Obsah
1.Úvod
1.1.Prehľad a rozsah pôsobnosti tejto politiky
1.2.Vymedzenie pojmov a skratky
1.3.Účastníci PKI
1.3.1.Úvod
1.3.2.Autorita certifikačnej politiky C-ITS
1.3.3.Správca zoznamu dôveryhodných certifikátov
1.3.4.Akreditovaný audítor PKI
1.3.5.Kontaktné miesto pre C-ITS (CPOC)
1.3.6.Prevádzkové roly
1.4.Používanie certifikátov
1.4.1.Prípustné oblasti použitia
1.4.2.Hranice zodpovednosti
1.5.Správa certifikačnej politiky
1.5.1.Aktualizácia CPS autorít CA uvedených v zozname ECTL
1.5.2.Postupy schvaľovania CPS
2.Zodpovednosti v oblasti uverejňovania a uchovávania informácií
2.1.Metódy uverejňovania informácií o certifikátoch
2.2.Čas alebo frekvencia uverejňovania
2.3.Úložiská
2.4.Kontrola prístupu k úložiskám
2.5.Uverejňovanie informácií o certifikátoch
2.5.1.Uverejňovanie informácií o certifikátoch zo strany TLM
2.5.2.Uverejňovanie informácií o certifikátoch zo strany CA
3.Identifikácia a autentifikácia
3.1.Prideľovanie názvov
3.1.1.Typy názvov
3.1.1.1.Názvy TLM, koreňových CA, EA, AA
3.1.1.2.Názvy koncových entít
3.1.1.3.Identifikácia certifikátov
3.1.2.Potreba zmysluplných názvov
3.1.3.Anonymita a pseudonymita koncových entít
3.1.4.Pravidlá interpretácie rôznych tvarov názvov
3.1.5.Jedinečnosť názvov
3.2.Prvotná validácia totožnosti
3.2.1.Metóda preukázania vlastníctva súkromného kľúča
3.2.2.Autentifikácia organizačnej totožnosti
3.2.2.1.Autentifikácia organizačnej totožnosti koreňovej CA
3.2.2.2.Autentifikácia organizačnej totožnosti TLM
3.2.2.3.Autentifikácia organizačnej totožnosti podriadených CA
3.2.2.4.Autentifikácia držiteľskej organizácie koncových entít
3.2.3.Autentifikácia individuálnych entít
3.2.3.1.Autentifikácia individuálnych entít TLM/CA
3.2.3.2.Autentifikácia totožnosti držiteľa pridávajúceho stanice C-ITS
3.2.3.3.Autentifikácia identity staníc C-ITS
3.2.4.Neoverené informácie o držiteľoch
3.2.5.Validácia autority
3.2.5.1.Validácia TLM, koreňovej CA, EA, AA
3.2.5.2.Validácia držiteľov pridávajúcich stanice C-ITS
3.2.5.3.Validácia staníc C-ITS
3.2.6.Kritériá súčinnosti
3.3.Identifikácia a autentifikácia pri žiadostiach o prekľúčovanie
3.3.1.Identifikácia a autentifikácia pri rutinných žiadostiach o prekľúčovanie
3.3.1.1.Certifikáty TLM
3.3.1.2.Certifikáty koreňovej CA
3.3.1.3.Obnovenie alebo prekľúčovanie certifikátu EA/AA
3.3.1.4.Prihlasovacie poverenia koncových entít
3.3.1.5.Autorizačné tikety koncových entít
3.3.2.Identifikácia a autentifikácia pri žiadostiach o prekľúčovanie po zrušení
3.3.2.1.Certifikáty CA
3.3.2.2.Prihlasovacie poverenia koncových entít
3.3.2.3.Žiadosti o autorizáciu koncových entít
3.4.Identifikácia a autentifikácia pri žiadosti o zrušenie
3.4.1.Certifikáty koreňovej CA/EA/AA
3.4.2.Prihlasovacie poverenia staníc C-ITS
3.4.3.Autorizačné tikety staníc C-ITS
4.Prevádzkové požiadavky počas životného cyklu certifikátu
4.1.Žiadosť o certifikát
4.1.1.Kto môže predložiť žiadosť o certifikát
4.1.1.1.Koreňové CA
4.1.1.2.TLM
4.1.1.3.EA a AA
4.1.1.4.Stanica C-ITS
4.1.2.Prihlasovací proces a zodpovednosti
4.1.2.1.Koreňové CA
4.1.2.2.TLM
4.1.2.3.EA a AA
4.1.2.4.Stanica C-ITS
4.2.Spracovanie žiadosti o certifikát
4.2.1.Vykonávanie identifikačných a autentifikačných funkcií
4.2.1.1.Identifikácia a autentifikácia koreňových CA
4.2.1.2.Identifikácia a autentifikácia TLM
4.2.1.3.Identifikácia a autentifikácia EA a AA
4.2.1.4.Identifikácia a autentifikácia držiteľa EE
4.2.1.5.Autorizačné tikety
4.2.2.Schválenie alebo zamietnutie žiadostí o certifikáty
4.2.2.1.Schválenie alebo zamietnutie certifikátov koreňovej CA
4.2.2.2.Schválenie alebo zamietnutie certifikátu TLM
4.2.2.3.Schválenie alebo zamietnutie certifikátov EA a AA
4.2.2.4.Schválenie alebo zamietnutie EC
4.2.2.5.Schválenie alebo zamietnutie AT
4.2.3.Čas na spracovanie žiadosti o certifikát
4.2.3.1.Žiadosť o certifikát koreňovej CA
4.2.3.2.Žiadosť o certifikát TLM
4.2.3.3.Žiadosť o certifikát EA a AA
4.2.3.4.Žiadosť o EC
4.2.3.5.Žiadosť o AT
4.3.Vydávanie certifikátov
4.3.1.Činnosti CA počas vydávania certifikátov
4.3.1.1.Vydávanie certifikátov koreňovej CA
4.3.1.2.Vydávanie certifikátov TLM
4.3.1.3.Vydávanie certifikátov EA a AA
4.3.1.4.Vydávanie EC
4.3.1.5.Vydávanie AT
4.3.2.Oznámenia CA držiteľovi o vydaní certifikátov
4.4.Prevzatie certifikátu
4.4.1.Vykonávanie prevzatia certifikátu
4.4.1.1.Koreňová CA
4.4.1.2.TLM
4.4.1.3.EA a AA
4.4.1.4.Stanica C-ITS
4.4.2.Uverejňovanie certifikátu
4.4.3.Oznámenie o vydaní certifikátu
4.5.Používanie kľúčového páru a certifikátu
4.5.1.Používanie súkromného kľúča a certifikátu
4.5.1.1.Používanie súkromného kľúča a certifikátu správcom TLM
4.5.1.2.Používanie súkromného kľúča a certifikátu koreňovými CA
4.5.1.3.Používanie súkromného kľúča a certifikátu autoritami EA a AA
4.5.1.4.Používanie súkromného kľúča a certifikátu koncovou entitou
4.5.2.Používanie verejného kľúča a certifikátu spoliehajúcou sa stranou
4.6.Obnovenie certifikátu
4.7.Prekľúčovanie certifikátu
4.7.1.Okolnosti týkajúce sa prekľúčovania certifikátu
4.7.2.Kto môže požiadať o prekľúčovanie
4.7.2.1.Koreňová CA
4.7.2.2.TLM
4.7.2.3.EA a AA
4.7.2.4.Stanica C-ITS
4.7.3.Prekľúčovací proces
4.7.3.1.Certifikát TLM
4.7.3.2.Certifikát koreňovej CA
4.7.3.3.Certifikáty EA a AA
4.7.3.4.Certifikáty stanice C-ITS
4.8.Modifikácia certifikátu
4.9.Zrušenie a pozastavenie platnosti certifikátu
4.10.Služby týkajúce sa stavu certifikátu
4.10.1.Operačné vlastnosti
4.10.2.Dostupnosť služby
4.10.3.Voliteľné prvky
4.11.Ukončenie držby
4.12.Úschova (key escrow) a obnova kľúča
4.12.1.Držiteľ
4.12.1.1.Ktorý kľúčový pár sa môže uložiť do úschovy
4.12.1.2.Kto môže predložiť žiadosť o obnovu
4.12.1.3.Obnovovací proces a zodpovednosti
4.12.1.4.Identifikácia a autentifikácia
4.12.1.5.Schválenie alebo zamietnutie žiadostí o obnovu
4.12.1.6.Činnosti KEA a KRA počas obnovy kľúčového páru
4.12.1.7.Dostupnosť KEA a KRA
4.12.2.Zapuzdrenie relačného kľúča a politika a postupy týkajúce sa obnovy
5.Opatrenia týkajúce sa zariadení, riadenia a prevádzky
5.1.Fyzické opatrenia
5.1.1.Poloha lokality a konštrukcia
5.1.1.1.Koreňová CA, CPOC, TLM
5.1.1.2.EA/AA
5.1.2.Fyzický prístup
5.1.2.1.Koreňová CA, CPOC, TLM
5.1.2.2.EA/AA
5.1.3.Energia a klimatizácia
5.1.4.Ochrana pred vodou
5.1.5.Požiarna prevencia a protipožiarna ochrana
5.1.6.Manipulácia s médiami
5.1.7.Zneškodňovanie odpadu
5.1.8.Externé zálohovanie
5.1.8.1.Koreňová CA, CPOC a TLM
5.1.8.2.EA/AA
5.2.Procedurálne opatrenia
5.2.1.Dôveryhodné roly
5.2.2.Počet osôb potrebných na jednotlivé úlohy
5.2.3.Identifikácia a autentifikácia jednotlivých rolí
5.2.4.Roly vyžadujúce oddelenie funkcií
5.3.Personálne opatrenia
5.3.1.Požiadavky na kvalifikáciu, prax a bezpečnostnú previerku
5.3.2.Postupy previerok osôb
5.3.3.Požiadavky na odbornú prípravu
5.3.4.Rekvalifikačné intervaly a požiadavky
5.3.5.Frekvencia rotácie pracovných miest a ich poradie
5.3.6.Sankcie za neoprávnené konanie
5.3.7.Požiadavky na nezávislých dodávateľov
5.3.8.Dokumentácia poskytnutá zamestnancom
5.4.Postupy vytvárania auditových protokolov
5.4.1.Druhy udalostí, ktoré má každá CA zaznamenávať a nahlasovať
5.4.2.Frekvencia spracovania protokolov
5.4.3.Obdobie uchovávania auditového protokolu
5.4.4.Ochrana auditového protokolu
5.4.5.Postupy zálohovania auditových protokolov
5.4.6.Auditový systém zberu údajov (interný alebo externý)
5.4.7.Oznámenie subjektu, ktorý spôsobil udalosť
5.4.8.Posúdenie zraniteľnosti
5.5.Archivácia záznamov
5.5.1.Typy archivovaných záznamov
5.5.2.Obdobie uchovávania archivovaných údajov
5.5.3.Ochrana archívu
5.5.4.Systémový archív a uchovávanie údajov
5.5.5.Požiadavky na časové označovanie záznamov
5.5.6.Systém archivácie (interný alebo externý)
5.5.7.Postupy získavania a overovania archivovaných informácií
5.6.Zmena kľúčov pre prvky modelu zabezpečenia dôveryhodnosti C-ITS
5.6.1.TLM
5.6.2.Koreňová CA
5.6.3.Certifikát EA/AA
5.6.4.Audítor
5.7.Obnova po kompromitácii a havárii
5.7.1.Riešenie incidentov a kompromitácie
5.7.2.Poškodenie výpočtových zdrojov, softvéru a/alebo údajov
5.7.3.Postupy pri kompromitácii súkromného kľúča entity
5.7.4.Schopnosť zabezpečiť kontinuitu činností po havárii
5.8.Ukončenie a prevod
5.8.1.TLM
5.8.2.Koreňová CA
5.8.3.EA/AA
6.Technické zabezpečenie
6.1.Generovanie a inštalácia kľúčových párov
6.1.1.TLM, koreňová CA, EA, AA
6.1.2.EE – mobilná stanica C-ITS
6.1.3.EE – pevná stanica C-ITS
6.1.4.Kryptografické požiadavky
6.1.4.1.Algoritmus a dĺžka kľúča – podpisové algoritmy
6.1.4.2.Algoritmus a dĺžka kľúča – šifrovacie algoritmy na prihlasovanie a autorizáciu
6.1.4.3.Kryptografická pružnosť
6.1.5.Bezpečné uchovávanie súkromných kľúčov
6.1.5.1.Úroveň koreňovej CA, podriadenej CA a TLM
6.1.5.2.Koncová entita
6.1.6.Zálohovanie súkromných kľúčov
6.1.7.Ničenie súkromných kľúčov
6.2.Aktivačné údaje
6.3.Opatrenia počítačovej bezpečnosti
6.4.Technické opatrenia týkajúce sa životného cyklu
6.5.Opatrenia sieťovej bezpečnosti
7.Profily certifikátov, CRL a CTL
7.1.Profil certifikátu
7.2.Platnosť certifikátu
7.2.1.Certifikáty pseudonymu
7.2.2.Autorizačné tikety pre pevné stanice C-ITS
7.3.Zrušenie certifikátov
7.3.1.Zrušenie certifikátov CA, EA a AA
7.3.2.Zrušenie prihlasovacích poverení
7.3.3.Zrušenie autorizačných tiketov
7.4.Zoznam zrušených certifikátov (CRL)
7.5.Európsky zoznam dôveryhodných certifikátov (ECTL)
8.Audit súladu a iné posúdenia
8.1.Témy auditu a jeho základ
8.2.Frekvencia auditov
8.3.Totožnosť/spôsobilosť audítora
8.4.Vzťah audítora k auditovanej entite
8.5.Opatrenia prijaté v dôsledku nedostatkov
8.6.Oznamovanie výsledkov
9.Iné ustanovenia
9.1.Poplatky
9.2.Finančná zodpovednosť
9.3.Dôvernosť obchodných informácií
9.4.Plán ochrany osobných údajov
10.Referenčné dokumenty
PRÍLOHA III
1.Úvod
1.1.Prehľad a rozsah pôsobnosti tejto politiky
Táto certifikačná politika vymedzuje európsky model zabezpečenia dôveryhodnosti C-ITS na základe infraštruktúry verejného kľúča (PKI) v rámci celkového systému EÚ na správu bezpečnostných poverení C-ITS (EU CCMS). Definujú sa v nej požiadavky na spravovanie certifikátov verejného kľúča pre aplikácie C-ITS vydavateľmi, ako aj na ich používanie koncovými entitami v Európe. Na najvyššej úrovni pozostáva PKI zo súboru koreňových certifikačných autorít (CA) „aktivovaných“ tým, že správca dôveryhodného zoznamu (TLM) zaradí ich certifikáty na európsky zoznam dôveryhodných certifikátov (ECTL), ktorý vydáva a uverejňuje TLM ústrednej entity (pozri oddiely 1.2 a 1.3).
Táto politika je záväzná pre všetky entity zapojené do systému dôveryhodných C-ITS v Európe. Pomáha vyhodnocovať úroveň dôveryhodnosti, ktorú možno priradiť informáciám prijatým akýmkoľvek prijímateľom správy autentifikovanej certifikátom koncovej entity danej PKI. S cieľom umožniť vyhodnotenie dôveryhodnosti certifikátov poskytnutých systémom EU CCMS sa v nej stanovuje záväzný súbor požiadaviek na prevádzku TLM ústrednej entity, ako aj na zostavovanie a správu zoznamu ECTL. Tento dokument teda upravuje nasledovné aspekty ECTL:
·identifikácia a autentifikácia hlavných aktérov, ktorí nadobúdajú roly TLM v rámci PKI, vrátane vyhlásení o oprávneniach priradených každej role,
·minimálne požiadavky na TLM z hľadiska miestnej bezpečnostnej praxe vrátane fyzického zabezpečenia a personálnych a procedurálnych opatrení,
·minimálne požiadavky na technickú bezpečnostnú prax TLM vrátane počítačovej a sieťovej bezpečnosti a technického zabezpečenia kryptografických modulov,
·minimálne požiadavky na prevádzkovú prax TLM vrátane registrácie nových certifikátov koreňových CA, dočasného alebo trvalého rušenia registrácie existujúcich zahrnutých koreňových CA, ako aj uverejňovania a distribúcie aktualizácií ECTL,
·profil ECTL vrátane všetkých voliteľných a povinných dátových polí v ECTL, kryptografických algoritmov, ktoré sa majú použiť, presného formátu ECTL a odporúčaní na spracovanie ECTL,
·riadenie životného cyklu certifikátov ECTL vrátane distribúcie certifikátov ECTL, aktivácie, uplynutia platnosti a zrušenia,
·podľa potreby správa zrušenia dôveryhodnosti koreňových CA.
Keďže dôveryhodnosť zoznamu ECTL nezávisí iba od samotného ECTL, ale do veľkej miery aj od koreňových CA, ktoré vytvárajú PKI, a ich podriadených CA, v tejto politike sa takisto stanovujú minimálne požiadavky záväzné pre všetky zúčastnené CA (teda koreňové CA a podriadené CA). Požiadavky sa týkajú týchto oblastí:
·identifikácia a autentifikácia hlavných aktérov, ktorí nadobúdajú roly PKI (napr. bezpečnostný referent, referent pre ochranu súkromia, správca bezpečnosti, správca adresárov a koncový používateľ) vrátane vyhlásenia o úlohách, povinnostiach, zodpovednosti a oprávneniach spojených s každou rolou,
·správa kľúčov vrátane prípustných a povinných algoritmov podpisovania certifikátov a údajov, ako aj období platnosti certifikátov,
·minimálne požiadavky z hľadiska miestnej bezpečnostnej praxe vrátane fyzického zabezpečenia a personálnych a procedurálnych opatrení,
·minimálne požiadavky na technickú bezpečnostnú prax, ako napríklad počítačová a sieťová bezpečnosť a technické zabezpečenie kryptografických modulov,
·minimálne požiadavky na prevádzkovú prax autorít CA, EA, AA a koncových entít vrátane aspektov registrácie, rušenia registrácie (výmazu zo zoznamu), zrušenia, kompromitácie kľúča, dôvodného zamietnutia, aktualizácie certifikátu, postupov auditu a dôvernosti údajov spojených s ochranou súkromia,
·profil certifikátov a zoznamov CRL vrátane formátov, prípustných algoritmov, povinných a voliteľných dátových polí a ich platných rozsahov hodnôt, ako aj toho, ako majú overovatelia certifikáty spracovávať,
·pravidelné monitorovanie, vykazovanie, upozorňovanie a obnovovanie úloh entít modelu zabezpečenia dôveryhodnosti C-ITS s cieľom zaistiť chránenú prevádzku, a to aj v prípade pochybenia.
Okrem týchto minimálnych požiadaviek môžu entity riadiace koreňové CA a podriadené CA rozhodnúť o vlastných dodatočných požiadavkách, ktoré stanovia v príslušných pravidlách na výkon certifikačných činností (CPS), pokiaľ nie sú v rozpore s požiadavkami stanovenými v certifikačnej politike. Podrobnosti o auditoch a uverejňovaní CPS sú uvedené v oddiele 1.5.
V CP sa takisto uvádzajú účely, na ktoré možno využiť koreňové CA, podriadené CA a nimi vydané certifikáty. Stanovuje sa v nej zodpovednosť, ktorú preberá:
·TLM,
·každá koreňová CA, ktorej certifikáty sú uvedené na zozname ECTL,
·podriadené CA (EA a AA) danej koreňovej CA,
·každý člen alebo organizácia zodpovedná za alebo prevádzkujúca niektorú z entít modelu zabezpečenia dôveryhodnosti C-ITS.
V CP sa okrem toho vymedzujú záväzné povinnosti týchto strán:
·TLM,
·každá koreňová CA, ktorej certifikáty sú uvedené na zozname ECTL,
·každá podriadená CA, ktorú certifikovala koreňová CA,
·všetky koncové entity,
·každá členská organizácia zodpovedná za alebo prevádzkujúca niektorú z entít modelu zabezpečenia dôveryhodnosti C-ITS.
Napokon sa v CP stanovujú požiadavky z hľadiska dokumentácie obmedzení zodpovedností a povinností v CPS každej koreňovej CA, ktorej certifikáty sú uvedené na zozname ECTL.
Táto CP je v súlade s rámcom pre certifikačné politiky a postupy, ktorý prijala Osobitná skupina pre internetovú techniku (IETF) [3].
1.2.Vymedzenie pojmov a skratky
Uplatňuje sa vymedzenie pojmov v [2], [3] a [4].
|
AA
|
autorizačná autorita (authorisation authority)
|
|
AT
|
autorizačný tiket (authorization ticket)
|
|
CA
|
certifikačná autorita (certification authority)
|
|
CP
|
certifikačná politika (certificate policy)
|
|
CPA
|
autorita certifikačnej politiky C-ITS (C-ITS certificate policy authority)
|
|
CPOC
|
kontaktné miesto pre C-ITS (C-ITS point of contact)
|
|
CPS
|
pravidlá na výkon certifikačných činností (certificate practice statement)
|
|
CRL
|
zoznam zrušených certifikátov (certificate revocation list)
|
|
EA
|
prihlasovacia autorita (enrolment authority)
|
|
EC
|
prihlasovacie poverenie (enrolment credential)
|
|
ECIES
|
kryptografická schéma s integráciou eliptických kriviek (elliptic curve integrated encryption scheme)
|
|
EE
|
koncová entita (end-entity), t. j. stanica C-ITS
|
|
ECTL
|
európsky zoznam dôveryhodných certifikátov (European certificate trust list)
|
|
EU CCMS
|
systém EÚ na správu bezpečnostných poverení C-ITS (EU C-ITS security credential management system)
|
|
GDPR
|
všeobecné nariadenie o ochrane údajov (General Data Protection Regulation)
|
|
HSM
|
hardvérový bezpečnostný modul (hardware security module)
|
|
PKI
|
infraštruktúra verejného kľúča (public key infrastructure)
|
|
RA
|
registračná autorita (registration authority)
|
|
podriadená CA
|
EA a AA
|
|
TLM
|
správca zoznamu dôveryhodných certifikátov (trust list manager)
|
Glosár
|
žiadateľ
|
Fyzická alebo právnická osoba, ktorá žiada o certifikát (alebo jeho obnovenie). Po vytvorení prvotného certifikátu (inicializácia) sa žiadateľ označuje ako „držiteľ“.
Pri certifikátoch vydávaných pre koncové entity je držiteľom (žiadateľom o certifikát) entita, ktorá má nad koncovou entitou, pre ktorú sa certifikát vydáva, kontrolu alebo ktorá ju prevádzkuje/udržiava, a to aj ak samotnú žiadosť o certifikát zasiela daná koncová entita.
|
|
autorizačná autorita
|
V tomto dokumente pojem „autorizačná autorita“ (AA) zahŕňa nielen osobitnú funkciu AA, ale aj právnu a/alebo prevádzkovú entitu, ktorá ju spravuje.
|
|
certifikačná autorita
|
Koreňová certifikačná autorita, prihlasovacia autorita a autorizačná autorita sa spoločne označujú ako certifikačná autorita (CA).
|
|
model zabezpečenia dôveryhodnosti C-ITS
|
Model zabezpečenia dôveryhodnosti C-ITS zodpovedá za nadviazanie vzťahu dôvery medzi stanicami C-ITS. Implementuje sa s využitím PKI, ktorá pozostáva z koreňových CA, CPOC, TLM, autorít EA a AA a zabezpečenej siete.
|
|
kryptografická pružnosť
|
Schopnosť entít modelu zabezpečenia dôveryhodnosti C-ITS prispôsobiť CP meniacemu sa prostrediu alebo novým budúcim požiadavkám, napríklad zmenou kryptografických algoritmov a dĺžky kľúča v čase.
|
|
kryptografický modul
|
Zabezpečený hardvérový prvok, v ktorom sa generujú a/alebo uchovávajú kľúče, v ktorom sa generujú náhodné čísla a v ktorom sa podpisujú alebo šifrujú údaje.
|
|
prihlasovacia autorita
|
V tomto dokumente pojem „prihlasovacia autorita“ (EA) zahŕňa nielen osobitnú funkciu EA, ale aj právnu a/alebo prevádzkovú entitu, ktorá ju spravuje.
|
|
účastníci PKI
|
Entity modelu zabezpečenia dôveryhodnosti C-ITS, t. j. TLM, koreňové CA, EA, AA a stanice C-ITS.
|
|
prekľúčovanie
|
|
|
úložisko
|
Úložisko používané na uchovávanie certifikátov a informácií o certifikátoch, ktoré poskytli entity modelu zabezpečenia dôveryhodnosti C-ITS v zmysle vymedzenia v oddiele 2.3.
|
|
koreňová certifikačná autorita
|
V tomto dokumente pojem „koreňová certifikačná autorita“ (CA) zahŕňa nielen osobitnú funkciu CA, ale aj právnu a/alebo prevádzkovú entitu, ktorá ju spravuje.
|
|
subjekt
|
Fyzická osoba, zariadenie, systém, jednotka alebo právnická osoba označená v certifikáte ako subjekt, t. j. buď držiteľ alebo zariadenie, nad ktorým má držiteľ kontrolu a ktoré prevádzkuje.
|
|
držiteľ
|
Fyzická alebo právnická osoba, pre ktorú sa vydáva certifikát a ktorá je právne viazaná zmluvou s držiteľom alebo používateľskou zmluvou.
|
|
zmluva s držiteľom
|
Dohoda medzi CA a žiadateľom/držiteľom, v ktorej sa stanovujú práva a zodpovednosti oboch strán.
|
1.3.Účastníci PKI
1.3.1.Úvod
Účastníci PKI zohrávajú v PKI rolu, ktorá je vymedzená touto politikou. Pokiaľ to nie je výslovne zakázané, môže mať účastník viacero rol súčasne. Môže jej byť zakázané súčasné vykonávanie určitých rol s cieľom predísť konfliktu záujmov alebo zabezpečiť oddelenie úloh.
Účastníci môžu takisto delegovať časti svojej roly na iné entity na základe zmluvy o poskytnutí služby. Ak sa napríklad poskytujú informácie o stave zrušení prostredníctvom zoznamov CRL, CA je zároveň vydavateľom CRL, ale zodpovednosť za vydanie zoznamov CRL môže delegovať na inú entitu.
Roly PKI zahŕňajú:
·autoritatívne roly, t. j. každá rola je zastúpená len raz;
·prevádzkové roly, t. j. roly, ktoré môže vykonávať jedna alebo viacero entít.
Napríklad funkciu koreňovej CA môže vykonávať komerčná entita, záujmová skupina, organizácia na vnútroštátnej alebo na európskej úrovni.
Na obrázku 1 je znázornená architektúra modelu zabezpečenia dôveryhodnosti C-ITS na základe [2]. Táto architektúra je tu stručne predstavená, ale hlavné prvky sú opísané podrobnejšie v oddieloch 1.3.2 až 1.3.6.
CPA ustanovuje TLM, ktorý je teda dôveryhodnou entitou pre všetkých účastníkov PKI. CPA schvaľuje prevádzku koreňovej CA a potvrdzuje, že TLM môže koreňovej(-ým) CA dôverovať. TLM vydá zoznam ECTL, ktorý všetkým účastníkom PKI poskytne dôveru v schválenú koreňovú CA. Koreňová CA vydá certifikáty autoritám EA a AA, čím zabezpečí dôveru v ich činnosť. EA vydá prihlasovacie certifikáty posielajúcim a preposielajúcim staniciam C-ITS (ako koncovým entitám), čím poskytne dôveru v ich činnosť. AA vystaví tiket AT staniciam C-ITS na základe dôvery v EA.
Prijímajúca a preposielajúca stanica C-ITS (ako preposielajúca strana) môže dôverovať ostatným staniciam C-ITS, keďže tikety AT vystavuje AA, ktorej dôveruje koreňová CA, ktorej dôveruje TLM a CPA.
Poznámka: obrázok 1 opisuje v rámci modelu zabezpečenia dôveryhodnosti C-ITS iba vrstvu koreňovej CA. Podrobnosti o nižších vrstvách sú uvedené v nasledujúcich oddieloch tejto CP alebo v CPS konkrétnych koreňových CA.
Na obrázku 2 je prehľad informačných tokov medzi účastníkmi PKI. Zelené body znázorňujú toky, ktoré si vyžadujú komunikáciu stroj-stroj. Informačné toky znázornené červenou majú definované bezpečnostné požiadavky.
Model zabezpečenia dôveryhodnosti C-ITS je založený na architektúre s viacerými koreňovými CA, kde sa certifikáty koreňových CA periodicky zasielajú (ako sa uvádza ďalej) do centrálneho kontaktného miesta (CPOC) zabezpečeným protokolom (napr. prepájacie certifikáty), ktorý určí CPOC.
Koreňovú CA môže prevádzkovať štátna alebo súkromná organizácia. Architektúra modelu zabezpečenia dôveryhodnosti C-ITS zahŕňa aspoň jednu koreňovú CA (koreňová CA EÚ na rovnakej úrovni, ako zvyšné koreňové CA). Koreňová CA EÚ je delegovaná všetkými entitami zapojenými do modelu zabezpečenia dôveryhodnosti C-ITS, ktoré nechcú zriaďovať vlastnú koreňovú CA. Prijaté certifikáty koreňových CA zasiela CPOC správcovi TLM, ktorý zodpovedá za zostavenie a podpis zoznamu certifikátov koreňových CA a za ich zaslanie späť na CPOC, kde sa verejne sprístupnia všetkým (pozri ďalej).
Vzťahy dôvery medzi entitami v modeli zabezpečenia dôveryhodnosti C-ITS sú opísané v nasledujúcich obrázkoch, tabuľkách a oddieloch.
Obrázok 1: Architektúra modelu zabezpečenia dôveryhodnosti C-ITS
Obrázok 2: Informačné toky v modeli zabezpečenia dôveryhodnosti C-ITS
Č. toku
|
Odkiaľ
|
Kam
|
Obsah
|
Odkaz
|
|
(1).
|
CPA
|
TLM
|
schválenie žiadosti koreňovej CA
|
8
|
|
(2).
|
CPA
|
TLM
|
informácia o zrušení koreňovej CA
|
8.5
|
|
(3).
|
CPA
|
koreňová CA
|
aktualizácie CP
|
1.5
|
|
(4).
|
CPA
|
koreňová CA
|
schválenie/zamietnutie formulára žiadosti koreňovej CA alebo žiadaných zmien CPS alebo procesu auditu
|
8.5, 8.6
|
|
(5).
|
TLM
|
CPA
|
oznámenie zmeny zoznamu ECTL
|
4, 5.8.1
|
|
(6).
|
TLM
|
CPOC
|
certifikát TLM
|
4.4.2
|
|
(7).
|
TLM
|
CPOC
|
ECTL
|
4.4.2
|
|
(8).
|
CPOC
|
TLM
|
informácia o certifikáte koreňovej CA
|
4.3.1.1
|
|
(9).
|
CPOC
|
TLM
|
zrušenie certifikátu koreňovej CA
|
7.3
|
|
(10).
|
CPOC
|
všetky koncové entity
|
certifikát TLM
|
4.4.2
|
|
(11).
|
koreňová CA
|
CPOC
|
informácia o certifikáte koreňovej CA
|
4.3.1.1
|
|
(12).
|
koreňová CA
|
CPOC
|
zrušenie certifikátu koreňovej CA
|
7.3
|
|
(13).
|
koreňová CA
|
audítor
|
príkaz na audit
|
8
|
|
(14).
|
koreňová CA
|
CPA
|
formulár žiadosti koreňovej CA – prvotná žiadosť
|
4.1.2.1
|
|
(15).
|
koreňová CA
|
CPA
|
formulár žiadosti koreňovej CA – zmeny CPS
|
1.5.1
|
|
(16).
|
koreňová CA
|
CPA
|
formulár žiadosti koreňovej CA – správa z auditu
|
8.6
|
|
(17).
|
koreňová CA
|
CPA
|
správy o incidentoch koreňovej CA vrátane zrušenia podriadenej CA (EA, AA)
|
príloha III, 7.3.1
|
|
(18).
|
koreňová CA
|
EA
|
certifikát – odpoveď EA
|
4.2.2.3
|
|
(19).
|
koreňová CA
|
AA
|
certifikát – odpoveď AA
|
4.2.2.3
|
|
(20).
|
koreňová CA
|
všetci
|
certifikát EA/AA, zoznam CRL
|
4.4.2
|
|
(21).
|
EA
|
koreňová CA
|
žiadosť EA o certifikát
|
4.2.2.3
|
|
(22).
|
EA
|
stanica C-ITS
|
prihlasovacie poverenie – odpoveď
|
4.3.1.4
|
|
(23).
|
EA
|
AA
|
autorizácia – odpoveď
|
4.2.2.5
|
|
(24).
|
AA
|
koreňová CA
|
žiadosť AA o certifikát
|
4.2.2.3
|
|
(25).
|
AA
|
EA
|
žiadosť o autorizáciu
|
4.2.2.5
|
|
(26).
|
AA
|
stanica C-ITS
|
autorizačný tiket – odpoveď
|
4.3.1.5
|
|
(27).
|
EA
|
koreňová CA
|
podanie žiadosti
|
4.1.2.3
|
|
(28).
|
AA
|
koreňová CA
|
podanie žiadosti
|
4.1.2.3
|
|
(29).
|
koreňová CA
|
EA
|
odpoveď
|
4.12 a 4.2.1
|
|
(30).
|
koreňová CA
|
AA
|
odpoveď
|
4.12 a 4.2.1
|
|
(31).
|
stanica C-ITS
|
EA
|
žiadosť o prihlasovacie poverenie
|
4.2.2.4
|
|
(32).
|
stanica C-ITS
|
AA
|
žiadosť o autorizačný tiket
|
4.2.2.5
|
|
(33).
|
výrobca/prevádzkovateľ
|
EA
|
registrácia
|
4.2.1.4
|
|
(34).
|
výrobca/prevádzkovateľ
|
EA
|
deaktivácia
|
7.3
|
|
(35).
|
EA
|
výrobca/prevádzkovateľ
|
odpoveď
|
4.2.1.4
|
|
(36).
|
audítor
|
koreňová CA
|
správa
|
8.1
|
|
(37).
|
všetci
|
CPA
|
žiadosti o zmenu CP
|
1.5
|
|
(38).
|
TLM
|
CPA
|
formulár žiadosti
|
4.1.2.2
|
|
(39).
|
CPA
|
TLM
|
schválenie/zamietnutie
|
4.1.2.2
|
|
(40).
|
TLM
|
CPA
|
správa z auditu
|
4.1.2.2
|
Tabuľka 1:
Podrobný opis informačných tokov v modeli zabezpečenia dôveryhodnosti C-ITS
1.3.2.Autorita certifikačnej politiky C-ITS
(1)Autorita certifikačnej politiky C-ITS (CPA) je zložená zo zástupcov verejných i súkromných zainteresovaných strán (napr. členské štáty, výrobcovia vozidiel atď.), ktoré sú do modelu zabezpečenia dôveryhodnosti C-ITS zapojené. Plní dve čiastkové roly:
1.riadenie certifikačnej politiky vrátane:
·schvaľovania aktuálnej CP a budúcich žiadostí o zmenu CP,
·rozhodovania o preskúmaní žiadostí o zmenu CP a odporúčaní predložených inými účastníkmi alebo entitami PKI,
·rozhodovania o vydaní nových verzií CP,
2.riadenie autorizácií PKI vrátane:
·vymedzenia postupov schvaľovania CPS a auditu CA (spolu len „postupy schvaľovania CA“), rozhodovania o nich a ich uverejnenia,
·autorizácie činnosti a pravidelného vykazovania CPOC,
·autorizácie činnosti a pravidelného vykazovania TLM,
·schvaľovania CPS koreňových CA, ak sú v súlade s platnou spoločnou CP,
·skúmania správ z auditu všetkých koreňových CA od akreditovaného audítora PKI,
·informovania TLM o zozname schválených alebo neschválených koreňových CA a ich certifikátoch na základe prijatých správ o schválení koreňových CA a pravidelných správ o činnosti.
(2)Splnomocnený zástupca CPA je zodpovedný za autentifikáciu splnomocneného zástupcu TLM a za schválenie jeho formulára žiadosti v prihlasovacom procese. CPA zodpovedá za autorizáciu činnosti TLM podľa tohto oddielu.
1.3.3.Správca zoznamu dôveryhodných certifikátov
(3)TLM je jediná entita a menuje ho CPA.
(4)TLM zodpovedá za:
·prevádzku ECTL podľa platnej spoločnej CP a pravidelné informovanie CPA formou správ o činnosti, ktoré sa týkajú celkovej zabezpečenej prevádzky modelu zabezpečenia dôveryhodnosti C-ITS,
·prijímanie certifikátov koreňových CA od CPOC,
·zaraďovanie/vyraďovanie certifikátov koreňových CA v zozname ECTL na základe oznámenia od CPA,
·podpisovanie ECTL,
·pravidelné a včasné zasielanie ECTL do CPOC.
1.3.4.Akreditovaný audítor PKI
(5)Akreditovaný audítor PKI zodpovedá za:
·výkon alebo organizáciu auditov koreňových CA, TLM a podriadených CA,
·zaslanie správy z auditu (úvodného alebo pravidelného) CPA v súlade s požiadavkami oddielu 8 ďalej. Správa z auditu má zahŕňať odporúčania akreditovaného audítora PKI,
·informovanie entity spravujúcej koreňovú CA o úspešnom či neúspešnom vykonaní úvodného alebo pravidelného auditu podriadených CA,
·hodnotenie súladu CPS s touto CP.
1.3.5.Kontaktné miesto pre C-ITS (CPOC)
(6)CPOC je jediná entita a menuje ho CPA. Splnomocnený zástupca CPA je zodpovedný za autentifikáciu splnomocneného zástupcu CPOC a za schválenie jeho formulára žiadosti v prihlasovacom procese. CPA zodpovedá za autorizáciu činnosti CPOC podľa tohto oddielu.
(7)CPOC zodpovedá za:
·efektívne a rýchle nadväzovanie a podporu zabezpečenej komunikačnej výmeny medzi všetkými entitami modelu zabezpečenia dôveryhodnosti C-ITS,
·preskúmanie procedurálnych žiadostí o zmenu a odporúčaní predložených inými účastníkmi modelu zabezpečenia dôveryhodnosti (napr. koreňovými CA),
·zasielanie certifikátov koreňových CA správcovi TLM,
·uverejňovanie spoločného „trust anchor“ (aktuálneho verejného kľúča a prepájacieho certifikátu TLM),
·uverejňovanie ECTL.
Úplné informácie o ECTL sú uvedené v oddiele 7.
1.3.6.Prevádzkové roly
(8)Nasledujúce entity vymedzené v [2] zohrávajú prevádzkové roly vymedzené v RFC 3647:
|
Funkčný prvok
|
Rola PKI ([3] a [4])
|
Podrobnosti o role ([2])
|
|
koreňová certifikačná autorita
|
CA/RA (registračná autorita)
|
poskytuje EA a AA dôkaz, že môže vydávať EC alebo AT
|
|
prihlasovacia autorita
|
držiteľ u koreňovej CA / subjekt certifikátu EA
CA/RA
|
autentifikuje stanicu C-ITS a udeľuje jej prístup ku komunikácii ITS
|
|
autorizačná autorita
|
držiteľ u koreňovej CA / subjekt certifikátu AA
CA/RA
|
poskytuje stanici C-ITS autoritatívny dôkaz, že môže využívať konkrétne služby ITS
|
|
odosielajúca stanica C-ITS
|
subjekt certifikátu (EC) koncovej entity (EE)
|
získava od EA práva na prístup ku komunikácii ITS
vyjednáva s AA práva na využitie služieb ITS
zasiela jednoskokové (single-hop) správy a správy preposielaného vysielania (relayed broadcast)
|
|
preposielajúca stanica C-ITS
|
preposielajúca strana / subjekt certifikátu EE
|
prijíma vysielané správy z odosielajúcej stanice C-ITS a podľa potreby ich preposiela prijímajúcej stanici C-ITS
|
|
prijímajúca stanica C-ITS
|
preposielajúca strana
|
prijíma vysielané správy z odosielajúcej alebo preposielajúcej stanice C-ITS
|
|
výrobca
|
držiteľ u EA
|
pri výrobe inštaluje do stanice C-ITS informácie potrebné pre riadenie bezpečnosti
|
|
prevádzkovateľ
|
držiteľ u EA / AA
|
inštaluje a aktualizuje v stanici C-ITS informácie potrebné pre riadenie bezpečnosti počas prevádzky
|
Tabuľka 2: Prevádzkové roly
Poznámka: v súlade s [4] sa v tejto CP používajú odlišné pojmy pre „držiteľa“, ktorý s CA kontrahuje vydávanie certifikátov, a „subjekt“, na ktorý sa daný certifikát vzťahuje. Držitelia sú všetky entity, ktoré majú zmluvný vzťah s CA. Subjekty sú entity, na ktoré sa vzťahuje certifikát. EA/AA sú držiteľmi a subjektmi koreňovej CA a môžu žiadať o certifikáty EA/AA. Stanice C-ITS sú subjekty a môžu žiadať o certifikáty koncovej entity.
(9)Registračné autority:
EA má plniť rolu registračnej autority pre koncové entity. Nové koncové entity (stanice C-ITS) môže v EA registrovať iba autentifikovaný a autorizovaný držiteľ. Príslušné koreňové CA majú vykonávať funkciu registračných autorít pre EA a AA.
1.4.Používanie certifikátov
1.4.1.Prípustné oblasti použitia
(10)Certifikáty vydávané podľa tejto CP sú určené na validáciu digitálnych podpisov v kontexte komunikácie v kooperatívnych ITS v súlade s referenčnou architektúrou [2].
(11)Profily certifikátov v [5] určujú použitie certifikátov pre TLM, koreňové CA, EA, AA a koncové entity.
1.4.2.Hranice zodpovednosti
(12)Certifikáty nie sú určené ani schválené na použitie v týchto prípadoch:
·okolnosti, ktoré porušujú akýkoľvek platný zákon, predpis (napr. GDPR), vyhlášku alebo vládne nariadenie, alebo ktoré sú s nimi v rozpore,
·okolnosti, ktoré porušujú práva iných, alebo sú s nimi v rozpore,
·porušenie ustanovení tejto CP alebo príslušnej zmluvy s držiteľom,
·akékoľvek okolnosti, pri ktorých by ich použitie mohlo priamo viesť k úmrtiu, ublížení na zdraví alebo závažným environmentálnym škodám (napr. zlyhanie prevádzky jadrových zariadení, leteckej navigácie alebo komunikácie či riadiacich systémov zbraní),
·okolnosti, ktoré sú v rozpore so všeobecnými cieľmi zvyšovania bezpečnosti cestnej premávky a zefektívňovania cestnej dopravy v Európe.
1.5.Správa certifikačnej politiky
1.5.1.Aktualizácia CPS autorít CA uvedených v zozname ECTL
(13)Každá koreňová CA uvedená v ECTL uverejní vlastné pravidlá CPS, ktoré musia byť v súlade s touto politikou. Koreňová CA môže pridať dodatočné požiadavky, no zabezpečí, aby boli nepretržite splnené všetky požiadavky tejto CP.
(14)Každá koreňová CA uvedená v ECTL zavedie primeraný proces zmeny svojho dokumentu CPS. Hlavné črty tohto procesu zmeny sa zdokumentujú vo verejnej časti CPS.
(15)Proces zmeny musí zaručovať, aby sa všetky zmeny tejto CP podrobne analyzovali, a ak je to potrebné na zabezpečenie súladu s CP v znení zmien, aby sa CPS aktualizovali v lehote stanovenej v implementačnom kroku procesu zmeny pre CP. Zmenový proces musí najmä zahŕňať núdzové zmenové postupy, ktoré zaručia včasnú implementáciu zmien CP relevantných z hľadiska zabezpečenia.
(16)Súčasťou procesu zmeny musia byť primerané opatrenia na overenie súladu s CP pri všetkých zmenách CPS. Všetky zmeny CPS sa riadne zdokumentujú. Pred zavedením novej verzie CPS musí jej súlad s CP potvrdiť akreditovaný audítor PKI.
(17)Príslušná koreňová CA oznámi CPA všetky zmeny CPS, pričom uvedie aspoň tieto informácie:
·presný opis zmeny,
·odôvodnenie zmeny,
·správu akreditovaného audítora PKI, ktorá potvrdzuje súlad s CP,
·kontaktné údaje osoby zodpovednej za CPS,
·plánovaný harmonogram vykonávania.
1.5.2.Postupy schvaľovania CPS
(18)Pred začiatkom činnosti musí kandidátska koreňová CA predložiť svoje CPS akreditovanému audítorovi PKI v rámci príkazu na audit súladu (tok 13), ako aj CPA na schválenie (tok 15).
(19)Koreňová CA predkladá zmeny svojich CPS akreditovanému audítorovi PKI v rámci príkazu na audit súladu (tok 13), ako aj CPA na schválenie (tok 15) skôr, než nadobudnú účinnosť.
(20)EA/AA predkladá svoje CPS alebo ich zmeny príslušnej koreňovej CA. Koreňová CA môže vyžiadať certifikát zhody od vnútroštátneho orgánu alebo súkromnej entity, ktorý je zodpovedný za schvaľovanie danej EA/AA, v zmysle oddielov 4.1.2 a 8.
(21)Akreditovaný audítor PKI posúdi CPS podľa oddielu 8.
(22)Akreditovaný audítor PKI oznámi výsledok posúdenia CPS v rámci správy z auditu podľa oddielu 8.1. CPS sa prijmú alebo zamietnu v rámci prijatia správy z auditu podľa oddielov 8.5 a 8.6.
2.Zodpovednosti v oblasti uverejňovania a uchovávania informácií
2.1.Metódy uverejňovania informácií o certifikátoch
(23)Informácie o certifikátoch možno uverejňovať podľa oddielu 2.5:
·pravidelne či periodicky alebo
·na žiadosť niektorej zo zúčastnených entít.
Miera naliehavosti uverejnenia je v každom prípade odlišná, takže sa líšia aj lehoty, no entity musia byť pripravené na oba spôsoby.
(24)Pravidelné uverejňovanie informácií o certifikáte umožňuje určiť maximálnu lehotu, do ktorej sa informácie o certifikáte aktualizujú vo všetkých uzloch siete C-ITS. Frekvencia uverejňovania všetkých informácií o certifikáte je stanovená v oddiele 2.2.
(25)Na žiadosť entít zúčastnených v sieti C-ITS môže ktorýkoľvek z účastníkov začať uverejňovať informácie o certifikáte kedykoľvek a v závislosti od stavu si vyžiadať aktuálny súbor informácií o certifikáte, aby sa stala plne dôveryhodným uzlom siete C-ITS. Účelom tohto uverejnenia je najmä aktualizovať informovanosť entít o celkovom aktuálnom stave informácií o certifikátoch v sieti, aby mohli komunikovať na báze dôvery až do najbližšieho uverejnenia daných informácií.
(26)Jedna koreňová CA môže zároveň kedykoľvek iniciovať uverejňovanie informácií o certifikáte zaslaním aktualizovaného súboru certifikátov všetkým „účastníckym členom“ sieti C-ITS, ktorí takéto informácie pravidelne dostávajú. Podporuje to fungovanie autorít CA a umožňuje im kontaktovať členov medzi pravidelnými a plánovanými dátumami uverejňovania certifikátov.
(27)V oddiele 2.5 sa stanovuje mechanizmus a všetky postupy uverejňovania certifikátov koreňovej CA a zoznamu ECTL.
(28)CPOC uverejňuje certifikáty koreňových CA (ako sú uvedené na zozname ECTL a určené pre verejnosť), certifikát TLM a zoznam ECTL, ktorý vydáva.
(29)Koreňové CA uverejňujú certifikáty svojich EA/AA a zoznamy CRL, pričom musia byť schopné použiť všetky tri tu uvedené mechanizmy ich uverejňovania účastníckym členom a spoliehajúcim sa stranám a prijmú všetky potrebné kroky na zaistenie zabezpečeného prenosu v zmysle oddielu 4.
2.2.Čas alebo frekvencia uverejňovania
(30)Požiadavky na harmonogram uverejňovania certifikátov a zoznamov CRL sa musia určiť zohľadňujúc rôzne obmedzenia jednotlivých uzlov C-ITS, pričom celkovým cieľom je prevádzkovať „zabezpečenú sieť“ (trusted network) a čo najrýchlejšie uverejňovať aktualizácie všetkým dotknutým staniciam C-ITS.
·Pri pravidelnom uverejňovaní aktualizovaných informácií o certifikátoch (napr. zmeny zloženia zoznamu ECTL alebo CRL) sa v záujme bezpečnej prevádzky siete C-ITS vyžaduje maximálna lehota tri mesiace.
·Koreňové CA uverejnia svoje certifikáty CA a zoznamy CRL čo najskôr po vydaní.
·Na uverejňovanie CRL sa použije úložisko koreňovej CA.
Okrem toho sa musí v CPS každej CA uvádzať časový interval, v rámci ktorého sa certifikát uverejní po tom, čo CA daný certifikát vydá.
V tomto oddiele sa stanovujú iba časy alebo frekvencia pravidelného uverejňovania. Prostriedok spojenia na aktualizáciu staníc C-ITS zaslaním zoznamov ECTL a CRL do týždňa od ich uverejnenia (za bežných prevádzkových podmienok – napr. je k dispozícii mobilné pokrytie, vozidlo sa skutočne používa atď.) sa implementuje v súlade s požiadavkami tohto dokumentu.
2.3.Úložiská
(31)Požiadavky na štruktúru úložiska certifikátov a na to, aké informácie poskytujú entity siete C-ITS, sú v prípade jediných entít nasledovné:
·vo všeobecnosti by každá koreňová CA mala používať úložisko vlastných aktuálne aktívnych informácií o certifikátoch EA/AA a zoznamu CRL na uverejňovanie certifikátov pre ostatných účastníkov PKI (napr. adresárové služby založené na protokole LDAP). Úložisko každej koreňovej CA musí podporovať všetky požadované prvky kontroly prístupu (oddiel 2.4) a prenosové časy (oddiel 2.2) pre každú metódu distribúcie informácií o C-ITS,
·úložisko TLM (kde sa ukladá napríklad zoznam ECTL a certifikáty TLM zverejnené zo strany CPOC) by malo byť založené na mechanizme zverejňovania, ktorý dokáže zaistiť prenosové časy podľa oddielu 2.2 pri každej metóde distribúcie.
Požiadavky na AA vymedzené nie sú, no musia podporovať rovnaké úrovne zabezpečenia ako ostatné entity a musia ich deklarovať vo svojich CPS.
2.4.Kontrola prístupu k úložiskám
(32)Požiadavky na kontrolu prístupu k úložiskám informácií o certifikátoch musia zodpovedať aspoň všeobecným normám zabezpečeného nakladania s informáciami podľa normy ISO/IEC 27001 a požiadavkám v oddiele 4. Okrem toho musia odzrkadľovať potreby zabezpečenia procesov, ktoré sa stanovia pre jednotlivé procesné kroky pri uverejňovaní informácií o certifikátoch.
·Zahŕňa to zavedenie úložiska certifikátov TLM a zoznamu ECTL u TLM/CPOC. Každá CA alebo prevádzkovateľ úložiska zavedie prvky kontroly prístupu vo vzťahu ku všetkým entitám C-ITS a externým stranám aspoň na troch rôznych úrovniach (napr. verejná, obmedzená pre entity C-ITS, úroveň koreňovej CA), aby entity bez oprávnenia nemohli pridávať, meniť alebo mazať záznamy v úložisku.
·Presné mechanizmy danej jedinej entity na kontrolu prístupu by mali byť súčasťou príslušných CPS.
·Pri každej koreňovej CA musia úložiská EA a AA spĺňať rovnaké požiadavky na postupy kontroly prístupu, bez ohľadu na umiestnenie alebo zmluvný vzťah k poskytovateľovi služby, ktorý dané úložisko prevádzkuje.
Ako východisko pre úrovne kontroly prístupu by každá koreňová CA alebo prevádzkovateľ úložiska mali poskytnúť aspoň tri rôzne úrovne (napr. verejná, obmedzená pre entity C-ITS, úroveň koreňovej CA).
2.5.Uverejňovanie informácií o certifikátoch
2.5.1.Uverejňovanie informácií o certifikátoch zo strany TLM
(33)TLM v spoločnej európskej doméne dôvery C-ITS uverejní cez CPOC tieto informácie:
·všetky aktuálne platné certifikáty TLM na nasledujúce obdobie prevádzky (aktuálny a prepájací certifikát, ak je k dispozícii),
·informácie o prístupovom bode pre úložisko CPOC s cieľom poskytnúť podpísaný zoznam koreňových CA (ECTL),
·všeobecné informačné miesto pre zavedenie ECTL a C-ITS.
2.5.2.Uverejňovanie informácií o certifikátoch zo strany CA
(34)Koreňové CA v spoločnej európskej doméne dôvery C-ITS uverejnia tieto informácie:
·vydané (aktuálne platné) certifikáty koreňových CA (aktuálne a správne prekľúčované certifikáty vrátane prepájacieho certifikátu) na úložisku uvedenom v oddiele 2.3,
·všetky platné entity EA, AA s ID prevádzkovateľa a plánovaným obdobím prevádzky,
·vydané certifikáty CA na úložiskách uvedených v oddiele 2.3,
·zoznamy CRL pre všetky zrušené certifikáty CA, pokrývajúce ich podriadené EA a AA,
·informácie o bode prístupu koreňovej CA k informáciám o CRL a CA.
Všetky informácie o certifikátoch sa kategorizujú podľa troch úrovní dôvernosti a dokumenty pre širokú verejnosť musia byť verejne prístupné bez obmedzení.
3.Identifikácia a autentifikácia
3.1.Prideľovanie názvov
3.1.1.Typy názvov
3.1.1.1.Názvy TLM, koreňových CA, EA, AA
(35)Názov v certifikáte TLM pozostáva z jedného atribútu subject_name s vyhradenou hodnotou „EU_TLM“.
(36)Názov koreňových CA pozostáva z jedného atribútu subject_name s hodnotou, ktorú pridelí CPA. Jedinečnosť názvov je výhradnou zodpovednosťou CPA a TLM vedie register názvov koreňových CA na základe oznámení od CPA (schválenie, zrušenie/výmaz koreňovej CA). Názvy subjektov v certifikátoch sú obmedzené na 32 bajtov. Každá koreňová CA navrhne svoj názov CPA vo formulári žiadosti (tok 14). CPA zodpovedá za kontrolu jedinečnosti týchto názvov. Ak názov nie je jedinečný, formulár žiadosti sa zamietne (tok 4).
(37)Názov v každom certifikáte EA/AA môže pozostávať z jedného atribútu subject_name s hodnotou, ktorú generuje vydavateľ certifikátu. Jedinečnosť názvov je výhradnou zodpovednosťou vydávajúcej koreňovej CA.
(38)V certifikátoch EA a AA nemožno používať názvy dlhšie ako 32 bajtov, pretože subject_name v certifikátoch je obmedzený na 32 bajtov.
(39)AT názov nezahŕňajú.
3.1.1.2.Názvy koncových entít
(40)Každej stanici C-ITS sa priradia dva druhy jedinečných identifikátorov:
·normatívne (kanonické) ID uložené pri prvotnej registrácii stanice C-ITS v zodpovednosti výrobcu. Jeho súčasťou je čiastkový reťazec identifikujúci výrobcu alebo prevádzkovateľa tak, aby mohol byť tento identifikátor jedinečný,
·subject_name, ktorý môže byť súčasťou EC danej stanice C-ITS, v zodpovednosti EA.
3.1.1.3.Identifikácia certifikátov
(41)Certifikáty zodpovedajúce formátu podľa [5] sa identifikujú výpočtom hodnoty HashedId8 vymedzenej v [5].
3.1.2.Potreba zmysluplných názvov
Nestanovuje sa.
3.1.3.Anonymita a pseudonymita koncových entít
(42)AA zabezpečí pseudonymitu stanice C-ITS tým, že stanici C-ITS poskytuje také AT, ktoré nezahŕňajú žiadne názvy alebo informácie, ktoré by subjekt mohli spájať s jeho skutočnou totožnosťou.
3.1.4.Pravidlá interpretácie rôznych tvarov názvov
Nestanovuje sa.
3.1.5.Jedinečnosť názvov
(43)Názvy TLM, koreňových CA, EA, AA a normatívne ID staníc C-ITS musia byť jedinečné.
(44)TLM v procese registrácie určitej koreňovej CA v ECTL zabezpečí jedinečnosť jej identifikátora certifikátu (HashedId8). Koreňová CA v procese vydávania certifikátov zabezpečí jedinečnosť identifikátora certifikátu (HashedId8) každej podriadenej CA.
(45)HashedId8 EC musí byť jedinečný v rámci vydávajúcej CA. HashedId8 tiketu AT nemusí byť jedinečný.
3.2.Prvotná validácia totožnosti
3.2.1.Metóda preukázania vlastníctva súkromného kľúča
(46)Koreňová CA preukáže, že je právoplatným vlastníkom súkromného kľúča, ktorý zodpovedá verejnému kľúču v certifikáte s vlastným podpisom. Tento dôkaz preverí CPOC.
(47)EA/AA preukáže, že je právoplatným vlastníkom súkromného kľúča zodpovedajúceho verejnému kľúču, ktorý sa má uviesť v certifikáte. Tento dôkaz preverí koreňová CA.
(48)Vlastníctvo nového súkromného kľúča (v prípade prekľúčovania) sa preukáže podpisom danej žiadosti novým súkromným kľúčom (vnútorný podpis) a následným vygenerovaním vonkajšieho podpisu už podpísanej žiadosti aktuálne platným súkromným kľúčom (na zaručenie autentickosti žiadosti). Žiadateľ predloží podpísanú žiadosť o certifikát vydávajúcej CA zabezpečeným komunikačným kanálom. Vydávajúca CA overí, či bol digitálny podpis žiadateľa na správe o žiadosti vytvorený pomocou súkromného kľúča, ktorý zodpovedá verejnému kľúču pripojenému k žiadosti o certifikát. Koreňová CA vo svojich CPS upresní, ktorú žiadosť o certifikát a odpovede podporuje.
3.2.2.Autentifikácia organizačnej totožnosti
3.2.2.1.Autentifikácia organizačnej totožnosti koreňovej CA
(49)Vo formulári žiadosti zasielanom CPA (tok 14) koreňová CA uvedie totožnosť organizácie a registračné informácie, ktoré zahŕňajú:
·názov organizácie,
·poštovú adresu,
·e-mailovú adresu,
·meno fyzickej kontaktnej osoby v danej organizácii,
·telefónne číslo,
·digitálny odtlačok (t. j. hodnotu hash SHA-256) certifikátu koreňovej CA v tlačenej forme,
·kryptografické informácie (t. j. kryptografické algoritmy, dĺžky kľúčov) v certifikáte koreňovej CA,
·všetky povolenia, ktoré môže koreňová CA používať a postupovať podriadeným CA.
(50)CPA overí totožnosť organizácie a ostatné registračné informácie, ktoré žiadateľ o certifikát poskytol, na účely zaradenia certifikátu koreňovej CA do zoznamu ECTL.
(51)CPA zhromaždí buď priame dôkazy alebo potvrdenie od vhodného a autorizovaného zdroja o totožnosti (napr. názov) a podľa potreby prípadné konkrétne atribúty subjektov, pre ktoré sa certifikát vydáva. Predložené doklady môžu mať formu tlačenej alebo elektronickej dokumentácie.
(52)Totožnosť subjektu sa náležite overí v čase registrácie, v súlade s touto certifikačnou politikou.
(53)Pri každej žiadosti o certifikát sa doloží:
·celý názov organizačnej entity (súkromná organizácia, entita verejnej správy alebo nekomerčná entita),
·celoštátne uznaná registrácia alebo iné atribúty, ktoré možno v čo najväčšej miere použiť na odlíšenie danej organizačnej entity od iných s rovnakým názvom.
Uvedené pravidlá vychádzajú z TS 102 042 [4]: CA zabezpečí, aby sa doklady identifikácie držiteľa a subjektu, ako aj presnosť ich názvov a súvisiacich údajov buď dôkladne preskúmali v rámci vymedzenej služby, alebo podľa potreby uznali na základe preskúmania potvrdení od vhodných a autorizovaných zdrojov, a aby boli žiadosti o certifikát presné, autorizované a úplné v súlade so získanými dokladmi alebo potvrdením.
3.2.2.2.Autentifikácia organizačnej totožnosti TLM
(54)Organizácia prevádzkujúca TLM doloží identifikáciu a presnosť názvu a súvisiacich údajov, aby sa umožnilo vhodné overenie pri prvotnom vytvorení a prekľúčovaní certifikátu TLM.
(55)Totožnosť subjektu sa náležite overí v čase vytvárania certifikátu alebo prekľúčovania, v súlade s touto CP.
(56)Doklady o organizácii sa poskytnú v súlade s oddielom 3.2.2.1.
3.2.2.3.Autentifikácia organizačnej totožnosti podriadených CA
(57)Koreňová CA overí totožnosť organizácie a ostatné registračné informácie, ktoré žiadatelia o certifikát poskytli v prípade certifikátov podriadených CA (EA/AA).
(58)Koreňová CA musí aspoň:
·určiť, že organizácia existuje, s použitím aspoň jednej služby alebo databázy tretej strany na preukazovanie totožnosti, alebo alternatívne s použitím organizačnej dokumentácie vystavenej alebo vedenej príslušným orgánom verejnej správy alebo uznanou autoritou, ktorá potvrdzuje existenciu danej organizácie,
·využiť poštovú službu alebo porovnateľný postup, ktorý od žiadateľa certifikátu vyžaduje potvrdenie určitých informácií o organizácii, ako aj to, že organizácia schválila žiadosť o certifikát a že osoba, ktorá žiadosť v mene žiadateľa predložila, na to má oprávnenie. Ak certifikát zahŕňa meno konkrétnej osoby ako splnomocneného zástupcu danej organizácie, musí organizácia takisto potvrdiť, že danú osobu zamestnáva a poverila ju konaním v jej mene.
(59)Validačné postupy vydávania certifikátov CA sa zdokumentujú v CPS koreňovej CA.
3.2.2.4.Autentifikácia držiteľskej organizácie koncových entít
(60)Pred tým, ako sa držiteľ prihlasujúci koncové entity (výrobca/prevádzkovateľ) zaregistruje u dôveryhodnej EA, aby jeho koncové entity mohli zasielať žiadosti o certifikáty EC, musí EA:
·overiť totožnosť držiteľskej organizácie a ďalšie registračné informácie, ktoré žiadateľ o certifikát poskytol,
·overiť, že typ stanice C-ITS (teda konkrétny výrobok určený značkou, modelom a verziou stanice C-ITS) spĺňa všetky kritériá posudzovania zhody.
(61)EA musí aspoň:
·určiť, že organizácia existuje, s použitím aspoň jednej služby alebo databázy tretej strany na preukazovanie totožnosti, alebo alternatívne s použitím organizačnej dokumentácie vystavenej alebo vedenej príslušným orgánom verejnej správy alebo uznanou autoritou, ktorá potvrdzuje existenciu danej organizácie,
·využiť poštovú službu alebo porovnateľný postup, ktorý od žiadateľa certifikátu vyžaduje potvrdenie určitých informácií o organizácii, ako aj to, že organizácia schválila žiadosť o certifikát a že osoba, ktorá žiadosť v mene žiadateľa predložila, na to má oprávnenie. Ak certifikát zahŕňa meno konkrétnej osoby ako splnomocneného zástupcu danej organizácie, musí organizácia takisto potvrdiť, že danú osobu zamestnáva a poverila ju konaním v jej mene.
(62)Validačné postupy na registráciu stanice C-ITS jej držiteľom sa zdokumentujú v CPS danej EA.
3.2.3.Autentifikácia individuálnych entít
3.2.3.1.Autentifikácia individuálnych entít TLM/CA
(63)Na autentifikáciu individuálnej entity (fyzickej osoby) identifikovanej v spojení s právnickou osobou alebo organizačnou entitou (napr. držiteľom) sa doloží:
·celé meno subjektu (vrátane priezviska a krstných mien v súlade s platnými právnymi predpismi a vnútroštátnou identifikačnou praxou),
·dátum a miesto narodenia, odkaz na celoštátne uznávaný doklad totožnosti alebo iné atribúty držiteľa, ktoré možno použiť na čo najlepšie odlíšenie danej osoby od iných s rovnakým menom,
·celý názov a právne postavenie súvisiacej právnickej osoby alebo inej organizačnej entity (napr. držiteľa),
·všetky relevantné registračné informácie (napr. registrácia spoločnosti) súvisiacej právnickej osoby alebo inej organizačnej entity
·doklad, že subjekt je prepojený s danou právnickou osobou alebo inou organizačnou entitou.
Predložené doklady môžu mať formu tlačenej alebo elektronickej dokumentácie.
(64)Na overenie svojej totožnosti poskytne splnomocnený zástupca koreňovej CA, EA, AA alebo držiteľ doklady preukazujúce, že pracuje pre danú organizáciu (osvedčenie o splnomocnení). Musí takisto predložiť úradný doklad totožnosti.
(65)V prvotnom prihlasovacom procese (tok 31/32) poskytne zástupca EA/AA príslušnej koreňovej CA všetky potrebné informácie (pozri oddiel 4.1.2).
(66)Pracovníci koreňovej CA overia totožnosť zástupcu žiadateľa o certifikát a všetky súvisiace dokumenty, pričom uplatnia požiadavky na „dôveryhodný personál“ podľa oddielu 5.2.1. (Proces validácie informácií v žiadosti a generovania certifikátu koreňovou CA vykonajú „dôveryhodné osoby“ koreňovej CA minimálne pod dvojitým dohľadom, keďže ide o citlivé úkony v zmysle oddielu 5.2.2).
3.2.3.2.Autentifikácia totožnosti držiteľa pridávajúceho stanice C-ITS
(67)Držiteľov zastupujú autorizovaní koncoví používatelia v danej organizácii, ktorí sú registrovaní u vydávajúcej EA a AA. Koncoví používatelia určení organizáciami (výrobcami alebo prevádzkovateľmi) preukážu svoju totožnosť a autentickosť pred tým, ako:
·zaregistrujú EE u zodpovedajúcej EA, vrátane normatívneho verejného kľúča, normatívneho ID (jedinečný identifikátor) a povolení v závislosti od danej EE,
·sa zaregistrujú u AA a získajú doklad o zmluve s držiteľom, ktorý možno zaslať EA.
3.2.3.3.Autentifikácia identity staníc C-ITS
(68)Subjekty certifikátov EC patriace EE sa autentifikujú pri žiadosti o EC (tok 31) pomocou normatívneho súkromného kľúča pri prvotnej autentifikácii. EA autentifikáciu overí normatívnym verejným kľúčom prislúchajúcim danej EE. Normatívne verejné kľúče entít EE sa EA doručia pred spracovaním prvotnej žiadosti, a to zabezpečeným kanálom medzi výrobcom alebo prevádzkovateľom stanice C-ITS a EA (tok 33).
(69)Subjekty tiketov AT patriace EE sa pri žiadosti o AT autentifikujú (tok 32) svojím jedinečným prihlasovacím súkromným kľúčom. AA podpis postúpi EA (tok 25) na validáciu, EA ho validuje a potvrdí výsledok AA (tok 23).
3.2.4.Neoverené informácie o držiteľoch
Nestanovuje sa.
3.2.5.Validácia autority
3.2.5.1.Validácia TLM, koreňovej CA, EA, AA
(70)Každá organizácia v CPS stanoví aspoň jedného zástupcu (napr. bezpečnostného referenta) zodpovedného za vyžiadanie nových certifikátov a ich obnovení. Platia pritom pravidlá prideľovania názvov podľa oddielu 3.2.3.
3.2.5.2.Validácia držiteľov pridávajúcich stanice C-ITS
(71)Musí byť známa a schválená zo strany EA (pozri oddiel 3.2.3) aspoň jedna fyzická osoba zodpovedná za registráciu staníc C-ITS u EA (napr. bezpečnostný referent).
3.2.5.3.Validácia staníc C-ITS
(72)Držiteľ prihlasujúci stanicu C-ITS môže stanice C-ITS registrovať u konkrétnej EA (tok 33), pokiaľ je u danej EA autentifikovaný.
Ak je stanica C-ITS registrovaná u EA s jedinečným normatívnym ID a normatívnym verejným kľúčom, môže požiadať o EC v žiadosti podpísanej normatívnym súkromným kľúčom spojeným s už registrovaným normatívnym verejným kľúčom.
3.2.6.Kritériá súčinnosti
(73)Na účely komunikácie medzi stanicami C-ITS a autoritami EA (alebo AA) musí byť stanica C-ITS schopná nadviazať zabezpečenú komunikáciu s EA (alebo AA), t. j. implementovať funkcie autentifikácie, zaistenia dôvernosti a integrity, ako sa stanovuje v [1]. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1]. EA a AA musí túto zabezpečenú komunikáciu podporovať.
(74)EA a AA musí podporovať žiadosti o certifikáty a odpovede, ktoré sú v súlade s [1], čím sa poskytuje zabezpečený protokol žiadosti/odpovede AT, ktorý podporuje anonymitu žiadateľa voči AA a oddelenie úloh AA a EA. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1]. Aby sa zabránilo zverejneniu dlhodobej identity staníc C-ITS, komunikácia medzi mobilnou stanicou C-ITS a EA musí byť dôverná (napr. komunikačné údaje musia byť zašifrované medzi koncovými zariadeniami – „end-to-end“).
(75)AA predloží žiadosť o validáciu autorizácie (tok 25) pri každej žiadosti o autorizáciu od subjektu certifikátu EE. EA túto žiadosť validuje z hľadiska:
·štatútu EE u EA,
·platnosti podpisu,
·požadovaných identifikátorov aplikácie (ITS-AID) a povolení,
·stavu poskytovania služby AA držiteľovi.
3.3.Identifikácia a autentifikácia pri žiadostiach o prekľúčovanie
3.3.1.Identifikácia a autentifikácia pri rutinných žiadostiach o prekľúčovanie
3.3.1.1.Certifikáty TLM
(76)TLM generuje kľúčový pár a dva certifikáty: jeden s vlastným podpisom a jeden prepájací certifikát v zmysle oddielu 7.
3.3.1.2.Certifikáty koreňovej CA
Neuplatňuje sa.
3.3.1.3.Obnovenie alebo prekľúčovanie certifikátu EA/AA
(77)Pred uplynutím platnosti certifikátu EA/AA musí EA/AA na zaistenie kontinuity používania certifikátu požiadať o nový certifikát (tok 21/tok 24). EA/AA vygeneruje nový kľúčový pár, ktorý nahradí expirujúci kľúčový pár, a podpíše žiadosť o prekľúčovanie, ktorá obsahuje nový verejný kľúč, aktuálne platným súkromným kľúčom („prekľúčovanie“). EA alebo AA vygeneruje nový kľúčový pár a podpíše žiadosť novým súkromným kľúčom (vnútorný podpis) na preukázanie vlastníctva nového súkromného kľúča. Celá žiadosť sa podpíše zvonka aktuálne platným súkromným kľúčom (vonkajší podpis) na zaistenie integrity a autentickosti žiadosti. Ak sa používa šifrovací a dešifrovací kľúčový pár, musí sa preukázať vlastníctvo súkromných dešifrovacích kľúčov (podrobný opis prekľúčovania je uvedený v oddiele 4.7.3.3).
(78)Identifikačná a autentifikačná metóda pri rutinnom prekľúčovaní je rovnaká, ako pri počiatočnom vydaní validácie prvotného certifikátu koreňovej CA podľa oddielu 3.2.2.
3.3.1.4.Prihlasovacie poverenia koncových entít
(79)Pred uplynutím platnosti existujúceho EC musí EE na zaistenie kontinuity používania certifikátu požiadať o nový certifikát (tok 31). EE vygeneruje nový kľúčový pár nahrádzajúci kľúčový pár, ktorému uplynie platnosť, a požiada o nový certifikát s novým verejným kľúčom; žiadosť sa podpíše aktuálne platným súkromným kľúčom EC.
(80)EE môže žiadosť podpísať novovytvoreným súkromným kľúčom (vnútorný podpis) na preukázanie vlastníctva nového súkromného kľúča. Celá žiadosť sa následne podpíše zvonka aktuálne platným súkromným kľúčom (vonkajší podpis) a zašifruje sa pre prijímajúcu EA, ako sa uvádza v [1], na zaistenie dôvernosti, integrity a autentickosti žiadosti. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1].
3.3.1.5.Autorizačné tikety koncových entít
(81)Prekľúčovanie certifikátu v prípade AT vychádza z rovnakého procesu, ako prvotná autorizácia vymedzená v [1]. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1].
3.3.2.Identifikácia a autentifikácia pri žiadostiach o prekľúčovanie po zrušení
3.3.2.1.Certifikáty CA
(82)Autentifikácia organizácie CA na účely prekľúčovania certifikátu koreňovej CA, EA a AA po zrušení sa riadi rovnakými pravidlami, ako prvotné vydanie certifikátu CA, ako sa uvádza v oddiele 3.2.2.
3.3.2.2.Prihlasovacie poverenia koncových entít
(83)Autentifikácia EE na účely prekľúčovania certifikátu EC po zrušení sa riadi rovnakými pravidlami, ako prvotné vydanie certifikátu EE, ako sa uvádza v oddiele 3.2.2.
3.3.2.3.Žiadosti o autorizáciu koncových entít
Neuplatňuje sa, keďže AT sa nerušia.
3.4.Identifikácia a autentifikácia pri žiadosti o zrušenie
3.4.1.Certifikáty koreňovej CA/EA/AA
(84)Žiadosti o výmaz certifikátu koreňovej CA z ECTL autentifikuje koreňová CA voči TLM (toky 12 a 9). Žiadosti o zrušenie certifikátu EA/AA autentifikuje príslušná koreňová CA a samotná podriadená CA.
(85)Prijateľné postupy autentifikácie žiadostí o zrušenie od držiteľa zahŕňajú:
·písomnú a podpísanú správu na hlavičkovom papieri od držiteľa, ktorý žiada zrušenie, s identifikáciou certifikátu, ktorý sa má zrušiť,
·komunikáciu s držiteľom, ktorá poskytne primerané uistenie, že daná osoba alebo organizácia žiadajúca o zrušenie je skutočne držiteľom. V závislosti od okolností môže takáto komunikácia zahŕňať jednu alebo viacero z týchto foriem: e-mail, poštová alebo kuriérska služba.
3.4.2.Prihlasovacie poverenia staníc C-ITS
(86)Držiteľ pridávajúci stanicu C-ITS môže zrušiť EC skôr registrovanej stanice C-ITS u EA (tok 34). Žiadajúci držiteľ vytvorí žiadosť o zrušenie za príslušnú stanicu C-ITS alebo zoznam staníc C-ITS. EA žiadosť o zrušenie pred spracovaním autentifikuje a potvrdí zrušenie príslušných staníc C-ITS a ich EC.
(87)EA môže zrušiť EC stanice C-ITS v súlade s oddielom 7.3.
3.4.3.Autorizačné tikety staníc C-ITS
(88)Keďže AT sa nerušia, ich platnosť je obmedzená na konkrétne obdobie. Rozsah prípustných lehôt platnosti je v tejto certifikačnej politike stanovený v oddiele 7.
4.Prevádzkové požiadavky počas životného cyklu certifikátu
4.1.Žiadosť o certifikát
(89)V tejto časti sa stanovujú požiadavky na prvotnú žiadosť o vydanie certifikátu.
(90)Pojem „žiadosť o certifikát“ sa vzťahuje na tieto procesy:
·registrácia a nadviazanie vzťahu dôvery medzi TLM a CPA,
·registrácia a nadviazanie vzťahu dôvery medzi koreňovou CA a CPA a TLM vrátane zaradenia prvého certifikátu koreňovej CA do ECTL,
·registrácia a nadviazanie vzťahu dôvery medzi EA/AA a koreňovou CA vrátane vydania nového certifikátu EA/AA,
·registrácia stanice C-ITS u EA zo strany výrobcu/prevádzkovateľa,
·žiadosť stanice C-ITS o EC/AT.
4.1.1.Kto môže predložiť žiadosť o certifikát
4.1.1.1.Koreňové CA
(91)Koreňové CA generujú svoje vlastné kľúčové páry a vydávajú svoje koreňové certifikáty samy. Koreňová CA môže predložiť žiadosť o certifikát prostredníctvom svojho určeného zástupcu (tok 14).
4.1.1.2.TLM
(92)TLM generuje svoje vlastné kľúčové páry a vydáva svoj certifikát sám. Prvotné vyhotovenie certifikátu TLM spracuje zástupca organizácie TLM pod kontrolou CPA.
4.1.1.3.EA a AA
(93)Splnomocnený zástupca EA alebo AA môže predložiť žiadosť o certifikát podriadenej CA (EA a/alebo AA) splnomocnenému zástupcovi príslušnej koreňovej CA (tok 27/28).
4.1.1.4.Stanica C-ITS
(94)Držitelia registrujú každú stanicu C-ITS u EA v súlade s oddielom 3.2.5.3.
(95)Každá stanica C-ITS zaregistrovaná u EA môže zasielať žiadosti o EC (tok 31).
(96)Každá stanica C-ITS môže zasielať žiadosti o AT (tok 32) bez vyžiadania akéhokoľvek zásahu zo strany držiteľa. Stanica C-ITS pred vyžiadaním AT musí mať EC.
4.1.2.Prihlasovací proces a zodpovednosti
(97)Povolenia pre koreňové CA a podriadené CA vydávajúce certifikáty na osobitné (verejnosprávne) účely (t. j. osobitné mobilné a pevné stanice C-ITS) môžu udeliť iba členské štáty, v ktorých sa dané organizácie nachádzajú.
4.1.2.1.Koreňové CA
(98)Po absolvovaní auditu (toky 13 a 36, oddiel 8) môžu koreňové CA požiadať o zaradenie ich certifikátu(-ov) do ECTL u CPA (tok 14). Prihlasovací proces je založený na podpísanom fyzickom formulári žiadosti, ktorý splnomocnený zástupca koreňovej CA fyzicky doručí CPA a ktorý obsahuje aspoň informácie uvedené v oddieloch 3.2.2.1, 3.2.3 a 3.2.5.1.
(99)Formulár žiadosti koreňovej CA podpisuje jej splnomocnený zástupca.
(100)Okrem formulára žiadosti musí splnomocnený zástupca koreňovej CA poskytnúť CPA na schválenie aj kópiu pravidiel CPS koreňovej CA (tok 15) a správu z auditu (tok 16). Po udelení schválenia CPA vygeneruje certifikát zhody a zašle ho CPOC/TLM a príslušnej koreňovej CA.
(101)Splnomocnený zástupca koreňovej CA následne predloží CPOC/TLM jej formulár žiadosti (s odtlačkom certifikátu s vlastným podpisom), preukaz totožnosti a doklad o autorizácii. Certifikát s vlastným podpisom sa doručí CPOC/TLM elektronicky. CPOC/TLM overí všetky dokumenty a certifikát s vlastným podpisom.
(102)Ak je overenie úspešné, TLM pridá certifikát koreňovej CA do ECTL na základe notifikácie od CPA (toky 1 a 2). Proces je podrobne opísaný v pravidlách CPS TLM.
(103)Mal by byť k dispozícii aj ďalší postup na získanie schválenia CPS a správy z auditu koreňovej CA u vnútroštátneho orgánu konkrétnych krajín.
4.1.2.2.TLM
(104)Po absolvovaní auditu sa môže TLM prihlásiť u CPA. Prihlasovací proces je založený na podpísanom fyzickom formulári žiadosti, ktorý splnomocnený zástupca TLM fyzicky doručí CPA (tok 38) a ktorý obsahuje aspoň informácie uvedené v oddieloch 3.2.2.2 a 3.2.3.
(105)Formulár žiadosti TLM podpisuje jeho splnomocnený zástupca.
(106)TLM najskôr vygeneruje svoj certifikát s vlastným podpisom a zabezpečene ho zašle CPA. Potom TLM predloží CPA svoj formulár žiadosti (s odtlačkom certifikátu s vlastným podpisom), kópiu svojich CPS, preukaz totožnosti, doklad o autorizácii a správu z auditu (tok 40). CPA overí všetky dokumenty a certifikát s vlastným podpisom. Ak je overenie všetkých dokumentov, certifikátu s vlastným podpisom a odtlačku úspešné, CPA potvrdí prihlasovací proces zaslaním svojho schválenia TLM a CPOC (tok 39). CPA uchová informácie žiadosti, ktorú zaslal TLM. Certifikát TLM sa potom vydá cez CPOC.
4.1.2.3.EA a AA
(107)EA/AA v rámci prihlasovacieho procesu predloží relevantné dokumenty (napr. CPS a správu z auditu) príslušnej koreňovej CA na schválenie (tok 27/28). Ak je kontrola dokumentov úspešná, koreňová CA zašle schválenie zodpovedajúcim koreňovým podriadeným CA (toky 29/30). Podriadená CA (EA alebo AA) potom zašle svoju podpísanú žiadosť elektronicky a fyzicky doručí formulár žiadosti (v súlade s oddielom 3.2.2.1), potvrdenie o autorizácii a identifikačný doklad príslušnej koreňovej CA. Koreňová CA overí žiadosť a doručené dokumenty (formulár žiadosti s odtlačkom, ktorým je hašovacia hodnota SHA 256 žiadosti podriadenej CA, doklad o autorizácii a identifikačný doklad). Ak sú všetky kontroly úspešné, koreňová CA vydá príslušný certifikát podriadenej CA. Podrobnosti o predkladaní prvotnej žiadosti sú opísané v jej osobitných pravidlách CPS.
(108)Okrem formulára žiadosti podriadenej CA musí splnomocnený zástupca podriadenej CA predložiť koreňovej CA aj pripojenú kópiu CPS.
(109)Informácie sa odovzdajú akreditovanému audítorovi PKI na vykonanie auditu podľa oddielu 8.
(110)Ak je vlastníkom podriadenej CA entita iná než tá, ktorá vlastní koreňovú CA, pred vydaním žiadosti o certifikát podriadenej CA daná entita podriadenej CA podpíše zmluvu o službe koreňovej CA.
4.1.2.4.Stanica C-ITS
(111)Prvotnú registráciu subjektov koncových entít (staníc C-ITS) vykoná zodpovedný držiteľ (výrobca/prevádzkovateľ) u EA (toky 33 a 35) po úspešnej autentifikácii držiteľskej organizácie a jedného z jej zástupcov v súlade s oddielmi 3.2.2.4 a 3.2.5.2.
(112)Stanica C-ITS môže generovať kľúčový pár EC (pozri oddiel 6.1) a vytvoriť podpísanú žiadosť o EC v súlade s [1]. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1].
(113)Pri registrácii bežnej stanice C-ITS (na rozdiel od osobitnej mobilnej alebo pevnej stanice C-ITS) musí EA overiť, či povolenia v prvotnej žiadosti neslúžia na účely verejnej správy. Povolenia na účely verejnej správy určia príslušné členské štáty. Podrobný postup registrácie a odpovede EA výrobcovi/prevádzkovateľovi (toky 33 a 35) sa stanoví v príslušných CPS danej EA.
(114)Stanica C-ITS sa prihlasuje u EA (oddiel 3.2.5.3) zaslaním jej prvotnej žiadosti o EC v súlade s [1].
(115)Pri prvotnej registrácii zástupcom autentifikovaného držiteľa EA schváli, ktoré tikety AT môže subjekt koncovej entity (t. j. stanica C-ITS) dostať. Okrem toho sa každej koncovej entite priradí miera zabezpečenia dôveryhodnosti, ktorá sa týka certifikácie koncovej entity v súlade s jedným z profilov ochrany uvedených v oddiele 6.1.5.2.
(116)Bežné vozidlá smú mať iba jednu stanicu C-ITS registrovanú u niektorej EA. Vozidlá na osobitné účely (ako policajné autá a ďalšie vozidlá na osobitné účely s osobitnými právami) možno zaregistrovať u ďalšej EA, alebo môžu mať jednu dodatočnú stanicu C-ITS na autorizácie v rozsahu daného osobitného účelu. Vozidlá, na ktoré sa táto výnimka vzťahuje, určia zodpovedné členské štáty. Povolenia pre osobitné mobilné a pevné stanice C-ITS udeľujú iba zodpovedné členské štáty. V pravidlách CPS koreňových CA alebo podriadených CA, ktoré v daných členských štátoch vydávajú pre takéto vozidlá certifikáty, sa stanoví, ako sa certifikačný proces uplatňuje na takéto vozidlá.
(117)Ak sa držiteľ nachádza v procese migrácie stanice C-ITS od jednej EA k inej EA, stanica C-ITS môže byť zaregistrovaná u dvoch (podobných) EA.
(118)Stanica C-ITS generuje kľúčový pár AT (pozri oddiel 6.1) a vytvorí žiadosť AT v súlade s [1]. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1].
(119)Stanice C-ITS zasielajú žiadosť o autorizáciu na adresu URL AA (toky 32 a 26) odoslaním aspoň požadovaných informácií podľa oddielu 3.2.3.3). AA a EA validujú autorizáciu pri každej žiadosti v súlade s oddielmi 3.2.6 a 4.2.2.5.
4.2.Spracovanie žiadosti o certifikát
4.2.1.Vykonávanie identifikačných a autentifikačných funkcií
4.2.1.1.Identifikácia a autentifikácia koreňových CA
(120)Splnomocnený zástupca CPA je zodpovedný za autentifikáciu splnomocneného zástupcu koreňovej CA a za schválenie jeho prihlasovacieho procesu v súlade s oddielom 3.
4.2.1.2.Identifikácia a autentifikácia TLM
(121)Splnomocnený zástupca CPA je zodpovedný za autentifikáciu splnomocneného zástupcu TLM a za schválenie jeho formulára žiadosti v prihlasovacom procese v súlade s oddielom 3.
4.2.1.3.Identifikácia a autentifikácia EA a AA
(122)Zodpovedajúca koreňová CA je zodpovedná za autentifikáciu splnomocneného zástupcu EA/AA a za schválenie jeho formulára žiadosti v prihlasovacom procese v súlade s oddielom 3.
(123)Koreňová CA potvrdí EA/AA úspešnú validáciu formulára žiadosti. EA/AA môže následne zaslať žiadosť o certifikát koreňovej CA (tok 21/24), ktorá vydá certifikáty pre zodpovedajúcu EA/AA (tok 18/19).
4.2.1.4.Identifikácia a autentifikácia držiteľa EE
(124)Skôr ako stanica C-ITS môže požiadať o certifikát EC, držiteľ EE bezpečne prenesie EA informácie o identifikátore stanice C-ITS (tok 33). EA žiadosť overí a v prípade úspešného overenia zaregistruje informácie o stanici C-ITS vo svojej databáze a potvrdí to držiteľovi EE (tok 35). Túto činnosť vykoná výrobca alebo prevádzkovateľ len raz pre každú stanicu C-ITS. Po tom, ako EA zaregistrovala stanicu C-ITS, môže po jednom žiadať o certifikáty EC, ktoré potrebuje (tok 31). EA autentifikuje a overuje, či sú informácie uvedené v žiadosti o certifikát EC platné pre stanicu C-ITS.
4.2.1.5.Autorizačné tikety
(125)Počas žiadostí o autorizáciu (tok 32) v súlade s [1] musí AA autentifikovať EA, od ktorej stanica C-ITS dostala svoje EC. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1]. Ak AA nie je schopná autentifikovať EA, žiadosť sa zamietne (tok 26). Platí požiadavka, že AA musí vlastniť certifikát EA, aby autentifikovala EA a overila jej odpoveď (toky 25 a 23, oddiel 3.2.5.3).
(126)EA autentifikuje stanicu C-ITS, ktorá žiada o AT, prostredníctvom overenia jej EC (toky 25 a 23).
4.2.2.Schválenie alebo zamietnutie žiadostí o certifikáty
4.2.2.1.Schválenie alebo zamietnutie certifikátov koreňovej CA
(127)TLM zaradí/vymaže certifikáty koreňovej CA do ECTL v súlade so schválením CPA (tok 1/2).
(128)Po získaní schválenia od CPA (tok 1) by mal TLM overiť podpis, informácie a kódovanie certifikátov koreňovej CA. Po úspešnej validácii a schválení CPA vloží TLM zodpovedajúce koreňové certifikáty do ECTL a oznámi to CPA (tok 5).
4.2.2.2.Schválenie alebo zamietnutie certifikátu TLM
(129)Za schvaľovanie alebo zamietnutie certifikátov TLM je zodpovedná CPA.
4.2.2.3.Schválenie alebo zamietnutie certifikátov EA a AA
(130)Koreňová CA overuje žiadosti o certifikát podriadenej CA (tok 21/24) a príslušné správy (vystavené akreditovaným audítorom PKI) po ich prijatí (tok 36, oddiel 8) od zodpovedajúcej podriadenej CA koreňovej CA. Ak kontrola žiadosti vedie k pozitívnemu výsledku, zodpovedajúca koreňová CA vydá certifikát pre žiadajúcu EA/AA (tok18/19); v opačnom prípade sa žiadosť zamietne a pre EA/AA sa žiadny certifikát nevydá.
4.2.2.4.Schválenie alebo zamietnutie EC
(131)EA overí a zvaliduje žiadosti o EC v súlade s oddielmi 3.2.3.2 a 3.2.5.3.
(132)Ak je žiadosť o certifikát v súlade s [1] správna a platná, EA vygeneruje požadovaný certifikát.
(133)Ak je žiadosť o certifikát neplatná, EA ju zamietne a zašle odpoveď, v ktorej uvedie dôvody zamietnutia v súlade s [1]. Ak má stanica C-ITS ešte o EC záujem, musí o certifikát požiadať znova. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1].
4.2.2.5.Schválenie alebo zamietnutie AT
(134)EA skontroluje žiadosť o certifikát. AA nadviaže komunikáciu s EA s cieľom validovať žiadosť (tok 25). EA autentifikuje žiadajúcu stanicu C-ITS a zvaliduje, či je oprávnená na vydanie požadovaného AT podľa CP (napr. tak, že skontroluje stav zrušenia a zvaliduje platnosť obdobia/regiónu na certifikáte, skontroluje povolenia, mieru zabezpečenia atď.). EA zašle validačnú odpoveď (tok 23), a ak je odpoveď kladná, AA vygeneruje požadovaný certifikát a zašle ho stanici C-ITS. Ak žiadosť o AT nie je správna alebo ak je validačná odpoveď EA záporná, AA žiadosť zamietne. Ak stanica C-ITS napriek tomu vyžaduje AT, musí o autorizáciu požiadať znova.
4.2.3.Čas na spracovanie žiadosti o certifikát
4.2.3.1.Žiadosť o certifikát koreňovej CA
(135)Identifikačný a autentifikačný proces týkajúci sa žiadosti o certifikát sa spracuje v priebehu pracovného dňa a vzťahuje sa naň maximálna lehota stanovená v CPS koreňovej CA.
4.2.3.2.Žiadosť o certifikát TLM
(136)Na spracovanie žiadosti o certifikát TLM sa vzťahuje maximálna lehota stanovená v CPS správcu TLM.
4.2.3.3.Žiadosť o certifikát EA a AA
(137)Identifikačný a autentifikačný proces týkajúci sa žiadosti o certifikát sa spracuje v priebehu pracovného dňa v súlade s dohodou a zmluvou medzi koreňovou CA členského štátu/súkromnej organizácie a podriadenou CA. Na spracovanie žiadostí o certifikát podriadenej CA sa vzťahuje maximálna lehota stanovená v CPS podriadenej CA.
4.2.3.4.Žiadosť o EC
(138)Na spracovanie žiadostí o EC sa vzťahuje maximálna lehota stanovená v CPS prihlasovacej EA.
4.2.3.5.Žiadosť o AT
(139)Na spracovanie žiadostí o AT sa vzťahuje maximálna lehota stanovená v CPS autorizačnej AA.
4.3.Vydávanie certifikátov
4.3.1.Činnosti CA počas vydávania certifikátov
4.3.1.1.Vydávanie certifikátov koreňovej CA
(140)Koreňové CA vydávajú svoje vlastné certifikáty koreňovej CA s vlastným podpisom, prepájacie certifikáty, certifikáty podriadenej CA a CRL.
(141)Po schválení CPA (tok 4) koreňová CA zašle TLM svoj certifikát prostredníctvom CPOC, aby sa pridal do ECTL (toky 11 a 8) (pozri oddiel 4.1.2.1). TLM skontroluje, či CPA certifikát schválila (tok 1).
4.3.1.2.Vydávanie certifikátov TLM
(142)TLM vydáva svoj vlastný certifikát TLM s vlastným podpisom a prepájací certifikát a zašle ich CPOC (tok 6).
4.3.1.3.Vydávanie certifikátov EA a AA
(143)Podriadené CA generujú podpísanú žiadosť o certifikát a zasielajú ju zodpovedajúcim koreňovým CA (toky 21 a 24). Koreňová CA čo najskôr overí žiadosť a vydá certifikát žiadajúcej podriadenej CA v súlade s [5], ako sa stanovuje v CPS pre bežnú prevádzkovú prax, najneskôr však do piatich pracovných dní po doručení žiadosti.
(144)Koreňová CA aktualizuje úložisko certifikátov podriadených CA.
4.3.1.4.Vydávanie EC
(145)Stanica C-ITS zašle EA žiadosť o EC v súlade s [1]. EA autentifikuje a overí, či sú informácie uvedené v žiadosti o certifikát platné pre stanicu C-ITS. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1].
(146)V prípade úspešnej validácie EA vydá certifikát v súlade s registráciou stanice C-ITS (pozri 4.2.1.4) a zašle ho stanici C-ITS pomocou správy s odpoveďou na žiadosť o EC v súlade s [1]. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1].
(147)Ak registrácia neexistuje, EA vygeneruje chybový kód a zašle ho stanici C-ITS pomocou správy s odpoveďou na žiadosť o EC v súlade s [1]. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1].
(148)Na zabezpečenie dôvernosti sa žiadosti o EC a odpovede na žiadosti o EC zašifrujú a podpíšu s cieľom zabezpečiť autentifikáciu a integritu.
4.3.1.5.Vydávanie AT
(149)Stanica C-ITS zašle AA správu žiadosti o AT v súlade s [1]. AA zašle EA žiadosť o validáciu AT v súlade s [1]. EA zašle AA validačnú odpoveď o AT. V prípade kladnej odpovede AA vygeneruje AT a zašle ho stanici C-ITS pomocou správy s odpoveďou na žiadosť o AT v súlade s [1]. V prípade zápornej odpovede AA vygeneruje chybový kód a zašle ho stanici C-ITS pomocou správy s odpoveďou na žiadosť o AT v súlade s [1]. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1].
(150)Na zabezpečenie dôvernosti sa žiadosti o AT a odpovede na žiadosti o AT zašifrujú (potrebné iba pre mobilné stanice C-ITS) a podpíšu s cieľom zabezpečiť autentifikáciu a integritu.
4.3.2.Oznámenia CA držiteľovi o vydaní certifikátov
Neuplatňuje sa.
4.4.Prevzatie certifikátu
4.4.1.Vykonávanie prevzatia certifikátu
4.4.1.1.Koreňová CA
Neuplatňuje sa.
4.4.1.2.TLM
Neuplatňuje sa.
4.4.1.3.EA a AA
(151)EA/AA overí typ certifikátu, podpis a informácie v prijatom certifikáte. EA/AA vyradí všetky certifikáty EA/AA, ktoré nie sú správne overené, a vystaví novú žiadosť.
4.4.1.4.Stanica C-ITS
(152)Stanica C-ITS overí odpoveď na žiadosť o EC/AT prijatú od EA/AA voči svojej pôvodnej žiadosti vrátane podpisu a certifikačného reťazca. Vyradí všetky odpovede na žiadosti o EC/AT, ktoré nie sú správne overené. V takýchto prípadoch by mala zaslať novú žiadosť o EC/AT.
4.4.2.Uverejňovanie certifikátu
(153)Certifikáty TLM a ich prepájacie certifikáty sa sprístupnia všetkým účastníkom prostredníctvom CPOC.
(154)Certifikáty koreňovej CA sa uverejňujú prostredníctvom CPOC v ECTL, ktorý podpisuje TLM.
(155)Certifikáty podriadených CA (EA a AA) uverejňuje koreňová CA.
(156)Certifikáty EC a tikety AT sa neuverejňujú.
4.4.3.Oznámenie o vydaní certifikátu
Vydanie sa neoznamuje.
4.5.Používanie kľúčového páru a certifikátu
4.5.1.Používanie súkromného kľúča a certifikátu
4.5.1.1.Používanie súkromného kľúča a certifikátu správcom TLM
(157)TLM používa svoje súkromné kľúče na podpis vlastných certifikátov (TLM a prepájacích certifikátov) a ECTL.
(158)Účastníci PKI používajú certifikáty TLM na overenie ECTL a autentifikáciu TLM.
4.5.1.2.Používanie súkromného kľúča a certifikátu koreňovými CA
(159)Koreňové CA používajú svoje súkromné kľúče na podpis vlastných certifikátov, CRL, prepájacích certifikátov a certifikátov EA/AA.
(160)Účastníci PKI používajú certifikáty koreňovej CA na overenie súvisiacich certifikátov AA a EA, prepájacích certifikátov a CRL.
4.5.1.3.Používanie súkromného kľúča a certifikátu autoritami EA a AA
(161)EA používajú svoje súkromné kľúče na podpis EC a na dešifrovanie žiadostí o prihlasovanie.
(162)Certifikáty EA sa používajú na overenie podpisu súvisiacich EC a na šifrovanie žiadostí o EC a AT zo strany EE, ako sa vymedzuje v [1].
(163)AA používajú svoje súkromné kľúče na podpis AT a na dešifrovanie žiadostí o AT.
(164)EE používajú certifikáty AA na overenie súvisiacich AT a na šifrovanie žiadostí o AT, ako sa vymedzuje v [1].
4.5.1.4.Používanie súkromného kľúča a certifikátu koncovou entitou
(165)EE používajú súkromný kľúč zodpovedajúci platnému EC na podpis novej žiadosti o prihlásenie, ako sa vymedzuje v [1]. Nový súkromný kľúč sa použije na vytvorenie vnútorného podpisu v žiadosti, aby sa preukázalo vlastníctvo súkromného kľúča zodpovedajúceho novému verejnému kľúču EC.
(166)EE používajú súkromný kľúč zodpovedajúci platnému EC na podpis žiadosti o autorizáciu, ako sa vymedzuje v [1]. Súkromný kľúč zodpovedajúci novému AT by sa mal použiť na vytvorenie vnútorného podpisu v žiadosti, aby sa preukázalo vlastníctvo súkromného kľúča zodpovedajúceho novému verejnému kľúču AT.
(167)EE používa súkromný kľúč zodpovedajúci vhodnému AT na podpis správ C-ITS, ako sa vymedzuje v [5].
4.5.2.Používanie verejného kľúča a certifikátu spoliehajúcou sa stranou
(168)Spoliehajúce sa strany používajú dôveryhodnú certifikačnú cestu a súvisiace verejné kľúče na účely uvedené v certifikátoch a na autentifikáciu dôveryhodnej spoločnej identity EC a AT.
(169)Certifikáty koreňovej CA, certifikáty EA a AA, certifikáty EC a tikety AT sa nesmú používať bez predbežnej kontroly spoliehajúcej sa strany.
4.6.Obnovenie certifikátu
Nie je povolené.
4.7.Prekľúčovanie certifikátu
4.7.1.Okolnosti týkajúce sa prekľúčovania certifikátu
(170)Prekľúčovanie certifikátu sa spracúva vtedy, keď certifikát dosiahne koniec svojej životnosti alebo súkromný kľúč dosiahne koniec svojho prevádzkového používania, avšak vzťah dôvery s CA stále existuje. Vo všetkých prípadoch sa vygeneruje nový kľúčový pár a vydá sa zodpovedajúci certifikát.
4.7.2.Kto môže požiadať o prekľúčovanie
4.7.2.1.Koreňová CA
(171)Koreňová CA nežiada o prekľúčovanie. Prekľúčovací proces je interný proces koreňovej CA, pretože jej certifikát obsahuje jej vlastný podpis. Koreňová CA prekľúčuje buď pomocou prepájacích certifikátov alebo nového vydania (pozri oddiel 4.3.1.1).
4.7.2.2.TLM
(172)TLM nežiada o prekľúčovanie. Prekľúčovací proces je interný proces TLM, pretože certifikát TLM obsahuje jeho vlastný podpis.
4.7.2.3.EA a AA
(173)Žiadosť o certifikát podriadenej CA sa musí predložiť v dostatočnom čase na to, aby sa zabezpečilo, že nový certifikát podriadenej CA a operačný kľúčový pár podriadenej CA budú k dispozícii pred skončením platnosti súčasného súkromného kľúča podriadenej CA. Dátum predloženia musí tiež zohľadňovať čas potrebný na schválenie.
4.7.2.4.Stanica C-ITS
Neuplatňuje sa.
4.7.3.Prekľúčovací proces
4.7.3.1.Certifikát TLM
(174)TLM rozhoduje o prekľúčovaní na základe požiadaviek uvedených v oddieloch 6.1 a 7.2. Podrobný postup je stanovený v jeho CPS.
(175)TLM vykoná prekľúčovací proces v dostatočnom čase na to, aby sa umožnilo zaslanie nového certifikátu TLM a prepájacieho certifikátu všetkým účastníkom pred skončením platnosti súčasného certifikátu TLM.
(176)TLM používa prepájacie certifikáty na prekľúčovanie a na zabezpečenie vzťahu dôvery v nový certifikát s vlastným podpisom. Novovygenerovaný TLM a prepájací certifikát sa prevedú na CPOC.
4.7.3.2.Certifikát koreňovej CA
(177)Koreňová CA rozhoduje o prekľúčovaní na základe požiadaviek uvedených v oddieloch 6.1.5 a 7.2. Podrobný postup by mal byť stanovený v jej CPS.
(178)Koreňová CA vykoná prekľúčovací proces v dostatočnom čase (pred skončením platnosti certifikátu koreňovej CA), aby sa umožnilo zaradenie nového certifikátu do ECTL skôr, než certifikát koreňovej CA nadobudne platnosť (pozri oddiel 5.6.2). Prekľúčovací proces sa vykoná buď prostredníctvom prepájacích certifikátov, alebo ako prvotná žiadosť.
4.7.3.3.Certifikáty EA a AA
(179)EA alebo AA žiadajú o nový certifikát takto:
|
Krok
|
Označenie
|
Žiadosť o prekľúčovanie
|
|
1
|
Generovanie kľúčového páru
|
Podriadené CA (EA a AA) vygenerujú nové kľúčové páry v súlade s oddielom 6.1.
|
|
2
|
Generovanie žiadosti o certifikát a vnútorného podpisu
|
Podriadená CA vygeneruje žiadosť o certifikát z novovygenerovaného verejného kľúča, pričom zohľadní systém prideľovania názvov (subject_info) podľa oddielu 3, podpisový algoritmus, povolenia SSP (service specific permission) a voliteľný dodatočný parameter, a vygeneruje vnútorný podpis so zodpovedajúcim novým súkromným kľúčom. Ak sa vyžaduje šifrovací kľúč, podriadená CA musí tiež preukázať vlastníctvo zodpovedajúceho súkromného dešifrovacieho kľúča.
|
|
3
|
Generovanie vonkajšieho podpisu
|
Celá žiadosť sa podpíše súčasným platným súkromným kľúčom na zaručenie autentickosti podpísanej žiadosti.
|
|
4
|
Zaslanie žiadosti koreňovej CA
|
Podpísaná žiadosť sa predkladá zodpovedajúcej koreňovej CA.
|
|
5
|
Overenie žiadosti
|
Zodpovedajúca koreňová CA overí integritu a autentickosť žiadosti. Najprv skontroluje vonkajší podpis. Ak je overenie úspešné, skontroluje vnútorný podpis. Ak existuje dôkaz o vlastníctve súkromného dešifrovacieho kľúča, skontroluje aj tento dôkaz.
|
|
6
|
Prijatie alebo zamietnutie žiadosti
|
Ak všetky kontroly vedú ku kladnému výsledku, koreňová CA príjme žiadosť; v opačnom prípade ju zamietne.
|
|
7
|
Generovanie a vydávanie certifikátov
|
Koreňová CA vygeneruje nový certifikát a zašle ho žiadajúcej podriadenej CA.
|
|
8
|
Zaslanie odpovede
|
Podriadená CA zašle koreňovej CA správu o stave (či bol certifikát prevzatý alebo nie).
|
Tabuľka 3: Prekľúčovací proces pre EA a AA
(180)Počas automatického prekľúčovania pre podriadenú CA koreňová CA zabezpečí, aby žiadateľ aj skutočne vlastnil svoj súkromný kľúč. Uplatňujú sa vhodné protokoly na preukázanie vlastníctva súkromných dešifrovacích kľúčov, napríklad tie, ktoré sú vymedzené v dokumente RFC 4210 a 4211. Pre kľúče súkromného podpisu by sa mal použiť vnútorný podpis.
4.7.3.4.Certifikáty stanice C-ITS
Neuplatňuje sa na AT.
4.8.Modifikácia certifikátu
Nie je povolená.
4.9.Zrušenie a pozastavenie platnosti certifikátu
Pozri oddiel 7.
4.10.Služby týkajúce sa stavu certifikátu
4.10.1.Operačné vlastnosti
Neuplatňuje sa.
4.10.2.Dostupnosť služby
Neuplatňuje sa.
4.10.3.Voliteľné prvky
Neuplatňuje sa.
4.11.Ukončenie držby
Neuplatňuje sa.
4.12.Úschova (key escrow) a obnova kľúča
4.12.1.Držiteľ
4.12.1.1.Ktorý kľúčový pár sa môže uložiť do úschovy
Neuplatňuje sa.
4.12.1.2.Kto môže predložiť žiadosť o obnovu
Neuplatňuje sa.
4.12.1.3.Obnovovací proces a zodpovednosti
Neuplatňuje sa.
4.12.1.4.Identifikácia a autentifikácia
Neuplatňuje sa.
4.12.1.5.Schválenie alebo zamietnutie žiadostí o obnovu
Neuplatňuje sa.
4.12.1.6.Činnosti KEA a KRA počas obnovy kľúčového páru
Neuplatňuje sa.
4.12.1.7.Dostupnosť KEA a KRA
Neuplatňuje sa.
4.12.2.Zapuzdrenie relačného kľúča a politika a postupy týkajúce sa obnovy
Neuplatňuje sa.
5.Opatrenia týkajúce sa zariadení, riadenia a prevádzky
(181)PKI pozostáva z koreňovej CA, autorít EA/AA, kontaktného miesta CPOC a správcu TLM vrátane ich ICT zložiek (napr. siete a servery).
(182)V tomto oddiele entita zodpovedná za prvok PKI sa identifikuje samotným prvkom. Inými slovami, veta „koreňová CA je zodpovedná za vykonanie auditu“ je rovnocenná s vetou „entita alebo zamestnanci, ktorí riadia koreňovú CA, sú zodpovední za vykonanie...“.
(183)Do pojmu „prvky modelu zabezpečenia dôveryhodnosti C-ITS“ patrí koreňová CA, TLM, EA/AA, CPOC a zabezpečená sieť.
5.1.Fyzické opatrenia
(184)Všetky činnosti týkajúce sa modelu zabezpečenia dôveryhodnosti C-ITS sa uskutočňujú vo fyzicky chránenom prostredí, ktoré odrádza od neoprávneného použitia citlivých informácií a systémov, neoprávneného prístupu k nim a ich neoprávneného zverejňovania, a zároveň takémuto správaniu zabraňuje a deteguje ho. Prvky modelu zabezpečenia dôveryhodnosti C-ITS používajú opatrenia fyzickej bezpečnosti v súlade s normou ISO 27001 a normou ISO 27005.
(185)Entity, ktoré riadia prvky modelu zabezpečenia dôveryhodnosti C-ITS, opíšu vo svojich CPS fyzické, procedurálne a personálne opatrenia ochrany. CPS obsahujú najmä informácie o polohe lokality a konštrukcii budov a opatreniach ich fyzickej bezpečnosti, ktorými sa zaručuje kontrolovaný prístup do všetkých miestností používaných v zariadení entít modelu zabezpečenia dôveryhodnosti C-ITS.
5.1.1.Poloha lokality a konštrukcia
5.1.1.1.Koreňová CA, CPOC, TLM
(186)Poloha lokality a konštrukcia zariadenia, v ktorom sa nachádza vybavenie a údaje koreňovej CA, CPOC a TLM [HSM, aktivačné údaje, záloha kľúčového páru, počítač, záznamy, skript na vydávanie kľúča (key ceremony), žiadosť o certifikát atď.] musia byť v súlade so zariadeniami používanými na uloženie informácií s vysokou hodnotou a citlivých informácií. Koreňová CA funguje vo vyhradenom fyzickom priestore, ktorý je oddelený od iných fyzických priestorov zložiek PKI.
(187)Koreňová CA, CPOC a TLM zavedú politiky a postupy na zaistenie zachovania vysokej úrovne ochrany vo fyzickom prostredí, v ktorom je inštalované vybavenie koreňovej CA, s cieľom zaručiť, aby:
·bolo izolované od sietí mimo modelu zabezpečenia dôveryhodnosti,
·bolo rozdelené do viacerých (najmenej dvoch) fyzických perimetrov s postupne zvyšujúcou sa mierou ochrany,
·citlivé údaje (HSM, záloha kľúčového páru, aktivačné údaje atď.) boli uložené vo vyhradenom sejfe umiestnenom vo vyhradenom fyzickom priestore, ktorý podlieha viacerým kontrolám prístupu.
(188)Použité bezpečnostné metódy sa navrhnú tak, aby odolali veľkému počtu rôznych foriem útokov a ich kombinácii. Súčasťou týchto mechanizmov je aspoň:
·perimetrické výstražné systémy, kamerový systém, spevnené steny a detektory pohybu,
·dvojstupňová autentifikácia (napr. programovateľnou kartou a PIN-om) každej osoby a preukazu pri vstupe do zariadení koreňovej CA a bezpečného fyzicky chráneného priestoru a pri východe z nich.
(189)Koreňová CA, CPOC a TLM využívajú oprávnených zamestnancov na neustále monitorovanie vybavenia uloženého v zariadení, a to 7 dní v týždni, 24 hodín denne, 365 dní v roku (tzv. princíp 7 x 24 x 365). Operačné prostredie (napr. fyzické zariadenie) sa nikdy neponechá bez dozoru. Zamestnanci operačného prostredia nesmú mať nikdy prístup k chráneným priestorom koreňových CA alebo podriadených CA, pokiaľ na to nie sú oprávnení.
5.1.1.2.EA/AA
(190)Platia rovnaké ustanovenia ako v bode 5.1.1.1.
5.1.2.Fyzický prístup
5.1.2.1.Koreňová CA, CPOC, TLM
(191)Vybavenie a údaje [HSM, aktivačné údaje, záloha kľúčového páru, počítač, záznamy, skript na vydávanie kľúča (key ceremony), žiadosť o certifikát atď.] musia byť vždy chránené pred neoprávneným prístupom. Mechanizmy fyzickej bezpečnosti vybavenia aspoň:
·nepretržite monitorujú, a to manuálne alebo elektronicky, neoprávnené vniknutie,
·zabezpečujú, aby nebol povolený neoprávnený prístup k hardvéru a aktivačným údajom,
·zaisťujú, aby všetky odstrániteľné médiá a papierové materiály s obsahom citlivých informácií v čistom textovom formáte boli uložené v zabezpečenom kontajneri,
·zabezpečujú, aby každá osoba vstupujúca do chránených priestorov, ktorá nemá trvalé oprávnenie, nebola ponechaná bez dohľadu oprávneného zamestnanca zariadení koreňovej CA, CPOC a TLM,
·zaručujú, aby sa uchovávala evidencia o prístupe a aby sa pravidelne kontrolovala,
·poskytujú najmenej dva stupne postupne sa zvyšujúcej bezpečnosti, napr. na úrovni perimetra, budovy a operačnej miestnosti,
·vyžadujú dve kontroly fyzického prístupu, ktoré plnia funkciu dôveryhodných rolí, ku kryptografickým údajom HSM a aktivačným údajom.
(192)Ak má zostať vybavenie uložené v zariadení bez dozoru, vykoná sa jeho bezpečnostná kontrola. Touto kontrolou sa overí aspoň to, že:
·vybavenie je v stave, ktorý je vhodný pre súčasný prevádzkový režim,
·v prípade offline zložiek je všetko vybavenie vypnuté,
·všetky bezpečnostné kontajnery (puzdro odolné proti neoprávnenej manipulácii, sejf atď.) sú riadne zabezpečené,
·správne fungujú systémy fyzickej bezpečnosti (napr. zámky dverí, ventilačné kryty, elektrina),
·priestor je zabezpečený proti neoprávnenému prístupu.
(193)Odstrániteľné kryptografické moduly sa pred uskladnením deaktivujú. Keď sa nepoužívajú, takéto moduly a aktivačné údaje, ktoré sa používajú na prístup k nim alebo na ich aktiváciu, sa umiestnia do sejfu. Aktivačné údaje sa buď zapamätajú alebo zaznamenajú a uchovajú spôsobom úmerným ochrane priznanej kryptografickému modulu. Neuchovávajú sa spolu s kryptografickým modulom, aby prístup k súkromnému kľúču nemala len jedna osoba.
(194)Osoba alebo skupina s dôveryhodnými rolami je výslovne zodpovedná za vykonanie takýchto kontrol. Ak je zodpovedná skupina ľudí, vedú sa záznamy identifikujúce osobu, ktorá každú kontrolu vykonáva. Ak zariadenie nie je pod neustálym dozorom, posledná osoba na odchode podpíše výstupný hárok, v ktorom uvedie dátum a čas, a potvrdí, že všetky potrebné mechanizmy fyzickej ochrany sú funkčné a aktivované.
5.1.2.2.EA/AA
(195)Platia rovnaké ustanovenia ako v bode 5.1.2.1.
5.1.3.Energia a klimatizácia
(196)Chránené zariadenia prvkov modelu zabezpečenia dôveryhodnosti C-ITS (koreňová CA, CPOC, TLM, EA a AA) sa vybavia spoľahlivým prístupom k elektrickej energii, aby sa zabezpečila prevádzka bez zlyhaní alebo len s menej závažnými zlyhaniami. V prípade výpadku vonkajšieho zdroja energie sa vyžadujú základné a záložné zariadenia, a v prípade nedostatku energie sa vybavenie modelu zabezpečenia dôveryhodnosti C-ITS bezpečne vypne. Zariadenia modelu zabezpečenia dôveryhodnosti C-ITS sa vybavia vykurovacími/ventilačnými/klimatizačnými systémami, aby sa udržala teplota a relatívna vlhkosť vybavenia modelu zabezpečenia dôveryhodnosti C-ITS v prevádzkovom rozsahu. V CPS prvku modelu zabezpečenia dôveryhodnosti C-ITS sa podrobne opíše plán a procesy, ktorými sa takéto požiadavky implementujú.
5.1.4.Ochrana pred vodou
(197)Chránené zariadenia prvkov modelu zabezpečenia dôveryhodnosti C-ITS (koreňová CA, CPOC, TLM, EA a AA) by sa mali chrániť spôsobom, ktorým sa minimalizuje účinok vody. Z tohto dôvodu sa musia nachádzať mimo blízkosti vodovodného a odpadového potrubia. V CPS prvku modelu zabezpečenia dôveryhodnosti C-ITS sa podrobne opíše plán a procesy, ktorými sa takéto požiadavky implementujú.
5.1.5.Požiarna prevencia a protipožiarna ochrana
(198)Aby sa zabránilo ničivému účinku plameňa alebo dymu, chránené zariadenia prvkov modelu zabezpečenia dôveryhodnosti C-ITS (koreňová CA, CPOC, TLM, EA a AA) sa skonštruujú a vybavia zodpovedajúcim spôsobom a zavedú sa postupy na ochranu pred hrozbami súvisiacimi s požiarom. Mediálne úložisko by malo byť chránené pred požiarom vo vhodných kontajneroch.
(199)Prvky modelu zabezpečenia dôveryhodnosti C-ITS chránia fyzické médiá, v ktorých sa uchovávajú zálohy kritických systémových údajov alebo akékoľvek iné citlivé informácie, pred nebezpečenstvom z prostredia a pred neoprávneným použitím takýchto médií, pred neoprávneným prístupom k nim alebo pred ich neoprávneným zverejňovaním. V CPS prvku modelu zabezpečenia dôveryhodnosti C-ITS sa podrobne opíše plán a procesy, ktorými sa takéto požiadavky implementujú.
5.1.6.Manipulácia s médiami
(200)S médiami používanými v prvkoch modelu zabezpečenia dôveryhodnosti C-ITS (koreňová CA, CPOC, TLM, EA a AA) sa nakladá bezpečne, aby boli chránené pred poškodením, krádežou a neoprávneným prístupom. Postupy manipulácie s médiami sa vykonávajú s cieľom chrániť ich pred zastaraním a znehodnotením v období, počas ktorého sa musia záznamy uchovávať.
(201)Citlivé údaje sa chránia pred prístupom v dôsledku opätovne použitých úložných objektov (napr. vymazaných súborov), ktorými by sa mohli sprístupniť citlivé údaje neoprávneným používateľom.
(202)Vedie sa inventúra všetkých informačných prostriedkov a stanovia sa požiadavky na ich ochranu, ktoré budú v súlade s analýzou rizík. V CPS prvku modelu zabezpečenia dôveryhodnosti C-ITS sa podrobne opíše plán a procesy, ktorými sa takéto požiadavky implementujú.
5.1.7.Zneškodňovanie odpadu
(203)Prvky modelu zabezpečenia dôveryhodnosti C-ITS (koreňová CA, CPOC, TLM, EA a AA) zavedú postupy na bezpečné a nezvratné zneškodňovanie odpadu (papiera, médií alebo akéhokoľvek iného odpadu) s cieľom zabrániť neoprávnenému použitiu odpadu obsahujúceho dôverné/súkromné informácie, neoprávnenému prístupu k nim alebo ich neoprávnenému zverejňovaniu. Všetky médiá používané na uchovávanie citlivých informácií, ako sú kľúče, aktivačné údaje alebo súbory, sa pred uvoľnením na zneškodnenie zničia. V CPS prvku modelu zabezpečenia dôveryhodnosti C-ITS sa podrobne opíše plán a procesy, ktorými sa takéto požiadavky implementujú.
5.1.8.Externé zálohovanie
5.1.8.1.Koreňová CA, CPOC a TLM
(204)Úplné zálohy zložiek koreňovej CA, CPOC a TLM, ktoré sú dostatočné na obnovu po zlyhaní systému, sa vykonajú offline po nasadení koreňovej CA, CPOC a TLM a po každom novom generovaní kľúčového páru. Pravidelne sa vykonávajú záložné kópie nevyhnutných obchodných informácií (kľúčový pár a CRL) a softvéru. K dispozícii sú primerané záložné zariadenia na zabezpečenie toho, aby sa všetky nevyhnutné obchodné informácie a softvér mohli po havárii alebo zlyhaní médií obnoviť. Pravidelne sa skúšajú záložné mechanizmy jednotlivých systémov, aby sa zabezpečilo, že spĺňajú požiadavky plánu na zabezpečenie kontinuity činností. Aspoň jedna úplná záložná kópia sa uchováva mimo miesta (zotavenie po havárii). Záložná kópia sa uchováva na mieste s fyzickými a procedurálnymi kontrolami, ktoré zodpovedajú kontrolám prevádzkového systému PKI.
(205)Na záložné údaje sa vzťahujú rovnaké požiadavky na prístup ako na prevádzkové údaje. Záložné údaje sú šifrované a uložené mimo miesta. V prípade úplnej straty údajov sa informácie potrebné na opätovné sprevádzkovanie koreňovej CA, CPOC a TLM úplne obnovia zo záložných údajov.
(206)Materiál súkromného kľúča koreňovej CA, CPOC a TLM sa nezálohuje štandardnými zálohovacími mechanizmami, ale pomocou záložnej funkcie kryptografického modulu.
5.1.8.2.EA/AA
(207)Procesy opísané v oddiele 5.1.8.1 sa vzťahujú na tento oddiel.
5.2.Procedurálne opatrenia
V tomto oddiele sú opísané požiadavky na úlohy, povinnosti a identifikáciu zamestnancov.
5.2.1.Dôveryhodné roly
(208)Zamestnanci, dodávatelia a konzultanti, ktorým sú pridelené dôveryhodné roly, sa považujú za „dôveryhodné osoby“. Osoby, ktoré majú záujem stať sa dôveryhodnými osobami na získanie dôveryhodnej pozície, musia spĺňať požiadavky na preverovanie uvedené v tejto certifikačnej politike.
(209)Dôveryhodné osoby majú prístup k autentifikačným alebo kryptografickým operáciám alebo ich kontrolujú; tieto operácie môžu mať podstatný vplyv na:
·validáciu informácií v žiadostiach o certifikát,
·prijatie, zamietnutie alebo iné spracovanie žiadostí o certifikát, žiadostí o zrušenie alebo žiadostí o obnovenie,
·vydávanie alebo zrušenie certifikátov vrátane zamestnancov, ktorí majú prístup k vyhradeným častiam úložiska certifikátov alebo ktorí nakladajú s informáciami držiteľa alebo jeho žiadosťami.
(210)Dôveryhodné roly zahŕňajú okrem iného:
·služby zákazníkom,
·správu systému,
·vyhradenú techniku (designated engineering),
·vedúcich pracovníkov zodpovedných za riadenie dôveryhodnosti infraštruktúry.
(211)CA poskytne jasný opis všetkých dôveryhodných rolí vo svojich pravidlách CPS.
5.2.2.Počet osôb potrebných na jednotlivé úlohy
(212)Prvky modelu zabezpečenia dôveryhodnosti C-ITS stanovujú, aktualizujú a presadzujú prísne postupy kontroly na zabezpečenie oddelenia funkcií na základe dôveryhodných rolí a na zabezpečenie toho, aby sa na plnenie citlivých úloh vyžadovalo viacero dôveryhodných osôb. Prvky modelu zabezpečenia dôveryhodnosti C-ITS (koreňová CA, CPOC, TLM, EA a AA) by mali byť v súlade s [4] a s požiadavkami uvedenými v nasledujúcich odsekoch.
(213)Sú zavedené politiky a postupy kontroly na zabezpečenie oddelenia funkcií na základe pracovných povinností. Najcitlivejšie úlohy, ako je prístup ku kryptografickému hardvéru CA (HSM) a jeho riadenie a s ním spojený materiál kľúča, si musia vyžadovať autorizáciu viacerých dôveryhodných osôb.
(214)Tieto postupy vnútornej kontroly sa navrhnú s cieľom zabezpečiť, aby aspoň dve dôveryhodné osoby museli mať fyzický alebo logický prístup k prístroju. Obmedzenia prístupu ku kryptografickému hardvéru CA musia prísne presadzovať počas celej životnosti hardvéru viaceré dôveryhodné osoby, a to od prvotného prijatia a prehliadky až po konečné logické a/alebo fyzické zničenie. Po aktivácii modulu prevádzkovými kľúčmi sa uplatňujú ďalšie kontroly prístupu, aby sa zachovala oddelená kontrola nad fyzickým aj logickým prístupom k prístroju.
5.2.3.Identifikácia a autentifikácia jednotlivých rolí
(215)Všetky osoby s pridelenou rolou, ako sú opísané v tejto CP, sa identifikujú a autentifikujú tak, aby sa zaručilo, že táto rola im umožňuje vykonávať povinnosti PKI.
(216)Prvky modelu zabezpečenia dôveryhodnosti C-ITS overia a potvrdia totožnosť a autorizáciu zamestnancov, ktorí majú v úmysle stať sa dôveryhodnými osobami, pred tým, ako:
·im budú vydané prístupové prístroje a bude im udelený prístup do požadovaných zariadení,
·dostanú elektronické poverenie na prístup k systémom CA a na vykonávanie osobitných funkcií v týchto systémoch.
(217)V CPS sa opisujú mechanizmy používané na identifikáciu a autentifikáciu jednotlivcov.
5.2.4.Roly vyžadujúce oddelenie funkcií
(218)Roly vyžadujúce oddelenie funkcií zahŕňajú okrem iného:
·prijatie, zamietnutie a zrušenie žiadostí a iné spracovanie žiadostí o certifikát CA,
·generovanie, vydanie a zničenie certifikátu CA.
(219)Oddelenie funkcií sa môže vykonať použitím vybavenia PKI, postupov PKI alebo oboma spôsobmi. Žiadnemu jednotlivcovi sa nesmie prideliť viac ako jedna identita, pokiaľ to nie je schválené koreňovou CA.
(220)Časť koreňovej CA a CA, ktorej sa týka správa generovania a rušenia certifikátov, je nezávislá od iných organizácií, pokiaľ ide o rozhodnutia týkajúce sa zavedenia, poskytovania, udržiavania a pozastavenia služieb v súlade s príslušnými certifikačnými politikami. Najmä jej riadiaci pracovníci, vedúci pracovníci a zamestnanci s dôveryhodnými rolami nemajú byť vystavení akýmkoľvek komerčným, finančným a iným tlakom, ktoré by mohli nepriaznivo ovplyvniť dôveru v poskytované služby.
(221)EA a AA, ktoré poskytujú služby mobilným staniciam C-ITS, sú samostatnými prevádzkovými entitami s osobitnou IT infraštruktúrou a s osobitnými riadiacimi IT tímami. V súlade so všeobecným nariadením o ochrane údajov si EA a AA nesmú vymieňať žiadne osobné údaje okrem prípadov autorizácie žiadostí o AT. Údaje týkajúce sa schvaľovania žiadostí o AT sa prevedú len s použitím protokolu o validácii autorizácie [1] pomocou vyhradeného zabezpečeného rozhrania. Možno použiť aj iné protokoly, pokiaľ sa implementuje [1].
(222)EA a AA uchovávajú protokolové súbory, ktoré sa môžu použiť výhradne na účely zrušenia EC vykazujúcich chybné správanie na základe AT v zachytených škodlivých správach CAM/DENM. Po identifikovaní správy CAM/DENM ako škodlivej vyhľadá AA overovací kľúč AT v evidencii o vydávaní a predloží EA žiadosť o zrušenie, ktorá obsahuje zašifrovaný podpis pod súkromným kľúčom EC, ktorý sa použil pri vydaní AT. Všetky protokolové súbory musia byť primerane chránené pred prístupom neoprávnených strán a nesmú sa zdieľať s inými entitami alebo autoritami.
Poznámka: V čase prípravy tejto verzie CP nie je stanovená koncepcia funkcie chybného správania. Návrh funkcie chybného správania sa potenciálne plánuje pri revíziách tejto politiky v budúcnosti.
5.3.Personálne opatrenia
5.3.1.Požiadavky na kvalifikáciu, prax a bezpečnostnú previerku
(223)Prvky modelu zabezpečenia dôveryhodnosti C-ITS zamestnávajú dostatočný počet zamestnancov s odbornými znalosťami, skúsenosťami a kvalifikáciami potrebnými pre pracovné funkcie a ponúkané služby. Personál PKI spĺňa uvedené požiadavky prostredníctvom formálnej odbornej prípravy a poverení, skutočných skúseností alebo ich kombinácie. Dôveryhodné roly a zodpovednosti, ako sú stanovené v CPS, sú zdokumentované v opisoch pracovných miest a sú jasne identifikované. Personál PKI subdodávateľov má vymedzené opisy pracovných miest, aby sa zabezpečilo oddelenie funkcií a oprávnení, pričom citlivosť pozície sa určuje na základe úloh a úrovní prístupu, bezpečnostného preverovania, odbornej prípravy zamestnancov a informovanosti.
5.3.2.Postupy previerok osôb
(224)Prvky modelu zabezpečenia dôveryhodnosti C-ITS vykonávajú previerky tých zamestnancov, ktorí majú v úmysle stať sa dôveryhodnými osobami. Previerky osôb sa opakujú pre zamestnancov v dôveryhodnej funkcii aspoň raz za päť rokov.
(225)Skutočnosti odhalené počas previerky osoby, ktoré sa môžu považovať za dôvody na zamietnutie kandidátov na dôveryhodné pozície alebo na prijatie opatrení proti existujúcej dôveryhodnej osobe, okrem iného zahŕňajú:
·skresľovanie skutočností kandidátom alebo dôveryhodnou osobou,
·mimoriadne nepriaznivé alebo nespoľahlivé pracovné odporúčania,
·odsúdenia za niektoré trestné činy,
·známky nedostatočnej finančnej zodpovednosti.
(226)Správy obsahujúce takéto informácie hodnotia zamestnanci ľudských zdrojov, ktorí prijmú primerané opatrenia vzhľadom na typ, rozsah a frekvenciu správania, ktoré previerka osoby odhalila. Môže ísť o opatrenia siahajúce až po (vrátane) zrušenie ponúk zamestnania pre kandidátov na dôveryhodné pozície alebo ukončenie pracovného pomeru existujúcich dôveryhodných osôb. Použitie informácií odhalených pri previerke osoby ako základu takého opatrenia podlieha platnému právu.
(227)Súčasťou previerky osoby, ktorá má záujem stať sa dôveryhodnou osobou, je okrem iného:
·potvrdenie predchádzajúceho zamestnania,
·kontrola pracovných odporúčaní pokrývajúcich ich pracovné pozície aspoň za obdobie piatich rokov,
·potvrdenie najvyššej alebo najvýznamnejšej dosiahnutej úrovne vzdelania,
·vyhľadávanie v registri trestov.
5.3.3.Požiadavky na odbornú prípravu
(228)Prvky modelu zabezpečenia dôveryhodnosti C-ITS poskytnú svojim zamestnancom potrebnú odbornú prípravu, aby mohli kompetentne a uspokojivo plniť svoje povinnosti súvisiace s činnosťami CA.
(229)Programy odbornej prípravy sa pravidelne prehodnocujú a zameriavajú sa na riešenie záležitostí relevantných pre funkcie, ktoré vykonávajú ich zamestnanci.
(230)Programy odbornej prípravy sa zameriavajú na otázky relevantné pre konkrétne prostredie účastníka odbornej prípravy vrátane:
·bezpečnostných zásad a mechanizmov prvkov modelu zabezpečenia dôveryhodnosti C-ITS,
·používaných hardvérových a softvérových verzií,
·všetkých úloh, ktoré má osoba vykonávať, a postupov interného a externého podávania správ a jeho poradia,
·obchodných procesov a pracovných postupov PKI,
·vykazovania a riešenia incidentov a kompromitácií,
·postupov zotavenia po havárii a kontinuity činností,
·dostatočných znalostí v oblasti IT.
5.3.4.Rekvalifikačné intervaly a požiadavky
(231)Osoby, ktorým sú pridelené dôveryhodné roly, sú povinné priebežne si obnovovať vedomosti získané v rámci odbornej prípravy, a to v prostredí odbornej prípravy. Odborná príprava sa musí opakovať vždy, keď sa to považuje za potrebné, a aspoň raz za dva roky.
(232)Prvky modelu zabezpečenia dôveryhodnosti C-ITS poskytnú svojim zamestnancom obnovovaciu odbornú prípravu a aktualizácie v takom rozsahu a v takej frekvencii, ktoré sú potrebné na zabezpečenie udržania si požadovanej úrovne odbornej spôsobilosti, aby mohli kompetentne a uspokojivo plniť svoje pracovné povinnosti.
(233)Osoby s dôveryhodnými rolami musia poznať prípadné zmeny v činnostiach PKI. Každú významnú zmenu činností sprevádza plán odbornej prípravy (plán informovanosti) a vykonávanie tohto plánu sa zdokumentuje.
5.3.5.Frekvencia rotácie pracovných miest a ich poradie
(234)Nestanovuje sa, pokiaľ sú zabezpečené technické zručnosti, skúsenosti a prístupové práva. Správcovia prvkov modelu zabezpečenia dôveryhodnosti C-ITS zabezpečia, aby personálne zmeny neovplyvňovali bezpečnosť systému.
5.3.6.Sankcie za neoprávnené konanie
(235)Všetky prvky modelu zabezpečenia dôveryhodnosti C-ITS musia vypracovať formálny disciplinárny postup, ktorým sa zabezpečí, že neoprávnené konanie bude náležite sankcionované. V závažných prípadoch sa pridelené roly a zodpovedajúce oprávnenia musia zrušiť.
5.3.7.Požiadavky na nezávislých dodávateľov
(236)Prvky modelu zabezpečenia dôveryhodnosti C-ITS môžu umožniť nezávislým dodávateľom alebo konzultantom, aby sa stali dôveryhodnými osobami len v rozsahu potrebnom na zvládnutie jasne vymedzených dodávateľských vzťahov a pod podmienkou, že entita dôveruje dodávateľom alebo konzultantom v rovnakom rozsahu, ako keby boli zamestnancami, a že spĺňajú požiadavky vzťahujúce sa na zamestnancov.
(237)V opačnom prípade majú nezávislí dodávatelia a konzultanti prístup k chráneným zariadeniam C-ITS PKI len v prípade, ak ich sprevádzajú a priamo na nich dohliadajú dôveryhodné osoby.
5.3.8.Dokumentácia poskytnutá zamestnancom
(238)Prvky modelu zabezpečenia dôveryhodnosti C-ITS poskytnú svojim zamestnancom potrebnú odbornú prípravu a prístup k dokumentácii, ktorú potrebujú na kompetentné a uspokojivé plnenie svojich pracovných povinností.
5.4.Postupy vytvárania auditových protokolov
(239)V tomto oddiele sa stanovujú požiadavky, pokiaľ ide o druhy udalostí, ktoré sa majú zaznamenávať, a riadenie auditových protokolov.
5.4.1.Druhy udalostí, ktoré má každá CA zaznamenávať a nahlasovať
(240)Zástupca CA pravidelne preskúmava záznamy, udalosti a postupy CA.
(241)Prvky modelu zabezpečenia dôveryhodnosti C-ITS zaznamenávajú tieto typy udalostí auditu (v náležitých prípadoch):
·fyzický prístup do zariadení – prístup fyzických osôb do zariadení sa zaznamená pomocou uloženia žiadostí o prístup na programovateľné karty. Pri každom vytvorení záznamu sa vytvorí udalosť,
·správa dôveryhodných rolí – zaznamená sa akákoľvek zmena vo vymedzení a úrovni prístupu pre rôzne roly vrátane modifikácie atribútov týchto rolí. Pri každom vytvorení záznamu sa vytvorí udalosť,
·logický prístup – udalosť sa vygeneruje, keď má entita (napr. program) prístup do citlivých priestorov (t. j. sietí a serverov),
·správa zálohovania – udalosť sa vytvorí vždy, keď je zálohovanie úspešne alebo neúspešne ukončené,
·riadenie protokolov – protokoly sa budú ukladať. Udalosť sa vytvorí, keď protokol presiahne určitú veľkosť,
·údaje z autentifikačného procesu pre držiteľov a prvky modelu zabezpečenia dôveryhodnosti C-ITS – udalosti sa vygenerujú pre každú žiadosť o autentifikáciu držiteľov a prvkov modelu zabezpečenia dôveryhodnosti C-ITS,
·prijatie a zamietnutie žiadostí o certifikát vrátane vytvorenia a obnovenia certifikátu – udalosť sa pravidelne generuje so zoznamom prijatých a zamietnutých žiadostí o certifikát v predchádzajúcich siedmich dňoch,
·registrácia výrobcu – udalosť sa vytvorí, keď sa výrobca zaregistruje,
·registrácia stanice C-ITS – udalosť sa vytvorí, keď sa stanica C-ITS zaregistruje,
·riadenie HSM – udalosť sa vytvorí po zaznamenaní narušenia bezpečnosti HSM,
·správa IT a siete, pokiaľ patria k systémom PKI – udalosť sa vytvorí, keď sa server PKI vypne alebo sa reštartuje,
·riadenie bezpečnosti (úspešné a neúspešné pokusy o prístup do systému PKI, vykonané činnosti systému PKI a bezpečnostného systému, zmeny bezpečnostného profilu, zrútenia systému, poruchy hardvéru a iné anomálie, činnosti firewallu a smerovača a vstupy do zariadení PKI a výstupy z nich),
·údaje týkajúce sa udalosti sa budú uchovávať aspoň päť rokov, ak sa na ne nevzťahujú dodatočné vnútroštátne predpisy.
(242)V súlade so všeobecným nariadením o ochrane údajov sa v auditových protokoloch nepovoľuje prístup k údajom súvisiacim s ochranou súkromia, ktoré sa týkajú stanice C-ITS v súkromných vozidlách.
(243)Ak je to možné, protokoly bezpečnostných auditov sa zhromažďujú automaticky. Ak to nie je možné, použije sa protokolový denník, papierový formulár alebo iný fyzický mechanizmus. Všetky protokoly bezpečnostných auditov, elektronické aj neelektronické, sa uchovávajú a sprístupňujú počas auditov zhody.
(244)Každá udalosť súvisiaca so životným cyklom certifikátu sa zaznamenáva tak, aby ju bolo možné priradiť osobe, ktorá ju vykonala. Všetky údaje týkajúce sa totožnosti osôb sú šifrované a chránené pred neoprávneným prístupom.
(245)Každý auditový záznam obsahuje aspoň (zaznamenané automaticky alebo manuálne pre každú auditovateľnú udalosť):
·druh udalosti (z uvedeného zoznamu),
·dôveryhodný dátum a čas, kedy došlo k udalosti,
·výsledok udalosti – podľa potreby úspešný alebo neúspešný výsledok,
·totožnosť entity a/alebo prevádzkovateľa, ktorý udalosť spôsobil (podľa potreby),
·totožnosť entity, ktorej je udalosť určená.
5.4.2.Frekvencia spracovania protokolov
(246)Auditové protokoly sa preskúmajú v reakcii na varovania na základe nezrovnalostí a incidentov v rámci systémov CA, a okrem toho pravidelne každý rok.
(247)Spracovanie auditových protokolov pozostáva z ich preskúmania a zo zdokumentovania dôvodov všetkých významných udalostí v záveroch auditového protokolu. Súčasťou preskúmavania auditových protokolov je overenie toho, či sa s protokolom nemanipulovalo, kontrola všetkých zápisov v protokole a prešetrenie všetkých varovaní alebo nezrovnalostí v protokoloch. Opatrenia prijaté na základe preskúmania auditových protokolov sa zdokumentujú.
(248)Auditový protokol sa archivuje aspoň raz za týždeň. Správca ho archivuje manuálne, ak voľné miesto na disku vyhradené pre auditový protokol nestačí na predpokladané množstvo údajov z auditového protokolu, ktoré boli vytvorené v danom týždni.
5.4.3.Obdobie uchovávania auditového protokolu
(249)Záznamy protokolov týkajúce sa životného cyklu certifikátu sa uchovávajú aspoň päť rokov po skončení platnosti príslušného certifikátu.
5.4.4.Ochrana auditového protokolu
(250)Integritu a dôvernosť auditového protokolu zaručuje mechanizmus kontroly prístupu na základe rolí. K protokolom vnútorného auditu môžu mať prístup len správcovia; používatelia s príslušnou autorizáciou môžu mať prístup k auditovým protokolom týkajúcim sa životného cyklu certifikátu, a to prostredníctvom webovej stránky s prihlásením používateľa. Prístup sa musí poskytnúť na základe autentifikácie viacerými používateľmi (aspoň dvoma) a najmenej s dvojstupňovou autentifikáciou. Musí sa technicky zabezpečiť, aby používatelia nemali prístup k svojim vlastným protokolovým súborom.
(251)Všetky zápisy v protokole sa podpíšu s použitím materiálu kľúča z HSM.
(252)Protokoly o udalostiach obsahujúce informácie, ktoré môžu viesť k osobnej identifikácii, ako napríklad súkromné vozidlo, sú zašifrované tak, že ich môžu prečítať len oprávnené osoby.
(253)Udalosti sa zaznamenávajú tak, že ich nemožno ľahko vymazať alebo zničiť (s výnimkou presunu na dlhodobé médiá) v období, počas ktorého sa musia protokoly uchovávať.
(254)Protokoly o udalostiach sú chránené tak, aby ostali čitateľné počas trvania obdobia ich uchovávania.
5.4.5.Postupy zálohovania auditových protokolov
(255)Auditové protokoly a zhrnutia auditových protokolov sa zálohujú cez podnikové mechanizmy zálohovania, pod kontrolou autorizovaných dôveryhodných rolí, oddelene od generovania zdroja ich zložiek. Zálohované auditové protokoly sú chránené rovnakou úrovňou dôveryhodnosti ako pôvodné protokoly.
5.4.6.Auditový systém zberu údajov (interný alebo externý)
(256)Zariadenia prvkov modelu zabezpečenia dôveryhodnosti C-ITS aktivujú pri spustení systému procesy auditu a deaktivujú ich až pri vypnutí systému. Ak procesy auditu nie sú k dispozícii, prvok modelu zabezpečenia dôveryhodnosti C-ITS pozastaví svoju činnosť.
(257)Na konci každého prevádzkového obdobia a pri prekľúčovaní certifikátov by sa mal spoločný stav zariadení oznámiť prevádzkovému manažérovi a prevádzkovému riadiacemu orgánu príslušnej zložky PKI.
5.4.7.Oznámenie subjektu, ktorý spôsobil udalosť
(258)Keď sa udalosť zaznamená v auditovom systéme zberu údajov, zaručuje sa tým prepojenie tejto udalosti s dôveryhodnou rolou.
5.4.8.Posúdenie zraniteľnosti
(259)Rola zodpovedná za vykonávanie auditu a roly zodpovedné za realizáciu prevádzky systému PKI v prvkoch modelu zabezpečenia dôveryhodnosti C-ITS vysvetľujú všetky významné udalosti v zhrnutí auditových protokolov. Takéto preskúmania zahŕňajú overenie, či sa s protokolom neoprávnene nemanipulovalo a či nedochádza k narušeniu kontinuity alebo inej strate audítorských údajov, a následne sa v krátkosti skontrolujú všetky zápisy v protokole a dôkladnejšie sa preskúmajú všetky varovania či nezrovnalosti v protokoloch. Opatrenia prijaté na základe týchto preskúmaní sa zdokumentujú.
(260)Prvky modelu zabezpečenia dôveryhodnosti C-ITS:
·vykonajú organizačné a/alebo technické opatrenia detekcie a predchádzania pod kontrolou prvkov modelu zabezpečenia dôveryhodnosti C-ITS na ochranu systémov PKI pred vírusmi a škodlivým softvérom;
·zdokumentujú proces nápravy zraniteľnosti, ktorý zahŕňa identifikáciu a preskúmanie zraniteľnosti, následné opatrenia a nápravu, a riadia sa ním;
·sa podrobia kontrole zraniteľnosti alebo takúto kontrolu vykonajú:
·po každej zmene systému alebo siete, ktorú prvky modelu zabezpečenia dôveryhodnosti C-ITS označia ako významnú pre zložky PKI, a
·aspoň raz za mesiac na verejných a súkromných IP adresách, ktoré CA a CPOC označili ako systémy PKI,
·podrobia systémy PKI skúške prieniku aspoň raz ročne a po modernizácii či úpravách infraštruktúry alebo aplikácií, ktoré prvky modelu zabezpečenia dôveryhodnosti C-ITS označili ako významné pre zložku PKI autority CA;
·pri online systémoch evidujú, že každú skúšku zraniteľnosti a prieniku vykonala osoba alebo entita (alebo ich skupina) so zručnosťami, nástrojmi, odbornou spôsobilosťou, etickým kódexom a nezávislosťou potrebnými na zabezpečenie spoľahlivej skúšky zraniteľnosti a prieniku;
·sledujú a napravujú zraniteľnosti v súlade s politikami kybernetickej bezpečnosti podnikov a s metodikou zmierňovania rizika.
5.5.Archivácia záznamov
5.5.1.Typy archivovaných záznamov
(261)Prvky modelu zabezpečenia dôveryhodnosti C-ITS musia uchovávať záznamy, ktoré sú dostatočne podrobné na stanovenie platnosti podpisu a riadneho fungovania PKI. Musia sa archivovať aspoň tieto záznamy o udalostiach PKI (podľa potreby):
·protokol fyzického prístupu k zariadeniam prvkov modelu zabezpečenia dôveryhodnosti C-ITS (najmenej jeden rok);
·protokol spravovania dôveryhodných rolí pre prvky modelu zabezpečenia dôveryhodnosti C-ITS (najmenej 10 rokov);
·protokol prístupu k IT pre prvky modelu zabezpečenia dôveryhodnosti C-ITS (najmenej päť rokov);
·protokol vyhotovenia, používania a ničenia kľúča CA (najmenej päť rokov) (nie pre TLM a CPOC);
·protokol vyhotovenia, používania a ničenia certifikátov (najmenej dva roky);
·protokol žiadostí CPA (najmenej dva roky);
·protokol správy aktivačných údajov pre prvky modelu zabezpečenia dôveryhodnosti C-ITS (najmenej päť rokov);
·IT a sieťový protokol pre prvky modelu zabezpečenia dôveryhodnosti C-ITS (najmenej päť rokov);
·dokumentácia PKI pre prvky modelu zabezpečenia dôveryhodnosti C-ITS (najmenej päť rokov);
·správa o bezpečnostných incidentoch a auditoch pre prvky modelu zabezpečenia dôveryhodnosti C-ITS (najmenej 10 rokov);
·systémové zariadenia, softvér a konfigurácia (najmenej päť rokov).
(262)Prvky modelu zabezpečenia dôveryhodnosti C-ITS musia uchovávať nasledujúcu dokumentáciu týkajúcu sa žiadostí o certifikáty a ich overenie, ako aj všetky certifikáty TLM, koreňových CA a CA a ich CRL najmenej sedem rokov po uplynutí platnosti akéhokoľvek certifikátu na základe danej dokumentácie:
·dokumentácia k auditu PKI, ktorú uchovávajú prvky modelu zabezpečenia dôveryhodnosti C-ITS;
·dokumenty CPS, ktoré uchovávajú prvky modelu zabezpečenia dôveryhodnosti C-ITS;
·zmluva medzi CPA a ostatnými entitami, ktorú uchovávajú prvky modelu zabezpečenia dôveryhodnosti C-ITS;
·certifikáty (alebo iné informácie o zrušení), ktoré uchovávajú CA a TLM;
·záznamy žiadostí o certifikát v systéme koreňových CA (nevzťahuje sa na TLM);
·iné údaje alebo žiadosti postačujúce na overenie obsahu archívu;
·všetky práce, ktoré vykonali prvky modelu zabezpečenia dôveryhodnosti C-ITS a audítori súladu alebo ktoré sa ich týkajú.
(263)Entita CA si ponechá celú dokumentáciu týkajúcu sa žiadostí o certifikát a ich overenia, ako aj všetkých certifikátov a ich zrušenia najmenej sedem rokov po uplynutí platnosti akéhokoľvek certifikátu na základe danej dokumentácie.
5.5.2.Obdobie uchovávania archivovaných údajov
(264)Bez toho, aby boli dotknuté predpisy požadujúce dlhšie archivačné obdobie, musia prvky modelu zabezpečenia dôveryhodnosti C-ITS uchovávať všetky záznamy najmenej päť rokov po uplynutí platnosti zodpovedajúceho certifikátu.
5.5.3.Ochrana archívu
(265)Prvky modelu zabezpečenia dôveryhodnosti C-ITS musia uchovávať záznamy archívu v bezpečných a chránených skladovacích priestoroch, ktoré sú oddelené od zariadenia CA, s fyzickými a procedurálnymi bezpečnostnými kontrolami, ktoré sú rovnocenné s kontrolami PKI alebo lepšie.
(266)Archív musí byť chránený pred neoprávneným prezeraním, upravovaním, mazaním alebo inou neoprávnenou manipuláciou uložením v dôveryhodnom systéme.
(267)Médiá, na ktorých sa archivované údaje nachádzajú, a aplikácie potrebné na ich spracovanie sa musia udržiavať s cieľom zabezpečiť ich prístupnosť počas obdobia stanoveného v tejto CP.
5.5.4.Systémový archív a uchovávanie údajov
(268)Prvky modelu zabezpečenia dôveryhodnosti C-ITS musia každý deň postupne zálohovať systémové archívy s takýmito informáciami a každý týždeň vykonávať úplné zálohovanie. Kópie papierových záznamov sa musia uchovávať v zabezpečených priestoroch mimo pracoviska.
5.5.5.Požiadavky na časové označovanie záznamov
(269)Prvky modelu zabezpečenia dôveryhodnosti C-ITS spravujúce databázu zrušení musia zabezpečiť, aby záznamy obsahovali informácie o čase a dátume vytvorenia záznamov o zrušení. Integrita takýchto informácií sa implementuje pomocou šifrovacích riešení.
5.5.6.Systém archivácie (interný alebo externý)
(270)Systém archivácie je interný.
5.5.7.Postupy získavania a overovania archivovaných informácií
(271)Všetky prvky modelu zabezpečenia dôveryhodnosti C-ITS umožnia prístup k archívu iba oprávneným dôveryhodným osobám. Koreňové CA a CA musia opísať postupy vytvárania, overovania, balenia, prenosu a ukladania archivovaných informácií v CPS.
(272)Zariadenie koreňových CA a CA musí overiť integritu informácií pred tým, ako sa obnovia.
5.6.Zmena kľúčov pre prvky modelu zabezpečenia dôveryhodnosti C-ITS
(273)Nasledujúce prvky modelu zabezpečenia dôveryhodnosti C-ITS majú špecifické požiadavky na zmenu ich kľúčov: certifikáty TLM, koreňovej CA a EA/AA.
5.6.1.TLM
(274)TLM musí zmazať svoj súkromný kľúč po uplynutí platnosti zodpovedajúceho certifikátu. Pred deaktiváciou existujúceho platného súkromného kľúča musí vygenerovať nový kľúčový pár a zodpovedajúci certifikát TLM. Musí dbať na to, aby sa nový (prepájací) certifikát vložil do ECTL včas na zaslanie do všetkých staníc C-ITS pred tým, než sa stane platným. Prepájací certifikát a nový certifikát s vlastným podpisom sa odošlú na CPOC.
5.6.2.Koreňová CA
(275)Koreňová CA musí deaktivovať a zmazať existujúci súkromný kľúč (vrátane záložných kľúčov), aby nedošlo k vydaniu certifikátov EA/AA s platnosťou, ktorá presahuje platnosť certifikátu CA.
(276)Koreňová CA musí pred deaktiváciou existujúceho súkromného kľúča (vrátane záložných kľúčov) vygenerovať nový kľúčový pár a zodpovedajúci certifikát koreňovej CA a prepájací certifikát zašle TLM na vloženie do ECTL. Obdobie platnosti nového certifikátu koreňovej CA začne plynúť od plánovanej deaktivácie existujúceho súkromného kľúča. Koreňová CA musí dbať na to, aby sa nový certifikát vložil do ECTL včas na zaslanie do všetkých staníc C-ITS pred tým, než sa stane platným.
(277)Koreňová CA musí aktivovať nový súkromný kľúč, keď sa zodpovedajúci certifikát koreňovej CA stane platným.
5.6.3.Certifikát EA/AA
(278)EA/AA musí deaktivovať existujúci súkromný kľúč, aby nedošlo k vydaniu certifikátov EC/AT s platnosťou, ktorá presahuje platnosť certifikátu EA/AA.
(279)Pred deaktiváciou existujúceho platného súkromného kľúča musí EA/AA vygenerovať nový kľúčový pár a zodpovedajúci certifikát EA/AA. Obdobie platnosti nového certifikátu EA/AA začne plynúť od plánovanej deaktivácie existujúceho súkromného kľúča. EA/AA musí dbať na to, aby sa nový certifikát uverejnil včas na zaslanie do všetkých staníc C-ITS pred tým, než sa stane platným.
(280)EA/AA musí aktivovať nový súkromný kľúč, keď sa príslušný certifikát EA/AA stane platným.
5.6.4.Audítor
Nijaké ustanovenia.
5.7.Obnova po kompromitácii a havárii
5.7.1.Riešenie incidentov a kompromitácie
(281)Prvky modelu zabezpečenia dôveryhodnosti C-ITS musia priebežne monitorovať svoje zariadenia, aby odhalili prípadné pokusy o hacking alebo iné formy kompromitácie. V prípade takejto udalosti ju preskúmajú s cieľom určiť povahu a mieru škody.
(282)Ak zamestnanci zodpovední za riadenie koreňovej CA alebo TLM odhalia možný pokus o hacking alebo inú formu kompromitácie, preskúmajú prípad s cieľom určiť povahu a mieru škody. V prípade kompromitácie súkromného kľúča sa zruší certifikát koreňovej CA. Odborníci CPA na IT bezpečnosť posúdia rozsah možnej škody s cieľom určiť, či treba prebudovať PKI, či sa musia zrušiť iba niektoré certifikáty a/alebo či došlo ku kompromitácii PKI. CPA okrem toho určí, ktoré služby sa majú zachovať (zrušenie a informácie o stave certifikátu) a ako, v súlade s plánom na zabezpečenie kontinuity činností CPA.
(283)Incident, kompromitácia a kontinuita činností sú obsiahnuté v CPS, ktoré môžu vychádzať aj z iných podnikových zdrojov a plánov na ich vykonávanie.
(284)Ak zamestnanci zodpovední za riadenie EA/AA/CPOC odhalia možný pokus o hacking alebo inú formu kompromitácie, preskúmajú prípad s cieľom určiť povahu a mieru škody. Zamestnanci zodpovední za riadenie CA alebo entity CPOC musia posúdiť rozsah možnej škody s cieľom určiť, či treba prebudovať zložku PKI, či sa musia zrušiť len niektoré certifikáty a/alebo či došlo ku kompromitácii zložky PKI. Entita podriadenej CA určí, ktoré služby sa majú zachovať a ako, v súlade s plánom na zabezpečenie kontinuity činností podriadenej CA. V prípade kompromitácie zložky PKI musí entita CA informovať svoju vlastnú koreňovú CA a TLM prostredníctvom CPOC.
(285)Incident, kompromitácia a kontinuita činností sú obsiahnuté v CPS koreňovej CA alebo TLM, resp. v iných príslušných dokumentoch v prípade CPOC, ktoré môžu vychádzať aj z iných podnikových zdrojov a plánov na ich vykonávanie.
(286)Koreňová CA a CA musia s použitím presných informácií o následkoch incidentu informovať zástupcu každého členského štátu a koreňovú CA, s ktorou majú uzavretú dohodu v súvislosti s C-ITS, aby im povolili aktiváciu vlastných plánov riadenia incidentov.
5.7.2.Poškodenie výpočtových zdrojov, softvéru a/alebo údajov
(287)Ak sa zistí havária, ktorá bráni riadnemu fungovaniu prvku modelu zabezpečenia dôveryhodnosti C-ITS, daný prvok musí pozastaviť svoju činnosť a preskúmať, či bol kompromitovaný súkromný kľúč (s výnimkou CPOC). Poškodený hardvér sa musí čo najrýchlejšie nahradiť a musia sa vykonať postupy opísané v oddieloch 5.7.3 a 5.7.4.
(288)Poškodenie výpočtových zdrojov, softvéru a/alebo údajov na najvyššej úrovni rizika sa musí do 24 hodín nahlásiť koreňovej CA. Všetky ostatné udalosti sa musia uviesť v pravidelnej správe koreňovej CA, EA a autorít AA.
5.7.3.Postupy pri kompromitácii súkromného kľúča entity
(289)V prípade kompromitácie, straty, zničenia alebo podozrenia na kompromitáciu súkromného kľúča koreňovej CA musí daná koreňová CA:
·pozastaviť svoju činnosť;
·spustiť plán obnovy po havárii a plán migrácie;
·zrušiť svoj certifikát koreňovej CA;
·preskúmať „problém s kľúčom“, ktorý je pôvodcom kompromitácie, a informovať CPA, ktorá zruší certifikát koreňovej CA prostredníctvom TLM (pozri oddiel 7);
·upozorniť všetkých držiteľov, s ktorými má uzavretú dohodu.
(290)V prípade kompromitácie, straty, zničenia alebo podozrenia na kompromitáciu kľúča EA/AA, musí EA/AA:
·pozastaviť svoju činnosť;
·zrušiť svoj vlastný certifikát;
·preskúmať „problém s kľúčom“ a informovať koreňovú CA;
·upozorniť držiteľov, s ktorými má uzavretú dohodu.
(291)V prípade kompromitácie, straty, zničenia alebo podozrenia na kompromitáciu EC alebo kľúča AT stanice C-ITS musí EA/AA, u ktorej je C-ITS držiteľom:
·zrušiť EC dotknutých ITS;
·preskúmať „problém s kľúčom“ a informovať koreňovú CA;
·upozorniť držiteľov, s ktorými má uzavretú dohodu.
(292)Ak ktorýkoľvek z algoritmov alebo súvisiacich parametrov, ktoré používa koreňová CA a/alebo CA či stanice C-ITS, nepostačuje na zostávajúce zamýšľané použitie, CPA (s odporučením odborníkov na kryptografiu) informuje entitu koreňovej CA, s ktorou má uzavretú dohodu, a zmení použitý algoritmus. (Pozri podrobnosti v oddiele 6 a CPS koreňovej CA a podriadenej CA).
5.7.4.Schopnosť zabezpečiť kontinuitu činností po havárii
(293)Prvky modelu zabezpečenia dôveryhodnosti C-ITS, ktoré prevádzkujú zabezpečené priestory pre činnosť CA, musia vypracovať, odskúšať, udržiavať a vykonávať plán obnovy po havárii určený na zmiernenie účinkov akejkoľvek prírodnej katastrofy alebo katastrofy spôsobenej ľudskou činnosťou. Takéto plány sú určené na obnovu služieb informačných systémov a kľúčových obchodných funkcií.
(294)Po incidente s určitou úrovňou rizika sa kompromitovaná CA musí opätovne podrobiť auditu akreditovaným audítorom PKI (pozri oddiel 8).
(295)Ak kompromitovaná CA už nie je schopná činnosti (napr. po závažnom incidente), vypracuje sa plán migrácie na prenos jej funkcií na inú koreňovú CA. Na podporu plánu migrácie musí byť k dispozícii aspoň koreňová CA EÚ. Kompromitovaná CA musí ukončiť svoje fungovanie.
(296)Koreňové CA musia zahrnúť plán obnovy po havárii a plán migrácie do CPS.
5.8.Ukončenie a prevod
5.8.1.TLM
(297)TLM nesmie ukončiť svoju činnosť, ale entita riadiaca TLM môže prevziať inú entitu.
(298)V prípade zmeny riadiacej entity:
·musí požiadať CPA o schválenie prevodu riadenia TLM zo starej entity na novú;
·CPA schváli zmenu riadenia TLM;
·všetky auditové protokoly a archivované záznamy sa prevedú zo starej riadiacej entity na novú.
5.8.2.Koreňová CA
(299)Koreňová CA nesmie ukončiť/začať svoju činnosť bez zriadenia plánu migrácie (stanoveného v príslušných CPS), ktorý zaručuje nepretržitú prevádzku pre všetkých držiteľov.
(300)V prípade ukončenia služby musí koreňová CA:
·informovať CPA;
·informovať TLM, aby mohol vymazať certifikát koreňovej CA z ECTL;
·zrušiť zodpovedajúcu koreňovú CA vydaním CRL, na ktorom je sama uvedená;
·upozorniť koreňové CA, s ktorými má uzavretú dohodu o obnove certifikátov EA/AA;
·zničiť súkromný kľúč koreňovej CA;
·oznámiť spoliehajúcej sa strane informácie o poslednom stave zrušenia (CRL podpísaný koreňovou CA), pričom jasne uvedie, že ide o najnovšie informácie o zrušení;
·archivovať všetky auditové protokoly a iné záznamy pred ukončením PKI;
·previesť archivované záznamy na vhodnú autoritu.
(301)TLM musí vymazať zodpovedajúci certifikát koreňovej CA z ECTL.
5.8.3.EA/AA
(302)V prípade ukončenia služby EA/AA o tom subjekt EA/AA informuje ešte pred ukončením. EA/AA nesmie ukončiť/začať svoju činnosť bez zriadenia plánu migrácie (stanoveného v príslušných CPS), ktorý zaručuje nepretržitú prevádzku pre všetkých držiteľov. EA/AA musí:
·informovať koreňovú CA doporučeným listom;
·zničiť súkromný kľúč CA;
·previesť svoju databázu na entitu vymenovanú koreňovou CA;
·prestať vydávať certifikáty;
·počas prevodu svojej databázy a dovtedy, kým nebude databáza v novej entite plne funkčná, zachovať schopnosť povoľovať žiadosti autority zodpovednej za ochranu osobných údajov;
·ak bola kompromitovaná podriadená CA, koreňová CA zruší podriadenú CA a vydá nový CRL so zoznamom zrušených podriadených CA;
·archivovať všetky auditové protokoly a iné záznamy pred ukončením PKI;
·previesť archivované záznamy na entitu vymenovanú koreňovou CA.
(303)V prípade ukončenia služieb CA je CA zodpovedná za uchovávanie všetkých príslušných záznamov týkajúcich sa potrieb CA a zložiek PKI.
6.Technické zabezpečenie
6.1.Generovanie a inštalácia kľúčových párov
6.1.1.TLM, koreňová CA, EA, AA
(304)Postup generovania kľúčového páru musí spĺňať tieto požiadavky:
·každý účastník musí byť schopný generovať vlastné kľúčové páry v súlade s oddielmi 6.1.4 a 6.1.5;
·postup odvodzovania symetrických šifrovacích kľúčov a kľúča MAC pre žiadosti o certifikát (ECIES) sa musí vykonávať v súlade s [1] a [5];
·postup generovania kľúča musí používať algoritmy a dĺžky kľúča opísané v oddieloch 6.1.4.1 a 6.1.4.2;
·postup generovania kľúčového páru musí spĺňať požiadavky „bezpečného uchovávania súkromných kľúčov“ (pozri oddiel 6.1.5);
·koreňové CA a ich držitelia (podriadené CA) musia zabezpečiť zachovanie integrity a autentickosti svojich verejných kľúčov a akýchkoľvek súvisiacich parametrov počas distribúcie registrovaným subjektom podriadených CA.
6.1.2.EE – mobilná stanica C-ITS
(305)Každá mobilná stanica C-ITS si generuje vlastné kľúčové páry v súlade s oddielmi 6.1.4 a 6.1.5.
(306)Postup odvodzovania symetrických šifrovacích kľúčov a kľúča MAC pre žiadosti o certifikát (ECIES) sa musí vykonávať v súlade s [1] a [5].
(307)Postupy generovania kľúča musia používať algoritmy a dĺžky kľúča opísané v oddieloch 6.1.4.1 a 6.1.4.2.
(308)Postupy generovania kľúčového páru musia spĺňať požiadavky „bezpečného ukladania súkromných kľúčov“ (pozri oddiel 6.1.5).
6.1.3.EE – pevná stanica C-ITS
(309)Každá pevná stanica C-ITS si generuje vlastný kľúčový pár v súlade s oddielmi 6.1.4 a 6.1.5.
(310)Postupy generovania kľúča musia používať algoritmy a dĺžky kľúča opísané v oddieloch 6.1.4.1 a 6.1.4.2.
(311)Postupy generovania kľúčového páru musia spĺňať požiadavky „bezpečného ukladania súkromných kľúčov“ (pozri oddiel 6.1.5).
6.1.4.Kryptografické požiadavky
(312)Všetci účastníci PKI musia spĺňať kryptografické požiadavky stanovené v nasledujúcich odsekoch, pokiaľ ide o podpisový algoritmus, dĺžku kľúča, generátor náhodných čísel a prepájacie certifikáty.
6.1.4.1.Algoritmus a dĺžka kľúča – podpisové algoritmy
(313)Všetci účastníci PKI (TLM, koreňová CA, EA, AA a stanice C-ITS) musia byť schopní generovať kľúčové páry a používať súkromný kľúč na podpisovanie činností pomocou vybraných algoritmov, a to najneskôr dva roky po nadobudnutí účinnosti tohto nariadenia v súlade s tabuľkou 4.
(314)Všetci účastníci PKI, ktorí musia kontrolovať integritu ECTL, certifikáty a/alebo podpísané správy v súlade s ich rolou, podľa vymedzenia v oddiele 1.3.6, musia podporovať príslušné algoritmy uvedené v tabuľke 5 na overenie. Predovšetkým stanice C-ITS musia byť schopné kontrolovať integritu ECTL.
|
|
TLM
|
Koreňová CA
|
EA
|
AA
|
Stanica C-ITS
|
|
ECDSA_nistP256_with_SHA 256
|
–
|
X
|
X
|
X
|
X
|
|
ECDSA_brainpoolP256r1_with_SHA 256
|
–
|
X
|
X
|
X
|
X
|
|
ECDSA_brainpoolP384r1_with_SHA 384
|
X
|
X
|
X
|
–
|
–
|
|
X označuje povinnú podporu
|
Tabuľka 4: Generovanie kľúčových párov a použitie súkromného kľúča na podpisovanie činností
|
|
TLM
|
Koreňová CA
|
EA
|
AA
|
Stanica C-ITS
|
|
ECDSA_nistP256_with_SHA 256
|
X
|
X
|
X
|
X
|
X
|
|
ECDSA_brainpoolP256r1_with_SHA 256
|
X
|
X
|
X
|
X
|
X
|
|
ECDSA_brainpoolP384r1_with_SHA 384
|
X
|
X
|
X
|
X
|
X
|
|
X označuje povinnú podporu
|
Tabuľka 5: Prehľad overovania
(315)Ak tak rozhodne CPA na základe novo zistených kryptografických slabín, všetky stanice C-ITS musia byť schopné čo najskôr prepnúť na jeden z dvoch algoritmov (ECDSA_nistP256_with_SHA 256 alebo ECDSA_brainpoolP256_with_SHA 256). Aktuálne používaný(-é) algoritmus(-y) sa určí(-ia) v CPS tej CA, ktorá vydáva certifikát pre zodpovedajúci verejný kľúč, v súlade s touto CP.
6.1.4.2.Algoritmus a dĺžka kľúča – šifrovacie algoritmy na prihlasovanie a autorizáciu
(316)Všetci účastníci PKI (EA, AA a stanice C-ITS) musia byť schopní používať verejné kľúče na zašifrovanie žiadostí o prihlásenie a autorizáciu alebo odpovedí na ne pomocou vybraných algoritmov, a to najneskôr dva roky po nadobudnutí účinnosti tohto nariadenia v súlade s tabuľkou 6. Aktuálne používaný(-é) algoritmus(-y) sa určí(-ia) v CPS tej CA, ktorá vydáva certifikát pre zodpovedajúci verejný kľúč, v súlade s touto CP.
(317)Algoritmy v tabuľke 6 uvádzajú dĺžku kľúča a dĺžku hašovacieho algoritmu a musia sa implementovať v súlade s [5].
|
|
TLM
|
Koreňová CA
|
EA
|
AA
|
Stanica C-ITS
|
|
ECIES_nistP256_with_AES 128_CCM
|
–
|
–
|
X
|
X
|
X
|
|
ECIES_brainpoolP256r1_with_AES 128_CCM
|
–
|
–
|
X
|
X
|
X
|
|
X označuje povinnú podporu
|
Tabuľka 6: Používanie verejných kľúčov na šifrovanie žiadostí o prihlásenie a autorizáciu a odpovedí na ne
(318)Všetci účastníci PKI (EA, AA a stanice C-ITS) musia byť schopní generovať kľúčové páry a používať súkromný kľúč na dešifrovanie žiadostí o prihlásenie a autorizáciu alebo odpovedí na ne pomocou vybraných algoritmov, a to najneskôr dva roky po nadobudnutí účinnosti tohto nariadenia v súlade s tabuľkou 7:
|
|
TLM
|
Koreňová CA
|
EA
|
AA
|
Stanica C-ITS
|
|
ECIES_nistP256_with_AES 128_CCM
|
–
|
–
|
X
|
X
|
X
|
|
ECIES_brainpoolP256r1_with_AES 128_CCM
|
–
|
–
|
X
|
X
|
X
|
|
X označuje povinnú podporu
|
Tabuľka 7: Generovanie kľúčových párov a používanie súkromného kľúča na dešifrovanie žiadostí o prihlásenie a autorizáciu a odpovedí na ne
6.1.4.3.Kryptografická pružnosť
(319)Požiadavky na dĺžku kľúča a algoritmy sa musia meniť v čase, aby sa zachovala primeraná úroveň bezpečnosti. CPA musí monitorovať potrebu takýchto zmien vzhľadom na aktuálne zraniteľnosti a najmodernejšiu kryptografiu. Ak rozhodne, že treba aktualizovať kryptografické algoritmy, vypracuje, schváli a zverejní aktualizáciu tejto certifikačnej politiky. Ak nová verzia tejto CP signalizuje zmenu algoritmu a/alebo dĺžky kľúča, CPA prijme migračnú stratégiu, ktorá zahŕňa prechodné obdobia, počas ktorých musia byť podporované staré algoritmy a dĺžky kľúča.
(320)S cieľom umožniť a uľahčiť prechod na nové algoritmy a/alebo dĺžky kľúča sa odporúča, aby všetci účastníci PKI zaviedli hardvér a/alebo softvér schopný zmeny dĺžky kľúča a algoritmov.
(321)Zmeny koreňových certifikátov a certifikátov TLM musia byť podporované a vykonávajú sa prostredníctvom prepájacích certifikátov (pozri oddiel 4.6), ktoré sa používajú na preklenutie prechodného obdobia medzi starými a novými koreňovými certifikátmi („migrácia modelu zabezpečenia dôveryhodnosti“).
6.1.5.Bezpečné uchovávanie súkromných kľúčov
V tomto oddiele sú opísané požiadavky na bezpečné uchovávanie a generovanie kľúčových párov a náhodných čísel pre autority CA a koncové entity. Uvedené požiadavky sú vymedzené pre kryptografické moduly a opísané v nasledujúcich pododdieloch.
6.1.5.1.Úroveň koreňovej CA, podriadenej CA a TLM
(322)Kryptografický modul sa musí používať na:
·generovanie, používanie, spravovanie a uchovávanie súkromných kľúčov;
·generovanie a používanie náhodných čísel (hodnotenie funkcie generovania náhodných čísel musí byť súčasťou hodnotenia bezpečnosti a certifikácie);
·zálohovanie súkromných kľúčov v súlade s oddielom 6.1.6;
·mazanie súkromných kľúčov.
Kryptografický modul musí byť certifikovaný jedným z nasledujúcich profilov ochrany (PP) s mierou zabezpečenia EAL-4 alebo vyššou:
·PP pre HSM:
·CEN EN 419 221-2: Profily ochrany kryptografických modulov pre poskytovateľov dôveryhodných služieb – časť 2: Kryptografický modul pre poskytovateľov certifikačných služieb na podpisovanie so zálohou
·CEN EN 419 221-4: Profily ochrany kryptografických modulov pre poskytovateľov dôveryhodných služieb – časť 4: Kryptografický modul pre poskytovateľov certifikačných služieb na podpisovanie bez zálohy
·CEN EN 419 221-5: Profily ochrany kryptografických modulov pre poskytovateľov dôveryhodných služieb – časť 5: Kryptografický modul pre dôveryhodné služby;
·PP pre programovateľné karty:
·CEN EN 419 211-2: Profily ochrany pre zariadenia na vyhotovenie bezpečného podpisu. Časť 2: Zariadenie s generovaním kľúča;
·CEN EN 419 211-3: Profily ochrany pre zariadenia na vyhotovenie bezpečného podpisu. Časť 3: Zariadenie s importovaním kľúča.
Manuálny prístup ku kryptografickému modulu musí od správcu vyžadovať dvojstupňovú autentifikáciu. Okrem toho musí vyžadovať účasť dvoch oprávnených osôb.
Implementácia kryptografického modulu musí zabezpečiť, aby kľúče neboli prístupné mimo kryptografického modulu. Kryptografický modul musí obsahovať mechanizmus kontroly prístupu, aby sa zabránilo neoprávnenému použitiu súkromných kľúčov.
6.1.5.2.Koncová entita
(323)Kryptografický modul pre EE sa musí používať na:
·generovanie, používanie, spravovanie a uchovávanie súkromných kľúčov;
·generovanie a používanie náhodných čísel (hodnotenie funkcie generovania náhodných čísel musí byť súčasťou hodnotenia bezpečnosti a certifikácie);
·bezpečné mazanie súkromných kľúčov.
(324)Kryptografický modul musí byť chránený pred neoprávneným odstránením, nahradením a úpravou. Všetky profily ochrany a súvisiace dokumenty vzťahujúce sa na bezpečnostnú certifikáciu kryptografického modulu sa musia vyhodnotiť, validovať a certifikovať v súlade s normou ISO 15408, pričom sa uplatňuje Dohoda o vzájomnom uznávaní osvedčení o hodnotení bezpečnosti informačných technológií skupiny vysokých úradníkov pre bezpečnosť informačných systémov (SOG-IS) alebo ekvivalentný európsky systém certifikácie kybernetickej bezpečnosti podľa príslušného európskeho rámca kybernetickej bezpečnosti.
(325)Vzhľadom na význam zachovania najvyššej možnej úrovne zabezpečenia musí bezpečnostné certifikáty pre kryptografický modul v rámci certifikačného systému podľa spoločných kritérií (ISO 15408) vydávať orgán posudzovania zhody uznaný riadiacim výborom v rámci dohody SOG-IS alebo orgán posudzovania zhody akreditovaný vnútroštátnym orgánom členského štátu pre certifikáciu kybernetickej bezpečnosti. Tento orgán posudzovania zhody musí zaistiť podmienky hodnotenia bezpečnosti, ktoré sú prinajmenšom rovnocenné s podmienkami Dohody SOG-IS o vzájomnom uznávaní.
Poznámka: prepojenie medzi kryptografickým modulom a stanicou C-ITS musí byť chránené.
6.1.6.Zálohovanie súkromných kľúčov
(326)Generovanie, uchovávanie a zálohovanie súkromných kľúčov musí spĺňať požiadavky aspoň takej úrovne zabezpečenia, aká sa požaduje pre pôvodné kľúče.
(327)Zálohovanie súkromných kľúčov musia vykonávať koreňové CA, autority EA a AA.
(328)Zálohovanie súkromných kľúčov sa nevykonáva v prípade EC a AT.
6.1.7.Ničenie súkromných kľúčov
(329)Koreňové CA, EA, AA a mobilné i pevné stanice C-ITS musia zničiť svoj súkromný kľúč a všetky príslušné zálohy, ak sa vygeneruje a úspešne nainštaluje nový kľúčový pár a zodpovedajúci certifikát, a po uplynutí obdobia prekrývania (ak nastalo – len pri CA). Súkromný kľúč sa zničí pomocou mechanizmu kryptografického modulu, ktorý sa používa na uchovávanie kľúča, alebo podľa opisu v príslušnom PP v zmysle oddielu 6.1.5.2.
6.2.Aktivačné údaje
(330)Aktivačné údaje sú stupne autentifikácie potrebné na prevádzku kryptografických modulov s cieľom zabrániť neoprávnenému prístupu. Použitie aktivačných údajov pre kryptografické zariadenie CA musí vyžadovať účasť dvoch oprávnených osôb.
6.3.Opatrenia počítačovej bezpečnosti
(331)Opatrenia CA v oblasti počítačovej bezpečnosti musia byť vypracované v súlade s vysokou úrovňou zabezpečenia pri dodržiavaní požiadaviek normy ISO/IEC 27002.
6.4.Technické opatrenia týkajúce sa životného cyklu
(332)Technické opatrenia CA musia zahŕňať celý životný cyklus CA. Patria sem najmä požiadavky uvedené v oddiele 6.1.4.3 („kryptografická pružnosť“).
6.5.Opatrenia sieťovej bezpečnosti
(333)Siete autorít CA (koreňová CA, EA a AA) musia byť odolné proti útokom v súlade s požiadavkami a návodom na implementáciu uvedenými v normách ISO/IEC 27001 a ISO/IEC 27002.
(334)Dostupnosť sietí CA sa musí navrhnúť na základe odhadovanej prevádzky.
7.Profily certifikátov, CRL a CTL
7.1.Profil certifikátu
(335)Profily certifikátov vymedzené v [5] sa musia používať pre TLM, koreňové certifikáty, certifikáty EA, certifikáty AA, AT a EC. Národné verejnosprávne EA môžu pri EC používať iné profily certifikátov.
(336)Certifikáty koreňových CA, EA a AA musia uvádzať povolenia, na základe ktorých môžu dané CA (koreňové CA, EA a AA) vydávať certifikáty.
(337)Na základe [5]:
·každá koreňová CA musí používať vlastný podpisový súkromný kľúč na vydávanie CRL;
·TLM musí používať vlastný podpisový súkromný kľúč na vydávanie ECTL.
7.2.Platnosť certifikátu
(338)Všetky profily certifikátov C-ITS musia obsahovať dátum vydania a uplynutia platnosti, ktoré predstavujú obdobie platnosti certifikátu. Certifikáty sa na každej úrovni PKI musia vygenerovať v dostatočnom časovom predstihu pred uplynutím platnosti.
(339)Obdobie platnosti certifikátov CA a EC musí zahŕňať obdobie prekrývania. Certifikáty TLM a koreňovej CA sa musia vydať a pridať do ECTL maximálne tri mesiace a aspoň jeden mesiac pred začiatkom ich platnosti, na základe začiatku platnosti uvedenom na certifikáte. Táto predbežná fáza je potrebná na bezpečnú distribúciu certifikátov všetkým príslušným spoliehajúcim sa stranám v súlade s oddielom 2.2. Zabezpečí sa tým, že všetky spoliehajúce sa strany budú môcť už od začiatku obdobia prekrývania overovať správy vydané s novým certifikátom.
(340)Na začiatku obdobia prekrývania musia byť príslušným spoliehajúcim sa stranám postupne vydané (v náležitých prípadoch), distribuované a nainštalované certifikáty CA, EC a AT. Počas obdobia prekrývania sa existujúci certifikát použije iba na overenie.
(341)Keďže obdobia platnosti uvedené v tabuľke 8 nesmú prekročiť obdobie platnosti daného nadriadeného certifikátu, uplatňujú sa tieto obmedzenia:
·maximumvalidity(Root CA) = privatekeyusage(Root CA) + maximumvalidity(EA,AA);
·maximumvalidity(EA) = privatekeyusage(EA) + maximumvalidity(EC);
·maximumvalidity(AA) = privatekeyusage(AA) + preloadingperiod(AT).
(342)Platnosť prepájacích certifikátov (koreňového a TLM) sa začína použitím zodpovedajúceho súkromného kľúča a končí sa po uplynutí maximálneho obdobia platnosti koreňovej CA alebo TLM.
(343)V tabuľke 8 sa uvádza maximálne obdobie platnosti certifikátov CA C-ITS (pre obdobia platnosti AT pozri oddiel 7.2.1).
|
Entita
|
Max. obdobie používania súkromného kľúča
|
Max. obdobie platnosti
|
|
Koreňová CA
|
3 roky
|
8 rokov
|
|
EA
|
2 roky
|
5 rokov
|
|
AA
|
4 roky
|
5 rokov
|
|
EC
|
3 roky
|
3 roky
|
|
TLM
|
3 roky
|
4 roky
|
Tabuľka 8: Obdobia platnosti certifikátov v modeli zabezpečenia dôveryhodnosti C-ITS
7.2.1.Certifikáty pseudonymu
(344)V tejto súvislosti sa pseudonymy implementujú prostredníctvom AT. Preto sa v tomto oddiele odkazuje na AT, nie na pseudonymy.
(345)Požiadavky stanovené v tomto oddiele sa vzťahujú iba na AT mobilných staníc C-ITS odosielajúcich správy CAM a DENM, pre ktoré platí riziko ohrozenia súkromia v súvislosti s polohou. Na AT sa nevzťahujú žiadne osobitné požiadavky týkajúce sa certifikátov AT pre pevné stanice C-ITS a mobilné stanice C-ITS používané na špeciálne funkcie, ktorých sa netýka riziko ohrozenia súkromia v súvislosti s polohou (napr. označené pohotovostné vozidlá alebo vozidlá orgánov presadzovania práva).
(346)Uplatňuje sa toto vymedzenie pojmov:
·„obdobie platnosti AT“ je obdobie platnosti AT, t. j. obdobie medzi dátumom začiatku platnosti AT a uplynutím jeho platnosti;
·„predbežné obdobie AT“ je obdobie, keď môžu stanice C-ITS získať AT pred začiatkom obdobia platnosti. Predbežné obdobie je maximálne povolené obdobie od podania žiadosti o AT do posledného dátumu platnosti každého vyžiadaného AT;
·„obdobie používania AT“ je obdobie, počas ktorého sa AT účinne používa na podpisovanie správ CAM/DENM;
·„maximálny počet súbežných AT“ je počet AT, z ktorých si stanica C-ITS môže kedykoľvek vybrať, keď podpisuje správu CAM/DENM, t. j. počet rôznych AT vydaných pre jednu stanicu C-ITS, ktoré platia súčasne.
(347)Uplatňujú sa tieto požiadavky:
·predbežné obdobie AT nesmie presiahnuť tri mesiace;
·obdobie platnosti AT nesmie presiahnuť jeden týždeň;
·maximálny počet súbežných AT nesmie presiahnuť 100 na jednu stanicu C-ITS;
·obdobie používania AT závisí od stratégie pri zmenách AT a od dĺžky prevádzky vozidla, ale je obmedzené maximálnym počtom súbežných AT a obdobím platnosti. Konkrétne vyjadrené, priemerné obdobie používania jednej stanice C-ITS trvá najmenej toľko ako čas prevádzky vozidla počas jedného obdobia platnosti vydelený maximálnym počtom súbežných AT.
7.2.2.Autorizačné tikety pre pevné stanice C-ITS
(348)Uplatňuje sa vymedzenie pojmov uvedené v oddiele 7.2.1 a tieto požiadavky:
·predbežné obdobie AT nesmie presiahnuť tri mesiace;
·maximálny počet súbežných AT nesmie presiahnuť dve na jednu stanicu C-ITS.
7.3.Zrušenie certifikátov
7.3.1.Zrušenie certifikátov CA, EA a AA
Certifikáty koreňovej CA, EA a AA sa musia dať zrušiť. Zrušené certifikáty koreňových CA, EA a AA sa musia čo najskôr a bez zbytočného odkladu uverejniť v CRL. Uvedený CRL musí podpísať zodpovedajúca koreňová CA a musí sa použiť profil opísaný v oddiele 7.4. Pri zrušení certifikátov koreňovej CA musí zodpovedajúca koreňová CA vydať CRL, na ktorom je sama uvedená. Okrem toho sa v prípadoch bezpečnostnej kompromitácie uplatňuje oddiel 5.7.3. TLM musí navyše odstrániť zrušenú koreňovú CA zo zoznamu dôveryhodných certifikátov a vydať nový zoznam dôveryhodných certifikátov. Neplatné certifikáty sa musia odstrániť z príslušného zoznamu CRL a zoznamu dôveryhodných certifikátov.
(349)Certifikáty sa zrušia, keď:
·majú koreňové CA dôvod domnievať sa alebo silné podozrenie, že zodpovedajúci súkromný kľúč bol kompromitovaný;
·boli koreňové CA upovedomené, že zmluva s držiteľom bola ukončená;
·sú informácie (ako napríklad meno a súvislosti medzi CA a subjektom) v certifikáte nesprávne alebo sa zmenili;
·sa vyskytne bezpečnostný incident, ktorý má vplyv na vlastníka certifikátu;
·je výsledok auditu (pozri oddiel 8) negatívny.
(350)Držiteľ musí bezodkladne informovať CA o známej alebo domnelej kompromitácii svojho súkromného kľúča. Musí sa zabezpečiť, aby sa certifikáty zrušili iba na základe autentifikovaných žiadostí.
7.3.2.Zrušenie prihlasovacích poverení
(351)Zrušenie EC môže iniciovať držiteľ stanice C-ITS (tok 34) a vykoná sa prostredníctvom internej čiernej listiny v databáze zrušení s časovou pečiatkou, ktorú vygeneruje a udržiava každá EA. Čierna listina sa nikdy nezverejňuje, je dôverná a používa ju iba príslušná EA na overenie platnosti príslušných EC v súvislosti so žiadosťami o AT a nové EC.
7.3.3.Zrušenie autorizačných tiketov
(352)Keďže AT nie sú rušené príslušnými CA, majú krátku životnosť a nemožno ich vydať oveľa skôr, než sa stanú platnými. Povolené hodnoty parametra životného cyklu certifikátov sú stanovené v oddiele 7.2.
7.4.Zoznam zrušených certifikátov (CRL)
(353)Formát a obsah CRL, ktorý vydávajú koreňové CA, musí byť v súlade s ustanoveniami [1].
7.5.Európsky zoznam dôveryhodných certifikátov (ECTL)
(354)Formát a obsah ECTL, ktorý vydávajú TLM, musí byť v súlade s ustanoveniami [1].
8.Audit súladu a iné posúdenia
8.1.Témy auditu a jeho základ
(355)Účelom auditu súladu je overiť, či TLM, koreňové CA, EA a AA fungujú v súlade s touto CP. TLM, koreňové CA, EA a AA musia vybrať nezávislého a akreditovaného audítora PKI, ktorý vykoná audit ich CPS. Audit sa musí kombinovať s posúdením podľa noriem ISO/IEC 27001 a ISO/IEC 27002.
(356)Audit súladu si objednáva koreňová CA (tok 13) pre seba a podriadená EA/AA pre podriadenú CA.
(357)Audit súladu pre TLM objednáva CPA (tok 38).
(358)Akreditovaný audítor PKI na požiadanie vykoná audit súladu na jednej z týchto úrovní:
(1)zhoda CPS správcu TLM, koreňovej CA, EA alebo AA s touto CP;
(2)zhoda plánovaných postupov TLM, koreňovej CA, EA alebo AA s ich CPS pred činnosťou;
(3)zhoda praxe a prevádzkových činností správcu TLM, koreňovej CA, EA alebo AA s ich CPS počas činnosti.
(359)Audit musí zahŕňať všetky požiadavky tejto CP, ktoré majú splniť auditovaní správcovia TLM, koreňové CA, EA a AA. Musí zahŕňať aj činnosť CA v rámci PKI C-ITS vrátane všetkých procesov uvedených v jej CPS, priestorov a zodpovedných osôb.
(360)Akreditovaný audítor PKI musí koreňovej CA (tok 36), EA, AA alebo CPA (tok 16 a 40) podľa potreby poskytnúť podrobnú správu z auditu.
8.2.Frekvencia auditov
(361)Koreňová CA, TLM, EA alebo AA si musí objednať vlastný audit od nezávislého a akreditovaného audítora PKI v týchto prípadoch:
·pri prvom zriadení (úrovne súladu 1 a 2);
·pri každej zmene CP. CPA musí určiť obsah zmeny CP a harmonogram zavádzania, pričom náležite určí potreby auditov (vrátane potrebnej úrovne súladu);
·pri každej zmene svojich CPS (úrovne súladu 1, 2 a 3). Keďže riadiace entity koreňových CA, TLM a EA/AA rozhodujú, aké implementačné zmeny nasledujú po aktualizácii ich CPS, musia pred vykonaním daných zmien nariadiť audit súladu. V prípadoch len malých zmien CPS (napr. redakčných) môže riadiaci subjekt zaslať CPA riadne odôvodnenú žiadosť o schválenie s cieľom preskočiť úroveň 1, 2 alebo 3 auditov súladu;
·pravidelne a aspoň raz za tri roky počas fungovania (úroveň súladu 3).
8.3.Totožnosť/spôsobilosť audítora
(362)CA, ktorá má byť predmetom auditu, musí vybrať nezávislú a akreditovanú spoločnosť/organizáciu („audítorský orgán“) alebo akreditovaných audítorov PKI, aby vykonali audit v súlade s touto CP. Audítorský orgán musí byť akreditovaný a certifikovaný členom Európskej spolupráce pre akreditáciu.
8.4.Vzťah audítora k auditovanej entite
(363)Akreditovaný audítor PKI musí byť nezávislý od auditovanej entity.
8.5.Opatrenia prijaté v dôsledku nedostatkov
(364)Ak správa z auditu odhalí nedostatočný súlad TLM, CPA nariadi TLM, aby prijal okamžité preventívne/nápravné opatrenia.
(365)Ak koreňová CA, v prípade ktorej správa z auditu zistila nedostatočný súlad, podá novú žiadosť, CPA žiadosť zamietne a koreňovej CA zašle príslušné zamietnutie (tok 4). V takých prípadoch sa pozastaví činnosť koreňovej CA. Musí prijať nápravné opatrenia, znovu nariadiť audit a podať novú žiadosť o schválenie CPA. Koreňová CA nesmie počas pozastavenia činnosti vydávať certifikáty.
(366)Pri pravidelnom audite koreňovej CA alebo pri zmene CPS koreňovej CA a v závislosti od povahy nesúladu opísaného v správe z auditu sa CPA môže rozhodnúť zrušiť koreňovú CA a toto rozhodnutie oznámi TLM (tok 2), v dôsledku čoho sa vymaže certifikát koreňovej CA z ECTL a koreňová CA sa zaradí na CRL. CPA zašle príslušné zamietnutie koreňovej CA (tok 4). Koreňová CA musí prijať nápravné opatrenia, znovu nariadiť úplný audit (úrovne 1 až 3) a podať novú žiadosť o schválenie CPA. CPA sa prípadne môže rozhodnúť nezrušiť koreňovú CA, ale poskytnúť jej odklad, počas ktorého koreňová CA prijme nápravné opatrenia, znovu nariadi audit a opätovne predloží CPA správu z auditu. V takomto prípade sa musí pozastaviť činnosť koreňovej CA, pričom nesmie vydávať certifikáty ani CRL.
(367)V prípade auditu EA/AA sa koreňová CA rozhodne, či prijme danú správu alebo nie. V závislosti od výsledku auditu sa koreňová CA rozhodne, či zruší certifikát EA/AA v súlade s pravidlami CPS koreňovej CA. Koreňová CA musí vždy zaistiť súlad EA/AA s touto CP.
8.6.Oznamovanie výsledkov
(368)Koreňová CA a TLM zašlú CPA správu z auditu (tok 16). Koreňová CA a TLM musia uchovávať všetky správy z auditov, ktoré nariadili. CPA zašle koreňovej CA a TLM príslušné schválenie alebo zamietnutie (tok 4).
(369)Koreňová CA zašle certifikát zhody príslušnej EA/AA.
9.Iné ustanovenia
9.1.Poplatky
(370)Jednou zo zásad implementovaného modelu zabezpečenia dôveryhodnosti C-ITS EÚ je, že koreňové CA spoločne v plnej miere financujú pravidelné stále náklady na prevádzku CPA a centrálne prvky (TLM a CPOC) súvisiace s činnosťami stanovenými v tejto CP.
(371)Koreňové CA (vrátane koreňovej CA EÚ) sú oprávnené prijímať poplatky od svojich podriadených CA.
(372)Každý účastník modelu zabezpečenia dôveryhodnosti C-ITS má počas celého svojho obdobia prevádzky nediskriminačný prístup aspoň k jednej koreňovej CA, EA a AA.
(373)Každá koreňová CA je oprávnená preniesť poplatky, ktoré platí za CPA a centrálne prvky (TLM a CPOC), na registrovaných účastníkov modelu zabezpečenia dôveryhodnosti C-ITS, vrátane prihlásených a autorizovaných staníc C-ITS.
9.2.Finančná zodpovednosť
(374)Prvotné zriadenie koreňovej CA musí zahŕňať obdobie aspoň troch rokov prevádzky, aby sa mohla stať členom modelu zabezpečenia dôveryhodnosti C-ITS EÚ. CPS prevádzkovateľa koreňovej CA musia obsahovať aj podrobné ustanovenia o zrušení alebo zatvorení koreňovej CA.
(375)Každá koreňová CA musí preukázať finančnú životaschopnosť právnickej osoby, ktorú vykonáva najmenej tri roky. Plán finančnej životaschopnosti je súčasťou pôvodného súboru dokumentov na prihlasovanie a musí sa každé tri roky aktualizovať a oznámiť CPA.
(376)Každá koreňová CA musí každý rok prevádzkovému manažérovi a CPA nahlásiť štruktúru poplatkov, ktoré platia pre EA/AA a prihlásené a autorizované stanice C-ITS, aby preukázala svoju finančnú udržateľnosť.
(377)Všetky finančné a právne zodpovedné entity koreňovej CA, EA, AA a centrálnych prvkov (CPOC a TLM) modelu zabezpečenia dôveryhodnosti C-ITS musia mať svoje prevádzkové povinnosti kryté primeranými úrovňami poistenia, ktoré ich odškodní za prevádzkové chyby a poskytne finančné vyrovnanie za ich povinnosti, ak zlyhá jeden z technických prvkov.
9.3.Dôvernosť obchodných informácií
(378)Tieto údaje sa považujú za dôverné a súkromné:
·záznamy žiadostí koreňovej CA, EA, AA bez ohľadu na to, či boli schválené alebo zamietnuté;
·správy z auditu koreňovej CA, EA, AA a TLM;
·plány obnovy po havárii koreňovej CA, EA, AA, CPOC a TLM;
·súkromné kľúče prvkov modelu zabezpečenia dôveryhodnosti C-ITS (stanice C-ITS, TLM, EA, AA, koreňové CA);
·akékoľvek ďalšie informácie, ktoré CPA, koreňové CA, EA, AA, TLM a CPOC identifikovali ako dôverné.
9.4.Plán ochrany osobných údajov
(379)V CPS koreňových CA a EA/AA sa stanoví plán a požiadavky na zaobchádzanie s osobnými informáciami a ochrany súkromia na základe nariadenia GDPR a iných platných legislatívnych (napr. vnútroštátnych) rámcov.
10.Referenčné dokumenty
V tejto prílohe sa používajú tieto referenčné dokumenty.
|
[1]
|
ETSI TS 102 941 V1.2.1, Inteligentné dopravné systémy (ITS) – Bezpečnosť; Manažovanie dôvery a súkromia.
|
|
[2]
|
ETSI TS 102 940 V1.3.1, Inteligentné dopravné systémy (ITS) – Bezpečnosť; Architektúra bezpečnosti komunikácií ITS a spravovanie bezpečnosti.
|
|
[3]
|
Rámec pre certifikačné politiky a postupy (RFC 3647, 1999).
|
|
[4]
|
ETSI TS 102 042 V2.4.1 Požiadavky politiky na certifikačné autority, ktoré vystavujú certifikáty verejného kľúča. [ETSI TS 102 042 V2.4.1 Policy requirements for certification authorities issuing public key certificates]
|
|
[5]
|
ETSI TS 103 097 V1.3.1, Inteligentné dopravné systémy (ITS) – Bezpečnosť; Formáty bezpečnostných záhlaví a certifikátov.
|
|
[6]
|
Calder, A. (2006). Information security based on ISO 27001/ISO 1779: a management guide. Van Haren Publishing.
|
|
[7]
|
ISO, I., & Std, I. E. C. (2011). ISO 27005 (2011) – Informačné technológie. Bezpečnostné metódy. Riadenie rizík informačnej bezpečnosti. ISO.
|
|
|
|
