podataka
(287)Ako se otkrije katastrofa koja onemogućava ispravan rad elementa modela pouzdanosti C-ITS-a, taj element obustavlja svoj rad i istražuje je li kompromitirana sigurnost njegova ključa (osim CPOC-a). Neispravan hardver zamjenjuje se što je brže moguće te se primjenjuju postupci iz odjeljaka 5.7.3. i 5.7.4.
(288)Ako je riječ o najvišim razinama rizika, korupcija računalnih resursa, softvera i/ili podataka prijavljuje se vršnom CA-u u roku od 24 sata. Svi drugi događaji uvrštavaju se u periodična izvješća vršnog CA-a, EA-ova i AA-ova.
5.7.3.Postupci u slučaju kompromitirane sigurnosti privatnog ključa subjekta
(289)Ako se kompromitira sigurnost privatnog ključa vršnog CA-a ili posumnja da je ta sigurnost kompromitirana ili ako se taj ključ izgubi ili uništi, vršni CA:
·obustavlja rad,
·pokreće plan za oporavak od katastrofe i migraciju,
·povlači svoj certifikat vršnog CA-a,
·istražuje problem s ključem zbog kojeg je došlo do kompromitacije sigurnosti te obavješćuje CPA-a koji povlači certifikat vršnog CA-a putem TLM-a (vidi odjeljak 7.),
·upozorava sve pretplatnike s kojima ima sklopljen sporazum.
(290)Ako se kompromitira sigurnost ključa EA-a/AA-a ili posumnja da je ta sigurnost kompromitirana ili ako se taj ključ izgubi ili uništi, EA/AA:
·obustavlja rad,
·povlači svoj certifikat,
·istražuje problem s ključem te obavješćuje vršnog CA-a,
·upozorava pretplatnike s kojima ima sklopljen sporazum.
(291)Ako se kompromitira sigurnost ključa EC-a ili AT-a stanice C-ITS-a ili posumnja da je ta sigurnost kompromitirana ili ako se taj ključ izgubi ili uništi, EA/AA na koji je stanica C-ITS-a pretplaćena:
·povlači EC zahvaćenog ITS-a,
·istražuje problem s ključem te obavješćuje vršnog CA-a,
·upozorava pretplatnike s kojima ima sklopljen sporazum.
(292)Ako bilo koji algoritam ili povezani parametar, koji upotrebljavaju vršni CA i/ili CA ili stanice C-ITS-a, postane nedovoljan za preostalu namijenjenu upotrebu, CPA (uz preporuku stručnjaka za kriptografiju) obavješćuje subjekta vršnog CA-a s kojim ima sklopljen sporazum i mijenja korištene algoritme. (Za više informacija vidjeti odjeljak 6. i CPS-ove vršnog CA-a i podređenih CA-ova.)
5.7.4.Sposobnost kontinuiteta poslovanja nakon katastrofe
(293)Elementi modela pouzdanosti C-ITS-a koji upravljaju sigurnim objektima za rad CA-a moraju izraditi, testirati, održavati i uvesti plan za oporavak od katastrofe osmišljen za ublažavanje posljedica bilo koje prirodne katastrofe ili katastrofe uzrokovane ljudskim djelovanjem. Ti planovi obuhvaćaju ponovno uspostavljanje usluga informacijskih sustava i ključnih poslovnih funkcija.
(294)Nakon incidenta određene razine rizika ovlašteni revizor za PKI provodi reviziju nad kompromitiranim CA-om (vidjeti odjeljak 8.).
(295)Ako kompromitirani CA više ne može raditi (npr. nakon teškog incidenta), mora se pripremiti plan za migraciju kako bi se njegove funkcije prenijele na drugi vršni CA. Barem vršni CA EU-a mora biti raspoloživ za provedbu plana za migraciju. Kompromitirani CA prestaje obavljati svoje funkcije.
(296)Vršni CA-ovi uvrštavaju planove za oporavak od katastrofe i za migraciju u CPS.
5.8.Prekid i prenošenje
5.8.1.TLM
(297)TLM ne prekida svoj rad, ali subjekt koji upravlja TLM-om može preuzeti drugi subjekt.
(298)Ako se promijeni upravljački subjekt:
·od CPA-a traži odobrenje za prenošenje upravljanja TLM-om sa starog subjekta na novi subjekt,
·CPA odobrava promjenu upravljanja TLM-om,
·svi revizijski dnevnici i arhivirani zapisi prenose se iz starog upravljačkog subjekta novom subjektu.
5.8.2.Vršni CA
(299)Vršni CA ne prekida/ne počinje rad ako nije sastavio plan za migraciju (utvrđen u relevantnom CPS-u) kojim jamči neprekinuti rad svim svojim pretplatnicima.
(300)Ako dođe do prekida usluge vršnog CA-a, vršni CA:
·obavješćuje CPA-a,
·obavješćuje TLM-a tako da TLM može izbrisati certifikat vršnog CA-a s ECTL-a,
·povlači odgovarajući certifikat vršnog CA-a izdavanjem CRL-a za samog sebe,
·upozorava vršne CA-ove s kojima ima sklopljen sporazum za obnavljanje certifikata EA-a/AA-a,
·uništava privatni ključ vršnog CA-a,
·javlja posljednju informaciju o statusu povlačenja (CRL koji je potpisao vršni CA) pouzdajućoj strani, jasno navodeći da je to najnovija informacija o povlačenju,
·arhivira sve revizijske dnevnike i druge zapise prije prekida PKI-ja,
·prenosi arhivirane zapise odgovarajućem tijelu.
(301)TLM briše odgovarajući certifikat vršnog CA-a s ECTL-a.
5.8.3.EA/AA
(302)Ako dođe do prekida usluge EA-a/AA-a, subjekt EA-a/AA-a šalje obavijest prije prekida. EA/AA ne prekida/ne počinje rad ako nije sastavio plan za migraciju (utvrđen u relevantnom CPS-u) kojim jamči neprekinuti rad svim svojim pretplatnicima. EA/AA:
·obavješćuje vršnog CA-a preporučenim pismom,
·uništava privatni ključ CA-a,
·prenosi svoju bazu podataka subjektu kojeg imenuje vršni CA,
·prestaje izdavati certifikate,
·tijekom prijenosa baze i dok baza ne bude posve operativna u novom subjektu održava sposobnost odobravanja zahtjeva odgovornog tijela za privatnost,
·ako je podređeni CA kompromitiran, vršni CA povlači podređenog CA-a i izdaje novi CRL s popisom povučenih CA-ova,
·arhivira sve revizijske dnevnike i druge zapise prije prekida PKI-ja,
·prenosi arhivirane zapise subjektu kojeg imenuje vršni CA.
(303)Ako dođe do prekida usluga CA-a, CA je odgovoran za čuvanje svih relevantnih zapisa s obzirom na potrebe CA-a i komponenata PKI-ja.
6.Tehničke sigurnosne kontrole
6.1.Generiranje i unošenje para ključeva
6.1.1.TLM, vršni CA, EA, AA
(304)Postupak generiranja para ključeva mora ispunjavati sljedeće zahtjeve:
·svaki sudionik mora biti sposoban generirati vlastite parove ključeva u skladu s odjeljcima 6.1.4. i 6.1.5.,
·postupak dobivanja ključeva za simetrično šifriranje i MAC ključa za zahtjeve za certifikat (ECIES) provodi se u skladu s [1] i [5],
·u postupku generiranja ključeva upotrebljavaju se algoritmi i duljine ključeva opisani u odjeljcima 6.1.4.1. i 6.1.4.2.,
·na postupak generiranja para ključeva primjenjuju se zahtjevi „sigurno čuvanje privatnih ključeva” (vidjeti odjeljak 6.1.5.),
·vršni CA-ovi i njihovi pretplatnici (podređeni CA-ovi) osiguravaju zaštitu cjelovitosti i autentičnosti svojih javnih ključeva i svih povezanih parametara tijekom distribucije subjektima registriranim kod podređenih CA-ova.
6.1.2.EE – mobilna stanica C-ITS-a
(305)Svaka mobilna stanica C-ITS-a mora biti sposobna generirati vlastite parove ključeva u skladu s odjeljcima 6.1.4. i 6.1.5.
(306)Postupak dobivanja ključeva za simetrično šifriranje i MAC ključa za zahtjeve za certifikat (ECIES) provodi se u skladu s [1] i [5].
(307)U postupcima generiranja ključeva upotrebljavaju se algoritmi i duljine ključeva opisani u odjeljcima 6.1.4.1. i 6.1.4.2.
(308)Na postupke generiranja para ključeva primjenjuju se zahtjevi „sigurno čuvanje privatnih ključeva” (vidjeti odjeljak 6.1.5.).
6.1.3.EE – fiksna stanica C-ITS-a
(309)Svaka fiksna stanica C-ITS-a mora biti sposobna generirati vlastiti par ključeva u skladu s odjeljcima 6.1.4. i 6.1.5.
(310)U postupcima generiranja ključeva upotrebljavaju se algoritmi i duljine ključeva opisani u odjeljcima 6.1.4.1. i 6.1.4.2.
(311)Na postupke generiranja para ključeva primjenjuju se zahtjevi „sigurno čuvanje privatnih ključeva” (vidjeti odjeljak 6.1.5.).
6.1.4.Kriptografski zahtjevi
(312)Svi sudionici u PKI-ju moraju ispunjavati kriptografske zahtjeve utvrđene u sljedećim stavcima s obzirom na algoritam za potpisivanje, duljinu ključa, generator slučajnih brojeva i certifikate za povezivanje.
6.1.4.1.Algoritam i duljina ključa – algoritmi za potpisivanje
(313)Najkasnije dvije godine nakon stupanja na snagu ove Uredbe svi sudionici u PKI-ju (TLM, vršni CA, EA, AA i stanice C-ITS-a) moraju biti sposobni generirati parove ključeva i upotrebljavati privatni ključ za potpisivanje odabranim algoritmima u skladu s tablicom 4.
(314)Svi sudionici u PKI-ju koji moraju provjeravati cjelovitost ECTL-a, certifikata i/ili potpisanih poruka u skladu sa svojom ulogom, kako je definirano u odjeljku 1.3.6., moraju podržavati odgovarajuće algoritme za provjeravanje na popisu u tablici 5. Stanice C-ITS-a moraju biti sposobne provjeriti integritet ECTL-a.
|
TLM
|
vršni CA
|
EA
|
AA
|
stanica C-ITS-a
|
ECDSA_nistP256_with_SHA 256
|
—
|
X
|
X
|
X
|
X
|
ECDSA_brainpoolP256r1_with_SHA 256
|
—
|
X
|
X
|
X
|
X
|
ECDSA_brainpoolP384r1_with_SHA 384
|
X
|
X
|
X
|
—
|
—
|
X označava obaveznu podršku.
|
Tablica 4.: Generiranje parova ključeva i upotreba privatnog ključa za potpisivanje
|
TLM
|
vršni CA
|
EA
|
AA
|
stanica C-ITS-a
|
ECDSA_nistP256_with_SHA 256
|
X
|
X
|
X
|
X
|
X
|
ECDSA_brainpoolP256r1_with_SHA 256
|
X
|
X
|
X
|
X
|
X
|
ECDSA_brainpoolP384r1_with_SHA 384
|
X
|
X
|
X
|
X
|
X
|
X označava obaveznu podršku.
|
Tablica 5.: Pregled provjere
(315)Ako CPA na temelju novootkrivene kriptografske slabosti odluči promijeniti algoritam, sve stanice C-ITS-a moraju se biti sposobne prebaciti na jedan od dva algoritma (ECDSA_nistP256_with_SHA 256 ili ECDSA_brainpoolP256_with_SHA 256) što je prije moguće. Algoritme koji se trenutačno trebaju upotrebljavati određuje u svojem CPS-u CA koji izdaje certifikat za odgovarajući javni ključ u skladu s ovim CP-om.
6.1.4.2.Algoritam i duljina ključa – algoritmi za šifriranje za upis i odobrenje
(316)Najkasnije dvije godine nakon stupanja na snagu ove Uredbe svi sudionici u PKI-ju (EA, AA i stanice C-ITS-a) moraju biti sposobni upotrebljavati javni ključ za šifriranje zahtjeva za upis i odobrenje te odgovora na te zahtjeve odabranim algoritmima u skladu s tablicom 6. Algoritme koji se trenutačno trebaju upotrebljavati određuje u svojem CPS-u CA koji izdaje certifikat za odgovarajući javni ključ u skladu s ovim CP-om.
(317)Imenovani algoritmi u tablici 6. ukazuju na duljinu ključa i algoritma kontrolnog broja te ih se mora uvesti u skladu s [5].
|
TLM
|
vršni CA
|
EA
|
AA
|
stanica C-ITS-a
|
ECIES_nistP256_with_AES 128_CCM
|
—
|
—
|
X
|
X
|
X
|
ECIES_brainpoolP256r1_with_AES 128_CCM
|
—
|
—
|
X
|
X
|
X
|
X označava obaveznu podršku.
|
Tablica 6.: Upotreba javnih ključeva za šifriranje zahtjeva za upis i odobrenje te odgovora na te zahtjeve
(318)Najkasnije dvije godine nakon stupanja na snagu ove Uredbe svi sudionici u PKI-ju (EA, AA i stanice C-ITS-a) moraju biti sposobni generirati parove ključeva i upotrebljavati privatni ključ za dešifriranje zahtjeva za upis i odobrenje te odgovora na te zahtjeve odabranim algoritmima u skladu s tablicom 7.
|
TLM
|
vršni CA
|
EA
|
AA
|
stanica C-ITS-a
|
ECIES_nistP256_with_AES 128_CCM
|
—
|
—
|
X
|
X
|
X
|
ECIES_brainpoolP256r1_with_AES 128_CCM
|
—
|
—
|
X
|
X
|
X
|
X označava obaveznu podršku.
|
Tablica 7.: Generiranje parova ključeva i upotreba privatnog ključa za dešifriranje zahtjeva za upis i odobrenje te odgovora na te zahtjeve
6.1.4.3.Kriptografska prilagodljivost
(319)S vremenom se zahtjevi za duljinu ključeva i algoritme moraju mijenjati kako bi se zadržala primjerena razina sigurnosti. CPA prati treba li uvesti takve promjene s obzirom na trenutačne ranjivosti i najmoderniju kriptografiju. Ako CPA odluči da je potrebno modernizirati kriptografske algoritme, sastavit će, odobriti i objaviti ažuriranu verziju ove politike upravljanja certifikatima. Ako novo izdanje ovog CP-a bude značilo promjenu algoritma i/ili duljine ključeva, CPA će donijeti strategiju za migraciju, koja će sadržavati prijelazna razdoblja tijekom kojih će se morati podržavati stari algoritmi i duljine ključeva.
(320)Kako bi se omogućio i olakšao prelazak na nove algoritme i/ili duljine ključeva, preporučuje se da svi sudionici u PKI-ju primjenjuju hardver i/ili softver koji se sposoban prebaciti na drugu duljinu ključeva i druge algoritme.
(321)Promjene vršnih certifikata i certifikata TLM-a podržavaju se i provode certifikatima za povezivanje (vidjeti odjeljak 4.6.) koji služe za prijelazna razdoblja između starih i novih vršnih certifikata („migracija modela pouzdanosti”).
6.1.5.Sigurno čuvanje privatnih ključeva
U ovom su odjeljku opisani zahtjevi za sigurno čuvanje i generiranje parova ključeva i slučajnih brojeva za CA-ove i krajnje subjekte. Ti su zahtjevi definirani u kriptografskim modulima i opisani u sljedećim pododjeljcima.
6.1.5.1.Razina vršnih CA-ova, podređenih CA-ova i TLM-a
(322)Kriptografski modul upotrebljava se za:
·generiranje, upotrebljavanje i pohranjivanje privatnih ključeva te upravljanje njima,
·generiranje i upotrebljavanje slučajnih brojeva (ocjenjivanje funkcije generatora slučajnih brojeva dio je sigurnosne procjene i certifikacije),
·kreiranje pričuvnih kopija privatnih ključeva u skladu s odjeljkom 6.1.6.,
·brisanje privatnih ključeva.
Kriptografski modul mora biti certificiran za jedan od sljedećih profila zaštite (PP-ovi) s najmanjom razinom pouzdanosti EAL-4:
·PP-ovi za HSM-ove:
·CEN EN 419 221-2: Profili zaštite za TSP kriptografske module – dio 2.: Kriptografski modul za CSP-ovo potpisivanje s pričuvnom kopijom (Protection profiles for TSP cryptographic modules – Part 2: Cryptographic module for CSP signing operations with backup),
·CEN EN 419 221-4: Profili zaštite za TSP kriptografske module – dio 4.: Kriptografski modul za CSP-ovo potpisivanje bez pričuvne kopije (Protection profiles for TSP cryptographic modules – Part 4: Cryptographic module for CSP signing operations without backup),
·CEN EN 419 221-5: Profili zaštite za TSP kriptografske module – dio 5.: Kriptografski modul za usluge povjerenja (Protection profiles for TSP cryptographic modules – Part 5: Cryptographic module for trust service),
·PP-ovi za pametne kartice:
·CEN EN 419 211-2: Profili zaštite za uređaje za izradu sigurnih potpisa – dio 2.: Uređaj s generiranjem ključeva (Protection profiles for secure signature creation device – Part 2: Device with key generation),
·CEN EN 419 211-3: Profili zaštite za uređaje za izradu sigurnih potpisa – dio 2.: Uređaj s uvozom ključeva (Protection profiles for secure signature creation device — Part 3: Device with key import).
Za ručni pristup kriptografskom modulu nužna je autentifikacija administratora na temelju dva faktora. U omogućavanju tog pristupa uz to moraju sudjelovati dvije ovlaštene osoba.
Izvedba kriptografskog modula mora osiguravati da se ključevima ne može pristupiti izvan kriptografskog modula. Kriptografski modul mora sadržavati mehanizam za kontrolu pristupa kako bi se spriječila neovlaštena upotreba privatnih ključeva.
6.1.5.2.Krajnji subjekt
(323)Kriptografski modul EE-ova upotrebljava se za:
·generiranje, upotrebljavanje, upravljanje i pohranjivanje privatnih ključeva,
·generiranje i upotrebljavanje slučajnih brojeva (ocjenjivanje funkcije generatora slučajnih brojeva dio je sigurnosne procjene i certifikacije),
·sigurno brisanje privatnog ključa.
(324)Kriptografski modul mora biti zaštićen od neovlaštenog uklanjanja, zamjene i izmjene. Svi PP-ovi i povezani dokumenti koji se primjenjuju za sigurnosnu certifikaciju kriptografskog modula moraju se ocijeniti, provjeriti i certificirati u skladu s normom ISO 15408 uz primjenu „Sporazuma o uzajamnom priznavanju potvrda o evaluaciji sigurnosti informacijske tehnologije” Skupine viših dužnosnika za sigurnost informacijskih sustava (SOG-IS) ili u skladu s jednakovrijednim europskim programom za kibersigurnosnu certifikaciju na temelju europskog okvira za kibersigurnost.
(325)S obzirom na važnost održavanja najviše moguće razine sigurnosti, sigurnosne certifikate za kriptografski modul izdaje ili, u okviru sustava certifikacije na temelju zajedničkih kriterija (ISO 15408), tijelo za ocjenjivanje sukladnosti koje je odobrio upravljački odbor u okviru Sporazuma SOG-IS-a ili tijelo za ocjenjivanje sukladnosti koje je akreditiralo nacionalno tijelo za kibersigurnosnu certifikaciju države članice. Takvo tijelo za ocjenjivanje sukladnosti dužno je osigurati barem uvjete za ocjenjivanje sigurnosti jednakovrijedne onima previđenima u Sporazumu o uzajamnom priznavanju SOG-IS-a.
Napomena: Veza između kriptografskog modula i stanice C-ITS-a mora biti zaštićena.
6.1.6.Pričuvna kopija privatnih ključeva
(326)Generiranje, pohrana i upotreba pričuvnih kopija privatnih ključeva mora ispunjavati barem sigurnosne zahtjeve propisane za originalne ključeve.
(327)Vršni CA-ovi, EA-ovi i AA-ovi rade pričuvne kopije privatnih ključeva.
(328)Za EC-ove i AT-ove se ne rade pričuvne kopije privatnih ključeva.
6.1.7.Uništenje privatnih ključeva
(329)Vršni CA-ovi, EA-ovi, AA-ovi, mobilne stanice C-ITS-a i fiksne stanice C-ITS-a uništavaju svoj privatni ključ i sve njegove pričuvne kopije ako se generira i uspješno unese novi par ključeva i odgovarajući certifikat, a vrijeme je preklapanja (ako postoji – samo CA-ovi) isteklo. Za uništenje privatnog ključa upotrebljava se mehanizam kriptografskog modula korišten za pohranu ključeva ili se primjenjuju mjere opisane u odgovarajućem PP-u iz odjeljka 6.1.5.2.
6.2.Aktivacijski podaci
(330)Aktivacijski podaci odnose se na faktore autentifikacije nužne za upravljanje kriptografskim modulima radi sprečavanja neovlaštenog pristupa. Nužne su radnje dviju ovlaštenih osoba da bi se upotrijebili aktivacijski podaci kriptografskog uređaja CA-a.
6.3.Informatičke sigurnosne mjere
(331)CA-ove informatičke sigurnosne mjere osmišljavaju se u skladu s visokom razinom sigurnosti pridržavanjem zahtjeva iz norme ISO/IEC 27002.
6.4.Tehničke kontrole i životni vijek
(332)Tehničke kontrole CA-a obuhvaćaju cijeli životni vijek CA-a. To osobito obuhvaća zahtjeve iz odjeljka 6.1.4.3. (Kriptografska prilagodljivost).
6.5.Mjere mrežne sigurnosti
(333)U mrežama CA-ova (vršni CA, EA i AA) uvode se zaštitne mjere protiv napada u skladu sa zahtjevima i smjernicama za realizaciju iz normi ISO/IEC 27001 i ISO/IEC 27002.
(334)Raspoloživost mreža CA-a planira se s obzirom na očekivani promet.
7.Profili certifikata, CRL i CTL
7.1.Profil certifikata
(335)Za certifikate TLM-a, vršne certifikate, certifikate EA-a, certifikate AA-a, AT-ove i EC-ove upotrebljavaju se profili certifikata definirani u [5]. EA-ovi nacionalnih državnih tijela mogu upotrebljavati druge profile certifikata za EC-ove.
(336)U certifikatima vršnog CA-a, EA-a i AA-a navode se dozvole za što ti CA-ovi (vršni CA-ovi, EA i AA) smiju izdavati certifikate.
(337)Na temelju [5]:
·svaki vršni CA upotrebljava svoj potpisni privatni ključ za izdavanje CRL-ova,
·TLM upotrebljava svoj potpisni privatni ključ za izdavanje ECTL-a.
7.2.Valjanost certifikata
(338)Svi profili certifikata C-ITS-a sadržavaju datum izdavanja i isteka kojima se određuje razdoblje valjanosti certifikata. Na svakoj se razini PKI-ja certifikati generiraju dovoljno na vrijeme prije isteka.
(339)Razdoblje valjanosti certifikata CA-a i EC-a mora obuhvaćati vrijeme preklapanja. Certifikati TLM-a i vršnih CA-ova izdaju se i unose na ECTL najviše tri mjeseca i najmanje jedan mjesec prije početka valjanosti na temelju početnog vremena u certifikatu. To unošenje prije početka valjanosti je potrebno za sigurno distribuiranje certifikata svim pouzdajućim stranama u skladu s odjeljkom 2.2. Time se osigurava da sve pouzdajuće strane već od početka vremena preklapanja mogu provjeravati poruke izdane služeći se novim certifikatom.
(340)Na početku vremena preklapanja izdaju se nasljedni certifikati CA-ova, EC-ova i AT-ova (ako je primjenjivo) pa se distribuiraju odgovarajućim pouzdajućim stranama koje ih unose. Tijekom vremena preklapanja trenutačni certifikat upotrebljava se samo za provjeru.
(341)Budući da razdoblja valjanosti iz tablice 8. ne smiju prekoračiti razdoblje valjanosti nadređenog certifikata, primjenjuju se sljedeća ograničenja:
·maximumvalidity(Root CA) = privatekeyusage(Root CA) + maximumvalidity(EA,AA);
·maximumvalidity(EA) = privatekeyusage(EA) + maximumvalidity(EC);
·maximumvalidity(AA) = privatekeyusage(AA) + preloadingperiod(AT).
(342)Valjanost (vršnih i TLM-ova) certifikata za povezivanje počinje s upotrebom odgovarajućeg privatnog ključa i okončava s najduljom valjanosti vršnog CA-a ili TLM-a.
(343)U tablici 8. su najdulje valjanosti za certifikate CA-a C-ITS-a (za razdoblja valjanosti AT-a vidjeti odjeljak 7.2.1.).
Subjekt
|
Najdulje razdoblje upotrebe privatnog ključa
|
Najdulja valjanost
|
Vršni CA
|
3 godine
|
8 godina
|
EA
|
2 godine
|
5 godina
|
AA
|
4 godine
|
5 godina
|
EC
|
3 godine
|
3 godine
|
TLM
|
3 godine
|
4 godine
|
Tablica 8.: Razdoblja valjanosti za certifikate u modelu pouzdanosti C-ITS-a
7.2.1.Pseudonimni certifikati
(344)Pseudonimi se izvode AT-ovima. Zbog toga se u ovom odjeljku spominju AT-ovi umjesto pseudonima.
(345)Zahtjevi utvrđeni u ovom odjeljku primjenjuju se samo na AT-ove mobilnih stanica C-ITS-a koje šalju CAM-ve i DENM-ove ako postoji rizik za privatnost s obzirom na lociranje. Nema posebnih zahtjeva za certifikate AT-a koji se primjenjuju na AT-ove za fiksne stanice C-ITS-a i mobilne stanice C-ITS-a koje se upotrebljavaju za posebne namjene na koje se ne primjenjuje privatnost s obzirom na lociranje (npr. označena vozila hitnih službi i policije).
(346)Primjenjuju se sljedeće definicije:
·„razdoblje valjanosti za AT-ove” znači razdoblje tijekom kojeg je AT valjan, tj. razdoblje od početnog datuma AT-a i datuma isteka AT-a,
·„razdoblje unosa prije početka valjanosti za AT-ove” znači razdoblje unosa prije početka valjanosti koje stanicama C-ITS-a daje mogućnost da prime AT-ove prije početka razdoblja valjanosti. Razdoblje unosa prije početka valjanosti najdulje je dopušteno razdoblje od zahtjeva za AT-ove do najkasnijeg datuma valjanosti bilo kojeg zatraženog AT-a,
·„razdoblje upotrebe za AT-ove” znači razdoblje u kojem se AT zapravo upotrebljava za potpisivanje CAM-ova/DENM-ova,
·„najveći broj paralelnih AT-ova” znači broj AT-ova među kojima stanica C-ITS-a može u bilo kojem trenutku birati za potrebe potpisivanja CAM-ova/DENM-ova, tj. broj različitih istovremeno valjanih AT-ova izdanih jednoj stanici C-ITS-a.
(347)Primjenjuju se sljedeći zahtjevi:
·razdoblje unosa prije početka valjanosti za AT-ove ne smije biti dulje od tri mjeseca,
·razdoblje valjanosti za AT-ove ne smije biti dulje od jednog tjedna,
·najveći broj paralelnih AT-ova ne smije biti veći od 100 po stanici C-ITS-a,
·razdoblje upotrebe za AT-a ovisi o strategiji promjene AT-a i o tome koliko se dugo vozilo upotrebljava, ali je ograničeno najvećim brojem paralelnih AT-ova i razdobljem valjanosti. Konkretno, prosječno vrijeme upotrebe za jednu stanicu C-ITS-a barem je operativno vrijeme vozila tijekom jednog razdoblja valjanosti podijeljeno najvećim brojem paralelnih AT-ova.
7.2.2.Autorizacijski kuponi za fiksne stanice C-ITS-a
(348)Primjenjuju se definicije iz odjeljka 7.2.1. i sljedeći zahtjevi:
·razdoblje unosa prije početka valjanosti za AT-ove ne smije biti dulje od tri mjeseca,
·najveći broj paralelnih AT-ova ne smije biti veći od 2 po stanici C-ITS-a.
7.3.Povlačenje certifikata
7.3.1.Povlačenje certifikata CA-a, EA-a i AA-a
Certifikati vršnih CA-ova, EA-ova i AA-ova mogu se povući. Povučeni certifikati vršnih CA-ova, EA-ova i AA-ova objavljuju se na CRL-u što je prije moguće i bez neopravdana odgađanja. Taj CRL potpisuje njegov vršni CA i za njega se upotrebljava profil iz odjeljka 7.4. Za povlačenje certifikata vršnih CA-ova odgovarajući vršni CA izdaje CRL za samog sebe. Ako je kompromitirana sigurnost, uz to se primjenjuje odjeljak 5.7.3. TLM uz to briše povučenog vršnog CA-a s popisa pouzdanih certifikata i izdaje novi popis pouzdanih certifikata. Istekli certifikati brišu se s odgovarajućeg CRL-a i pouzdanih certifikata.
(349)Certifikati se povlače:
·ako vršni CA-ovi ozbiljno posumnjaju ili iz nekog razloga pretpostave da je privatni ključ kompromitiran,
·ako su vršni CA-ovi obaviješteni o prestanku ugovora s pretplatnikom,
·ako su informacije u certifikatu (na primjer ime i odnos CA-a i predmeta) netočne ili ako su se promijenile,
·ako se dogodio sigurnosni incident koji utječe na vlasnika certifikata,
·ako je revizija (vidjeti odjeljak 8.) završila s negativnim zaključkom.
(350)Pretplatnik je dužan odmah obavijestiti CA-a o poznatom kompromitiranju privatnog ključa ili sumnji u takvu kompromitaciju. Mora se osigurati da do povlačenja certifikata dolazi samo na temelju autentificiranih zahtjeva.
7.3.2.Povlačenje upisnih vjerodajnica
(351)Povlačenje EC-ova može pokrenuti pretplatnik stanice C-ITS-a (tok 34), a provodi se internom crnom listom u bazi podataka o povlačenju s vremenskim žigom, koju uspostavlja i održava svaki EA. Ta se crna lista nikad ne objavljuje, mora biti povjerljiva i smije je upotrebljavati samo odgovarajući EA kako bi provjerio valjanost odgovarajućih EC-ova u kontekstu zahtjeva za AT-ove i nove EC-ove.
7.3.3.Povlačenje autorizacijskih kupona
(352)Budući da odgovarajući CA-ovi ne povlače AT-ove, AT-ovi moraju imati kratak životni vijek i ne smiju se izdavati previše unaprijed u odnosu na trenutak kad postaju valjani. Dopuštene vrijednosti parametara životnog vijeka certifikata utvrđene se u odjeljku 7.2.
7.4.Popis povučenih certifikata
(353)Format i sadržaj CRL-a koji izdaje vršni CA mora biti u skladu s [1].
7.5.Europski popis pouzdanih certifikata
(354)Format i sadržaj ECTL-a koji izdaje TLM mora biti u skladu s [1].
8.Revizija sukladnosti i druga ocjenjivanja
8.1.Teme obuhvaćene revizijom i temelj revizije
(355)Svrha revizije sukladnosti je provjera rade li TLM, vršni CA-ovi, EA-ovi i AA-ovi u skladu s ovim CP-om. TLM, vršni CA-ovi, EA-ovi i AA-ovi moraju odabrati neovisnog, ovlaštenog revizora za PKI za reviziju svojih CPS-ova. Revizija se kombinira s ocjenjivanjem iz normi ISO/IEC 27001 i ISO/IEC 27002,
(356)Reviziju sukladnosti vršnog CA-a nalaže sam vršni CA (tok 13), a za podređenog CA-a njegov podređeni EA/AA.
(357)Reviziju sukladnosti TLM-a nalaže CPA (tok 38).
(358)Ovlašteni revizor za PKI na zahtjev provodi reviziju sukladnosti na jednoj od sljedećih razina:
(1)sukladnost CPS-a TLM-a, vršnog CA-a, EA-a ili AA-a s ovim CP-om,
(2)sukladnost namjeravanih praksi TLM-a, vršnog CA-a, EA-a ili AA-a s njegovim CPS-om prije uvođenja,
(3)sukladnost praksi i operativnih aktivnosti TLM-a, vršnog CA-a, EA-a ili AA-a s njegovim CPS-om u radu.
(359)Revizija obuhvaća sve zahtjeve ovog CP-a koje TLM, vršni CA-ovi, EA-ovi i AA-ovi nad kojima se provodi revizija moraju ispunjavati. Obuhvaća i rad CA-a u C-ITS PKI-ju, uključujući sve postupke navedene u CPS-u, pretpostavke i odgovorne osobe.
(360)Ovlašteni revizor za PKI dostavlja detaljno revizijsko izvješće vršnom CA-u (tok 36), EA-u, AA-u ili CPA-u (tok 16 i tok 40), kako je primjenjivo.
8.2.Učestalost revizija
(361)Vršni CA, TLM, EA ili AA nalaže reviziju sukladnosti nad sobom od neovisnog, ovlaštenog revizora za PKI u sljedećim slučajevima:
·kod prvog uspostavljanja (1. i 2. razina sukladnosti),
·pri svakoj izmjeni CP-a. CPA utvrđuje sadržaj promjene CP-a i rokove za primjenu pa u skladu s tim određuje potrebu za revizijom (uključujući potrebnu razinu sukladnosti),
·pri svakoj izmjeni njegova CPS-a (1., 2. i 3. razina sukladnosti). Budući da subjekti koji upravljaju vršnim CA-ovima, TLM-om i EA-ovima/AA-ovima odlučuju koje se promjene uvode nakon izmjene CPS-a, nalažu reviziju sukladnosti prije uvođenja tih promjena. Ako je riječ samo o manjim izmjenama CPS-a (npr. uredničke izmjene), subjekt upravitelj može CPA-u poslati obrazložen zahtjev za odobrenje da preskoči reviziju 1., 2. ili 3. razine sukladnosti,
·redovito, barem jednom svake tri godine njegova rada (3. razina sukladnosti).
8.3.Identitet/kvalifikacije revizora
(362)CA koji se treba podvrgnuti reviziji odabire neovisno i ovlašteno poduzeće/organizaciju („tijelo za reviziju”) ili ovlaštene revizore za PKI za provođenje revizije u sladu s ovim CP-om. Tijelo za reviziju mora biti akreditirano i certificirano od člana Europske organizacije za akreditaciju.
8.4.Odnos revizora i subjekta pod revizijom
(363)Ovlašteni revizor za PKI ne smije biti ovisan o subjektu pod revizijom.
8.5.Mjere poduzete na temelju nedostataka
(364)Ako je nalaz revizijskog izvješća neusklađenost TLM-a, CPA nalaže TLM-u da odmah provede preventivne/korektivne mjere.
(365)Ako vršni CA kojem je u revizijskom izvješću utvrđena neusklađenost podnese novi zahtjev, CPA odbija zahtjev i šalje odgovarajuće odbijanje vršnom CA-u (tok 4). U tom se slučaju vršni CA privremeno suspendira. Vršni CA mora poduzeti korektivne mjere, ponovno naložiti reviziju i podnijeti novi zahtjev na odobrenje CPA-u. Vršni CA ne smije izdavati certifikate tijekom suspenzije.
(366)Ako je riječ o redovitoj reviziji vršnog CA-a ili izmjeni CPS-a vršnog CA-a, CPA može, ovisno o prirodi nesukladnosti opisane u revizijskom izvješću, odlučiti povući vršnog CA-a i obavijestiti o toj odluci TLM-a (tok 2), čime pokreće brisanje certifikata vršnog CA-a s ECTL-a i unošenje vršnog CA-a na CRL. CPA obavješćuje vršnog CA-a o tom brisanju (tok 4). Vršni CA mora poduzeti korektivne mjere, ponovno naložiti punu reviziju (sve tri razine) i podnijeti novi zahtjev na odobrenje CPA-u. Alternativno, CPA može odlučiti da neće povući vršnog CA-a, nego mu umjesto toga odobriti razdoblje odgode tijekom kojeg vršni CA mora poduzeti korektivne mjere, ponovno naložiti reviziju i dostaviti revizijsko izvješće CPA-u. U tom se slučaju rad vršnog CA-a obustavlja, a vršni CA ne smije izdavati certifikate i CRL-ove.
(367)Ako je riječ o reviziji EA-a/AA-a, vršni CA odlučuje hoće li prihvatiti izvješće. Ovisno o ishodu revizije vršni CA odlučuje hoće li povući certifikat EA-a/AA-a u skladu s pravilima u CPS-u vršnog CA-a. Vršni CA dužan je osiguravati stalnu sukladnost EA-a/AA-a s ovim CP-om.
8.6.Javljanje ishoda
(368)Vršni CA i TLM šalju revizijsko izvješće CPA-u (tok 16). Vršni CA i TLM čuvaju sva revizijska izvješća koja su naložili. CPA šalje odgovarajuće odobrenje ili odbijanje (tok 4) vršnom CA-u i TLM-u.
(369)Vršni CA šalje certifikat o sukladnosti odgovarajućem EA-u/AA-u.
9.Ostale odredbe
9.1.Naknade
(370)Na temelju jednog načela uvedenog EU-ova modela pouzdanosti C-ITS-a vršni CA-ovi zajednički u potpunosti financiraju redovite stalne troškove rada CPA-a i središnjih elemenata (TLM i CPOC) koji se odnose na aktivnosti utvrđene u ovom CP-u.
(371)Vršni CA-ovi (uključujući vršnog CA-a EU-a) imaju pravo ubirati naknade od svojih podređenih CA-ova.
(372)Tijekom cijelog razdoblja rada svaki sudionik u modelu pouzdanosti C-ITS-a mora imati nediskriminirajući pristup barem jednom vršnom CA-u, EA-u i AA-u.
(373)Svaki vršni CA ima pravo prenijeti naknade koje plaća CPA-u i središnjim elementima (TLM i CPOC) na registrirane sudionike modela pouzdanosti C-ITS-a, uključujući upisane i ovlaštene stanice C-ITS-a.
9.2.Financijska odgovornost
(374)Početno uspostavljanje vršnog CA-a obuhvaća barem tri godine rada kako bi postao član EU-ova modela pouzdanosti C-ITS-a. CPS operatora vršnog CA-a mora sadržavati detaljne odredbe o povlačenju ili zatvaranju vršnog CA-a.
(375)Svaki vršni CA mora dokazati barem trogodišnju financijsku održivost pravne osobe koja ga utjelovljuje. Plan financijske održivosti dio je početnog skupa dokumenata za upis i mora se ažurirati svake tri godine i dostavljati CPA-u.
(376)Svaki vršni CA mora svake godine prijavljivati strukturu naknada za EA-e/AA-e i prijavljene i ovlaštene stanice C-ITS-a upravitelju operacija i CPA-u kako bi dokazao financijsku održivost.
(377)Svi financijski i pravno odgovorni subjekti vršnog CA-a, EA-a, AA-a i središnjih elemenata (CPOC i TLM) modela pouzdanosti C-ITS-a moraju dovoljno velikom policom osiguranja pokriti svoje operativne obveze mogli pokriti operativne greške i financijsku nadoknadu za ispunjavanje svojih obveza ako dođe do kvara nekog tehničkog elementa.
9.3.Povjerljivost poslovnih informacija
(378)Sljedeće su informacije povjerljive i privatne:
·zapisi o zahtjevima vršnog CA-a, EA-a i AA-a, odobrenima i odbijenima,
·izvješća o revizijama vršnog CA-a, EA-a, AA-a i TLM-a,
·planovi za oporavak od katastrofe vršnih CA-ova, EA-ova, AA-ova, CPOC-a i TLM-a,
·privatni ključevi elemenata modela pouzdanosti C-ITS-a (stanice C-ITS-a, TLM, EA, AA, vršni CA-ovi),
·sve druge informacije koje CPA, vršni CA-ovi, EA, AA, TLM i CPOC označe povjerljivima.
9.4.Plan privatnosti
(379)U CPS-ovima vršnih CA-ova i EA-ova/AA-ova utvrđuju se plan i zahtjevi za postupanje s osobnim informacijama i privatnosti na temelju GDPR-a i ostalih primjenjivih zakonodavnih (npr. nacionalnih) okvira.
10.Referentni dokumenti
U ovom se Prilogu upućuje na sljedeće referentne dokumente:
[1]
|
ETSI TS 102 941 V1.2.1, Inteligentni prometni sustavi (ITS) – sigurnost i upravljanje pouzdanošću i privatnošću (Intelligent transport systems (ITS) – security, trust and privacy management)
|
[2]
|
ETSI TS 102 940 V1.3.1, Inteligentni prometni sustavi (ITS) – sigurnost i arhitektura sigurnosti komunikacija ITS-a i upravljanje sigurnošću (Intelligent transport systems (ITS) – security, ITS communications security architecture and security management)
|
[3]
|
Okvir za politiku upravljanja certifikatima i certifikacijske prakse (Certificate policy and certification practices framework) (RFC 3647, 1999)
|
[4]
|
ETSI TS 102 042 V2.4.1 Zahtjevi politike za certifikacijska tijela koja izdaju certifikate javnih ključeva (Policy requirements for certification authorities issuing public key certificates)
|
[5]
|
ETSI TS 103 097 V1.3.1, Inteligentni prometni sustavi (ITS) – sigurnost i zaglavlja sigurnosti i formati certifikata (Intelligent transport systems (ITS) – security, security header and certificate formats)
|
[6]
|
Calder, A. (2006.), Informacijska sigurnost na temelju normi ISO 27001/ISO 1779: vodič za upravljanje (Information security based on ISO 27001/ISO 1779: a management guide), Van Haren Publishing
|
[7]
|
ISO, I., & Std, I. E. C. (2011.). ISO 27005 (2011) – informacijska tehnologija, sigurnosne tehnike, upravljanje rizicima u informacijskoj sigurnosti (information technology, security techniques, information security risk management), ISO
|
|
|