1. Trang chủ
  2. Thể loại khác

DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐCÔNG CỘNG FPT-CA

82 21 0
DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐCÔNG CỘNG FPT-CA

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

CÔNG TY CỔ PHẦN HỆ THỐNG THÔNG TIN FPT DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNG FPT-CA ***** Certificate Practices Statement (CPS) Hà nội, tháng năm 2010 Dịch vụ chứng thực chữ ký số công cộng FPT-CA MỤC LỤC KHÁI QUÁT CHUNG 12 1.1 Giới thiệu .12 1.2 Các loại chứng thư dịch vụ FPT-CA 13 1.3 Quy trình hoạt động FPT-CA 13 1.4 1.3.1 Định nghĩa 13 1.3.2 Quy trình hoạt động 15 1.3.3 Các yêu cầu chứng thư số .17 Chính sách quản trị .17 1.4.1 Tổ chức quản lý văn 17 1.4.2 Liên hệ 17 1.4.3 Tổ chức xác định CPS phù hợp với sách 17 1.4.4 Thủ tục phê chuẩn CPS .18 CÔNG BỐ VÀ LƯU TRỮ 19 2.1 Công bố thông tin chứng thư .19 2.2 Lưu trữ 19 2.3 Chu kỳ phát hành thông tin chứng thư .20 2.4 Quyền truy cập kho lưu trữ chứng thư 20 NHẬN DẠNG VÀ XÁC THỰC 22 3.1 3.2 3.3 Đặt tên 22 3.1.1 Kiểu tên 22 3.1.2 Tính tên thuê bao 22 3.1.3 Nhận dạng, xác thực vai trò thương hiệu .22 Xác định danh tính thuê bao 23 3.2.1 Xác thực danh tính cá nhân 23 3.2.2 Xác thực danh tính tổ chức, doanh nghiệp .23 3.2.3 Chứng minh quyền sở hữu khóa bí mật 24 3.2.4 Những thông tin thuê bao không xác thực 24 3.2.5 Các tiêu chí hoạt động 24 Nhận diện xác thực yêu cầu cấp lại khóa (Re-key) 24 3.3.1 3.3.2 (Renewal) 3.4 Quy trình nhận diện xác thực thủ tục cấp lại khoá (Re-key) .24 Nhận diện xác thực việc cấp lại khoá sau bị thu hồi 24 Nhận diện xác thực với yêu cầu thu hồi chứng thư .25 Dịch vụ chứng thực chữ ký số công cộng FPT-CA CHU KỲ HOẠT ĐỘNG CỦA CHỨNG THƯ SỐ 26 4.1 4.2 4.3 4.4 4.5 Đơn xin cấp chứng thư 26 4.1.1 Các đối tượng xin cấp chứng thư 26 4.1.2 Tiến trình xử lý trách nhiệm thuê bao chứng thư 26 Xứ lý đơn xin cấp chứng thư .26 4.2.1 Chức nhận biết xác thực .26 4.2.2 Phê duyệt từ chối đơn xin cấp chứng thư 26 4.2.3 Thời gian xử lý đơn xin cấp chứng thư .27 Công bố chứng thư .27 4.3.1 Hoạt động FPT suốt trình phát hành chứng thư 27 4.3.2 Thông báo FPT đến thuê bao việc cấp chứng thư 27 Chấp nhận chứng thư 27 4.4.1 Điều kiện chứng minh việc chấp thuận chứng thư 27 4.4.2 Công khai chứng thư FPT 27 4.4.3 Thông báo phát hành chứng thư đến đối tượng khác 27 Cách sử dụng cặp khoá chứng thư 28 4.5.1 Cách sử dụng chứng thư khoá bí mật thuê bao .28 4.5.2 cậy Cách sử dụng chứng thư khố cơng khai đối tác tin 28 4.6 Khôi phục chứng thư 29 4.6.1 Trường hợp cần khôi phục chứng thư 29 4.6.2 Đối tượng yêu cầu khôi phục chứng thư 29 4.6.3 Quy trình xử lý u cầu khơi phục chứng thư 29 4.6.4 Thông báo việc cấp chứng thư tới khách hàng .29 4.6.5 Điền kiện chấp nhận khôi phục chứng thư 29 4.6.6 FPT công bố chứng thư khôi phục 29 4.6.7 Thông báo việc cấp chứng thư FPT đến đối tượng khác 30 4.7 Khơi phục khố chứng thư 30 4.7.1 Trường hợp khơi phục khố chứng thư .30 4.7.2 Đối tuợng yêu cầu khôi phục khoá chứng thư 30 4.7.3 Xử lý u cầu khơi phục khố cho chứng thư .30 4.7.4 Thông báo phát hành chứng thư tới thuê bao 30 4.7.5 Thông báo chấp nhận khơi phục khố chứng thư .30 4.7.6 Việc phát hành chứng thư khôi phục khoá FPT .30 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 4.8 4.9 4.7.7 Thông báo cấp chứng thư FPT tới đối tượng khác 31 4.7.8 Quy trình kiểm tra chứng thư số hợp lệ 31 Sửa đổi chứng thư 31 4.8.1 Các trường hợp sửa đổi chứng thư 31 4.8.2 Đối tượng yêu cầu sửa đổi chứng thư .32 4.8.3 Quá trình xử lý yêu cầu sửa đổi chứng thư .32 4.8.4 Điều kiện chấp nhận sửa đổi thuê bao 32 4.8.5 Việc phát hành chứng thư sửa đổi từ FPT 32 4.8.6 Thông báo phát hành chứng thư FPT tới đối tượng khác 32 Thu hồi tạm dừng chứng thư 32 4.9.1 Các trường hợp thu hồi .32 4.9.2 Đối tượng yêu cầu thu hồi 33 4.9.3 Thủ tục yêu cầu thu hồi chứng thư 33 4.9.4 Thời gian cho yêu cầu thu hồi chứng thư 34 4.9.5 Chu kỳ cấp phát CRL 34 4.9.6 Thời gian trễ tối đa cho CRL .34 4.9.7 Dịch vụ kiểm tra trạng thái chứng thư số trực tuyến OCSP .34 4.9.8 Những yêu cầu đặc biệt liên quan đến vấn đề bị lộ khoá 35 4.10 Dịch vụ kiểm tra trạng thái chứng thư số 35 4.10.1 Dịch vụ hỗ trợ 35 4.10.2 Các đặc tính tuỳ chọn .35 4.11 Kết thúc hợp đồng 35 4.12 Cam kết khơi phục khố 35 4.12.1 Cam kết nghĩa vụ thuê bao đăng ký chứng thư số 35 4.12.2 Lưu trữ khố, sách khơi phục khố cách thức thực 36 KIỂM SỐT BẢO MẬT HỆ THỐNG FPT-CA 38 5.1 Tạo cặp khoá cài đặt 38 5.1.1 Tạo cặp khoá 38 5.1.2 Chuyển giao khố bí mật cho thuê bao 38 5.1.3 Chuyển giao khố cơng khai tới tổ chức ban hành chứng thư 38 5.1.4 Chuyển giao khố cơng khai CA tới đối tác tin cậy 39 5.1.5 Kích thước khoá 39 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 5.1.6 5.2 Tạo tham số cho khố cơng khai kiểm tra chất lượng 39 Bảo vệ khố bí mật kiểm sốt phương thức mã hoá .39 5.2.1 Kiểm soát chuẩn hố mơ đun mã hố 39 5.2.2 Đa kiểm sốt khố bí mật (m out of n) .40 5.2.3 Sao lưu dự phịng khố bí mật 40 5.2.4 Lưu trữ khố bí mật 40 5.2.5 mã hố Cách thức khố bí mật chuyển đến từ mô đun 40 5.2.6 Cách thức lưu trữ khố bí mật mơ đun mã hố 41 5.2.7 Mơ đun mã hố RA .41 5.2.8 Sử dụng khố bí mật th bao 41 5.2.9 Huỷ khóa bí mật .41 5.3 Một số vấn đề khác việc quản lý cặp khoá 42 5.3.1 5.4 Thời gian hoạt động chứng thư cặp khoá 42 Dữ liệu kích hoạt 43 5.4.1 Q trình tạo cài đặt liệu kích hoạt 43 5.4.2 Bảo vệ liệu kích hoạt 43 5.4.3 Các vấn đề khác liệu kích hoạt 44 5.5 Kiểm soát bảo mật máy tính 44 5.6 Kiểm soát chu kỳ kỹ thuật 45 5.6.1 5.7 Kiểm soát vấn đề quản lý bảo mật 45 Bảo mật mạng cho hệ thống FPT-CA 45 PHƯƠNG TIỆN, VẤN ĐỀ QUẢN LÝ VÀ ĐIỀU HÀNH HOẠT ĐỘNG 47 6.1 6.2 Kiểm soát bảo mật mức vật lý .47 6.1.1 Cấu trúc khoanh vùng 47 6.1.2 Truy cập vật lý 47 6.1.3 Điều kiện khơng khí, nguồn điện, phịng tránh thảm họa 48 6.1.4 Phương tiện lưu trữ 48 6.1.5 Bảo mật thông tin tiêu huỷ rác .48 6.1.6 Dự phòng từ xa 48 Các kiểm soát thủ tục 49 6.2.1 Các thành viên trực thuộc tổ chức 49 6.2.2 Số lượng thành viên cho công việc 49 6.2.3 Nhận dạng xác thực cho thành viên 50 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 6.2.4 6.3 6.4 6.5 Phân chia trách nhiệm 50 Kiểm soát nhân 51 6.3.1 Quy trình kiểm tra lai lịch 51 6.3.2 Yêu cầu đào tạo 52 6.3.3 Kỷ luật hoạt động không hợp pháp 52 6.3.4 Yêu cầu nhà thầu độc lập 52 6.3.5 Cung cấp tài liệu cho nhân viên 52 Kiểm tra truy cập 53 6.4.1 Các loại ghi kiện 53 6.4.2 Xử lý ghi kiện 53 6.4.3 Thời gian trì lưu trữ cho ghi kiểm định 54 6.4.4 Bảo vệ ghi kiểm định 54 6.4.5 Thủ tục lưu dự phòng cho bảng ghi kiểm định .54 6.4.6 Đánh giá điểm yếu 54 Lưu trữ ghi 54 6.5.1 Những kiểu ghi lưu trữ cho dịch vụ FPT-CA: .54 6.5.2 Thời gian trì tài liệu lưu trữ 54 6.5.3 Bảo mật tài liệu lưu trữ .54 6.5.4 Thủ tục lưu dự phòng liệu .55 6.5.5 Yêu cầu thời gian cho liệu 55 6.5.6 Hệ thống thu nhập liệu lưu trữ 55 6.5.7 Thủ tục thu nhập kiểm tra thông tin lưu trữ 55 6.6 Thay đổi khóa 55 6.7 Thoả thuận khôi phục sau thảm họa 56 6.7.1 Các thủ tục xử lý vấn đề lộ khoá cố 56 6.7.2 liệu Hành vi tiêu cực tài nguyên máy tính, phần mềm 56 6.7.3 Lộ khố bí mật CA 56 6.7.4 Khả trì liên tục kinh doanh sau thảm hoạ 56 6.8 Kết thúc hoạt động CA hay RA .57 KHUÔN DẠNG CỦA CHỨNG THƯ, CRT, VÀ OCSP 59 7.1 Khuôn dạng chứng thư 59 7.1.1 Phiên 59 7.1.2 Phần mở rộng chứng thư 60 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 7.2 7.1.3 Thuật toán nhận biết dối tượng 61 7.1.4 Cấu trúc tên 61 7.1.5 Ràng buộc tên 62 7.1.6 Chính sách nhận biết đối tượng 62 7.1.7 Cách dùng mở rộng sách ràng buộc 62 7.1.8 Chính sách hạn định cấu trúc ngữ nghĩa 62 Khuôn dạng danh sách thu hồi chứng thư CRL 62 KIỂM ĐỊNH TÍNH TUÂN THỦ VÀ CÁC ĐÁNH GIÁ KHÁC 64 8.1 Tần suất trường hợp đánh giá 64 8.2 Danh tính khả người kiểm tốn .64 8.3 Mối quan hệ kiểm toán viên thực thể kiểm toán .65 8.4 Những đối tượng trình đánh giá 65 8.5 Giải kết bị đánh giá thiếu sót 65 8.6 Thông báo kết 66 CÁC VẤN ĐỀ THƯƠNG MẠI VÀ PHÁP LÝ KHÁC 67 9.1 Lệ phí .67 9.1.1 Lệ phí cấp Chứng thư gia hạn Chứng thư 67 9.1.2 Lệ phí sử dụng Chứng thư 67 9.1.3 Phí truy cập thơng tin trạng thái chứng thư việc thu hồi chứng thư 67 9.2 9.3 9.1.4 Lệ phí sử dụng cho dịch vụ khác 67 9.1.5 Chính sách hồn trả phí 67 Trách nhiệm tài 67 9.2.1 Bảo hiểm 67 9.2.2 Các tài sản khác .68 9.2.3 Thông tin bảo đảm mở rộng .68 Tính bảo mật thơng tin kinh doanh 69 9.3.1 Phạm vi thông tin cần bảo mật 69 9.3.2 mật Thông tin không nằm phạm vi q trình đảm bảo tính 69 9.3.3 Trách nhiệm bảo vệ thông tin mật 69 9.4 Tính bí mật thông tin cá nhân .69 9.4.1 Kế hoạch đảm bảo tính riêng tư 69 9.4.2 Thông tin riêng tư .70 9.4.3 Thông tin không riêng tư 70 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 9.4.4 Trách nhiệm bảo vệ thông tin riêng tư 70 9.4.5 Thông báo cho phép sử dụng thông tin mật 70 9.4.6 Cung cấp thông tin mật theo yêu cầu luật pháp hay cho trình quản trị 70 9.4.7 9.5 9.6 9.7 9.8 9.9 Những trường hợp làm lộ thông tin khác 70 Quyền sở hữu trí tuệ 70 9.5.1 Quyền sở hữu chứng thư thông tin thu hồi chứng thư 70 9.5.2 Quyền sở hữu CPS 71 9.5.3 Quyền sở hữu tên .71 9.5.4 Quyền sở hữu khoá tài liệu khoá .71 Vấn đề đại diện bảo lãnh 71 9.6.1 Đại diện CA vấn đề bảo lãnh 71 9.6.2 Đại diện RA vấn đề bảo lãnh 71 9.6.3 Đại diện khách hàng bảo lãnh 72 9.6.4 Đại diện cho đối tác tin cậy vấn đề bảo lãnh 72 Vấn đề bồi thường 72 9.7.1 Vấn đề bồi thường khách hàng 72 9.7.2 Vấn đề bồi thường đối tác tin cậy 73 Thời hạn kết thúc .73 9.8.1 Thời hạn 73 9.8.2 Sự kết thúc 73 9.8.3 Ảnh hưởng kết thúc tồn 73 Thông báo riêng thỏa thuận bên 73 9.10 Sự sửa đổi 74 9.10.1 Các thủ tục sửa đổi 74 9.10.2 Các trường hợp cần sửa đổi nhận diện đối tượng (OID) 74 9.10.3 Cách thức thời hạn thông báo .74 9.11 Thủ tục tranh chấp .75 9.11.1 Thủ tục tranh chấp FPT, cộng tác thuê bao 75 9.11.2 Thủ tục tranh chấp thuê bao đối tác tin cậy 75 9.12 Luật quản trị 75 9.13 Sự tuân thủ luật 75 9.13.1 Trách nhiệm 75 9.13.2 Tính độc lập điều khoản .75 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 9.13.3 Sự thực thi (quyền ủy nhiệm quyền khước từ) .76 9.13.4 Chính sách bắt buộc thực thi 76 10 Tổng kết 77 10.1 Nhiệm vụ, vai trò, trách nhiệm hệ thống FPT-CA .77 10.1.1 Định nghĩa 77 10.1.2 Quy trình hoạt động 77 10.1.3 Kết thúc RA, CA 77 10.1.4 Lệ phí, bảo lãnh, trách nhiệm tài bồi thường 77 10.2 Nhiệm vụ, vai trò trách nhiệm thuê bao 77 10.2.1 Định nghĩa 77 10.2.2 Nhận dạng xác thực .77 10.2.3 Cam kết nghĩa vụ thuê bao 77 10.2.4 Lệ phí bồi thường 77 10.3 Chứng thư số hệ thống FPT-CA 77 10.3.1 Lưu trữ công bố chứng thư số 77 10.3.2 Chu kỳ hoạt động chứng thư số 77 10.3.3 Khuôn dạng chứng thư số 77 10.3.4 Lệ phí 78 10.4 Bảo mật hệ thống FPT-CA 78 10.4.1 Bảo mật kỹ thuật 78 10.4.2 Bảo mật vật lý, người 78 10.4.3 Bảo mật quy trình, kiểm định tính tuân thủ 78 11 Phụ lục 79 11.1 Chi tiết loại chứng thư số hệ thống FPT-CA cung cấp 79 11.1.1 Chứng thư số dành cho khách hàng cá nhân 79 11.1.2 Chứng thư số cho khách hàng doanh nghiệp (Enterprise Certificate) 79 11.1.3 Chứng thư số Code Signing 80 11.1.4 Chứng thư số SSL cho web server (FPT-CA SSL Server) 80 11.1.5 Chứng thư số hệ thống bảo mật Managed PKI .82 11.2 Cấu trúc tổng quát thông điệp hệ thống FPT-CA .82 Dịch vụ chứng thực chữ ký số công cộng FPT-CA KHÁI QUÁT CHUNG 1.1 Giới thiệu FPT-CA sở hạ tầng khóa cơng khai (PKI) trực thuộc Tổ chức chung cấp dịch vụ chứng thư chữ ký số quốc gia (ROOTCA) Bộ thông tin Truyền thơng nước Cộng Hịa Xã hội Chủ Nghĩa Việt Nam Việc lựa chọn xây dựng hệ thống chứng thực chữ ký số cơng cộng có chứng nhận ROOT CA giúp FPT có đủ thẩm quyền cấp chứng thư số cho quan nhà nước, tổ chức, doanh nghiệp, cá nhân có yêu cầu xin cấp sử dụng chứng thư số FPT-CA FPT-CA tên gọi dịch vụ chứng thư chữ ký số công cộng công ty FPT cung cấp Các quy định quy chế chứng thực (CPS) dịch FPT-CA trình bày tài liệu này, gồm có: phát hành, quản lý, thu hồi cấp lại chứng thư cho thuê bao Bản CPS sách quan trọng trình cung cấp dịch vụ chứng thư chữ ký số công cộng CPS cung cấp nội dung yêu cầu kinh doanh, luật pháp, kỹ thuật cho trình chấp nhận, cấp phát, quản lý, thu hồi cấp lại chứng thư số Các yêu cầu CPS gọi “chuẩn FPT-CA”, có nhiệm vụ cung cấp tính bảo mật tồn vẹn cho dịch vụ FPT-CA, áp dụng cho tất thành phần tham gia dịch vụ chứng thực chữ ký số FPT-CA Các thành phần tham gia dịch vụ FPT-CA phải tuân thủ yêu cầu đề CPS FPT PKI thực thuộc RootCA Bộ Thơng tin Truyền Thơng nước Cộng Hịa Xã hội Chủ Nghĩa Việt Nam CPS phải chịu quản lý luật pháp Việt Nam tuân theo sách, quy chế, văn thủ tục ban hành RootCA Việt Nam đơn vị chức có liên quan khác Bản CPS dịch vụ FPT-CA xây dựng tuân theo khuyến nghị RFC 3647 (Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework) Với mạnh hạ tầng cơng nghệ thơng tin mình, đề án xây dựng hệ thống chứng thực chữ ký số công ty Hệ thống thông tin FPT hướng tới mục tiêu sau:  Xây dựng dịch vụ chứng thực chữ ký số tin cậy toàn lãnh thổ Việt Nam 10 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 9.4.4 Trách nhiệm bảo vệ thông tin riêng tư Những người tham gia vào dịch vụ FPT-CA nhận thơng tin mật phải đảm bảo tính mật cho thông tin không bị tiết lộ với bên thứ phải tuân theo luật riêng tư phạm vi quyền hạn 9.4.5 Thơng báo cho phép sử dụng thông tin mật Theo luật riêng tư hay theo thoả thuận, thông tin riêng tư khơng sử dụng mà khơng có cho phép người sở hữu thông tin Phần tuân theo luật riêng tư 9.4.6 Cung cấp thông tin mật theo yêu cầu luật pháp hay cho trình quản trị FPT phép công bố thông tin mật/riêng tư nếu:  Quá trình cơng bố cần thiết có u cầu tồ án tìm kiếm thơng tin xác nhận  Q trình cơng bố cần thiết đáp ứng u cầu tồ án, q trình quản trị hay trình liên quan đến luật pháp, hoạt động quản lý thẩm vấn án, yêu cầu xác nhận, yêu cầu cho trình tạo tài liệu 9.4.7 Những trường hợp làm lộ thông tin khác Những sách riêng tư bao gồm điều khoản liên quan đến việc tiết lộ thơng tin bí mật/riêng 9.5 Quyền sở hữu trí tuệ 9.5.1 Quyền sở hữu chứng thư thông tin thu hồi chứng thư CA có tất quyền sở hữu liên quan đến chứng thư thông tin thu hồi chứng thư mà họ ban hành FPT khách hàng cho phép tái tạo phân phối chứng thư mà khơng cần trả phí, với điều kiện chúng tái tạo toàn sử dụng chứng thư tuân theo thoả thuận với đối tác tin cậy FPT khách hàng cho phép đối tác tin cậy sử dụng thông tin thu hồi để thực chức tuân theo thoả thuận sử dụng CRL, thoả thuận với đối tác tin cậy hay thoả thuận thích hợp khác 9.5.2 Quyền sở hữu CPS Các bên liên quan dịch vụ FPT-CA chấp nhận FPT có quyền sở hữu CPS điều khoản ghi CPS 68 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 9.5.3 Quyền sở hữu tên Người đăng ký chứng thư có quyền sở hữu thương hiệu, tên dịch vụ đơn xin cấp chứng thư , với tên phân biệt (distinguished name) chứng thư cấp 9.5.4 Quyền sở hữu khoá tài liệu khoá Cặp khoá tương ứng với chứng thư CA thuê bao tài sản CA thuê bao lưu trữ bảo vệ theo quyền sở hữu trí tuệ 9.6 Vấn đề đại diện bảo lãnh 9.6.1 Đại diện CA vấn đề bảo lãnh Dịch vụ FPT-CA bảo đảm:  Khơng có thơng tin khơng phù hợp với thực tế chứng thư  Khơng có thiếu sót thơng tin chứng thư  Chứng thư CA phù hợp với yêu cầu CP CPS  Dịch vụ thu hồi chứng thư sử dụng kho lưu trữ phù hợp với tiêu chuẩn CP CPS Thoả thuận với khách hàng có thêm tuyên bố cam kết khác 9.6.2 Đại diện RA vấn đề bảo lãnh Các RA dịch vụ FPT-CA bảo đảm:  Không có thơng tin khơng phù hợp với thực tế chứng thư  Khơng có thiếu sót thông tin chứng thư  Những chứng thư RA tuân theo yêu cầu CPS  Dịch vụ thu hồi chứng thư sử dụng kho lưu trữ phù hợp với tiêu chuẩn CPS Thoả thuận với khách hàng có thêm tuyên bố cam kết khác 9.6.3 Đại diện khách hàng bảo lãnh Khách hàng cam kết rằng:  Mỗi chữ ký số tạo sử dụng khoá bí mật tương ứng với khố cơng khai liệt kê chứng thư chữ ký điện tử khách hàng Chứng thư chấp nhận hoạt động (khi chưa hết hạn hay bị thu hồi) thời gian chữ ký số tạo  Khố bí mật bảo vệ người khơng có thẩm quyền khơng thể truy cập vào khoá 69 Dịch vụ chứng thực chữ ký số công cộng FPT-CA  Tất cam kết đưa khách hàng đơn xin cấp chứng thư thật  Tất thông tin cung cấp khách hàng chứa bên chứng thư thật  Chứng thư sử dụng cho mục đích hợp pháp tuân theo yêu cầu CPS  Khách hàng thuê bao cuối CA, khơng phép sử dụng khố bí mật kết hợp với khố cơng khai liệt kê chứng thư cho mục đích ký số, hay đưa CRL, CA Thoả thuận khách hàng có thêm tuyên bố cam kết khác 9.6.4 Đại diện cho đối tác tin cậy vấn đề bảo lãnh Thoả thuận với đối tác tin cậy yêu cầu đối tác tin cậy phải có đủ thơng tin để đưa định dựa vào thông tin chứng thư Họ có trách nhiệm định tin tưởng hay không vào thông tin chứng thư Relying Rarties có CPS Thoả thuận bên đối tác bao gồm thêm tuyên bố cam kết khác Trách nhiệm pháp lý đối tác tin cậy thiết lập hợp đồng đối tác tin cậy 9.7 Vấn đề bồi thường 9.7.1 Vấn đề bồi thường khách hàng Khi pháp luật yêu cầu, khách hàng phải bồi thường cho FPT xuất hiện:  Những thông tin không hợp lệ khách hàng cung cấp đơn xin cấp chứng thư  Lỗi khách hàng để lộ nhân tố, yếu tố liên quan đến đơn xin cấp chứng thư, bỏ sót cẩu thả hay với mục đích lừa đảo  Lỗi khách hàng việc bảo vệ khóa bí mật, sử dụng hệ thống tin cậy, khơng thực biện pháp phòng ngừa cần thiết để tránh gây hậu  Việc sử dụng tên khách hàng (kể việc không giới hạn tên chung, tên miền, địa thư điện tử) vi phạm quyền sở hữu trí tuệ bên thứ Hợp đồng với khách hàng có bổ sung phù hợp 70 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 9.7.2 Vấn đề bồi thường đối tác tin cậy Khi pháp luật cho phép, thỏa thuận với đối tác tin cậy yêu cầu dối tác tin cậy bồi thường cho FPT hay thành phần tham gia dịch vụ FPT-CA CA RA vì:  Lỗi đối tác tin cậy việc thực thi bổn phận bên đối tác  Sự tin cậy đối tác chứng thư không đáp ứng số trường hợp  Lỗi đối tác tin cậy việc kiểm tra trạng thái chứng thư để xác dịnh chứng thư hết hạn hay bị thu hồi Thỏa thuận với đối tác tin cậy bao gồm thêm số nghĩa vụ khác 9.8 Thời hạn kết thúc 9.8.1 Thời hạn CPS bắt đầu có hiệu lực công bố từ kho lưu trữ dịch vụ FPT-CA Các điều sửa đổi bổ sung cho CPS bắt đầu có hiệu lực có công bố từ kho lưu trữ dịch vụ FPT-CA 9.8.2 Sự kết thúc CPS bổ sung, sửa đổi giữ hiệu lực thay văn 9.8.3 Ảnh hưởng kết thúc tồn Khi CPS hết hiệu lực, thành phần dịch vụ FPT-CA không bị giới hạn điều khoản hiệu lực chứng thư ban hàng 9.9 Thông báo riêng thỏa thuận bên FPT sử dụng biện pháp thương mại để giao thiệp bên, sử dụng thỏa thuận hợp đồng ký hết điều khoản ghi rõ hợp đồng 9.10 Sự sửa đổi 9.10.1 Các thủ tục sửa đổi Những sửa đổi CPS thực Cấp quản lý sách có thẩm quyền FPT Những điều sửa đổi dạng tài liệu chứa tất điều sửa đổi cho CPS dạng cập nhật 71 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 9.10.2 Các trường hợp cần sửa đổi nhận diện đối tượng (OID) Nếu cần thiết, FPT thay đổi OID cho sách chứng thư tương ứng với cấp chứng thư Nếu không, việc sửa đổi không bao gồm việc sửa đổi OID 9.10.3 Cách thức thời hạn thơng báo FPT có quyền định việc thay đổi cần thiết hay không cần thiết FPT tập hợp thay đổi CPS từ thành phần tham gia vào dịch vụ FPT-CA Nếu FPT cho thay đổi nên làm đề xuất thực thay đổi FPT đưa thơng báo thay đổi phù hợp với mục Trái ngược với số điều CPS, FPT cho thay đổi CPS cần thiết để ngăn chặn xâm phạm đến an toàn dịch vụ FPT-CA, FPT có quyền thay đổi CPS Cơng bố thay đổi có hiệu lực Sau công bố, FPT thông báo tới bên liên quan 1.1.1.20 Thời điểm đưa sửa đổi Thời gian sửa đổi 15 nagỳ kể từ ngày công bố kho lưu trữ dịch vụ FPT-CA Bất kỳ tham gia vào dịch vụ FPT-CA có quyền đề xuất ý kiến tới FPT lúc hết thời gian sửa đổi 1.1.1.21 Cơ chế xử lý sửa đổi FPT xem xét tất đề xuất liên quan đến vấn đề sửa đổi bổ sung FPT có thể: (a) Cho phép đề xuất có hiệu lực mà khơng cần sửa đổi (b) Sửa đổi đề xuất tái cần (c) Hủy bỏ đề xuất sửa đổi FPT có quyền hủy bỏ đề xuất sửa đổi, đưa ghi phần tài liệu “Cập nhật ghi thực thi” FPT-CA Những sửa đổi có hiệu lực sau hết hạn sửa đổi 9.11 Thủ tục tranh chấp 9.11.1 Thủ tục tranh chấp FPT, cộng tác thuê bao Việc giải tranh chấp FPT, bên thuê bao phải tuân thủ theo điều khoản ghi hợp đồng 72 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 9.11.2 Thủ tục tranh chấp thuê bao đối tác tin cậy Những tranh chấp có liên quan đến dịch vụ FPT-CA yêu cầu thời gian đàm phán 60 ngày, sau đưa lên tồ án có đủ quyền để xử lý 9.12 Luật quản trị Tuân theo luật nước CHXHCN Việt Nam luật Thương mại điện tử Việt Nam, đối tượng bị cưỡng chế thực hiện, xây dựng, giải thích hợp lệ hóa CPS này, khơng quan tâm tới lựa chọn văn luật khác, không yêu cầu thiết lập mối quan hệ thương mại Việt Nam Việc lựa chọn luật nhằm đảm bảo tính thống thủ tục giải thích cho người tham gia dịch vụ FPT-CA, họ đâu CPS tùy thuộc vào hệ thống điều luật, quy tắc, điều chỉnh, quy định, sắc lệnh mệnh lệnh thuộc phạm vi địa phương, bang, quốc gia, không giới hạn hay hạn chế lĩnh vực xuất hay nhập phần mềm, phần cứng thông tin kỹ thuật 9.13 Sự tuân thủ luật CPS tùy thuộc vào hệ thống điều luật, quy tắc, điều chỉnh, quy định, sắc lệnh mệnh lệnh thuộc phạm vi địa phương, bang, quốc gia, không giới hạn hay hạn chế cho lĩnh vực xuất phần mềm, phần cứng thông tin kỹ thuật 9.13.1 Trách nhiệm Trách nhiệm bên quy định giới hạn theo hợp đồng ký kết 9.13.2 Tính độc lập điều khoản Trong trường hợp điều khoản hay sửa đổi bổ sung CPS giữ lại thi hành phiên tòa hay xét xử có thẩm quyền, phần cịn lại CPS có hiệu lực 9.13.3 Sự thực thi (quyền ủy nhiệm quyền khước từ) Bất kỳ bên chiếm ưu tranh cãi nảy sinh hợp đồng quyền ủy nhiệm quyền khước từ vi phạm điều khoản hợp đồng 9.13.4 Chính sách bắt buộc thực thi Trong phạm vi luật pháp cho phép, thỏa thuận thuê bao thỏa thuận bên liên quan bắt buộc phải tuân theo điều khoản bảo vệ dịch vụ FPT-CA 73 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 10 Tổng kết 10.1 Nhiệm vụ, vai trò, trách nhiệm hệ thống FPT-CA 10.1.1 Định nghĩa Xem thêm mục 1.3.1 10.1.2 Quy trình hoạt động Xem thêm mục 1.3.2 10.1.3 Kết thúc RA, CA Xem thêm mục 6.7 10.1.4 Lệ phí, bảo lãnh, trách nhiệm tài bồi thường Xem thêm mục 9.1., 9.2., 9.6 9.7 10.2 Nhiệm vụ, vai trò trách nhiệm thuê bao 10.2.1 Định nghĩa Xem thêm mục 1.3.1.3 10.2.2 Nhận dạng xác thực Xem thêm mục 3.1.2 3.2 10.2.3 Cam kết nghĩa vụ thuê bao Xem thêm mục 4.12.1 10.2.4 Lệ phí bồi thường Xem thêm mục 9.1 9.7.1 10.3 Chứng thư số hệ thống FPT-CA 10.3.1 Lưu trữ công bố chứng thư số Xem thêm mục 10.3.2 Chu kỳ hoạt động chứng thư số Xem thêm mục 3.3., 3.4 10.3.3 Khuôn dạng chứng thư số Xem thêm mục 10.3.4 Lệ phí Xem thêm mục 9.1 74 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 10.4 Bảo mật hệ thống FPT-CA 10.4.1 Bảo mật kỹ thuật Xem thêm mục 10.4.2 Bảo mật vật lý, người Xem thêm mục 10.4.3 Bảo mật quy trình, kiểm định tính tn thủ Xem thêm mục 75 Dịch vụ chứng thực chữ ký số công cộng FPT-CA 11 Phụ lục 11.1 Chi tiết loại chứng thư số hệ thống FPT-CA cung cấp 11.1.1 Chứng thư số dành cho khách hàng cá nhân Chứng thư số cá nhân (FPT-CA Basic certificate) Gói chứng thư cá nhân cho phép thuê bao sử dụng chứng thư để ký số mã hóa nội dung gửi sử dụng địa Email đăng ký với nhà cung cấp dịch vụ Khi sử dụng gói dịch vụ này, người nhận email thuê bao nhận biết rằng, nội dung thư họ vừa nhận từ địa email thuê bao trì tính bảo mật đường truyền Th bao sử dụng chứng thư cho hoạt động giao dịch điện tử khác xác thực (client authentication), mã hóa giao dịch Đặc điểm gói dịch vụ:  Mã hóa với chiều dài khóa 1024bit  Mức bảo hiểm 500.000 VND  Hạn đăng hạn ký sử dụng cho thuê bao từ 06 tháng trở lên Chứng thư số cá nhân chuyên nghiệp (FPT-CA Professional Certificate) Gói cho phép thuê bao ký số mã hóa nội dung gửi sử dụng địa Email đăng ký với nhà cung cấp dịch vụ Chứng thư số cá nhân chuyên nghiệp cung cấp cho thuê bao chất lượng mã hóa bảo mật cao với chiều dài khóa 2048bit Khi sử dụng gói dịch vụ này, người nhận email thuê bao nhận biết rằng, nội dung thư họ vừa nhận từ địa email th bao trì tính bảo mật đường truyền Đặc điểm gói dịch vụ:  Mã hóa với chiều dài khóa 2048bit  Mức bảo hiểm 1.000.000 VND  Hạn đăng hạn ký sử dụng cho thuê bao từ 12 tháng trở lên 11.1.2 Chứng thư số cho khách hàng doanh nghiệp (Enterprise Certificate) Doanh nghiệp sử dụng chứng thư số phục vụ cho nhiều giao dịch điện tử đòi hỏi đảm bảo tính xác thực tồn vẹn liệu như: Thanh tốn hóa 76 Dịch vụ chứng thực chữ ký số công cộng FPT-CA đơn, E-Tax, xuất xứ điện tử… Việc sử dụng chữ ký số làm giảm thủ tục giấy tờ không cần thiết, tăng suất lao động hướng đến hệ thống phủ điện tử Đặc điểm dịch vụ:  Mã hóa chiều dài 2048 bit  Mức bảo hiểm 50.000.000 VND  Dịch vụ hỗ trợ 24/7 miễn phí  Áp dụng cho doanh nghiệp đăng ký sử dụng từ 12 tháng trở lên 11.1.3 Chứng thư số Code Signing Chứng thư số FPT-CA Code Signing Professional Gói dịch vụ FPT-CA Code Signing cho phép thuê bao ký số lên sản phẩm phần mềm macro tự phát triển Điều cho phép người dùng tải phần mềm từ mạng từ nhà cung cấp mà không cần phải lo lắng xuất xứ tính tồn vẹn phần mềm Đặc điểm gói dịch vụ:  Mã hóa với chiều dài khóa 2048bit  Mức bảo hiểm cho loại chứng thư mức cao  Thời gian ưu tiên xử lý cao  Dịch vụ hỗ trợ 24/7 miễn phí  Hạn đăng hạn ký sử dụng cho thuê bao từ 12 tháng trở lên Chứng thư số FPT-CA Code Signing Special Gói dịch vụ chứng thư Code Signing Special cho phép thuê bao ký số lên sản phẩm phần mềm macro tự phát triển Loại chứng thư số có độ dài khóa mức bảo hiểm cao chứng thư số Professional Đặc điểm gói dịch vụ:  Mã hóa với chiều dài khóa 3996bit  Mức bảo hiểm cho loại chứng thư mức cao  Thời gian ưu tiên xử lý cao  Dịch vụ hỗ trợ 24/7 miễn phí  Hạn đăng hạn ký sử dụng cho thuê bao từ 12 tháng trở lên 11.1.4 Chứng thư số SSL cho web server (FPT-CA SSL Server) Chứng thư số FPT-CA SSL Basic 77 Dịch vụ chứng thực chữ ký số công cộng FPT-CA Dịch vụ FPT-CA cung cấp chứng thư SSL nhằm đảm bảo mật đường truyền liệu mật, nhạy cảm trang web, mạng intranets mạng Intranet sử dụng mã hóa tối thiểu chiều dài khóa từ 1024bit Đặc tính gói dịch vụ:  Xác thực thơng tin đầy đủ hoạt động kinh doanh  Mã hóa với chiều dài khóa từ 1024bit  Mức bảo hiểm 100.000.000 VND  Dịch vụ hỗ trợ 24/7 miễn phí Chứng thư số FPT-CA SSL Professional Gói chứng thư cho Server SSL Professional FPT tạo điều kiển thuận lợi cho khách hàng thuê bao thực bước giao dịch trực tuyến bảo mật thông tin tuyệt cơng nghệ mã hóa mạnh Với đặc tính mã hóa 2048bit SSL giúp khách hàng yên tâm tuyệt đối truy cập website tin tưởng hoàn toàn vào đối tượng doanh nghiệp giao dịch thương mại Đặc tính gói dịch vụ:  Mã hóa tối thiểu từ 2048 bit  Xác thực thông tin đầy đủ hoạt động kinh doanh  Mức bảo hiểm 200.000.000 VND  Thời gian ưu tiên xử lý cao  Dịch vụ hỗ trợ cài đặt hỗ trỡ sử dụng miễn phí trình đăng ký sử dụng Chứng thư số FPT-CA SSL Special Gói FPT-CA SSL Special tạo cho khách hàng thuê bao đăng ký sử dụng dịch vụ OIC-CA yêu tâm tin tưởng tham gia giao dịch trực tuyến website thuê bao Đảm bảo độ bảo mật cao truy cập Website Việc đăng ký sử dụng gói SSL Domain Protection khơng làm gia tăng hiệu bảo mật trực tuyến mà tạo cho doanh nghiệp có lịng tin từ phía khách hàng Đặc điểm gói dịch vụ:  Mã hóa tối thiểu từ 2048 bit  Xác thực thông tin đầy đủ hoạt động kinh doanh  Mức bảo hiểm 500.000.000 VND  Thời gian ưu tiên xử lý cao 78 Dịch vụ chứng thực chữ ký số công cộng FPT-CA  Dịch vụ hỗ trợ cài đặt hỗ trợ sử dụng miễn phí q trình đăng ký sử dụng 11.1.5 Chứng thư số hệ thống bảo mật Managed PKI Ngồi gói chứng thư số cho khách hàng cá nhân doanh nghiệp, hệ thống FPT-CA cung cấp dịch vụ chứng thực Managed PKI Đặc điểm dịch vụ tổ chức toàn quyền đăng ký, thu hồi chứng thư số người sử dụng mà không cần quan tâm đến việc cài đặt, vận hành trì hệ thống Cơ sở hạ tầng đặt FPT-CA Với hình thức này, tổ chức khơng cần đầu tư nhiều tiền cho việc xây dựng hệ thống PKI hồn tồn tự vận hành hệ thống PKI thực Đặc điểm gói dịch vụ:  Mã hóa 2048 bit  Hỗ trợ kỹ thuật 24/7  Ưu tiên mức cao  Bảo hiểm 500.000.000 VND 11.2 Cấu trúc tổng quát thông điệp hệ thống FPT-CA Tất q trình trao đổi thơng tin đối tượng hệ thống PKI thực thông qua việc trao đổi thông điệp định nghĩa riêng cho hệ thống Các thông điệp tạo sở chức hoạt động hệ thống PKI nêu phần trước Phần sau mô tả thông điệp sử dụng hệ thống PKI Một thông điệp có hai trường hai trường tuỳ chọn Hai trường là:  Trường header: Trường cho biết thông tin liên quan đến đối tượng truyền nhận hệ thống PKI Trong hầu hết thơng điệp PKI, trường header có định dạng giống Trường bắt buộc phải tồn thông điệp PKI không phép rỗng  Trường body: Trường chứa nội dung mà thông điệp PKI cần truyền tải Phần thông điệp có cấu trúc khơng xác định Định dạng trường body thông điệp tuỳ thuộc vào đối tượng tạo nó, vào thơng tin truyền tải tạo chức hệ thống Trong trường hợp đặc biệt, trường body rỗng 79 Dịch vụ chứng thực chữ ký số công cộng FPT-CA Hai trường tùy chọn là:  Trường protection: Trường đóng vai trị bảo vệ cho thông tin truyền Về nguyên tắc, thơng tin cần bảo thường mã hố chứa phần thân thông điệp Trường protection có vai trị bảo vệ lớp ngồi cho thông điệp PKI Thông thường, bit tạo nhờ số thuật toán mã hoá bảo mật hệ thống PKI hỗ trợ Tuy nhiên, trường tùy chọn thực tế sử dụng đến trường  Trường extraCerts: Đây trường chứa mảng chứng thực bổ sung Các chứng thực thường có tác dụng giúp cho đối tượng nhận kiểm chứng thông tin nhận xác thực đối tượng Các thông điệp  Thông điệp yêu cầu khởi tạo (Initialization Request – IR): chứng thực yêu cầu Thông điệp sử dụng EE lần khởi tạo hệ thống PKI  Thông điệp trả lời yêu cầu khởi tạo (Initialization Response - IP) dùng để trả lời thông điệp yêu cầu thông tin trạng thái hệ thống PKI, đối tượng sử dụng khố riêng Thơng thường, thơng tin trả mã hố với khố phiên định Chính khố phiên lại mã hoá khoá sử dụng giao thức quản lý PKI (protocolEncKey)  Thông điệp yêu cầu đăng ký/yêu cầu chứng thư (Registration Request - RR Certificate Request - CR) xác định chứng thư yêu cầu sử dụng đối tượng sử dụng muốn có thêm chứng thư  Thơng điệp trả lời yêu cầu đăng ký/yêu cầu chứng thư (Registration Reply - RR) mang giá trị trạng thái chứng thư u cầu Ngồi ra, có khố cơng khai CA, thơng tin u cầu không chấp nhận, chứng thư đối tượng khoá riêng mã hoá  Thơng điệp u cầu cập nhật khố (Key Update Request - KUR) sử dụng để cập nhật thông tin cho chứng thư tồn  Thông điệp trả lời yêu cầu cập nhật khoá (Key Update Response - KUP) tương tự thông điệp trả lời yêu cầu khởi tạo  Thơng điệp u cầu khơi phục khố (Key Recovery Request - KRR) tương tự thông điệp yêu cầu khởi tạo 80 Dịch vụ chứng thực chữ ký số công cộng FPT-CA  Thông điệp trả lời yêu cầu khơi phục khố (Key Recovery Response KRP) (ngoại trừ số giá trị trạng thái, khơng cịn trường tuỳ chọn sử dụng)  Thông điệp yêu cầu huỷ bỏ (Revocation Request - RR)  Thông điệp yêu cầu chứng thực ngang hàng (Cross-Cert Request - CCR) CA sử dụng kiểu thông điệp đối tượng sử dụng yêu cầu chứng thư từ CA Tuy nhiên, có điểm ràng buộc cặp khố sử dụng để mã hố thơng điệp chứa chứng thực phải phía CA yêu cầu chứng thư tạo từ trước Đồng thời, khoá riêng cặp khố bắt buộc phải khơng gửi đến cho CA trả lời  Thông điệp trả lời yêu cầu xác nhận ngang hàng (Cross-Cert Response CCP) giống với thông điệp trả lời yêu cầu xác nhận Tuy nhiên, có ràng buộc khơng phép gửi khố riêng (kể mã hoá) cho CA yêu cầu Điều xuất phát từ nguyên tắc: thành phần off-line biết khoá riêng đối tượng  Thơng điệp cơng bố cập nhật khố CA (CA Key Update Announcement CKUANN) sử dụng CA cập nhật cặp khố  Thơng điệp cơng bố chứng thư (Certificate Announcement - CANN) sử dụng để thông báo tồn chứng thư Cần lưu ý phương pháp sử dụng thông điệp sử dụng trường hợp không tồn phương pháp phát hành chứng thư khác Ví dụ, có phương thức phát hành thẻ theo chuẩn X.500 phương pháp khơng sử dụng  Thông điệp thông báo thu hồi chứng thư (Revocation Announcement RANN) dùng chứng thư bị thu hồi bị thu hồi CA, đưa thơng báo kiện CA sử dụng thơng báo kiểu để báo với thuê bao sở hữu chứng thư biết chứng thư mà đối tượng nắm giữ bị thu hồi Nó chủ yếu sử dụng trường hợp thuê bao nắm giữ chứng thư không gửi yêu cầu huỷ bỏ Nghĩa CA chủ động huỷ bỏ chứng thư Trường willBeRevokedAt dùng để xác định thời điểm mà mục ứng với chứng thư bổ sung vào danh sách chứng thư bị huỷ bỏ  Thông điệp thông báo CRL (CRL Announcement - CRLANN) sử dụng CA phát hành một tập CRL  Thông điệp xác nhận (Confirmation - CONF) sử dụng hoạt động giao thức quản lý PKI theo kiểu yêu cầu - trả lời - xác nhận Nội 81 Dịch vụ chứng thực chữ ký số công cộng FPT-CA dung thông điệp giống tất trường hợp thân phần header thông điệp mang tất thông tin cần thiết  Thông điệp PKI đa mục đích (General Message - GENM) sử dụng số trường hợp truyền thông tin cho thiết bị trình ứng dụng đối tượng sử dụng hệ thống  Thông điệp trả lời tổng quát (General Response - GENP)  Thông điệp thông báo lỗi (Error Message - ERROR) sử dụng trường hợp có lỗi hoạt động giao thức PKI Đi kèm với thông tin lỗi thông tin trạng thái hệ thống 82

Ngày đăng: 03/04/2021, 00:43

Xem thêm:

Mục lục

    1.2. Các loại chứng thư của dịch vụ FPT-CA

    1.3. Quy trình hoạt động FPT-CA

    1.1.1.3. Đối tượng sử dụng hệ thống FPT CA

    1.3.2. Quy trình hoạt động

    1.1.1.4. Đăng ký một chứng thư số

    1.1.1.5. Phát hành chứng thư số

    1.1.1.7. Thu hồi chứng thư số và thông báo các chứng thư số bị thu hồi

    1.3.3. Các yêu cầu đối với chứng thư số

    1.1.1.8. Các mức độ đảm bảo tin cậy của chứng thư

    1.1.1.9. Sử dụng chứng thư bất hợp pháp

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan