TRUNG TÂM CHỨNG THỰC SỐ CA2 QUY CHẾ VÀ CHÍNH SÁCH CHỨNG THƯ SỐ Phiên v1.1 CÔNG TY CỔ PHẦN CÔNG NGHỆ THẺ NACENCOMM Hà nội, ngày 01 tháng 10 năm 2010 CAVN, CP/CPS V1.1 Tình trạng tài liệu: Bản qui chế sách chứng thư số cung cấp cho đối tượng sử dụng dịch vụ CA2 qua trang thông tin điện tử CA2 ( http://cavn.vn) tài liệu in giấy, việc phân phối tài liệu không bị giới hạn Sử dụng lại nội dung tài liệu phải đồng ý văn CA2 Ngay sau có giấy phép hoạt động, CA2 cập nhật thực cơng bố thức Bản quyền Bản quyền thuộc Cơng ty CP cơng nghệ thẻ Nacencomm Tóm tắt Tài liệu cung cấp nội dung sách qui chế chứng thực chữ ký số CA2 tuân theo chuẩn Khung quy chế chứng thực sách chứng thư RFC 3647 CAVN, CP/CPS V1.1 GIỚI THIỆU .1 1.1 Tổng quan 1.2 Tên tài liệu nhận dạng 1.3 Các bên tham gia 1.4 Sử dụng Chứng thư số 1.5 Quản lý sách 1.5 Định nghĩa viết tắt .3 1.5.1 Thuật ngữ, khái niệm 1.5.2 Từ viết tắt 11 TRÁCH NHIỆM CÔNG BỐ VÀ TRÁCH NHIỆM LƯU TRỮ .12 2.1 Công bố thông tin CA2 12 2.2 Tần suất công bố 13 2.3 Kiểm soát truy cập .13 2.4 Vị trí cơng bố 14 2.5 Thông tin thu hồi chứng thư số 14 NHẬN DẠNG VÀ XÁC THỰC .14 3.1 Tên 14 3.1.1.Các loại tên 14 3.1 Cần thiết cho tên trở nên có ý nghĩa 14 3.1 Quy định diễn giải mẫu tên khác 15 3.1.4 Tính tên (Uniqueness Of Names ) 15 3.1.5 Thủ tục yêu cầu giải tranh chấp khiếu nại tên 15 3.1 Tên sử dụng quyền 15 3.2 Xác minh thực thể ban đầu 15 3.2.1 Cách thức chứng minh sở hữu khóa riêng 15 3.2.2 Nhận dạng xác thực (I&A) tổ chức 16 3.2.3 Nhận dạng xác thực cá nhân đại diện 17 3.2.4 I&A chủ thể cá nhân 17 3.2.5 Các bên tin cậy ủy quyền (ARP) 21 3.2.6 Thiết bị điện tử 21 CAVN, CP/CPS V1.1 3.3 Nhận dạng xác thực yêu cầu tái cặp khóa .22 3.3.1 Cấp lại khóa 22 3.3.2 Sự phục hồi (gia hạn) chứng thư số 22 3.3.3 Cập nhật Chứng thư số VID 22 Cấp lại khóa, phục hồi cập nhật chứng thư số cá nhân ủy quyền đại diện 23 3.5 Cấp lại khóa sau bị thu hồi hết hạn 23 3.6 Nhận dạng xác thực yêu cầu thu hồi khóa 23 3.6.1 Trường hợp cần thu hồi 23 3.6.2 Những chủ thể yêu cầu thu hồi Chứng thư số VID .23 3.6.3 Thủ tục yêu cầu thu hồi chứng thư số VID 24 3.6.4 Thời gian CA xử lý yêu cầu thu hồi 24 3.6.5 Kiểm tra yêu cầu thu hồi RP 24 3.6.6 CRL 25 CÁC YÊU CẦU TRONG QUẢN LÝ VÒNG ĐỜI CỦA CHỨNG THƯ SỐ 25 4.1 Yêu cầu cấp Chứng thư số VID 25 4.1.1 Người yêu cầu cấp Chứng thư số VID 25 4.1.2 Quá trình xử lý cấp chứng thư số VID 25 4.1.3 Thời gian xử lý yêu cầu cấp chứng thư số VID .25 4.2 Thời hạn hiệu lực đơn xin cấp chứng thư số 25 4.3 Cấp phát chứng thư số 26 4.4 Chấp nhận Chứng thư số VID .26 4.5 Thông báo việc cấp Chứng thư số VID đến tổ chức, cá nhân khác 26 4.6 Sử dụng Chứng thư số VID 26 4.7 Quá trình xử lý yêu cầu cho cấp phát khóa 27 4.7.1 Trường hợp yêu cầu cấp lại khóa 27 4.7.2 Những người yêu cầu khóa 27 4.7.3 Xử lý yêu cầu cấp khóa cho chứng thư số 27 4.7.4 Thơng báo u cầu khóa cho Chứng thư số VID đến End Entity 27 4.8 Sửa đổi Chứng thư số VID 27 4.9 Thu hồi chứng thư số VID 28 4.9.1 Trường hợp thu hồi chứng thư số VID 28 CAVN, CP/CPS V1.1 4.9.2 Người yêu cầu thu hồi chứng thư số VID 29 9.3 Thủ tục yêu cầu thu hồi Chứng thư số VID 29 4.9.4 Thời gian xử lý thu hồi Chứng thư số VID 29 4.9.5 Yêu cầu kiểm tra chứng thư số thu hồi 29 4.10 Dịch vụ kiểm tra tình trạng Chứng thư số VID 30 4.10.1 Cách thức kiểm tra tình trạng Chứng thư số VID 30 4.10.2 Danh sách Chứng thư số VID bị thu hồi (CRL) 30 4.10.3 Kiểm tra trạng thái trực tuyến 31 4.10.4 Các mẫu khác việc công bố chứng thư số thu hồi 31 4.11 Hồi phục lại khóa riêng .31 TRANG THIẾT BỊ VÀ KIỂM SOÁT ĐIỀU KHIỂN 31 5.1 Kiểm soát vật lý 31 5.1.1 Vị trí cấu trúc khu vực 32 5.1.2 Truy cập mang tính vật lý 33 5.1.3 Điều hòa nhiệt độ nguồn điện 35 5.1.4 Hư hại nước 35 5.1.5 Phòng cháy chữa cháy 35 5.1.6 Lưu trữ phương tiện thông tin 35 5.1.7 Xử lý rác 35 1.8 Khu vực lưu bên 36 5.2 Kiểm soát thủ tục 36 5.2.1 Những người tin cậy (Trusted roles) 36 5.2.2 Số nhân viên yêu cầu cho nhiệm vụ 38 5.2.3 Nhận dạng xác thực vai trò 38 5.2.4 Vai trò đòi hỏi phân biệt trách nhiệm 38 5.3 Quản lý nhân viên 39 5.3.1 Yêu cầu minh bạch trình độ nhân viên .39 5.3.2 Thủ tục kiểm tra lực 39 5.3.3 Yêu cầu đào tạo 39 5.3.4 Nhu cầu tần suất đào tạo 40 5.3.5 Thứ tự tần suất luân phiên công việc .40 5.3.6 Quy định hành động trái phép 40 5.3.7 Yêu cầu nhân viên 40 5.3.8 Cung cấp đầy đủ tài liệu cho nhân viên 40 5.4 Thủ tục kiểm tra an toàn 40 CAVN, CP/CPS V1.1 5.4.1 Các loại kiện ghi lại 40 5.4.2 Tần xuất xử lý ghi 41 5.4.3 Duy trì định kỳ kiểm tra ghi 41 5.4.4 Bảo vệ ghi kiểm tra 41 5.4.5 Quy trình chép ghi kiểm tra .42 5.4.6 Hệ thống tập hợp kiểm tra (Bên bên ngoài) 42 5.4.7 Thông báo đối tượng gây kiện 42 5.4.8 Đánh giá mức độ ảnh hưởng 42 5.5 Lưu trữ ghi 42 5.5.1 Các loại kiện ghi lại 42 5.5.2 Thời gian lưu trữ 44 5.5.3 Bảo vệ tài liệu lưu trữ 44 5.5.4 Thủ tục lưu liệu lưu trữ 44 5.5.5 Quy định xác định thời gian ghi .44 5.5.6 Hệ thông tập hợp liệu lưu trữ (Nội bên ngoài) 44 5.5.7 Thủ tục nhận xác thực thông tin lưu trữ 44 5.5.8 Bảo quản thông tin dài hạn 45 Thay đổi khóa 45 5.7 Phục hồi thiệt hại 45 5.7.1 Dữ liệu và/hoặc phần mềm máy tính bị hỏng .45 5.7.2 Thiết bị an ninh sau thảm họa tự nhiên thảm họa khác 46 5.7.3 Khóa cơng khai chủ thể bị thu hồi/hủy bỏ 46 5.7.4 Khóa riêng chủ thể bị tiết lộ 47 5.7.5 Tính tồn vẹn khóa cơng khai bị hạ thấp (downgraded) 48 5.8 Kết thúc CA 48 5.9 Dịch vụ chăm sóc khách hàng .49 KIỂM SỐT TÍNH BẢO MẬT VỀ MẶT KỸ THUẬT 49 6.1 Tạo cài đặt cặp khóa 49 6.1.1 Quá trình tạo cặp khóa 49 6.1.2 Phân phối khóa riêng tới chủ thể cuối 49 6.1.3 Phân phối khóa cơng khai tới nhà phát hành chứng thư số 50 6.1.4 Phân phối khóa công khai đến người giữ chứng thư số 50 6.1.5 Độ lớn khóa (Key Sizes) 51 6.1.6 Tạo tham số cho khóa cơng khai 51 6.1.8 Phần cứng phần mềm tạo khóa .51 CAVN, CP/CPS V1.1 6.1.9 Mục đích sử dụng khóa (theo X.509 V3) .51 6.2 Bảo vệ khóa riêng CA 51 6.2.1 Tiêu chuẩn mơ đun mã hóa 51 6.2.2 Kiểm sốt khóa riêng nhiều người dùng .52 6.2.3 Private Key Escrow 52 6.2.4 Sao lưu khóa riêng 52 6.2.5 Lưu trữ khóa riêng 52 6.2.6 Quá trình đưa Private key vào mơđun mã hóa 52 6.2.7 Phương pháp kích hoạt khóa riêng .52 6.2.8 Phương pháp làm khóa riêng ngừng hoạt động 52 6.2.9 Phương pháp hủy bỏ khóa riêng 52 6.3 Các khía cạnh khác quản lý cặp khóa .53 6.3.1 Lưu trữ khóa cơng khai 53 6.3.2 Thời hạn hiệu lực 53 6.3.3 Giới hạn mục đích sử dụng khóa riêng CA 53 6.3.4 Thời hạn sử dụng khóa riêng khóa cơng khai 53 6.4 Kích hoạt liệu 54 6.4.1 Khởi tạo kích hoạt liệu cài đặt .54 6.4.2 Bảo vệ liệu kích hoạt 54 6.4.3 Các khía cạnh khác liệu kích hoạt 54 6.5 Kiểm soát mức độ an ninh máy tính 54 6.5.1 Yêu cầu chi tiết kỹ thuật mức độ an ninh máy tính .54 6.5.2 Mức độ an ninh máy tính 55 HỒ SƠ CHỨNG THƯ SỐ, CRL VÀ OCSP .55 7.1 Hồ sơ chứng thư số 55 7.1.1 Số phiên trường sở 56 7.1.2 Mở rộng chứng thư số 56 7.1.2 Ràng buộc tên 56 7.2 Hồ sơ CRL .57 TUÂN THỦ KIẾM TOÁN VÀ CÁC KIỂM ĐỊNH KHÁC 57 8.1 Tần suất thực kiểm toán .57 8.2 Khả người kiểm định 57 8.3 Mối quan hệ với tổ chức kiểm định 57 CAVN, CP/CPS V1.1 8.4 Mối quan hệ với tổ chức kiểm định 57 8.5 Các công việc đưa kết sai sót, thiếu hụt .57 CÁC NHIỆM VỤ KHÁC VÀ CÁC VẤN ĐỀ VỀ PHÁP LÝ 57 9.1.Phí 57 9.1.1 Phí cấp phát, gia hạn thu hồi chứng thư số 58 9.1.2 Phí truy cập chứng thư số 58 9.1.3 Phí truy cập thơng tin trạng thái thu hồi (Dịch vụ xác minh hiệu lực chứng thư số) .58 9.1.4 Phí cho dịch vụ khác thơng tin sách 58 9.1.5 Chính sách hồn phí 58 9.2 Trách nhiệm tài 58 9.2.1 Bảo hiểm 58 9.2.2 Bồi thường chủ thể cuối RP .58 9.3 Bảo mật thông tin hoạt động CA2 .59 9.4 Thông tin riêng tư cá nhân 60 9.5 Quyền sở hữu trí tuệ 60 9.5.1 Khóa riêng 60 9.5.2 Quyền sở hữu thông tin chứng thư số thông tin thu hồi chứng thư số 60 9.5.3 Quyền sở hữu CP/CPS 60 9.6 Đại diện đảm bảo .60 9.7 Từ chối bảo hành 60 9.8 Giới hạn trách nhiệm 60 9.9 Sự bồi thường 60 9.10 Hiệu lực chấm dứt 60 9.11 Thông báo cá nhân giao tiếp với bên tham gia 61 9.12 Sự bổ sung 61 9.13 Thủ tục giải tranh chấp .61 9.14 Luật pháp chủ đạo 61 9.15 Phù hợp với luật áp dụng 61 9.16 Các quy định khác 61 CAVN, CP/CPS V1.1 CAVN, CP/CPS V1.1 GIỚI THIỆU 1.1 Tổng quan - Tài liệu cấu trúc theo chuẩn RFC 3647 Không phải tất phần RFC 3647 sử dụng Tài liệu mô tả tập hợp quy định thủ tục thiết lập CA2 hoạt động dịch vụ PKI 1.2 Tên tài liệu nhận dạng - Tên tài liệu: Quy chế sách chứng thư số CA2 Phiên bản: v1.1 Ngày tạo: 22/7/2009 OID: 1.3 Các bên tham gia Các bên tham gia vào hạ tầng khóa công khai CA2 (Publick Key Infrastructure - PKI) bao gồm: Tổ chức chứng thực chữ ký số công cộng CA2; CA2 -RA, Chủ thể sử dụng cuối (End Entities) gồm có (a) Chủ sở hữu/giữ chứng thư số (Certificate Holders) (b) Bên tin tưởng (Relying Parties - RP) - Certificate Authority CA2 hoạt động theo điều khoản quy định CP/CPS Mỗi hoạt động xác định CA2 làm rõ quy định họat động chứng thư số CPS CPS CA2 công bố công khai CA2 tổ chức cấp phát xác thực loại chứng thư số VID cho đối tượng cá nhân, chứng thư số tổ chức, chứng thư số máy chủ web - Cơ quan đăng ký RA CA2 trực tiếp quản lý chức RA CA2 trao quyền CA2 có trách nhiệm với tất chứng nhận mà CA2 cấp phát Tuy nhiên, sách này, CA2 ủy quyền đăng ký chức I&A (Nhận dạng xác thực) cho tổ chức Tổ chức thực đầy đủ chứng RA phù hợp với CP/CPS này, đồng thời tiếp nhận đơn xin cấp chứng thư số VID xác thực thông tin đưa vào chứng thư số Một 1|Page C AV N , C P / C P S V ... thực trước cấp chứng thư số, CP quy định khác công nhận quy? ??n sử dụng chứng thư số CP (Certificate Policy): Quy định chứng thư số tổ chức chứng thực số CA2 Danh sách thu hồi chứng thư số (Certificate... dựa cặp khóa cũ chứng thư số cũ 3.3.2 Sự phục hồi (gia hạn) chứng thư số Phục hồi chứng thư số có nghĩa tạo chứng thư số VID với tên, khóa cơng khai, chứng thực giống chứng thư số cũ, nhiên thời... tồn 2.3 Kiểm sốt truy cập CA2 khơng áp đặt kiểm sốt truy cập trong: (i) Chính sách này; (2) Chứng thư số CA CA2; (3) Phiên CPS cũ phiên CA2 CA2 áp đặt kiểm sốt truy cập vào chứng thư số VID thông