TRUNG TÂM CHỨNG THỰC SỐ CA2 QUY CHẾ VÀ CHÍNH SÁCH CHỨNG THƯ SỐ Phiên v1.1 CÔNG TY CỔ PHẦN CÔNG NGHỆ THẺ NACENCOMM Hà nội, ngày 01 tháng 10 năm 2010 I Tình trạng tài liệu: Bản qui chế sách chứng thư số cung cấp cho đối tượng sử dụng dịch vụ CA2 qua trang thông tin điện tử CA2 ( http://cavn.vn) tài liệu in giấy, việc phân phối tài liệu không bị giới hạn Sử dụng lại nội dung tài liệu phải đồng ý văn CA2 Ngay sau có giấy phép hoạt động, CA2 cập nhật thực công bố thức Bản quyền Bản quyền thuộc Công ty CP công nghệ thẻ Nacencomm Tóm tắt Tài liệu cung cấp nội dung sách qui chế chứng thực chữ ký số CA2 tuân theo chuẩn Khung quy chế chứng thực sách chứng thư RFC 3647 II GIỚI THIỆU - 1.1 Tổng quan - 1.2 Tên tài liệu nhận dạng 1.3 Các bên tham gia 1.4 Sử dụng Chứng thư số 1.5 Quản lý sách 1.5 Định nghĩa viết tắt - 1.5.1 Thuật ngữ, khái niệm 1.5.2 Từ viết tắt -11 TRÁCH NHIỆM CÔNG BỐ VÀ TRÁCH NHIỆM LƯU TRỮ 13 2.1 Công bố thông tin CA2 13 2.2 Tần suất công bố 13 2.3 Kiểm soát truy cập 14 2.4 Vị trí công bố 14 2.5 Thông tin thu hồi chứng thư số 14 NHẬN DẠNG VÀ XÁC THỰC -14 3.1 Tên -14 3.1.1.Các loại tên -14 3.1 Cần thiết cho tên trở nên có ý nghĩa 14 3.1 Quy định diễn giải mẫu tên khác -15 3.1.4 Tính tên (Uniqueness Of Names ) -15 3.1.5 Thủ tục yêu cầu giải tranh chấp khiếu nại tên -15 3.1 Tên sử dụng quyền 15 3.2 Xác minh thực thể ban đầu -16 3.2.1 Cách thức chứng minh sở hữu khóa riêng 16 3.2.2 Nhận dạng xác thực (I&A) tổ chức -16 III 3.2.3 Nhận dạng xác thực cá nhân đại diện -17 3.2.4 I&A chủ thể cá nhân 17 3.2.5 Các bên tin cậy ủy quyền (ARP) 21 3.2.6 Thiết bị điện tử 21 3.3 Nhận dạng xác thực yêu cầu tái cặp khóa -22 3.3.1 Cấp lại khóa -22 3.3.2 Sự phục hồi (gia hạn) chứng thư số 22 3.3.3 Cập nhật Chứng thư số VID 23 Cấp lại khóa, phục hồi cập nhật chứng thư số cá nhân ủy quyền đại diện -23 3.5 Cấp lại khóa sau bị thu hồi hết hạn 23 3.6 Nhận dạng xác thực yêu cầu thu hồi khóa -23 3.6.1 Trường hợp cần thu hồi 23 3.6.2 Những chủ thể yêu cầu thu hồi Chứng thư số VID 23 3.6.3 Thủ tục yêu cầu thu hồi chứng thư số VID -24 3.6.4 Thời gian CA xử lý yêu cầu thu hồi -24 3.6.5 Kiểm tra yêu cầu thu hồi RP -24 3.6.6 CRL 25 CÁC YÊU CẦU TRONG QUẢN LÝ VÒNG ĐỜI CỦA CHỨNG THƯ SỐ -25 4.1 Yêu cầu cấp Chứng thư số VID -25 4.1.1 Người yêu cầu cấp Chứng thư số VID 25 4.1.2 Quá trình xử lý cấp chứng thư số VID 25 4.1.3 Thời gian xử lý yêu cầu cấp chứng thư số VID 26 4.2 Thời hạn hiệu lực đơn xin cấp chứng thư số 26 4.3 Cấp phát chứng thư số 26 4.4 Chấp nhận Chứng thư số VID -26 IV 4.5 Thông báo việc cấp Chứng thư số VID đến tổ chức, cá nhân khác 27 4.6 Sử dụng Chứng thư số VID 27 4.7 Quá trình xử lý yêu cầu cho cấp phát khóa -27 4.7.1 Trường hợp yêu cầu cấp lại khóa -27 4.7.2 Những người yêu cầu khóa -27 4.7.3 Xử lý yêu cầu cấp khóa cho chứng thư số -27 4.7.4 Thông báo yêu cầu khóa cho Chứng thư số VID đến End Entity -27 4.8 Sửa đổi Chứng thư số VID -27 4.9 Thu hồi chứng thư số VID 28 4.9.1 Trường hợp thu hồi chứng thư số VID -28 4.9.2 Người yêu cầu thu hồi chứng thư số VID -29 9.3 Thủ tục yêu cầu thu hồi Chứng thư số VID 29 4.9.4 Thời gian xử lý thu hồi Chứng thư số VID 29 4.9.5 Yêu cầu kiểm tra chứng thư số thu hồi -30 4.10 Dịch vụ kiểm tra tình trạng Chứng thư số VID 30 4.10.1 Cách thức kiểm tra tình trạng Chứng thư số VID -30 4.10.2 Danh sách Chứng thư số VID bị thu hồi (CRL) -30 4.10.3 Kiểm tra trạng thái trực tuyến 31 4.10.4 Các mẫu khác việc công bố chứng thư số thu hồi 31 4.11 Hồi phục lại khóa riêng 31 TRANG THIẾT BỊ VÀ KIỂM SOÁT ĐIỀU KHIỂN 32 5.1 Kiểm soát vật lý -32 5.1.1 Vị trí cấu trúc khu vực -32 5.1.2 Truy cập mang tính vật lý -33 5.1.3 Điều hòa nhiệt độ nguồn điện -35 5.1.4 Hư hại nước -35 V 5.1.5 Phòng cháy chữa cháy -35 5.1.6 Lưu trữ phương tiện thông tin 36 5.1.7 Xử lý rác -36 1.8 Khu vực lưu bên -36 5.2 Kiểm soát thủ tục -36 5.2.1 Những người tin cậy (Trusted roles) 36 5.2.2 Số nhân viên yêu cầu cho nhiệm vụ -38 5.2.3 Nhận dạng xác thực vai trò 38 5.2.4 Vai trò đòi hỏi phân biệt trách nhiệm 38 5.3 Quản lý nhân viên 39 5.3.1 Yêu cầu minh bạch trình độ nhân viên 39 5.3.2 Thủ tục kiểm tra lực -39 5.3.3 Yêu cầu đào tạo -40 5.3.4 Nhu cầu tần suất đào tạo -40 5.3.5 Thứ tự tần suất luân phiên công việc -40 5.3.6 Quy định hành động trái phép -40 5.3.7 Yêu cầu nhân viên 40 5.3.8 Cung cấp đầy đủ tài liệu cho nhân viên -40 5.4 Thủ tục kiểm tra an toàn -40 5.4.1 Các loại kiện ghi lại 41 5.4.2 Tần xuất xử lý ghi -41 5.4.3 Duy trì định kỳ kiểm tra ghi -41 5.4.4 Bảo vệ ghi kiểm tra -42 5.4.5 Quy trình chép ghi kiểm tra 42 5.4.6 Hệ thống tập hợp kiểm tra (Bên bên ngoài) 42 5.4.7 Thông báo đối tượng gây kiện 42 5.4.8 Đánh giá mức độ ảnh hưởng 42 5.5 Lưu trữ ghi -42 5.5.1 Các loại kiện ghi lại 42 VI 5.5.2 Thời gian lưu trữ 44 5.5.3 Bảo vệ tài liệu lưu trữ 44 5.5.4 Thủ tục lưu liệu lưu trữ -44 5.5.5 Quy định xác định thời gian ghi 45 5.5.6 Hệ thông tập hợp liệu lưu trữ (Nội bên ngoài) -45 5.5.7 Thủ tục nhận xác thực thông tin lưu trữ -45 5.5.8 Bảo quản thông tin dài hạn 45 Thay đổi khóa 45 5.7 Phục hồi thiệt hại -46 5.7.1 Dữ liệu và/hoặc phần mềm máy tính bị hỏng 46 5.7.2 Thiết bị an ninh sau thảm họa tự nhiên thảm họa khác -46 5.7.3 Khóa công khai chủ thể bị thu hồi/hủy bỏ 47 5.7.4 Khóa riêng chủ thể bị tiết lộ -47 5.7.5 Tính toàn vẹn khóa công khai bị hạ thấp (downgraded) -48 5.8 Kết thúc CA -48 5.9 Dịch vụ chăm sóc khách hàng -49 KIỂM SOÁT TÍNH BẢO MẬT VỀ MẶT KỸ THUẬT 49 6.1 Tạo cài đặt cặp khóa -49 6.1.1 Quá trình tạo cặp khóa -49 6.1.2 Phân phối khóa riêng tới chủ thể cuối -49 6.1.3 Phân phối khóa công khai tới nhà phát hành chứng thư số -50 6.1.4 Phân phối khóa công khai đến người giữ chứng thư số -51 6.1.5 Độ lớn khóa (Key Sizes) 51 6.1.6 Tạo tham số cho khóa công khai -51 6.1.8 Phần cứng phần mềm tạo khóa 51 6.1.9 Mục đích sử dụng khóa (theo X.509 V3) -51 6.2 Bảo vệ khóa riêng CA -52 6.2.1 Tiêu chuẩn mô đun mã hóa 52 6.2.2 Kiểm soát khóa riêng nhiều người dùng 52 VII 6.2.3 Private Key Escrow 52 6.2.4 Sao lưu khóa riêng -52 6.2.5 Lưu trữ khóa riêng 52 6.2.6 Quá trình đưa Private key vào môđun mã hóa -52 6.2.7 Phương pháp kích hoạt khóa riêng 52 6.2.8 Phương pháp làm khóa riêng ngừng hoạt động 52 6.2.9 Phương pháp hủy bỏ khóa riêng 53 6.3 Các khía cạnh khác quản lý cặp khóa 53 6.3.1 Lưu trữ khóa công khai 53 6.3.2 Thời hạn hiệu lực -53 6.3.3 Giới hạn mục đích sử dụng khóa riêng CA -53 6.3.4 Thời hạn sử dụng khóa riêng khóa công khai -54 6.4 Kích hoạt liệu -54 6.4.1 Khởi tạo kích hoạt liệu cài đặt 54 6.4.2 Bảo vệ liệu kích hoạt -54 6.4.3 Các khía cạnh khác liệu kích hoạt 54 6.5 Kiểm soát mức độ an ninh máy tính 55 6.5.1 Yêu cầu chi tiết kỹ thuật mức độ an ninh máy tính -55 6.5.2 Mức độ an ninh máy tính -55 HỒ SƠ CHỨNG THƯ SỐ, CRL VÀ OCSP -56 7.1 Hồ sơ chứng thư số -56 7.1.1 Số phiên trường sở -56 7.1.2 Mở rộng chứng thư số -57 7.1.2 Ràng buộc tên -57 7.2 Hồ sơ CRL -57 TUÂN THỦ KIẾM TOÁN VÀ CÁC KIỂM ĐỊNH KHÁC 57 8.1 Tần suất thực kiểm toán 57 8.2 Khả người kiểm định 57 VIII 8.3 Mối quan hệ với tổ chức kiểm định -57 8.4 Mối quan hệ với tổ chức kiểm định -57 8.5 Các công việc đưa kết sai sót, thiếu hụt -58 CÁC NHIỆM VỤ KHÁC VÀ CÁC VẤN ĐỀ VỀ PHÁP LÝ 58 9.1.Phí 58 9.1.1 Phí cấp phát, gia hạn thu hồi chứng thư số 58 9.1.2 Phí truy cập chứng thư số -58 9.1.3 Phí truy cập thông tin trạng thái thu hồi (Dịch vụ xác minh hiệu lực chứng thư số) -58 9.1.4 Phí cho dịch vụ khác thông tin sách 58 9.1.5 Chính sách hoàn phí 58 9.2 Trách nhiệm tài -58 9.2.1 Bảo hiểm -58 9.2.2 Bồi thường chủ thể cuối RP 59 9.3 Bảo mật thông tin hoạt động CA2 59 9.4 Thông tin riêng tư cá nhân -60 9.5 Quyền sở hữu trí tuệ -60 9.5.1 Khóa riêng -60 9.5.2 Quyền sở hữu thông tin chứng thư số thông tin thu hồi chứng thư số 60 9.5.3 Quyền sở hữu CP/CPS 60 9.6 Đại diện đảm bảo 60 9.7 Từ chối bảo hành -61 9.8 Giới hạn trách nhiệm 61 9.9 Sự bồi thường -61 9.10 Hiệu lực chấm dứt 61 9.11 Thông báo cá nhân giao tiếp với bên tham gia -61 IX 9.12 Sự bổ sung 61 9.13 Thủ tục giải tranh chấp 61 9.14 Luật pháp chủ đạo 61 9.15 Phù hợp với luật áp dụng -62 9.16 Các quy định khác 62 X Trong trường hợp khóa ký riêng CA CA2 bị tiết lộ, CA phải thu hồi toàn chứng thư số phát hành có sử dụng khóa đưa thông báo thích hợp (xem mục 7.3 phần V) Sau làm rõ nguyên nhân dẫn tới việc tiết lộ này, CA2 có thể: i Phát hành cặp khóa ký CA ii Phát hành lại chứng thư số tới toàn chủ thể cuối bảo đảm CRL ARL sử dụng khóa ký 5.7.5 Tính toàn vẹn khóa công khai bị hạ thấp (downgraded) Trong trường hợp cần phải hạ thấp chứng thư số CA CA2, CA2 phải thông báo tới bên có liên quan bao gồm PMA, CA chứng thực chéo khác, toàn RA người giữ chứng thư số 5.8 Kết thúc CA Trong trường hợp CA2 ngừng hoạt động, toàn người giữ chứng thư số, Tổ chức bảo trợs, RA, CMA, phận lưu trữ ARP thông báo việc chấm dứt hoạt động Thêm vào đó, toàn CA có thỏa thuận chứng thực chéo với CA2 tạm dừng thông báo thời gian chấm dứt Toàn chứng thư số CA phát hành thu hồi theo CP không muộn thời gian tạm dừng Toàn chứng nhận dạng CA lưu trữ, toàn chứng thư số, liệu thời hạn sử dụng, thu hồi, phục hồi, sách áp dụng, hóa đơn liệu kiểm tra chuyển tới PMA (hoặc bên định) vòng 24 giời kể từ thời điểm CA ngừng hoạt động theo CP Dữ liệu chuyển không bao gồm liệu không liên quan tới CP Ngoài CA2 thực i Tiếp tục trì dịch vụ hỗ trợ khách hàng người đăng ký ii Duy trì dịch vụ thu hồi chứng thư số cấp phát CRL cần thiết iii Trả chi phí bồi thường cần thiết cho người giữ chứng thư số chưa hết thời hạn hiệu lực mà bị thu hồi theo điều khoản chấm dứt CA, 48 | P a g e CAVN, CP/CPS V1.1 phát hành chứng thư số thay thể CA hoạt động khác thừa kế iv Sắp xếp khóa riêng CA phần cứng Token bao gồm khóa riêng điều khoản cần thiết cho chuyển giao CA chấm dứt hoạt động CA thừa kế 5.9 Dịch vụ chăm sóc khách hàng CA2 thực trì trung tâm chăm sóc khách hàng để cung cấp hỗ trợ dịch vụ tới người giữ chứng thư số ARP Ngoài có hệ thống cho việc nhận, lưu trữ, phản hồi báo cáo vấn đề tổ chức tới PMA KIỂM SOÁT TÍNH BẢO MẬT VỀ MẶT KỸ THUẬT 6.1 Tạo cài đặt cặp khóa 6.1.1 Quá trình tạo cặp khóa Các cặp khóa sử dụng cho toàn dịch vụ cung cấp PKI chủ thể cuối phải tạo theo cách mà có người giữ khóa biết Một số cách thực hiện: i Yêu cầu tới tất người tham gia trình tạo khóa phải sử dụng hệ thống an toàn ii Những người tham gia trực tiếp không tiết lộ khóa riêng tới người khác iii Các khóa tạo phần cứng Token có khóa riêng bị lấy tiết lộ Như đề cập trên, toàn khóa nhà cung cấp dịch vụ PKI (không phận lưu trữ) phải sinh lưu trữ Tokens Cặp khóa cho phận lưu trữ chủ thể cuối sinh lưu trữ phần cứng phần mềm môđun mã hóa 6.1.2 Phân phối khóa riêng tới chủ thể cuối Trong hầu hết trường hợp, khóa riêng tạo trì phạm vi mã hóa mô đun mã hóa Nếu người giữ mô đun mã hóa tạo khóa không cần chuyển khóa riêng Nếu khóa không tạo 49 | P a g e CAVN, CP/CPS V1.1 người dự định giữ khóa, người tạo khóa mô đun mã hóa (như smart card) phải đảm bảo phân phối mô đun mã hóa cách bảo mật tới người giữ khóa Trách nhiệm lưu trữ giữ mô đun mã hóa phải trì đến khóa phân phối tới người giữ khóa Người nhận xác nhận việc nhận mô đun mã hóa đến CA RA Nếu chủ thể cuối tạo khóa khóa lưu trữ sử dụng ứng dụng tạo khóa phần cứng Token chủ thể cuối cùng, không cần thực bước Nếu khóa lấy để sử dụng ứng dụng địa điểm khác, cấu trúc bảo mật liệu phải thực Các file kết phải lưu trữ phương tiện lưu trữ băng từ chuyển tiếp điện tử 6.1.3 Phân phối khóa công khai tới nhà phát hành chứng thư số Các khóa công khai phải chuyển đến CA2 cách an toàn bảo mật thông điệp yêu cầu chứng thư số Quá trình phân phối thực phương tiện điện tử Các phương tiện bao gồm, không giới hạn, đĩa mềm (hoặc phương tiện lưu trữ khác), gửi qua mail đăng ký người đưa thư, phân phối Token đến CA cho tạo khóa vùng điểm cấp phát yêu cầu chứng thư số VID Các phương tiện offline bao gồm trình kiểm tra nhận dạng không bị hạn chế chứng minh quyền sở hữu khóa riêng tương ứng Bất kỳ phương tiện khác sử dụng cho việc phân phối khóa công khai quy định CPS thỏa thuận chứng thư số Trong trường hợp cặp khóa tạo CA2 đại diện cho chủ thể cuối cùng, CA thực chế an toàn để đảm bảo Token chứa cặp khóa phải gửi an toàn đến chủ thể cuối phù hợp, Token không kích hoạt trước chủ thể cuối phù hợp nhận 50 | P a g e CAVN, CP/CPS V1.1 6.1.4 Phân phối khóa công khai đến người giữ chứng thư số Khóa công khai tương ứng với khóa ký riêng CA CA2 phân phối đến chủ thể cuối giao dịch trực tuyến theo chế thích hợp 6.1.5 Độ lớn khóa (Key Sizes) Độ lớn nhỏ khóa 1024 bit kết hợp với độ dài 2048 bit sử dụng thuật toán RSA thuật toán khóa 6.1.6 Tạo tham số cho khóa công khai Không quy định 6.1.8 Phần cứng phần mềm tạo khóa Tất khóa cho CA RA phải tạo cách ngẫu nhiên HSM 6.1.9 Mục đích sử dụng khóa (theo X.509 V3) Các khóa sử dụng cho việc xác thực, chống chối bỏ tính toàn vẹn thông điệp Chúng sử dụng cho việc thành lập phiên khóa Khóa ký riêng CA cho phép sử dụng cho việc ký vào chứng thư số VID CRL Trường sử dụng khóa chứng thư số phải tuân theo chứng thư số X.509 hồ sơ CRL Một giá trị sau giá trị sử dụng khóa phải thể tất Chứng thư số VID: i Chữ ký số ii Chống chối bỏ Một giá trị phải thể chứng thư số CA ký chứng thư số i Khóa ký chứng thư số ii Ký CRL iii Sử dụng khóa đặc trưng xác định quy định chứng thư số X509 sử dụng khóa 51 | P a g e CAVN, CP/CPS V1.1 6.2 Bảo vệ khóa riêng CA 6.2.1 Tiêu chuẩn mô đun mã hóa CA2 sử dụng HSM đạt chuẩn FIPS PUB 140-2 Level cho Quản lý mật mã thiết bị phần cứng phục vụ khởi tạo khoá mật mã CA, sinh chữ ký CA, xác nhận, lưu trữ lưu / phục hồi khoá CA 6.2.2 Kiểm soát khóa riêng nhiều người dùng CA2 áp dụng xác thực nhiều lớp sử dụng thẻ thông minh (xác thực n thẻ / quyền) quản trị khởi động hệ thống mật mã 6.2.3 Private Key Escrow Không qui định 6.2.4 Sao lưu khóa riêng Một bên tham gia lựa chọn để lưu khóa riêng Nếu khóa phải lưu lưu trữ mức độ an ninh bảo vệ không thấp mức quy định 6.2.5 Lưu trữ khóa riêng Theo thoả thuận với chủ thể dùng cuối 6.2.6 Quá trình đưa Private key vào môđun mã hóa Áp dụng chế Smart card 6.2.7 Phương pháp kích hoạt khóa riêng Việc kích hoạt thực mã số PIN Khi không hoạt động, khóa riêng phải đặt môi trường mã hóa hoàn toàn 6.2.8 Phương pháp làm khóa riêng ngừng hoạt động Các môđun mã hóa không kích hoạt giám sát tự truy cập Sau sử dụng, chúng phải ngừng hoạt động, ví dụ sử dung thủ tục hướng dẫn thoát tay chương trình tự ngừng hoạt động sau khoảng thời gian Khi không sử dụng, phần cứng môđun mã hóa gỡ bỏ lưu trữ, trừ chúng hoàn toàn nằm sử kiểm soát chủ thể cuối 52 | P a g e CAVN, CP/CPS V1.1 6.2.9 Phương pháp hủy bỏ khóa riêng Các khóa riêng hủy bỏ chúng không cần thiết, chứng thư số tương ứng hết hạn bị thu hồi Đối với phần mềm môđun mã hóa, việc phá hủy thực cách ghi đè lên liệu Với Token, điều thực cách thực lệnh "zeroize" Sự phá hủy có tính chất vật lý không áp dụng 6.3 Các khía cạnh khác quản lý cặp khóa 6.3.1 Lưu trữ khóa công khai CA phải giữ lại toàn chứng thực khóa công khai 6.3.2 Thời hạn hiệu lực Toàn chứng thư số cá khóa tương ứng có thời hạn hiệu lực không vượt quá: i Khóa xác thực công khai CA2 chứng thư số – 20 năm ii Khóa ký riêng CA chứng thư số – năm iii Khóa công khai xác thực chủ thể cuối chứng thư số – 12 năm iv Khóa ký chủ thể cuối – năm Các chứng thư số khóa không phép sử dụng sau thời hạn hiệu lực trình bày phần 6.3.3 Giới hạn mục đích sử dụng khóa riêng CA Khóa riêng CA sử dụng để cấp phát chứng thư số VID sử dụng cho việc ký chứng thư số, lựa chọn dùng cho CRL phản hồi dịch vụ chấp nhận khác Một khóa riêng RA giữ, nếu: i Được coi khóa riêng CA ii Được nắm giữ RA ủy thác iii RA không sử dụng cho mục đích khác ngoại trừ thỏa thuận đặc biệt chấp nhận CA2 RA Thêm vào đó, mục đích liên quan tới chức RA, khóa riêng khác sử dụng RA không sử dụng cho phép CA2 Mỗi khóa riêng sử dụng RA kết hợp với 53 | P a g e CAVN, CP/CPS V1.1 chứng thư số phát hành sử dụng trình trao đổi liên quan đến việc chấp nhận thu hồi chứng thư số 6.3.4 Thời hạn sử dụng khóa riêng khóa công khai Thời hạn sử dụng khóa mô tả mục phần III 6.4 Kích hoạt liệu 6.4.1 Khởi tạo kích hoạt liệu cài đặt Một mật khẩu, PIN liệu kích hoạt khác sử dụng để bảo vệ truy cập đến khóa riêng Dữ liệu kích hoạt người dùng lựa chọn Nếu liệu kích hoạt phải chuyển tới người dùng cuối cùng, thực qua kênh bảo vệ thích hợp, phân biệt thời gian địa điểm từ môđun mã hóa liên kết Nếu điều không thực tay, người dùng cuối thông báo ngày gửi, phương pháp gửi dự kiến ngày nhận liệu kích hoạt Như phần phương pháp phân phối, người dùng cuối nên có hiểu biết việc nhận môđun mã hóa liệu kích hoạt Thêm người dùng cuối nên nhận (và có hiểu biết) thông tin việc sử dụng điều khiển môđun mã hóa Xem mục 1.2 phần VI 6.4.2 Bảo vệ liệu kích hoạt Dữ liệu kích hoạt nên ghi nhớ, không nên ghi Nếu ghi ngoài, phải đảm bảo mức an toàn liệu mà môđun mã hóa kết hợp sử dụng để bảo vệ không lưu trữ với môđun mã hóa Dữ liệu kích hoạt không chia sẻ 6.4.3 Các khía cạnh khác liệu kích hoạt Policy không quy định vòng đời liệu kích hoạt, nhiên nên thay đổi định kỳ để giảm khả bị tiết lộ CA xác định yêu cầu liệu kích hoạt CPS thỏa thuận chứng thư số 54 | P a g e CAVN, CP/CPS V1.1 6.5 Kiểm soát mức độ an ninh máy tính 6.5.1 Yêu cầu chi tiết kỹ thuật mức độ an ninh máy tính Tất máy chủ CA phải bao gồm chức sau cung cấp hệ điều hành thông qua kết hợp hệ điều hành, ứng dụng PKI, chế bảo vệ: i Kiểm soát truy cập tới dịch vụ CA vai trò PKI ii Thi hành phân công nhiệm vụ vai trò PKI iii Nhận dạng xác thực vai trò PKI nhận dạng liên quan iv Sử dụng lại đối tượng phân chia nhớ truy xuất ngẫu nhiên CA v Sử dụng mật mã cho phiên giao dịch an toàn sở liệu vi Lưu trữ trình hoạt động CA chủ thể cuối liệu kiểm tra vii Kiểm tra kiện liên quan đến an ninh bảo mật viii Tự kiểm tra tính bảo mật liên quan tới chức CA ix Phương thức nhận dạng đáng tin cậy vai trò PKI nhận dạng liên quan x Cơ chế khôi phục cho Key hệ thống CA xi Đảm bảo tính toàn vẹn giới hạn an ninh thực 6.5.2 Mức độ an ninh máy tính Thiết bị CA đáp ứng hoạt động cho mức độ C2 [TCSEC] E2/F-C2[ITSEC] tương đương Thiết bị CA hoạt động tương đương mức độ C2 có khả năng: i Tự động bảo vệ; ii Xử lý độc lập; iii Kiểm soát truy cập tùy ý; iv Kiểm soát đối tượng tái sử dụng; v I&A cá nhân; vi Bản ghi kiểm tra bảo vệ 55 | P a g e CAVN, CP/CPS V1.1 HỒ SƠ CHỨNG THƯ SỐ, CRL VÀ OCSP 7.1 Hồ sơ chứng thư số Chứng thư số VID chứa khóa công khai sử dụng cho việc xác thực người gửi thông điệp điện tử xác nhận toàn vẹn thông điệpví dụ, khóa công khai sử dụng cho việc xác thực chữ ký số Chứng thư số VID cấp phát theo chuẩn X509 phiên trừ sử dụng định dạng khác cần thiết để tạo điều kiện an toàn giao tiếp không dây thao tác với thiết bị sử dụng WAP (Giao thức ứng dụng không dây) công nghệ khác Mọi yêu cầu ARP CP sử dụng thực theo chuẩn chứng thư số Khi áp dụng, chứng thư số bao gồm tham chiếu đến OID cho loại chứng thư số xác định CP theo trường hợp thích hợp CPS tài liệu công khai khác nhận dạng phần hỗ trợ mở rộng chứng thư số chứng thư số mở rộng, mức hỗ trợ cho mở rộng 7.1.1 Số phiên trường sở CA2 cung cấp chứng thư số X509 phiên (1) Phiên Phiên X509 V.3 (2) Số sản xuất Một dãy số cho chứng thư số chứng thư số mở rộng xác định (3) Chữ ký Chữ ký CA2 dùng để để xác thực chứng thư số (4) Đơn vị cấp phát Tên CA2: Công ty CP Công nghệ thẻ – Nacencomm (5) Thời gian hiệu lực Ngày kích hoạt kết thúc sử dụng chứng thư số (6) Chủ thể Tên phân biệt chủ thể cuối 56 | P a g e CAVN, CP/CPS V1.1 (7) Thông tin khóa công khai chủ thể Khóa công khai chủ thể 7.1.2 Mở rộng chứng thư số Không có mở rộng chỉnh sửa làm tổn hại đến việc sử dụng trường sở X509 Thêm vào đó: 7.1.2 Ràng buộc tên Chủ thể tên cấp phát riêng biệt phải tuân theo chuẩn X.509 thể tất chứng thư số 7.2 Hồ sơ CRL Các CRL phát hành theo phiên X509 định dạng CPS tài liệu công khai khác nhận dạng phần hỗ trợ mở rộng chứng thư số chứng thư số mở rộng, mức hỗ trợ cho mở rộng Thuật toán SHA1 dùng để tạo CRL Các CRL CA2 ký công bố website www.CA2 Đường dẫn giao thức hỗ trợ: ftp://www.CA2 http://www.CA2 vn/certsrv/cenroll/certcrl.crl vn/certsrv/cenroll/certcrl.crl TUÂN THỦ KIẾM TOÁN VÀ CÁC KIỂM ĐỊNH KHÁC 8.1 Tần suất thực kiểm toán CA2 tuân thủ kiểm toán Ngoài CA2 thực tự đánh giá hoạt động CA2 /RA/SubCA năm lần 8.2 Khả người kiểm định Được qui định cụ thể thức cung cấp dịch vụ 8.3 Mối quan hệ với tổ chức kiểm định Được qui định cụ thể thức cung cấp dịch vụ 8.4 Mối quan hệ với tổ chức kiểm định Được qui định cụ thể thức cung cấp dịch vụ 57 | P a g e CAVN, CP/CPS V1.1 8.5 Các công việc đưa kết sai sót, thiếu hụt Được qui định cụ thể thức cung cấp dịch vụ CÁC NHIỆM VỤ KHÁC VÀ CÁC VẤN ĐỀ VỀ PHÁP LÝ 9.1.Phí Tất thông báo việc tính phí phải gửi tới người sử dụng RP 9.1.1 Phí cấp phát, gia hạn thu hồi chứng thư số CA2 thiết lập tính mức phí hợp lý cho việc phát hành chứng thư số cung cấp dịch vụ I&A, đăng ký phát hành chứng thư số tới chủ thể cuối tiềm 9.1.2 Phí truy cập chứng thư số CA2 thiết lập tính mức phí hợp lý cho dịch vụ cung cấp thông tin tình trạng chứng thư số 9.1.3 Phí truy cập thông tin trạng thái thu hồi (Dịch vụ xác minh hiệu lực chứng thư số) CA2 RA thiết lập tính mức phí hợp lý cho dịch vụ cung cấp thông tin thu hồi chứng thư số 9.1.4 Phí cho dịch vụ khác thông tin sách CA2 RA thiết lập tính mức phí hợp lý cho dịch vụ khác Tuy nhiên không tính mức phí cho việc truy cập để xem xét điều khoản sách CP 9.1.5 Chính sách hoàn phí Bất kỳ khoản phí cho việc xin cấp chứng thư số mà không phê chuẩn hoàn trả 9.2 Trách nhiệm tài 9.2.1 Bảo hiểm Được qui định cụ thể thức cung cấp dịch vụ 58 | P a g e CAVN, CP/CPS V1.1 9.2.2 Bồi thường chủ thể cuối RP (1) Bồi thường chủ thể cuối Trong phạm vi luật áp dụng, thỏa thuận chủ thể cuối thỏa thuận khác yêu cầu chủ thể cuối bồi thường cho CA2 cho tổ chức CA Nacencomm, RA trường hợp:  Chủ thể cuối xuyên tạc thật đơn đăng ký cấp chứng thư số  Chủ thể cuối vi phạm tiết lộ tài liệu đơn xin cấp chứng thư số, thông tin sai lệch bỏ sót cẩu thả hay cố ý để đánh lừa tổ chức  Chủ thể cuối thiếu sót việc bảo vệ khóa riêng, hành động cảnh báo cần thiết để chống lại việc tiết lộ, mát, sửa chữa sử dụng trái phép khóa riêng chủ thể cuối sử dụng tên chủ thể cuối (bao gồm, không giới hạn tên thường dùng, địa email) xâm phạm quyền sở hữu trí tuệ bên thứ ba (2) Bồi thường RP Trong phạm vi luật áp dụng, thỏa thuận RP thỏa thuận khác yêu cầu RP bồi thường cho CA2 cho tổ chức CA Nacencomm, RA  RP thiếu sót việc thực nghĩa vụ RP;  Sự tin tưởng RP vào chứng thư số không phù hợp số trường hợp;  RP thiếu sót việc kiểm tra tình trạng chứng thư số để xác định xem liệu chứng thư số hết hạn hay bị thu hồi hay chưa 9.3 Bảo mật thông tin hoạt động CA2 CA2 tập hợp tất thông tin thuê bao: tên đầy đủ, số điện thoại, chứng minh thư… Một số thông tin dùng để làm trường , tên cấp phát chứng thư số 59 | P a g e CAVN, CP/CPS V1.1 - Các thông tin ban hành chứng thư số CRL không coi bí mật - CA2 không thu thập thông tin bí mật ngoại trừ thông tin phục vụ cho CA/RA việc xác minh danh tính, nhận dạng cá nhân phục vụ cho việc cấp chứng thư số họ - CA2 đảm bảo thông tin cá nhân CA2 thu thập không dùng cho mục đích khác 9.4 Thông tin riêng tư cá nhân Các thông tin cá nhân thu thập để phục vụ cho việc đăng ký như: - Tên người đăng ký - Địa - Tên tổ chức - Vị trí - Điện thoại - mail - … Chúng đảm bảo không cung cấp thông tin cho bên thứ ba 9.5 Quyền sở hữu trí tuệ 9.5.1 Khóa riêng Khóa riêng xem tài sản riêng người giữ chứng thư số hợp pháp bao gồm khóa công khai tương ứng 9.5.2 Quyền sở hữu thông tin chứng thư số thông tin thu hồi chứng thư số CA2 có quyền sở hữu trí tuệ toàn thông tin chứng thư số thông tin thu hồi chứng thư số mà tổ chức phát hành 9.5.3 Quyền sở hữu CP/CPS CA2 có quyền sở hữu trí tuệ CP CPS tất tài liệu liên quan phát hành 9.6 Đại diện đảm bảo Được qui định cụ thể thức cung cấp dịch vụ 60 | P a g e CAVN, CP/CPS V1.1 9.7 Từ chối bảo hành Được qui định cụ thể thức cung cấp dịch vụ 9.8 Giới hạn trách nhiệm 9.9 Sự bồi thường Được qui định cụ thể thức cung cấp dịch vụ 9.10 Hiệu lực chấm dứt - CP/CPS có hiệu lực công nhận từ CA2 công nhận - Kết thúc CP/CPS trường hợp: o Hết hạn chứng thư số CA2 o Dịch vụ CA2 chấm dứt o Một phiên CP/CPS công nhận 9.11 Thông báo cá nhân giao tiếp với bên tham gia Được qui định cụ thể thức cung cấp dịch vụ 9.12 Sự bổ sung - Người dùng không thông báo trước thay đổi sách CA2 CP/CPS - Bất sửa đổi rõ CA2 chấp thuận CA2 – PMA - Các thay đổi nhỏ tài liệu sửa đổi mà không cần chấp thuận CA2 –PMA - Các thay đổi lớn thay đổi sách, thay đổi điều khiển kỹ thuật an toàn phải chấp thuận CA2 –PMA - OID gán cho thay đổi tài liệu - Mỗi lần thay đổi, thông báo email tới tất bên liên quan Tất thay đổi công bố kho lưu trữ CA2 9.13 Thủ tục giải tranh chấp Được qui định cụ thể thức cung cấp dịch vụ 9.14 Luật pháp chủ đạo Luật pháp Việt nam 61 | P a g e CAVN, CP/CPS V1.1 9.15 Phù hợp với luật áp dụng Được qui định cụ thể thức cung cấp dịch vụ 9.16 Các quy định khác Được qui định cụ thể thức cung cấp dịch vụ 62 | P a g e CAVN, CP/CPS V1.1