CODUL DE PRACTICI ŞI PROCEDURI - cts.md...5.5.6 Cerinţe de aplicare a mărcii temporale pe...

ÎS CENTRUL DE TELECOMUNICAŢII SPECIALE

CODUL DE PRACTICI ŞI PROCEDURI

AL CENTRULUI DE CERTIFICARE A CHEILOR PUBLICE

Noiembrie 2013

Chişinău 2013


AL CENTRULUI DE CERTIFICARE

A CHEILOR PUBLICE

Clasificare de securitate

C4 – PUBLIC

Cod de referinţă Versiune În vigoare din Pagină

RG.0600.13 1.1 13.11.2013 2 / 95

CUPRINS

1. INTRODUCERE .................................................................................................................................................... 6 1.1 Rezumat .................................................................................................................................................................. 7 1.2 Definirea Codului de practici şi proceduri (denumirea şi identificarea documentului) ........................................ 10 1.3 Participanţi ai infrastructurii cheilor publice (PKI)............................................................................................... 10 1.3.1 Centre de certificare (СА) ..................................................................................................................................... 10 1.3.2 Centre de înregistrări (RA) ................................................................................................................................... 11 1.3.3 Utilizatori finali..................................................................................................................................................... 11 1.3.4 Părţi de încredere .................................................................................................................................................. 13 1.3.5 Alte servicii ........................................................................................................................................................... 13 1.4 Aplicabilitate ......................................................................................................................................................... 13 1.4.1 Aplicabilitatea certificatului cheii publice ............................................................................................................ 14 1.4.2 Restricţii de aplicabilitate a certificatelor cheilor publice ..................................................................................... 14 1.5 Administrarea Codului de practici şi proceduri .................................................................................................... 15 1.5.1 Instituţia administratoare a Codului de practici şi proceduri ................................................................................ 15 1.5.2 Date de contact...................................................................................................................................................... 16 1.5.3 Procedura de coordonare şi aprobare a Codului de practici şi proceduri .............................................................. 16 2. REPOZITORIUL ŞI PUBLICAREA ................................................................................................................... 17 2.1 Repozitoriul Centrului de certificare..................................................................................................................... 17 2.2 Publicarea informaţiei despre certificatele cheilor publice ................................................................................... 18 2.3 Frecvenţa de publicare .......................................................................................................................................... 18 2.4 Controlul accesului la Repozitoriu ........................................................................................................................ 19 3. IDENTIFICAREA ŞI AUTENTIFICAREA ........................................................................................................ 19 3.1 Nume .................................................................................................................................................................... 19 3.1.1 Tipuri de nume ...................................................................................................................................................... 19 3.1.2 Numele caracteristice ............................................................................................................................................ 20 3.1.3 Anonimatul sau pseudonimele abonaţilor ............................................................................................................. 21 3.1.4 Regulile de interpretare a diferitor forme de nume ............................................................................................... 21 3.1.5 Unicitatea numelor ................................................................................................................................................ 22 3.1.6 Recunoaşterea şi rolul mărcilor comerciale .......................................................................................................... 22 3.2 Înregistrarea .......................................................................................................................................................... 22 3.2.1 Autentificarea persoanelor juridice ....................................................................................................................... 23 3.2.2 Autentificarea persoanelor fizice ......................................................................................................................... 24 3.2.3 Autentificarea echipamentului (fizic sau logic) .................................................................................................... 24 3.3 Identificarea şi autentificarea la solicitarea certificării noii perechi de chei ......................................................... 24 3.3.1 Autentificarea la certificarea noii perechi de chei în cazul expirării perioadei de valabilitate a

certificatului ............................................................................................................................................................................ 25 3.3.2 Autentificarea în cazul introducerii modificărilor în certificatul valid ................................................................. 25 3.3.3 Autentificarea în cazul certificării perechii noi de chei după revocarea certificatului .......................................... 25 3.4 Identificarea şi autentificarea la depunerea cererii pentru revocarea certificatului ............................................... 26 4. CERINŢE FAŢĂ DE GESTIONAREA CICLULUI DE VIAŢĂ AL CERTIFICATULUI ................................ 26 4.1 Cererea pentru certificare ...................................................................................................................................... 27 4.1.1 Entităţi care pot depune cerere pentru certificare.................................................................................................. 28 4.1.2 Înregistrarea cererii pentru certificare ................................................................................................................... 28 4.2 Prelucrarea cererilor pentru certificare ................................................................................................................. 29 4.2.1 Realizarea autentificării şi identificării ................................................................................................................. 29 4.2.2 Acceptarea sau refuzul cererii pentru certificare................................................................................................... 29 4.2.3 Timpul de prelucrare a cererii pentru certificare ................................................................................................... 30 4.3 Eliberarea certificatului ......................................................................................................................................... 30 4.3.1 Acţiunile administratorului certificare în procesul de generare a certificatului cheii publice ............................... 31 4.3.2 Notificarea abonatului despre emiterea certificatului ........................................................................................... 32



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 3 / 95

4.4 Acceptarea certificatului ....................................................................................................................................... 32 4.4.1 Acţiunea ce semnifică acceptarea certificatului .................................................................................................... 32 4.4.2 Publicarea certificatului de către Centrul de certificare ........................................................................................ 32 4.4.3 Notificarea altor persoane despre eliberarea certificatului abonatului .................................................................. 32 4.5 Cheile privată şi publică şi utilizarea certificatului ............................................................................................... 33 4.5.1 Cheia privată a abonatului şi utilizarea certificatului ............................................................................................ 33 4.5.2 Cheia publică a abonatului şi utilizarea certificatului de partea de încredere ....................................................... 33 4.6 Reînnoirea certificatului........................................................................................................................................ 34 4.7 Reînnoirea cheilor ................................................................................................................................................. 34 4.8 Introducerea modificărilor în certificat ................................................................................................................. 34 4.9 Revocarea şi suspendarea valabilităţii certificatului ............................................................................................. 35 4.9.1 Cauze pentru revocare .......................................................................................................................................... 36 4.9.2 Entităţi ce pot solicita revocarea certificatului ...................................................................................................... 36 4.9.3 Procedurile de revocare a certificatului ................................................................................................................ 37 4.9.4 Termenul de prelucrare a cererii de revocare a certificatului în Centrul de certificare ......................................... 38 4.9.5 Verificarea certificatelor revocate de către părţile de încredere ............................................................................ 38 4.9.6 Frecvenţa publicării listei certificatelor revocate .................................................................................................. 39 4.9.7 Verificarea accesibilităţii service-ului OCSP........................................................................................................ 39 4.9.8 Cerinţe înaintate la verificarea certificatului prin service-ul OCSP ...................................................................... 39 4.9.9 Alte forme de verificare a statutului certificatului ................................................................................................ 40 4.9.10 Cerinţe speciale faţă de încălcarea securităţii cheii private ................................................................................... 40 4.9.11 Circumstanţe ce determină suspendarea valabilităţii certificatului ....................................................................... 40 4.9.12 Entităţi ce pot solicita suspendarea certificatului .................................................................................................. 41 4.9.13 Procedurile de suspendare şi restabilire a valabilităţii certificatului ..................................................................... 41 4.9.14 Restricţii pe perioada suspendării valabilităţii certificatului ................................................................................. 42 4.9.15 Restabilirea valabilităţii certificatului ................................................................................................................... 42 4.10 Depozitarea cheii şi restabilirea ei ........................................................................................................................ 44 5. RESURSE, GESTIONARE ŞI CONTROLUL OPERAŢIONAL ........................................................................ 45 5.1 Controlul fizic al securităţii .................................................................................................................................. 45 5.1.1 Amplasare ............................................................................................................................................................. 45 5.1.2 Accesul fizic ......................................................................................................................................................... 45 5.1.3 Alimentarea electrică şi condiţionarea aerului ...................................................................................................... 46 5.1.4 Umiditatea ............................................................................................................................................................. 47 5.1.5 Securitatea antiincendiară şi măsurile de prevenire .............................................................................................. 47 5.1.6 Păstrarea purtătorilor de informaţie ...................................................................................................................... 47 5.1.7 Nimicirea purtătorilor de informaţie ..................................................................................................................... 48 5.1.8 Copierea de rezervă completă ............................................................................................................................... 48 5.2 Organizarea controlului securităţii ........................................................................................................................ 48 5.2.1 Rolurile şi atribuţiile funcţionale .......................................................................................................................... 48 5.2.2 Numărul persoanelor cu funcţii de răspundere, necesare pentru realizarea unui proces ....................................... 49 5.2.3 Identificarea şi autentificarea rolurilor .................................................................................................................. 50 5.2.4 Rolurile ce interzic cumularea funcţiilor .............................................................................................................. 51 5.3 Securitatea personalului ........................................................................................................................................ 51 5.3.1 Cerinţe faţă de calificarea şi experienţa personalului............................................................................................ 51 5.3.2 Procedurile de verificare a personalului ................................................................................................................ 52 5.3.3 Cerinţe de instruire a personalului ........................................................................................................................ 52 5.3.4 Frecvenţa desfăşurării perioadelor repetate de instruire şi cerinţe ........................................................................ 53 5.3.5 Frecvenţa şi consecutivitatea transferurilor (rotaţiilor) de funcţii ......................................................................... 53 5.3.6 Sancţiuni în cazul acţiunilor neautorizate ............................................................................................................. 53 5.3.7 Cerinţe de angajare temporară a personalului ....................................................................................................... 53 5.3.8 Documentaţie pusă la dispoziţia personalului ....................................................................................................... 54 5.4 Evenimente supuse înregistrării şi procedurile auditului ...................................................................................... 54 5.4.1 Tipurile de evenimente supuse înscrierii .............................................................................................................. 55 5.4.2 Frecvenţa de verificare a registrelor evenimentelor .............................................................................................. 56



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 4 / 95

5.4.3 Perioada de utilizare a registrelor evenimentelor .................................................................................................. 56 5.4.4 Protecţia registrelor evenimentelor ....................................................................................................................... 57 5.4.5 Proceduri aplicate în procesul de arhivare a registrelor evenimentelor ................................................................ 57 5.4.6 Notificarea persoanelor responsabile despre evenimente ..................................................................................... 58 5.4.7 Evaluarea punctelor vulnerabile ale sistemului ..................................................................................................... 58 5.5 Arhivarea înscrierilor ............................................................................................................................................ 59 5.5.1 Tipurile de date supuse arhivării ........................................................................................................................... 60 5.5.2 Frecvenţa de arhivare a datelor ............................................................................................................................. 60 5.5.3 Termenele de păstrare a datelor de arhivă............................................................................................................. 61 5.5.4 Protecţia arhivelor ................................................................................................................................................. 61 5.5.5 Procedurile copierii de rezervă ............................................................................................................................. 61 5.5.6 Cerinţe de aplicare a mărcii temporale pe înscriere .............................................................................................. 62 5.5.7 Procedurile de acces şi de verificare a informaţiei de arhivă ................................................................................ 62 5.6 Schimbarea cheilor ............................................................................................................................................... 63 5.7 Încălcarea securităţii cheilor şi restabilirea după avarie ........................................................................................ 63 5.7.1 Proceduri în caz de compromitere a cheilor sau de suspiciune de compromitere a cheilor Centrului de

certificare 63 5.7.2 Deteriorarea resurselor informaţionale, a mijloacelor de program sau a datelor .................................................. 63 5.7.3 Proceduri în caz de compromitere a cheilor sau de suspiciune de compromitere a cheilor abonaţilor ................. 66 5.7.4 Restabilirea securităţii după starea de avarie ........................................................................................................ 66 5.8 Încetarea activităţii Centrului de certificare .......................................................................................................... 66 5.8.1 Cerinţe ce ţin de obligaţiile de transmitere ........................................................................................................... 66 5.8.2 Publicarea certificatelor şi succesorii proceselor finisate ..................................................................................... 67 6. CONTROLUL TEHNIC AL SECURITĂŢII ....................................................................................................... 68 6.1 Generarea şi utilizarea perechii de chei ................................................................................................................ 68 6.1.1 Crearea cheilor privată şi publică.......................................................................................................................... 68 6.1.2 Transmiterea cheii publice în Centrul de certificare ............................................................................................. 69 6.1.3 Răspîndirea cheilor publice de Centrul de certificare ........................................................................................... 69 6.1.4 Lungimea cheilor .................................................................................................................................................. 69 6.1.5 Parametrii cheilor publice şi verificarea calităţii parametrilor .............................................................................. 70 6.1.6 Scopurile de utilizare a cheilor (în conformitate cu X.509 v3) ............................................................................. 70 6.1.7 Metodele software şi/sau hardware de creare a cheilor ......................................................................................... 71 6.2 Protecţia cheilor private şi controlul ingineresc al modulilor criptografici ........................................................... 71 6.2.1 Standarde pentru modulele criptografice .............................................................................................................. 71 6.2.2 Partajarea şi distribuirea cheii private ................................................................................................................... 71 6.2.3 Depozitarea cheilor private ................................................................................................................................... 72 6.2.4 Copierea de rezervă a cheilor private .................................................................................................................... 72 6.2.5 Intrarea şi stocarea cheii private pe modulul criptografic ..................................................................................... 72 6.2.6 Metode de activare a cheilor private ..................................................................................................................... 72 6.2.7 Metode de dezactivare a cheilor private ............................................................................................................... 73 6.2.8 Metode de distrugere (nimicire) a cheilor private ................................................................................................. 74 6.3 Alte aspecte de administrare a cheilor .................................................................................................................. 74 6.3.1 Arhivele cheilor publice ........................................................................................................................................ 74 6.3.2 Termenul de valabilitate a certificatului şi perioada de utilizare a cheilor privată şi publică ............................... 75 6.4 Activarea datelor ................................................................................................................................................... 76 6.4.1 Crearea şi utilizarea datelor de activare ................................................................................................................ 76 6.4.2 Protecţia datelor de activare .................................................................................................................................. 76 6.4.3 Alte aspecte ale procesului de activare a datelor .................................................................................................. 77 6.5 Controlul de securitate .......................................................................................................................................... 77 6.5.1 Cerinţe tehnice specifice de control de securitate ................................................................................................. 77 6.5.2 Evaluarea securităţii .............................................................................................................................................. 78 6.6 Controlul tehnic al ciclului de viaţă ...................................................................................................................... 78 6.6.1 Administrarea controlului de securitate ................................................................................................................ 78 6.7 Administrarea securităţii de reţea ......................................................................................................................... 79



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 5 / 95

6.8 Marca temporală ................................................................................................................................................... 79 7. PROFILURILE CERTIFICATULUI, A LISTEI CERTIFICATELOR REVOCATE ŞI OCSP .......................... 80 7.1 Profilul certificatelor ............................................................................................................................................. 80 7.1.1 Versiunea certificatului ......................................................................................................................................... 80 7.1.2 Cîmpurile de bază ale certificatului ...................................................................................................................... 81 7.1.3 Cîmpurile auxiliare ale certificatului .................................................................................................................... 82 7.1.4 Extensiile certificatului şi tipuri de certificate ...................................................................................................... 84 7.1.5 Extensiile certificatelor centrelor de certificare .................................................................................................... 85 7.1.6 Certificate de autentificare a serverului ................................................................................................................ 85 7.1.7 Certificate pentru semnare de cod ......................................................................................................................... 86 7.1.8 Certificatele abonaţilor ......................................................................................................................................... 87 7.1.9 Identificatorul algoritmului semnăturii digitale .................................................................................................... 88 7.1.10 Cîmpul semnăturii digitale .................................................................................................................................... 88 7.2 Profilul CRL ......................................................................................................................................................... 88 7.2.1 Extensiile acceptate ............................................................................................................................................... 90 7.3 Profilul răspunsului OCSP .................................................................................................................................... 91 7.3.1 Versiunea .............................................................................................................................................................. 92 7.3.2 Informaţie despre statutul certificatului ................................................................................................................ 92 8. AUDITUL ŞI ALTE EVALUĂRI ........................................................................................................................ 93 8.1 Frecvenţa efectuării auditului ............................................................................................................................... 93 8.2 Identificarea şi calificarea auditorului ................................................................................................................... 93 8.3 Controale de audit şi intercorelaţia cu supervizaţii ............................................................................................... 94 8.4 Întrebări cu specific de audit ................................................................................................................................. 94 8.5 Acţiuni desfăşurate în caz de depistare a discrepanţelor ....................................................................................... 94 8.6 Notificare despre rezultatele auditului .................................................................................................................. 95



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 6 / 95

1. INTRODUCERE

Prezentul Cod de practici şi proceduri (Regulamentul Centrului de certificare

a cheilor publice) este elaborat în baza Legii cu privire la documentul electronic şi

semnătura digitală № 264-XV din 15 iulie 2004, a Hotărîrii Guvernului № 945 din

5 septembrie 2005 cu privire la centrele de certificare, a Condiţiilor speciale de

activitate a centrelor de certificare a cheilor publice, aprobate prin ordinul

directorului Serviciului de Informaţii şi Securitate al Republicii Moldova № 13 din

3 aprilie 2006, a Regulamentului Centrului de certificare a cheilor publice al

autorităţilor administraţiei publice, aprobat prin Ordinul directorului Serviciului de

Informaţii şi Securitate al Republicii Moldova № 32 din 15 iunie 2006, în

corespundere cu recomandările IETF (Internet Engineering Task Force) RFC 3647

(Internet X.509 Public Key Infrastructure Certificate Policy and Certification

Practices Framework).

Codul de practici şi proceduri (în continuare Cod) stabileşte condiţiile de

organizare a activităţii Centrului de certificare a cheilor publice (în continuare

Centru de certificare), creat în cadrul Î.S. „Centrul de telecomunicaţii speciale”

(în continuare Întreprindere), şi determină:

funcţiile, obligaţiile şi drepturile centrului de certificare;

procedurile şi mecanismele utilizate în procesul de prestare a serviciilor de

certificare;

ordinea de interacţiune cu alte centre de certificare şi cu utilizatorii

semnăturii digitale;

măsuri tehnico-organizatorice de bază pentru asigurarea securităţii.

Codul reprezintă un document reglementat al activităţii Întreprinderii în

calitate de Centru de certificare şi se răsfrînge asupra:

centrelor de certificare a cheilor publice subordonate sau care se află în

relaţii comerciale cu Centrul de certificare;

utilizatorilor semnăturii digitale, care-şi certifică cheile publice în Centrul

de certificare.

Infrastructura Centrului de certificare prevede 3 tipuri de certificate

(certificatele persoanelor împuternicite ale Centrului de certificare, certificatele

cheilor publice ale utilizatorilor semnăturii digitale şi certificatele serviciilor),

pentru care Codul determină cerinţele faţă de securitatea generală.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 7 / 95

Codul descrie infrastructura cheilor publice (Public Key Infrastructure) a

Centrului de certificare atât din punct de vedere juridic, cât şi cel tehnic; determină

procedurile şi mecanismele de funcţionare a Centrului de certificare în

conformitate cu standardele aprobate; determină:

obligaţiile centrelor de certificare a cheilor publice şi ale utilizatorilor

semnăturii digitale reieşind din infrastructura cheilor publice a Centrului

de certificare;

aspecte juridice ce ţin de serviciile de certificare prestate;

asigurarea securităţii şi efectuarea auditului activităţii Centrului de

certificare;

metodele de identificare a solicitantului pentru certificarea cheii publice;

procedurile operaţionale pentru prestarea serviciilor de certificare;

cererile pentru certificarea cheilor publice, cererile pentru suspendarea şi

restabilirea validităţii, revocarea şi confirmarea autenticităţii

certificatelor;

procedurile de securitate operaţională pentru înscrierea rezultatelor

auditului, păstrarea datelor şi restabilirea după pana de funcţionare;

regulile de asigurare a securităţii fizice, ale personalului, de administrare

a cheilor şi a securităţii logice a Centrului de certificare;

lista certificatelor eliberate, lista certificatelor revocate administrate în

Centrul de certificare;

aplicarea Codului, inclusiv metodele de îmbunătăţire şi ordinea de

introducere a modificărilor.

Codul presupune faptul că cititorul posedă cunoştinţe generale despre

semnătura digitală şi infrastructura cheilor publice (PKI). În lipsa acestora

informaţie cu privire la criptografia cheii publice şi utilizarea infrastructurii cheilor

publice se poate găsi pe site-ul Centrului de certificare http://www.pki.cts.md.

1.1 REZUMAT

Centrul de certificare prestează servicii de certificare în cadrul infrastructurii

cheilor publice (PKI) unice în Republica Moldova (a se vedea Fig. 1), fără crearea

unui domen de certificare separat.

http://www.pki.cts.md/



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 8 / 95

Figura 1. Centrul de certificare a cheilor publice în infrastructura cheilor publice din Republica

Moldova.

Aplicarea cu succes a Codului necesită un şir de documente stabilite de către

organul competent şi legislaţia în domeniul semnăturii digitale. Aceste documente

au caracter general şi fac legătura între utilizatori şi centrele de certificare,

stabilind standarde obligatorii pentru toţi.

Tabelul 1 conţine lista de bază a documentelor, accesibilitatea pentru

documentare publică şi locul amplasării acestora.

Documente Statut Accesibilitate

Documente ajutătoare cu privire la securitate şi proceduri în cadrul Întreprinderii

Politica de certificare a cheilor publice

Accesibil

http://www.pki.cts.md

Centrul de certificare de

nivel superior

(ROOT CA)

Centrul de certificare a

cheilor publice (СА)

Centre de înregistrări la

distanţă (RA)

Utilizatori Autorităţile administraţiei publice,

persoane fizice şi juridice



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 9 / 95

Politica de securitate a Centrului de

certificare

Politica de acordare şi control al

accesului la resursele Centrului de

certificare

Planul de gestionare a riscurilor

Planul de asigurare a continuităţii

activităţii Centrului de certificare

Procedurile de restabilire a activităţii

Centrului de certificare

Instrucţiunea ce reglementează

securitatea şi exploatarea MPCI

Ordinea de sincronizare a timpului

după GMT

Inaccesibil

Inaccesibil

Inaccesibil

Inaccesibil

Inaccesibil

Inaccesibil

Inaccesibil

pentru utilizare în interes de servici







Documente specifice

Codul de practici şi proceduri al


Accesibil

https://pki.cts.md/despre-centru/legislatie.html

Tabelul 1. Documente ce reglementează activitatea Centrului de certificare.

Prevederile prezentului Cod corespund cerinţelor din standardele unanim

recunoscute, inclusiv AICPA/CICA WebTrust Program for Certification

Authorities, ANS X9.79:2001 PKI Practices and Policy Framework, şi ale altor

standarde din domeniul activităţii centrelor de certificare.

Structura Codului corespunde standardului „Internet X.509 Public Key

Infrastructure. Certificate Policy and Certification Practices Framework”,

cunoscut sub numele de RFC 3647, cu excepţia câtorva modificări în denumiri şi

detalii ce corespund modelelor business ale Întreprinderii. Corespunderea cu



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 10 / 95

standardul dat simplifică dezvoltarea politicii de certificare, interacţiunea cu

utilizatorii semnăturii digitale şi alte centre de certificare.

1.2 DEFINIREA CODULUI DE PRACTICI ŞI PROCEDURI (DENUMIREA

ŞI IDENTIFICAREA DOCUMENTULUI)

Prezentul Cod reprezintă un document reglementat al activităţii Întreprinderii

în calitate de Centru de certificare a cheilor publice.

Codul are denumiri în limbile de stat (Codul de Practici şi Proceduri), rusă

(Свод Правил и Процедур) şi engleză (Certification Practice Statement).

Toate versiunile acestui document pot fi găsite pe site-ul Centrului de

certificare:

versiunea electronică în repozitoriu – https://pki.cts.md/despre-

centru/legislatie.html sau;

versiunea pe suport de hârtie – la cerere pe adresa Centrului de certificare (a se

vedea Secţiunea 1.5).

1.3 PARTICIPANŢI AI INFRASTRUCTURII CHEILOR PUBLICE (PKI)

Codul de practici şi proceduri se răsfrînge asupra tuturor utilizatorilor

semnăturii digitale care sunt abonaţi sau parteneri ai Centrului de certificare,

indiferent de locul aflării acestora.

Centrul de certificare prestează servicii de certificare a cheilor publice ale

abonaţilor atît ca persoane fizice, cît şi ca persoane juridice, reglînd aceste corelaţii

prin prezentul Cod. Scopul acestui document (inclusiv descrierea procedurilor de

generare a perechii de chei publică şi privată, de asigurare a securităţii sistemului)

este informarea şi convingerea abonaţilor Centrului de certificare în faptul că

nivelul de încredere în certificatele publicate se datorează practicii de lucru în

domeniul respectiv al Centrului de certificare.

1.3.1 CENTRE DE CERTIFICARE (СА)

Centrul de certificare a cheilor publice prestează servicii de certificare în

cadrul infrastructurii cheilor publice (PKI) unice a Republicii Moldova (a se vedea

Fig. 1).





A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 11 / 95

În cadrul domenului de certificare a Centrului de certificare pot fi create

centre de certificare de nivelul trei.

Prin centru de certificare de nivelul trei se subînţelege departamentul

persoanei juridice ce prestează servicii de certificare a cheilor publice şi alte

servicii în domeniul semnăturii digitale în scopuri corporative, în conformitate cu

propriul Cod de practici şi proceduri, ce poate fi acelaşi pentru toate centrele de

certificare sau pot diferenţia de la un centru la altul în dependenţă de scopul

urmărit de respectivul centru.

1.3.2 CENTRE DE ÎNREGISTRĂRI (RA)

Centrul de certificare oferă posibilitatea de a crea Centru de înregistrări la

distanţă, reprezentanţă a Centrului de certificare în interacţiunea cu abonaţii.

Centrul de înregistrări activează în bază de Contract şi asistă Centrul de

certificare, executînd funcţiile administratorului înregistrări în conformitate cu

prezentul Cod.

În acest sens, în Centrul de înregisrări au loc următoarele proceduri:

identificarea şi înregistrarea solicitantului pentru certificarea cheii publice;

primirea şi prelucrarea cererilor pentru certificare, suspendare, restabilire a

validităţii şi revocare a certificatului cheii publice.

Orice persoană juridică poate fi Centru de înregistrări cu condiţia executării

tuturor cerinţelor înaintate de Centrul de certificare.

Centrul de înregistrări la distanţă nu are dreptul de a deschide alte centre de

înregistrări, nici de a delega funcţiile sale altei persoane juridice neacreditată de

Centrul de certificare.

Centrul de înregistrări la distanţă interacţionează doar cu Abonaţii –

solicitanţii pentru certificarea cheilor publice. Cererea pentru certificarea cheii

publice a persoanei împuternicite a centrului de certificare de nivelul trei se depune

doar la Centrul de certificare.

1.3.3 UTILIZATORI FINALI

În condiţiile legislaţiei în vigoare Centrul de certificare prestrează servicii

oricărui tip de utilizatori ai semnăturii digitale.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 12 / 95

Tipul

certificatului

Eliberat Serviciul pentru care

se eliberează

certificatul

Utilizatori

Certificatul cheii

publice

Persoanei fizice

Persoanei fizice

Persoanei fizice

Corporativ

Vînzare

Administrarea

infrastructurii cheilor

publice

Colaboratorii centrului de certificare,

administratorii centrelor de înregistrări la

distanţă

Orice utilizator al semnăturii digitale

(angajaţi ai autorităţilor publice, ai

persoanelor juridice cu diverse forme de

activitate, cetăţeni)

Persoanele împuternicite ale

centrelor de certificare a cheilor

publice de nivelul trei

Certificate ale

service-urilor

Persoanei fizice

Persoanei fizice

Gestionarea service-

ului

Administrarea

service-ului

Administratorii dispozitivelor (fizice şi

logice)

Persoane juridice cu diverse forme de

activitate ce prestează servicii de non-

repudiere.

Tabelul 2. Utilizatorii serviciilor prestate de Centrul de certificare.

Prin utilizatori finali se subînţeleg:

abonaţi – utilizatori finali, ale căror date personale de identificare sunt

înscrise în câmpul Subject al certificatului cheii publice şi care nu eliberează

certificate ale cheilor publice altor persoane;

părţi de încredere – utilizatori finali, care folosesc certificatele cheilor

publice ale abonatilor în scop de verificare a semnăturii digitale a abonatului sau în

scop de asigurare a securităţii informaţiei transmise.

Orice persoană fizică sau juridică, inclusiv dispozitivul (fizic sau logic) al

acestora, poate deveni Abonat al Centrului de certificare.

Abonatul se adresează personal în Centrul de certificare după serviciile

corespunzătoare.

Instituţiile, ce doresc să procure certificate ale cheilor publice pentru

angajaţii săi, se pot adresa la Centrul de certificare prin reprezentantul împuternicit

(persoana responsabilă).



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 13 / 95

1.3.4 PĂRŢI DE ÎNCREDERE

Partea de încredere, ce foloseşte serviciile Centrului de certificare, poate fi

reprezentată de orice persoană, decizia căreia depinde de legătura directă între

identitatea abonatului şi cheia publică a acestuia (fapt confirmat de certificatul

cheii publice eliberat de Centrul de certificare).

Partea de încredere este responsabilă de verificarea statutului certificatului

abonatului, de verificarea semnăturii digitale în scop de identificare a sursei sau

autorului mesajului, sau pentru crearea canalului de comunicaţii securizat cu

titularul certificatului cheii publice. Reieşind din informaţia conţinută în câmpurile

certificatului cheii publice, partea de încredere verifică corectitudinea utilizării

certificatului cheii publice după destinaţie şi în conformitate cu restricţiile

menţionate în certificat.

1.3.5 ALTE SERVICII

Centrul de certificare prestează şi alte servicii, cum ar fi:

accesul public la repozitoriu;

serviciul de marcare temporală (Time-Stamping Authority);

serviciul de verificare în regim de timp real a statutului certificatului cheii

publice (Online Certificate Status Protocol – OCSP);

serviciul de aplicare a semnăturii digitale prin intermediul aplicaţiei web,

serviciul de aplicare a semnăturii digitale prin intermediul aplicaţiei desktop,

serviciul de aplicare şi/sau verificare automatizată a semnăturii digitale;

serviciul MobileSignature.

1.4 APLICABILITATE

Prezentul CPP se aplică tuturor participanţilor la infrastructura cheilor

publice a Centrului de certificare, inclusiv Centrului de certificare, Centrului de

înregistrări, abonaţilor şi părţilor terţe de încredere. Prezentul CPP descrie regulile

stabilite în procesul de utilizare a certificatelor cheilor publice, emise de Centrul de

certificare.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 14 / 95

1.4.1 APLICABILITATEA CERTIFICATULUI CHEII PUBLICE

Certificatele cheilor publice, emise de Centrul de certificare, permit părţilor

terţe de încredere, participanţilor în procesul de comunicare electronică să verifice

semnăturile digitale ale abonaţilor. În conformitate cu legislaţia în vigoare

semnătura digitală sau orice tranzacţie, ce ţine de certificatul cheii publice emis de

Centrul de certificare, va fi considerată validă, indiferent de locul unde a fost emis

certificatul cheii publice sau a fost creată/utilizată semnătura digitală şi indiferent

de locul unde Centrul de certificare sau utilizatorul semnăturii digitale îşi

desfăşoară activitatea.

Domeniul de aplicabilitate a certificatelor cheilor publice se determină de

două elemente:

aplicarea certificatului (e.g., pentru verificarea semnăturii digitale, pentru

asigurarea confidenţialităţii, etc. în restricţiile menţionate în certificat);

lista sau descrierea aplicaţiilor ce permit sau interzic utilizarea certificatului.

Certificatele cheilor publice, emise de Centrul de certificare, pot fi utilizate

în aplicaţii, ce corespund următoarelor cerinţe:

administrează perechea de cheii publică şi privată;

utilizează certificatele şi cheile publice corespunzătoare după destinaţia lor;

dispun de mecanisme interne de verificare a statutului certificatului, de

creare a lanţului de certificare şi verificare a valabilităţii

certificatului/semnăturii digitale;

propun utilizatorului informaţia corespunzătoare despre certificate şi

statutele acestora.

1.4.2 RESTRICŢII DE APLICABILITATE A CERTIFICATELOR

CHEILOR PUBLICE

Utilizarea certificatelor cheilor publice, emise de Centrul de certificare, nu

este limitată la un anumit mediu de afaceri, cum ar fi sistemul serviciilor

financiare sau un mediu de piaţă virtuală. Cu toate acestea, Centrul de certificare

sau alţi participanţi la infrastructura cheilor publice nu poartă răspundere pentru



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 15 / 95

monitorizarea sau stabilirea cărorva restricţii de aplicabilitate a certificatului cheii

publice în aceste medii.

Este interzisă utilizarea certificatelor în aplicaţiile ce nu sunt incluse în lista

sus-menţionată şi nu corespund cerinţelor, înaintate în p.1.4.1 al CPP.

Unele certificate ale cheilor publice, emise de Centrul de certificare, au

restricţii de utilizare. De exemplu, certificatele cheilor publice ale persoanelor

împuternicite ale centrelor de certificare nu pot fi utilizate decât pentru semnarea

certificatelor cheilor publice ale utilizatorilor semnăturii digitale, a listei

certificatelor revocate. Certificatele cheilor publice ale utilizatorilor se supun

aplicaţiilor clienţilor şi nu sunt utilizate drept certificate pentru servicii. De

asemenea, certificatele administratorilor se utilizează doar pentru executarea

atribuţiilor funcţionale de administrator.

În ce priveşte certificatele cheilor publice, emise de Centrul de certificare, ce

corespund recomandării X.509 v3 The Directory: Public-key and attribute

certificate framework, utilizarea cheii este restricţionată de obiectivele cu caracter

tehnic, pentru care se utilizează cheia privată, corespunzătoare cheii publice

certificate. Certificatele cheilor publice ale utilizatorilor finali nu pot fi utilizate

drept certificate ale Centrului de certificare. Alte restricţii de aplicabilitate a

certificatelor cheilor publice sunt determinate de însuşi utilizatori şi se înscriu în

câmpurile corespunzătoare ale certificatului.

Certificatele cheilor publice se utilizează doar conform câmpurilor, stabilite

la crearea lor, şi în conformitate cu legislaţia în vigoare.

1.5 ADMINISTRAREA CODULUI DE PRACTICI ŞI PROCEDURI

1.5.1 INSTITUŢIA ADMINISTRATOARE A CODULUI DE PRACTICI ŞI

PROCEDURI

Întreprinderea este persoana juridică responsabilă pentru elaborarea,

înregistrarea, aplicarea şi modificarea ulterioară a CPP al Centrului de certificare.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 16 / 95

1.5.2 DATE DE CONTACT

Întrebări cu privire la prezentul CPP puteţi adresa la următoarea adresă:

Î.S. “Centrul de telecomunicaţii speciale”

Republica Moldova,

or. Chişinău,

Piaţa Marii Adunări naţionale, 1,

MD – 2033,

Telefon/fax: (+373) 22 250522

E-mail: [email protected]

1.5.3 PROCEDURA DE COORDONARE ŞI APROBARE A CODULUI DE

PRACTICI ŞI PROCEDURI

Prezentul Cod este publicat în formă electronică în Repozitoriul Centrului de

certificare (http://pki.сts.md).

Modificarea prevederilor acestui Cod este rezultatul depistării erorilor, al

actualizării sau al propunerilor parvenite de la utilizatorii semnăturii digitale.

Propunerile cu privire la modificările Codului se primesc prin poşta electronică sau

pe adresa Centrului de certificare.

După fiecare modificare, introdusă în Cod, se schimbă identificatorul lui.

Modificările se fac de Centrul de certificare sub formă de documente ce

conţin acele modificări sau actualizări.

Centrul de certificare îşi asumă dreptul de a introduce modificări în

prezentul CPP fără notificarea utilizatorilor semnăturii digitale în compartimentele

ce ţin de greşeli de redactare, schimbarea URL-ului şi a datelor de contact.

mailto:[email protected]

http://pki.сts.md/



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 17 / 95

Centrul de certificare va introduce modificări în prezentul Cod cu notificarea

persoanelor interesate.

Modificări esenţiale, însoţite de notificări, sunt cele ce schimbă esenţa

prevederilor prezentului Cod şi sunt determinate de Centrul de certificare.

Toate actualizările şi completările propuse în prezentul Cod sunt pe site-ul

http://pki.cts.md.

Centrul de certificare este deschis observaţiilor utilizatorilor semnăturii

digitale asupra CPP şi, în caz că acestea sunt acceptabile, vor trece procedura de

aprobare în conformitate cu secţiunea dată.

În cazuri excepţionale, dacă Centrul de certificare consideră că modificările

au un caracter urgent, în scop de prevenire sau de stopare a încălcării securităţii

infrastructurii cheii publice, Centrul de certificare are dreptul de a formula astfel

de modificări, publicându-le în Repozitoriul Centrului de certificare.

Termenul pentru depunerea obiecţiilor şi comentariilor cu privire la

modificările propuse ale prevederilor prezentului CPP este de cincisprezece (15)

zile din momentul publicării lor pe site-ul Centrului de certificare.

Vor fi luate în consideraţie toate obiecţiile şi comentariile şi:

modificările propuse vor intra în vigoare fără rectificări,

modificările vor fi supuse rectificărilor şi vor fi republicate ca rectificări

noi, în conformitate cu prezenta secţiune,

modificările propuse vor fi şterse.

Modificările propuse, cu excepţia celor şterse, intră în vigoare din momentul

expirării termenului pentru depunerea obiecţiilor şi comentariilor.

Aprobarea CPP este o procedură internă a Întreprinderii şi are loc conform

regulilor stabilite la Întreprindere.

2. REPOZITORIUL ŞI PUBLICAREA

2.1 REPOZITORIUL CENTRULUI DE CERTIFICARE

Repozitoriul Centrului de certificare este sursa informaţională de bază a

Centrului de certificare şi reprezintă totalitatea datelor, accesibile public, sub formă

de documente pe suport de hârtie şi documente electronice.

http://pki.cts.md/



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 18 / 95

În Repozitoriu sunt stocate certificatele cheilor publice, emise de Centrul de

certificare, şi informaţia suplimentară cu privire la funcţionarea corectă a

infrastructurii (CRL, prezentul CPP, etc.).

2.2 PUBLICAREA INFORMAŢIEI DESPRE CERTIFICATELE CHEILOR

PUBLICE

Repozitoriul Centrului de certificare este o interfaţă publică ce conţine

următoarea informaţie:

versiunile actuale ale Codului de practici şi proceduri, ale Politicilor de

certificare;

contracte-tip şi anexe, ce urmează a fi semnate cu utilizatorii semnăturii

digitale;

declaraţia cu privire la confidenţialitatea informaţiei primite şi prelucrate;

lista centrelor de înregistrări împuternicite;

Registrul în care se conţin:

o certificatele cheilor publice ale abonaţilor;

o certificatele cheilor publice ale persoanelor împuternicite ale centrelor

de certificare de nivelul trei;

o lista certificatelor revocate;

altă informaţie ce se modifică în timp real.

Cu conţinutul Repozitoriului a se lua cunoştinţă pe https://pki.cts.md.

2.3 FRECVENŢA DE PUBLICARE

Informaţia, publicată în Repozitoriul Centrului de certificare, se actualizează

în următorul mod:

Politicile de certificare şi Codul de practici şi proceduri – la introducerea

modificărilor în caz de depistare a erorilor, modificare a standardelor

corespunzătoare sau la propunerile abonaţilor;

contractele-tip şi anexele – după introducerea modificărilor;

https://pki.cts.md/



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 19 / 95

certificatele cheilor publice ale persoanelor împuternicite ale Centrului de

certificare – după primirea noilor certificate;

certificatele abonaţilor – după eliberarea noului certificat în baza acordului

în scris al abonatului;

lista certificatelor revocate – a se vedea Secţiunea 4.9.7;

informaţie suplimentară – la fiecare completare.

2.4 CONTROLUL ACCESULUI LA REPOZITORIU

Informaţia, publicată în Repozitoriul Centrului de certificare, este informaţie

publică. Întreprinderea a implementat măsuri de securitate fizică şi logică pentru a

preveni adăugarea, ştergerea sau schimbarea informaţiei publicate în Repozitoriul

Centrului de certificare.

3. IDENTIFICAREA ŞI AUTENTIFICAREA

3.1 NUME

3.1.1 TIPURI DE NUME

Certificatele cheilor publice, emise de Centrul de certificare, corespund

cerinţelor standardului ITU-T X.509, versiunea 3, standardului SMV ISO CEI



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 20 / 95

9594-8:2007 Information technology. Open Systems Interconnection. The

Directory: Public-key and attribute certificate frameworks sau IETF RFC 5280

Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation

List (CRL) Profile.

Certificatele cheilor publice, emise de Centrul de certificare, conţin nume

caracteristice X.501 (cunoscut ca standard ISO/IEC 9594-2) în câmpurile

emitentului şi subiectului.

Structurile certificatelor cheilor publice ale persoanelor împuternicite şi ale

utilizatorilor semnăturii digitale sunt prezentate în anexele № 1 şi 2 la Normele

tehnice în domeniul semnăturii digitale, aprobate prin Ordinul directorului

Serviciului de Informaţii şi Securitate al Republicii Moldova nr. 64 din 07.12.2006

(Monitorul Oficial № 112-116/481 din 03.08.2007) (în continuare – Norme

tehnice).

3.1.2 NUMELE CARACTERISTICE

Numele ce se conţin în certificatele cheilor publice, emise de Centrul de

certificare abonaţilor, trebuie să fie cu sens şi să identifice persoana fizică drept

subiect de certificare. Nu se acceptă utilizarea pseudonimelor.

Numele „distinguished name” (DN) constă din câmpuri obligatorii ce

corespund Normelor tehnice, recomandărilor RFC 5280 Internet X.509 Public

Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile şi

X.520 The Directory: Selected attribute types.

Numele, utilizate pentru crearea înscrierilor DN în certificatele abonaţilor, se

scriu în grafia latină cu utilizarea simbolurilor diacritice.

În cazul persoanelor juridice DN constă din următoarele câmpuri obligatorii:

a) SerialNumber -- IDNP-ul abonatului;

b) câmpul CN – numele, prenumele abonatului;

c) câmpul L – localitatea;

d) câmpul S – statul;

e) câmpul ОU – subdiviziunea persoanei juridice în care activează abonatul;



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 21 / 95

f) câmpul О – denumirea, IDNO-ul persoanei juridice, în care activează

abonatul;

g) câmpul Phone – numărul de telefon al abonatului;

h) câmpul Т – funcţia abonatului;

i) câmpul С – codul internaţional al statului (pentru Republica Moldova acesta

este MD);

j) câmpul Е – adresa de e-mail a abonatului;

k) câmpul STREET – adresa juridică a persoanei juridice.

În cazul persoanelor fizice DN constă din următoarele câmpuri obligatorii:

l) SerialNumber -- IDNP-ul abonatului;

m) câmpul CN – numele, prenumele abonatului;

n) câmpul L – localitatea;

o) câmpul S – statul;

p) câmpul Phone – numărul de telefon al abonatului (opţional);

q) câmpul С – codul internaţional al statului (pentru Republica Moldova acesta

este MD);

r) câmpul Е – adresa de e-mail a abonatului.

Datele indicate de abonat sunt verificate şi identificate de administratorul

înregistrări. Centrul de certificare garantează unicitatea numelor în cadrul

domeniului său.

3.1.3 ANONIMATUL SAU PSEUDONIMELE ABONAŢILOR

Anonimatul şi pseudonimele abonaţilor nu se aplică.

3.1.4 REGULILE DE INTERPRETARE A DIFERITOR FORME DE NUME

Interpretarea diferitor forme de nume ale certificatelor cheilor publice se

bazează pe profilurile certificatelor, expuse în §7 al prezentului CPP. Pentru

crearea şi interpretarea DN se folosesc recomandările expuse în Secţiunea 3.1.2.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 22 / 95

3.1.5 UNICITATEA NUMELOR

În scopul identificării utilizatorului certificatele cheilor publice, emise de

Centrul de certificare, sunt legalizate în conformitate cu DN.

Centrul de certificare asigură unicitatea certificatului abonatului în cadrul

domeniului Centrului de certificare prin intermediul unicităţii numărului de serie al

fiecărui certificat şi a unicităţii codului numeric personal al abonatului (IDNP).

3.1.6 RECUNOAŞTEREA ŞI ROLUL MĂRCILOR COMERCIALE

Centrul de certificare posedă marca sa comercială înregistrată, ce constă din

imaginea grafică şi inscripţie:

Imaginea grafică şi inscripţia reprezintă mărci comerciale înregistrate ale

Întreprinderii şi nu pot fi utilizate de nimeni fără permisiunea în scris a

Întreprinderii.

Marca comercială a Centrului de certificare este un element suplimentar al

logotipului pentru fiecare Centru de înregistrări, ce intră în componenţa domeniului

Centrului de certificare; dreptul de utilizare a acestui logotip este permis automat

noului Centru de înregistrări.

3.2 ÎNREGISTRAREA

Înregistrarea abonatului constă din proceduri ce permit Centrului de

certificare primirea şi verificarea veridicităţii datelor prezentate.

Înregistrarea are loc în caz când solicitantul pentru certificarea cheii publice

nu a fost abonat al Centrului de certificare. Înregistrarea presupune un şir de



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 23 / 95

proceduri pentru colectarea datelor veridice necesare la identificarea persoanei

abonatului.

Fiecare abonat este supus procedurii de înregistrare o singură dată. După

verificarea datelor pentru certificare, prezentate de către solicitant, acesta este

inclus în lista abonaţilor Centrului de certificare.

Depunerea pachetului de documente pentru certificarea cheii publice este

anticipată de consultarea şi executarea paşilor expuşi în instrucţinea de pe site-ul

Centrului de certificare https://pki.cts.md.

3.2.1 AUTENTIFICAREA PERSOANELOR JURIDICE

Identificarea persoanei juridice are drept scop:

dovada că la momentul depunerii cererii pentru certificarea cheii publice

persoana juridică, menţionată în cerere, există;

dovada că solicitantul pentru certificarea cheii publice este persoană

împuternicită din cadrul persoanei juridice menţionate.

Procedura de identificare are loc în caz că persoana juridică:

are rol de abonat prin intermediul persoanei sale împuternicite;

solicită eliberarea certificatului pentru echipament sau pentru mijloace de

program, posesorul cărora este;

crează centru de certificare de nivelul trei în infrastructura cheilor publice a


Identificarea persoanei juridice are loc în prezenţa reprezentantului

împuternicit al persoanei juridice în faţa administratorului înregistrări. Pachetul de

documente depus are următorul conţinut:

copia extrasului din Registrul de Stat al persoanelor juridice,

copiile actului ce identifică identitatea reprezentantului împuternicit (emis de

o autoritate de încredere şi recunoscut pe teritoriul Republicii Moldova) şi a

actului ce confirmă împuternicirea acestuia.

Administratorul înregistrări identifică persoana juridică conform

prevederilor Instrucţiunii administratorului înregistrări.

https://pki.cts.md/



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 24 / 95

Dacă persoana juridică utilizează certificatele emise de Centrul de

certificare, procedura de identificare pentru certificarea noii perechi de chei are loc

în baza pachetului de documente depus anterior.

3.2.2 AUTENTIFICAREA PERSOANELOR FIZICE

Identificarea persoanelor fizice are drept scop:

dovada că informaţia, prezentată în cererea pentru certificare, se referă la

persoana fizică în cauză;

dovada că solicitantul pentru certificarea cheii publice este o persoană fizică,

identificată în cerere.

Identificarea persoanelor fizice are la bază actele ce identifică persoana

solicitantă. Procedura de identificare, desfăşurată de administratorul înregistrări,

constă în:

verificarea autenticităţii actelor prezentate de solicitant, inclusiv în bazele

de date ale Centrului de certificare şi ale centrelor de înregistrări;

verificarea autenticităţii cererii:

o verificarea corespunderii datelor indicate în cerere cu cele din

documente;

o verificarea corespunderii numelui distinctiv;

Administratorul înregistrări identifică persoana fizică conform prevederilor

Instrucţiunii administratorului înregistrări.

Acţiunile ulterioare ale administratorului înregistrări sunt similare celor din

procedura de autentificare a persoanei juridice.

3.2.3 AUTENTIFICAREA ECHIPAMENTULUI (FIZIC SAU LOGIC)

Autentificarea echipamentului (fizic sau logic) are loc similar procedurii de

autentificare a persoanei juridice.

3.3 IDENTIFICAREA ŞI AUTENTIFICAREA LA SOLICITAREA

CERTIFICĂRII NOII PERECHI DE CHEI

Autentificarea identităţii abonatului care depune cererea pentru certificarea

noii perechi de chei sau pentru modificarea cărorva date din certificatul cheii



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 25 / 95

publice valid are loc conform prevederilor Instrucţiunii administratorului

înregistrări.

3.3.1 AUTENTIFICAREA LA CERTIFICAREA NOII PERECHI DE CHEI

ÎN CAZUL EXPIRĂRII PERIOADEI DE VALABILITATE A

CERTIFICATULUI

Procedura de certificare a noii perechi de chei pentru abonaţii Centrului de

certificare, ale căror certificate valide expiră, are loc în momentul depunerii cererii

pentru certificare cu cel puţin 30 zile pînă la expirarea perioadei de valabilitate.

Certificatul, emis de Centrul de certificare pentru noua pereche de chei,

conţine aceeaşi parametri ca şi cel a cărui perioadă de valabilitate expiră, cu

excepţia numărului de serie, a perechii de chei şi a perioadei de valabilitate a

certificatului.

Abonaţii Centrului de certificare, care depun cererile pentru certificarea noii

perechi de chei sub formă de document electronic, sunt identificaţi în baza

semnăturii digitale şi a certificatului cheii publice valid.

3.3.2 AUTENTIFICAREA ÎN CAZUL INTRODUCERII MODIFICĂRILOR

ÎN CERTIFICATUL VALID

Modificări în certificatul cheii publice valid al abonatului se fac în cazul

necesităţii modificării măcar a unui câmp (e.g., la schimbarea funcţiei abonatului, a

informaţiei de contact, a adresei electronice, a adresei juridice, a numelui la

casătorie, divorţ, etc.).

La fel se modifică perechea de chei certificată şi numărul de serie al

certificatului. Autentificarea abonatului are loc în baza pachetului de documente

depus anterior, iar introducerea modificărilor – în baza documentului ce atestă

modificarea datelor abonatului.

3.3.3 AUTENTIFICAREA ÎN CAZUL CERTIFICĂRII PERECHII NOI DE

CHEI DUPĂ REVOCAREA CERTIFICATULUI



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 26 / 95

Nu este permisă certificarea noii perechi de chei a abonatului după revocarea

certificatului dacă:

cauza revocării a fost eliberarea certificatului dat altei persoane, decât cea

indicată în câmpul Subject (subiectul certificării);

certificatul dat a fost eliberat fără permisiunea persoanei -- subiect al

certificării;

administratorii certificare sau înregistrări află sau au temei de a presupune că

informaţia, înscrisă în cererea pentru certificare, nu este veridică.

La schimbarea certificatelor cheilor publice revocate autentificarea are loc

conform procedurii de autentificare la înregistrarea iniţială a utilizatorului

semnăturii digitale (a se vedea Secţiunea 3.2 a CPP).

3.4 IDENTIFICAREA ŞI AUTENTIFICAREA LA DEPUNEREA CERERII

PENTRU REVOCAREA CERTIFICATULUI

În cazul compromiterii cheii private abonatul este obligat, în modul stabilit

de CPP, să anunţe Centrul de certificare despre aceasta, solicitînd ulterior prin

cerere revocarea certificatului cheii publice (a se vedea Secţiunea 4.9 Revocarea şi

suspendarea certificatului).

Cererea pentru revocare se depune ca document pe suport de hârtie, semnată

olograf de către solicitant.

În cazul persoanei fizice identitatea solicitantului se stabileşte prin propria

prezenţă în faţa administratorului înregistrări în baza buletinului de identitate, iar în

cazul persoanei juridice – în baza documentelor parvenite din partea acesteia.

În cazurile determinate de Cod administratorii Centrului de certificare au

dreptul unilateral să revoce certificatele cheilor publice ale utilizatorilor.

4. CERINŢE FAŢĂ DE GESTIONAREA CICLULUI DE VIAŢĂ

AL CERTIFICATULUI

Centrul de certificare îndeplineşte următoarele proceduri:



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 27 / 95

a) certificarea cheii publice a persoanei împuternicite a Centrului de certificare

în Centrul de certificare de nivel superior (conform procedurii stabilită în

Regulamentul Centrului de certificare de nivel superior);

b) certificarea cheii publice a persoanei împuternicite a centrului de certificare

de nivelul trei;

c) certificarea cheii publice a solicitantului pentru certificarea cheii publice;

d) certificarea cheii publice a mijloacelor de program şi a echipamentului;

e) suspendarea şi restabilirea validităţii certificatului cheii publice;

f) revocarea certificatului cheii publice;

g) confirmarea autenticităţii şi validităţii certificatului cheii publice;

h) aplicarea mărcii temporale (TSA);

i) confirmarea statutului certificatului cheii publice în regim de timp real

(OCSP);

j) punerea la dispoziţie a listei certificatelor revocate (CRL);

k) realizarea acţiunilor necesare pentru emiterea certificatelor SSL de către alte

autorităţi de certificare în beneficiul solicitantului.

Fiecare procedură începe cu pregătirea pachetului de documente pentru

prestarea unui anumit serviciu, stabilit de Centrul de certificare, şi depunerea

acestuia de către abonat la centrul de înregistrări sau direct la Centrul de

certificare.

4.1 CEREREA PENTRU CERTIFICARE

Pentru certificarea cheii publice solicitantul depune la Centrul de certificare

pachetul de documente ce conţine:

a) cererea pentru certificarea cheii publice sub formă de document pe suport de

hîrtie, semnat cu semnătura olografă;

b) copia buletinului de identitate;

c) purtătorul material al certificatului cheii publice sub formă de document

electronic, ce satisface cerinţele impuse de organul competent (a se vedea

Normele tehnice în domeniul semnăturii digitale).

Persoana juridică suplimentar depune:

d) cererea centralizată, semnată de conducătorul persoanei juridice, ce conţine

lista cu numele şi prenumele, funcţia angajaţilor, cheile publice ale cărora

urmează a fi certificate, numărul cererii de certificare şi idnp-ul angajatului;

e) copia extrasului din Registrul de Stat al persoanelor juridice;

f) copia actului privind numirea persoanei împuternicite



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 28 / 95

În cazul persoanei împuternicite a centrului de certificare de nivelul trei pachetul

de documente mai conţine:

g) certificatul de înregistrare a centrului de certificare de nivelul trei;

h) ordinul conducătorului centrului de certificare de nivelul trei cu privire la

numirea persoanei împuternicite a centrului.

Cererea pentru certificarea cheii publice este depusă personal de solicitant la

Centrul de certificare sau la centrele de înregistrări. Cererea este creată de

solicitant la completarea formularului electronic pe site-ul centrului de certificare

(https://pki.cts.md). Cererea este printată, semnată cu semnătura olografă şi depusă

sub formă de document pe suport de hîrtie.

Cererea pentru certificarea cheii publice trebuie să conţină:

a) numele şi familia solicitantului, IDNP, numărul documentului ce atestă

identitatea;

b) informaţie de contact (numărul de telefon, adresa poştală, adresa poştei

electronice);

c) denumirea persoanei juridice, al cărei angajat este, IDNO, funcţia deţinută

(în caz de necesitate);

d) alte date de identificare ale persoanei în dependenţă de scopurile pentru care

este eliberat certificatul cheii publice.

4.1.1 ENTITĂŢI CARE POT DEPUNE CERERE PENTRU CERTIFICARE

Cererile pot fi depuse de diverşi solicitanţi şi pot conţine solicitări pentru

diverse tipuri de certificate (în dependenţă de necesităţi – a se vedea Tabelul 2).

4.1.2 ÎNREGISTRAREA CERERII PENTRU CERTIFICARE

Solicitantul, care satisface toate condiţiile prevăzute în Cod, este înregistrat de

către administratorul înregistrări. În caz contrar, administratorul înregistrări refuză

înregistrarea solicitantului pentru certificare şi restituie solicitantului pachetul de

documente depus pentru înlăturarea cauzelor ce au servit temei de refuz.

După înregistrarea solicitantului pentru certificare administratorul înregistrări

transmite administratorului certificare cererea pentru certificarea cheii publice pe

suport de hîrtie, înregistrată şi semnată cu semnătura sa olografă, şi documentele

ataşate acesteia.

https://pki.cts.md/



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 29 / 95

4.2 PRELUCRAREA CERERILOR PENTRU CERTIFICARE

Fiecare cerere pentru certificare este prelucrată în următorul mod:

administratorul înregistrări primeşte cererea pentru certificare de la abonat;

administratorul înregistrări verifică datele din cerere;

ca urmare a verificării administratorul înregistrări confirmă corespunderea

datelor, conţinute în cerere, prin semnătura sa aplicată pe cerere;

cererea confirmată şi documentele ataşate se transmit administratorului

certificare.

4.2.1 REALIZAREA AUTENTIFICĂRII ŞI IDENTIFICĂRII

Administratorul înregistrări al Centrului de certificare identifică solicitantul

în baza documentelor depuse şi realizează verificarea prealabilă în conformitate cu

Instrucţiunea administratorului înregistrări.

În procesul verificării prealabile administratorul înregistrări trebuie să

constate respectarea următoarelor condiţii:

a) respectarea de către solicitant a legislaţiei în vigoare în domeniul semnăturii

digitale la întocmirea şi depunerea cererii pentru certificarea cheii publice;

b) respectarea de către solicitant a drepturilor persoanelor terţe la întocmirea şi

depunerea cererii pentru certificarea cheii publice;

c) autenticitatea informaţiei prezentate în cererea pentru certificarea cheii

publice.

4.2.2 ACCEPTAREA SAU REFUZUL CERERII PENTRU CERTIFICARE

La primirea pachetului de documente de la administratorul înregistrări

administratorul certificare efectuează următoarele proceduri:

a) compară cererea cu baza de date existentă a utilizatorilor (abonaţilor)

înregistraţi;

b) verifică autenticitatea cererii (semnătura administratorului înregistrări);

c) verifică corespunderea cererii (sintaxa şi conţinutul);

d) verifică împuternicirile solicitantului de a depune cerere pentru certificare;

e) înscrie procedurile efectuate în baza de date şi în registrele de sistem.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 30 / 95

În cazul depistării încălcărilor legislaţiei în domeniul semnăturii digitale

administratorul certificare ia decizia de refuz a certificării cheii publice, indicînd

motivul refuzului.

Decizia de refuz a certificării cheii publice poate fi atacată în organul

competent sau în instanţa de judecată şi nu serveşte temei pentru depunerea

repetată a cererii după înlăturarea cauzelor ce au servit motive pentru refuz.

4.2.3 TIMPUL DE PRELUCRARE A CERERII PENTRU CERTIFICARE

Timp de 3 zile lucrătoare din data înregistrării cererii administratorul

certificare ia decizia de certificare a cheii publice a solicitantului.

4.3 ELIBERAREA CERTIFICATULUI

După primirea şi prelucrarea cererii pentru certificare (a se vedea Secţiunile

4.1 şi 4.2), în cazul deciziei pozitive de certificare administratorul certificare

certifică cheia publică a solicitantului sub formă de document electronic, iar pentru

persoanele împuternicite ale centrelor de certificare de nivelul trei şi sub formă de

document pe suport de hîrtie în două exemplare, în conformitate cu Capitolul 7 al

Codului.

Certificatul cheii publice ca document pe suport de hîrtie se eliberează

abonatului doar la solicitarea acestuia.

Certificatul cheii publice a abonatului sub formă de document electronic

trebuie să corespundă standardului ISO/IEC 9594/8 Directory Services,

standardului Uniunii Internaţionale a Telecomunicaţiilor ITU-T X.509, versiunea

3, şi recomandării IETF (Internet Engineering Task Force) RFC 5280 (RFC 2459)

Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation

List (CRL) Profile, RFC 4210 Internet X.509 Public Key Infrastructure Certificate

Management Protocol (CMP), RFC 4211 Internet X.509 Public Key Infrastructure

Certificate Request Message Format (CRMF).

Conţinutul certificatului cheii publice a abonatului este determinat de

Normele tehnice în domeniul semnăturii digitale. Certificatul cheii publice sub formă de document pe suport de hîrtie în două

exemplare este semnat cu semnăturile olografe de către persoana împuternicită a



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 31 / 95

Centrului de certificare şi titularul certificatului şi legalizat cu ştampila

Întreprinderii şi a persoanei juridice respective.

Titularului certificatului cheii publice i se eliberează:

a) purtătorul material, ce conţine:

certificatul cheii publice a abonatului;

certificatul cheii publice a persoanei înputernicite a Centrului de

certificare;

certificatul cheii publice a persoanei înputernicite a Centrului de

certificare de nivel superior.

Persoanei împuternicite a centrului de certificare de nivelul 3 i se eliberează,

suplimentar:

b) un exemplar al certificatului cheii publice sub formă de document pe suport

de hîrtie, semnat şi legalizat cu ştampile;

c) copia certificatului cheii publice a persoanei împuternicite a Centrului de

certificare sub formă de document pe suport de hîrtie;

d) documentul pe suport de hîrtie ce conţine datele de identificare ale titularului

certificatului cheii publice şi fraza-cheie pentru autentificare la distanţă

(parola).

Certificatul cheii publice se eliberează titularului personal pe purtătorul

material în prezenţa sa fizică în Centrul de certificare şi prin poşta electronică cu

confirmarea recepţionării mesajului. În cazul persoanei juridice acesta este

transmis titularului prin intermediul persoanei împuternicite.

Perioada de valabilitate a certificatului cheii publice a abonatului corespunde

Normelor tehnice în domeniul semnăturii digitale.

4.3.1 ACŢIUNILE ADMINISTRATORULUI CERTIFICARE ÎN

PROCESUL DE GENERARE A CERTIFICATULUI CHEII PUBLICE

Fiecare certificat este eliberat în regim de timp real (on-line). Procedura de

eliberare este următoarea:

prin operaţii de testare şi determinare a corespunderii cheillor cu standardele

PKI în Centrul de certificare este verificată calitatea cheilor publice obţinute,

cererea în format electronic (request) este trimisă serverului ce eliberează

certificatul,

este verificată informaţia din cerere,

dacă informaţia corespunde cerinţelor, procedura se termină cu succes,

serverul emite certificatul şi trimite modulului hardware de securitate



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 32 / 95

(Hardware Security Module - HSM) să semneze certificatul; certificatul este

plasat în registrul certificatelor cheilor publice al Centrului de certificare,

Centrul de certificare pregăteşte răspunsul ce conţine certificatul emis (în

cazul emiterii lui) şi îl transmite abonatului.

4.3.2 NOTIFICAREA ABONATULUI DESPRE EMITEREA

CERTIFICATULUI

Centrul de certificare notifică abonatul despre emiterea certificatului cheii

publice prin intermediul poştei electronice sau a apelului telefonic.

Fiecare certificat emis este publicat în Repozitoriul Centrului de certificare.

4.4 ACCEPTAREA CERTIFICATULUI

4.4.1 ACŢIUNEA CE SEMNIFICĂ ACCEPTAREA CERTIFICATULUI

La primirea certificatului cheii publice abonatul verifică conţinutul acestuia

în raport cu corectitudinea reprezentării datelor din cererea pentru certificare.

Dacă abonatul depistează necorespunderi, el trebuie să anunţe imediat

Centrul de certificare. În acest caz valabilitatea certificatului este anulată (această

procedură este echivalentă cu revocarea certificatului la solicitarea abonatului).

Dacă în decursul a 3 (trei) zile din momentul primirii certificatului de la

abonat nu parvin obiecţii, primirea şi instalarea certificatului de către abonat se

consideră realizată cu succes.

4.4.2 PUBLICAREA CERTIFICATULUI DE CĂTRE CENTRUL DE

CERTIFICARE

Fiecare certificat al cheii publice eliberat este publicat în Repozitoriul


4.4.3 NOTIFICAREA ALTOR PERSOANE DESPRE ELIBERAREA

CERTIFICATULUI ABONATULUI



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 33 / 95

Publicarea certificatului cheii publice în Repozitoriul Centrului de certificare

este echivalentă notificării părţilor interesate despre faptul că certificatul

abonatului a fost emis şi abonatul este utilizator autorizat al domenului Centrului

de certificare.

4.5 CHEILE PRIVATĂ ŞI PUBLICĂ ŞI UTILIZAREA CERTIFICATULUI

4.5.1 CHEIA PRIVATĂ A ABONATULUI ŞI UTILIZAREA

CERTIFICATULUI

Abonatul foloseşte cheia sa privată şi certificatul cheii publice:

în conformitate cu destinaţia acestora, stabilită de prevederile Codului şi

restricţiile stipulate în certificatul cheii publice (câmpurile keyUsage şi

enhancedKeyUsage),

în conformitate cu contractul de prestări servicii dintre abonat şi Centrul de

certificare,

doar în perioadele valabilităţii lor.

În intervalul de timp cît perioada de valabilitate a certificatului cheii publice

este suspendată utilizarea cheii private pentru crearea semnăturii digitale este

interzisă.

4.5.2 CHEIA PUBLICĂ A ABONATULUI ŞI UTILIZAREA

CERTIFICATULUI DE PARTEA DE ÎNCREDERE

Partea de încredere utilizează cheia publică şi certificatul cheii publice a

abonatului:

în conformitate cu destinaţia acestora, stabilită de prevederile Codului şi

restricţiile stipulate în certificatul cheii publice (câmpurile keyUsage şi

enhancedKeyUsage);

doar după verificarea statutului certificatului şi verificarea semnăturii

digitale a Centrului de certificare, emitentul certificatului abonatului;

doar în perioadele de valabilitate ale acestora.

În intervalul de timp cît perioada de valabilitate a certificatului cheii publice este

suspendată partea de încredere nu poate utiliza cheia publică şi certificatul cheii

publice ale abonatului.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 34 / 95

4.6 REÎNNOIREA CERTIFICATULUI

Conform legislaţiei în vigoare reînnoirea certificatului nu este permisă.

4.7 REÎNNOIREA CHEILOR

Procedura de certificare la reînnoirea cheilor are loc în caz cînd abonatul

Centrului de certificare (deja utilizator înregistrat) solicită eliberarea unui nou

certificat. Certificarea noii perechi de chei este diferită de reînnoirea cheilor prin

faptul că:

certificarea noii perechi de chei nu este asociată cu certificatul valid şi este

utilizat de abonat pentru primirea unuia sau mai multor (de obicei

suplimentare) certificate;

reînnoirea cheilor se referă la un anumit tip de certificat, menţionat în cerere,

datele căruia se vor păstra complet în noul certificat (cu excepţia cheii

publice, a numărului de serie, a perioadei de valabilitate a certificatului, iar

în unele cazuri – şi a noii semnături a Centrului de certificare).

Reînnoirea cheilor la cererea abonatului are loc doar cu condiţia existenţei

certificatului valid şi a certificatelor anterior nerevocate.

Reînnoirea cheilor are loc conform §§ 3.3, 4.1 şi 4.2 din Cod, după care:

abonatul este notificat despre emiterea noului certificat al cheii publice cu

noul număr de serie;

abonatul acceptă certificatul cheii publice;

noul certificat este publicat în Repozitoriul Centrului de certificare.

4.8 INTRODUCEREA MODIFICĂRILOR ÎN CERTIFICAT



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 35 / 95

Introducerea modificărilor în certificatul cheii publice presupune schimbarea

certificatului valid pe unul nou în care o parte din date este modificată, inclusiv

cheia publică a abonatului.

Introducerea modificărilor în certificatul cheii publice are loc:

doar la cererea abonatului pentru a introduce modificări în certificatul ce-i

aparţine;

pentru certificatele cheilor publice valide ce nu au fost revocate.

Introducerea modificărilor în certificatul cheii publice are loc după aceeaşi

procedură ca şi reînnoirea cheilor în cazul cînd modificării sunt supuse datele de

contact ale abonatului (adresa poştală, adresa poştei electronice, numărul de

telefon).

În cazul modificării altor date (numele abonatului ca rezultat al căsătoriei, al

divorţului etc., subdiviziunii persoanei juridice sau a funcţiei, a restricţiilor de

utilizare a certificatului cheii publice) introducerea lor are loc conform §§ 4.1 şi 4.2

din Cod.

După eliberarea certificatului cu modificările de rigoare, certificatul vechi

este trecut în Lista certificatelor revocate. În cîmpul despre cauza revocării este

aleasă opţiunea affiliationChanged, ceea ce semnifică:

a) certificatul a fost revocat ca rezultat al modificărilor datelor conţinute în el;

b) terţele părţi nu au motiv de a considera cheia privată corespunzătoare ca

fiind compromisă.

Ca rezultat al procedurilor efectuate:

abonatul este notificat despre emiterea noului certificat al cheii publice cu

un nou număr de serie;

abonatul acceptă certificatul cheii publice;

noul certificat este publicat în Repozitoriul Centrului de certificare.

4.9 REVOCAREA ŞI SUSPENDAREA VALABILITĂŢII

CERTIFICATULUI



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 36 / 95

4.9.1 CAUZE PENTRU REVOCARE

Principala cauză de revocare a certificatului este pierderea controlului (sau

suspiciuni de pierdere a controlului) asupra cheii private ce aparţine abonatului,

sau încălcarea obligaţiunilor/cerinţelor Codului de către abonat.

Certificatul cheii publice se revocă în următoarele cazuri:

a) la introducerea modificărilor în certificatul cheii publice;

b) fapt stabilit de compromitere a cheii private;

c) rezilierea, de către abonat, a contractului de prestări servicii. Dacă abonatul

personal nu depune cerere de revocare a certificatului Centrul de certificare

sau reprezentantul împuternicit al abonatului (angajatorul abonatului)

iniţiază şi efectuează această procedură din numele lui;

d) la solicitarea titularului certificatului cheii publice;

e) la decizia Centrului de certificare (abonatul nu respectă prevederile Politicii

de certificare şi ale Codului sau condiţiile altor acte regulatorii, publicate de

Centrul de certificare);

f) la încetarea activităţii Centrului de certificare toate certificatele eliberate şi

publicate, cu perioada de valabilitate neexpirată, într-un termen specificat,

sunt revocate împreună cu certificatul Centrului de certificare;

g) abonatul reţine sau ignoră condiţia de achitare a serviciilor prestate de

certificare a cheilor publice;

h) încrederea faţă de gradul de fiabilitate a cheii private a Centrului de

certificare a fost subminată;

i) la concedierea abonatului – reprezentant al persoanei juridice, la cererea

abonatului sau a persoanei juridice;

j) la depistarea unor informaţii neveridice în cererea de certificare a cheii

publice sau în certificatul cheii publice;

k) la expirarea termenului pentru care a fost suspendată valabilitatea

certificatului cheii publice, dacă nu a fost luată decizia de restabilire a

valabilităţii certificatului;

l) la expirarea termenului de valabilitate a certificatului cheii publice.

Prin compromiterea cheii private se subînţelege:

apariţia accesului nesancţionat la cheia privată;

pierderea cheii private;

furtul cheii private;

ştergerea întîmplătoare a cheii private.

4.9.2 ENTITĂŢI CE POT SOLICITA REVOCAREA CERTIFICATULUI

Certificatul cheii publice a abonatului se revocă:



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 37 / 95

a) la cererea titularului certificatului cheii publice;

b) la cererea persoanei juridice – angajatorul abonatului;

c) la decizia Centrului de certificare (la cererea administratorului securitate);

d) la cererea Centrului de înregistrări în cazul existenţei informaţiei ce

confirmă revocarea certificatului.

4.9.3 PROCEDURILE DE REVOCARE A CERTIFICATULUI

Cererea de revocare a certificatului se depune prin una din următoarele

metode:

cererea se trimite în format electronic, semnată cu cheia privată valabilă,

sau prin telefon cu identificarea parolei; această metodă se foloseşte doar la

solicitarea titularului certificatului cheii publice ce urmează a fi revocat;

cererea se depune în format electronic, semnată cu semnătura digitală a

Centrului de înregistrări;

cererea se depune sub formă de document pe suport de hîrtie personal de

către abonat direct la Centrul de certificare.

Cererea de revocare a certificatului cheii publice a abonatului pe suport de

hîrtie reprezintă document semnat cu semnătura olografă a solicitantului şi, în caz

de necesitate, cu semnătura conducătorului centrului de certificare de nivelul trei

sau al persoanei juridice corespunzătoare.

Cererea de revocare a certificatului cheii publice a abonatului trebuie să

conţină:

a) datele de identificare ale abonatului;

b) numărul de serie al certificatului cheii publice ce urmează a fi revocat;

c) cauza revocării certificatului cheii publice;

d) data semnării cererii, semnăturile abonatului şi, în caz de necesitate, a

conducătorului centrului de certificare de nivelul trei sau al persoanei

juridice.

Procedura de revocare a certificatului cheii publice are loc astfel:

1. la primirea cererii de revocare administratorul înregistrări o autentifică

(verifică corectitudinea completării cererii, verifică semnătura digitală) şi identifică

solicitantul;



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 38 / 95

2. dacă verificarea are loc cu succes administratorul înregistrări transmite

cererea administratorului certificare care revocă certificatul cheii publice şi-l

publică în Lista certificatelor revocate cu indicarea cauzei revocării;

3. administartorul certificare trimite notificare titularului certificatului

cheii publice despre revocarea certificatului deţinut;

4. notificare despre revocarea certificatului cheii publice primeşte şi

solicitantul revocării (dacă acesta nu este titularul certificatului).

4.9.4 TERMENUL DE PRELUCRARE A CERERII DE REVOCARE A

CERTIFICATULUI ÎN CENTRUL DE CERTIFICARE

Persoana împuternicită a Centrului de certificare ia decizia cu privire la

revocarea certificatului timp de 1 oră lucrătoare din momentul primirii cererii de

revocare a certificatului cheii publice a abonatului.

Centrul de certificare notifică abonatul despre decizia luată de acceptare sau

refuz a revocării, cu indicarea motivului refuzului, în termen de 3 ore lucrătoare

din momentul primirii cererii de revocare.

Certificatul revocat este inclus în lista certificatelor revocate timp de 3 ore

lucrătoare din momentul primirii cererii de revocare, iar Centrul de certificare

emite lista actualizată a certificatelor revocate.

Timpul de revocare a certificatului cheii publice a abonatului se consideră

timpul de publicare (emitere) a listei actualizate a certificatelor revocate (timpul

indicat în cîmpul ThisUpdate).

4.9.5 VERIFICAREA CERTIFICATELOR REVOCATE DE CĂTRE

PĂRŢILE DE ÎNCREDERE

La primirea documentului electronic semnat cu semnătura digitală partea de

încredere este obligată să verifice dacă certificatul cheii publice, corespunzător

cheii private cu ajutorul căreia a fost creată semnătura digitală, nu se află în Lista

certificatelor revocate.

Verificarea statutului certificatului doar în baza Listei certificatelor revocate

este suficientă pentru a evita riscurile de a cauza prejudicii părţii de încredere.

Există şi posibilitatea de a solicita de la Centrul de certificare confirmarea

autenticităţii semnăturii digitale în documentul electronic sau de a verifica statutul

certificatului în regim de timp real prin intermediul protocolului OCSP.

Prezenţa certificatului în Lista certificatelor revocate obligă partea de

încredere să respingă documentul asociat cu acest certificat dacă motivul revocării

a fost:



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 39 / 95

unspecified – necunoscută;

keyCompromise – încălcarea securităţii cheii private;

cACompromise – încălcarea securităţii cheii private a Centrului de

certificare;

cessationOfOperation – suspendarea prestării serviciilor;

certificateHold –suspendarea valabilităţii certificatului cheii publice.

Dacă certificatul a fost revocat din unul din motivele

affiliationChanged –modificarea informaţiei din certificat;

removeFromCRL – restabilirea valabilităţii certificatului;

partea de încredere decide singură despre plauzibilitatea semnăturii digitale

corespunzătoare.

4.9.6 FRECVENŢA PUBLICĂRII LISTEI CERTIFICATELOR REVOCATE

Lista certificatelor revocate (CRL) a Centrului de certificare este publicată

(actualizată) cel puţin 1 dată la 10 zile şi la fiecare revocare, suspendare sau

restabilire a valabilităţii certificatului cheii publice.

4.9.7 VERIFICAREA ACCESIBILITĂŢII SERVICE-ULUI OCSP

Centrul de certificare prestează servicii de verificare a statutului

certificatelor cheilor publice în regim de timp real pe baza protocolului OCSP,

descris în RFC 2560 Internet X.509 Public Key Infrastructure: Online Certificate

Status Protocol. Folosind OCSP, se poate obţine informaţie mai actualizată şi mai

veridică (în comparaţie cu o simplă verificare a CRL) despre statutul certificatului.

OCSP funcţionează după principiul întrebare-răspuns. Ca răspuns la

fiecare cerere serverul OCSP oferă următoarea informaţie despre statutul

certificatului:

good – răspuns pozitiv la cerere (i.e. certificatul este valabil);

revoked – certificatul este revocat;

unknown – certificatul verificat nu a fost eliberat de Centrul de

certificare.

4.9.8 CERINŢE ÎNAINTATE LA VERIFICAREA CERTIFICATULUI

PRIN SERVICE-UL OCSP



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 40 / 95

Părţile de încredere nu sunt obligate să verifice statutul certificatului

abonatului cu ajutorul service-ului OCSP, descris în Secţiunea 4.9.7. Dar, necătînd

la aceasta, se recomandă utilizarea service-ului OCSP pentru a minimiza riscul

falsificării documentelor electronice cu utilizarea semnăturii digitale, mai ales în

cazul folosirii datelor şi a documentelor cu grad înalt de importanţă.

4.9.9 ALTE FORME DE VERIFICARE A STATUTULUI

CERTIFICATULUI

În cazul încălcării securităţii cheii private (sau alte cazuri ce corespund

situaţiei) a centrului de certificare de nivelul trei în domenul Centrului de

certificare, informaţia corespunzătoare imediat este trecută în CRL şi (opţional) se

trimite prin poşta electronică tuturor abonaţilor acestui centru de certificare şi

abonaţilor, cheile private ale cărora au legătură cu acesta.

Fiecare abonat este obligat să ia cunoştinţă cu conţinutul mesajelor

electronice, recepţionate de la Centrul de certificare, cu statutul URGENT

(urgent).

4.9.10 CERINŢE SPECIALE FAŢĂ DE ÎNCĂLCAREA SECURITĂŢII

CHEII PRIVATE

Codul nu defineşte cerinţe suplimentare faţă de încălcarea securităţii cheii

private.

4.9.11 CIRCUMSTANŢE CE DETERMINĂ SUSPENDAREA

VALABILITĂŢII CERTIFICATULUI

Suspendarea valabilităţii certificatului cheii publice a abonatului are loc în

următoarele cazuri:

a) la solicitarea titularului cheii publice (e.g., pentru un interval de timp cînd

lipseşte de la servici, dar nu mai mult de o lună);

b) la decizia Centrului de certificare – la primirea cererii de revocare a

certificatului şi este imposibilă autentificarea şi/sau identificarea

solicitantului (conform cererilor în format electronic);



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 41 / 95

c) datele pe suport de hîrtie (din cerere) trezesc suspiciuni;

d) cererea este prin telefon;

e) la apariţia motivelor de a presupune că a fost încălcată confidenţialitatea

cheii private (acces nesancţionat, pierderea sau furtul cheii private);

f) la apariţia motivelor de a presupune că informaţia, conţinută în certificatul

cheii publice, nu este veridică;

g) din alte motive neindicate şi primite de la abonat.

4.9.12 ENTITĂŢI CE POT SOLICITA SUSPENDAREA CERTIFICATULUI

Certificatul cheii publice a abonatului se suspendă:

a) la cererea titularului certificatului cheii publice;

b) la cererea persoanei juridice – angajatorul abonatului;

c) la decizia Centrului de certificare;

d) la cererea Centrului de înregistrări.

4.9.13 PROCEDURILE DE SUSPENDARE ŞI RESTABILIRE A

VALABILITĂŢII CERTIFICATULUI

Cererea de suspendare a valabilităţii certificatului se depune prin una din

următoarele metode:



solicitarea titularului certificatului cheii publice ce urmează a fi suspendat;


Centrului înregistrări;

cererea se depune sub formă de document pe suport de hîrtie personal de


Cererea de suspendare a valabilităţii certificatului cheii publice a abonatului

pe suport de hîrtie reprezintă un document semnat cu semnătura olografă a

solicitantului şi, în caz de necesitate, cu semnătura conducătorului centrului de

certificare de nivelul trei sau al persoanei juridice corespunzătoare.

Cererea de suspendare a valabilităţii certificatului cheii publice a abonatului

trebuie să conţină:



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 42 / 95

a) datele de identificare ale abonatului;

b) numărul de serie al certificatului cheii publice, valabilitatea căruia urmează a

fi suspendată;

c) termenul de suspendare a valabilităţii certificatului cheii publice;

d) cauza suspendării valabilităţii certificatului cheii publice;

e) data semnării cererii, semnăturile abonatului şi, în caz de necesitate, a


juridice.

Procedura de suspendare a valabilităţii certificatului cheii publice are loc în

mod analog celei de revocare.

Certificatul cheii publice, valabilitatea căruia este suspendată, este publicat

în Lista certificatelor revocate.

Timpul de suspendare a valabilităţii certificatului cheii publice a abonatului

se consideră timpul de publicare (emitere) a listei actualizate a certificatelor

revocate (timpul indicat în cîmpul ThisUpdate).

Dacă la expirarea termenului de suspendare nu se decide restabilirea

valabilităţii lui, certificatul cheii publice este revocat.

4.9.14 RESTRICŢII PE PERIOADA SUSPENDĂRII VALABILITĂŢII

CERTIFICATULUI

Valabilitatea certificatului cheii publice este suspendată pe o perioadă de

pînă la 30 zile calendaristice.

4.9.15 RESTABILIREA VALABILITĂŢII CERTIFICATULUI

Valabilitatea certificatului cheii publice a abonatului este restabilită în

următoarele cazuri:

a) la solicitarea titularului certificatului cheii publice;

b) la solicitarea persoanei juridice – angajatorul abonatului;

c) la decizia Centrului de certificare;

a) la decizia centrului de înregistrări.

Cererea de restabilire a valabilităţii certificatului se depune prin una din

următoarele metode:



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 43 / 95



solicitarea titularului certificatului cheii publice ce urmează a fi restabilit;


Centrului înregistrări;

cererea se depunde sub formă de document pe suport de hîrtie personal de


Cererea de restabilire a valabilităţii certificatului cheii publice a abonatului

trebuie să conţină:

f) datele de identificare ale abonatului;

g) numărul de serie al certificatului cheii publice, valabilitatea căruia este

suspendată;

h) termenul de suspendare a valabilităţii certificatului cheii publice;

i) cauza suspendării valabilităţii certificatului cheii publice;

j) data semnării cererii, semnăturile abonatului şi, în caz de necesitate, a


juridice.

Procedura de restabilire a valabilităţii certificatului cheii publice are loc în

următorul mod:

1. la primirea cererii administratorul înregistrări o autentifică (verifică

corectitudinea completării cererii, verifică semnătura digitală) şi identifică

solicitantul;

2. dacă verificarea are loc cu succes administratorul înregistrări transmite

cererea administratorului certificare care restabileşte valabilitatea

certificatului cheii publice şi-l şterge din Lista certificatelor revocate;

3. administratorul certificare trimite notificare titularului certificatului

cheii publice despre restabilirea valabilităţii certificatului deţinut;

4. notificare despre restabilirea valabilităţii certificatului cheii publice

primeşte şi solicitantul revocării (dacă acesta nu este titularul

certificatului).

Dacă valabilitatea certificatului cheii publice a fost suspendată la decizia

Centrului de certificare, Centrul de certificare este în drept să decidă unilateral şi

restabilirea valabilităţii certificatului cheii publice respectiv.

Timpul de restabilire a valabilităţii certificatului cheii publice se consideră

timpul de publicare (emitere) a listei actualizate a certificatelor revocate (timpul

indicat în cîmpul ThisUpdate).



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 44 / 95

4.10 DEPOZITAREA CHEII ŞI RESTABILIREA EI

Nu se aplică.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 45 / 95

5. RESURSE, GESTIONARE ŞI CONTROLUL OPERAŢIONAL

Conţinutul acestui Capitol corespunde Politicii de Securitate a Centrului de

certificare.

5.1 CONTROLUL FIZIC AL SECURITĂŢII

Sistemul de operare, terminalele operatorilor şi resursele informaţionale ale

Centrului de certificare se află într-o încăpere special amenajată, protejată fizic de

accesul nesancţionat, de deteriorări şi încălcarea activităţii Centrului de certificare.

Fiecare intrare şi ieşire este controlată şi înscrisă în Registru; este menţinută

stabilitatea sursei de energie electrică, a izolaţiei hidrofuge şi a mediului

înconjurător.

5.1.1 AMPLASARE

Centrul de certificare are sediul pe adresa juridică: or. Chişinău, Piaţa Marii

Adunări Naţionale, 1, MD-2033.

5.1.2 ACCESUL FIZIC

Accesul fizic în încăperea Centrului de certificare este controlat şi gestionat

de sistemele de control al accesului şi de supraveghere video, de detectare a

pătrunderii nesancţionate, de sistemul neîntrerupt de alimentare cu energie

electrică, de sistemul antiincendiar. Toate sistemele funcţionează 24/24.

Centrul de certificare este deschis pentru vizitatori (nivelul 1) în fiecare zi de

lucru de la 09:00 la 16:00. În rest (inclusiv zilele de odihnă), accesul este permis

doar persoanelor abilitate şi conducerii Centrului de certificare.

Vizitatorii Centrului de certificare de fiecare dată trebuie însoţiţi de

persoanele abilitate ale Centrului.

Accesul fizic în încăperile Centrului de certificare este oferit după nivele.

Descrierea şi cerinţele faţă de fiecare nivel sunt prezentate în tabel.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 46 / 95

Nivel Descriere Mecanismul de control al

accesului

Nivelul unu

de securitate fizică

Se referă la bariera de acces

primară. Este acordat utilizatorilor

semnăturii digitale.

Accesul la acest nivel necesită însoţirea

utilizatorului semnăturii digitale de către persoana

abilitată – colaborator al Centrului de certificare.

Accesul la acest nivel este monitorizat şi

înregistrat.

Nivelul doi


Se răsfrînge asupra ariilor comune,

inclusiv sala de şedinţe şi birourile.

Este acordat operatorilor Centrului

de certificare.

Nivelul doi impune controlul accesului individual

al tuturor persoanelor. Accesul la nivelul doi este

monitorizat automat.

Nivelul trei


Se răsfrînge asupra încăperilor

unde au loc procesele Centrului de

certificare şi anume, autentificarea,

verificarea şi eliberarea

certificatelor. Este acordat

administratorului înregistrări.

Nivelul trei impune utilizarea autentificării

multifactoriale a accesului individual. Accesul la

nivelul trei este monitorizat automat.

Nivelul patru


Se răsfrînge asupra încăperilor cu

regim special unde au loc procesele

Centrului de certificare şi anume,

administrarea cheilor Centrului de

certificare, crearea certificatelor

cheilor publice.

Nivelul patru impune utilizarea autentificării

multifactoriale a accesului individual.

Tabelul 6. Nivelele securităţii fizice a Centrului de certificare.

Conţinutul acestei secţiuni corespunde Politicii de acordare şi control a

accesului la resursele Centrului de certificare.

5.1.3 ALIMENTAREA ELECTRICĂ ŞI CONDIŢIONAREA AERULUI

Toate zonele, cu prezenţă obligatorie a personalului, pe parcursul orelor de

lucru sunt alimentate cu aer filtrat de temperatură şi umiditate necesare. Zona

sistemelor computerizate totdeauna este alimentată cu un flux de aer condiţionat

pentru asigurarea unui regim de temperatură adecvată pentru funcţionare, critic

necesar pentru echipamentul computerizat.

Din momentul depistării de sistem a deconectării de avarie a alimentării cu energie

timp de 120 minute funcţionarea echipamentului este asigurată pe baza energiei



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 47 / 95

surselor neîntreruptibile de energie (UPS). Perioadele de funcţionalitate mai lungi

sunt asigurate de generatoarele de energie diesel staţionare. În acest interval de

timp este permisă deconectarea sistemului de condiţionare a aerului în zona

sistemelor computerizate şi trecerea la iluminarea de servici. Monitorizarea şi

gestionarea sistemelor din zona computerizată sunt realizate independent de alte

zone şi încăperi şi fizic nu au nici o legătură între ele.

5.1.4 UMIDITATEA

În zona sistemelor computerizate sunt instalaţi senzori ce verifică automat

nivelul umidităţii în aer şi a prezenţei apei. Aceşti senzori sunt integraţi în sistemul

de control al securităţii clădirii Centrului de certificare. Colaboratorii responsabili,

conform nomenclatorului şi atribuţiilor, vor fi înştiinţaţi la momentul oportun

despre pericol, iar în cazuri excepţionale vor fi înştiinţate şi serviciile publice

(civile).

5.1.5 SECURITATEA ANTIINCENDIARĂ ŞI MĂSURILE DE

PREVENIRE

Centrul de certificare este dotat cu mijloace autonome şi sisteme de alarmă

antiincendiară, stingere automată a incendiului şi înlăturare a fumului conform

normativelor NCM.E.03.03-2003 "Dotarea clădirilor şi instalaţiilor cu sisteme

autonome de semnalizare şi stingere a incendiilor", NCM.E.03.05-2004 "Instalaţii

autonome de stingere şi semnalizare a incendiilor. Normativ pentru proiectare".

5.1.6 PĂSTRAREA PURTĂTORILOR DE INFORMAŢIE

În scop de asigurare a funcţionării şi integrităţii mediului informaţional al

Centrului de certificare toti purtătorii de informaţie, inclusiv copiile pe suport de

hîrtie ale documentaţiei, ce au legătură cu datele critice, se păstrează în safeuri

metalice ignifuge, accesul la care este limitat întru preîntîmpinarea posibilelor

acţiuni nesancţionate chiar şi din partea persoanelor împuternicite.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 48 / 95

Safeurile sunt amplasate într-o încăpere cu nivel înalt de securitate. Acces în

încăpere şi la safeuri îl au doar persoanele împuternicite.

5.1.7 NIMICIREA PURTĂTORILOR DE INFORMAŢIE

La expirarea termenului de păstrare toţi purtătorii de informaţie (hîrtia ş.a.),

ce conţin informaţie importantă din punct de vedere al securităţii Centrului de

certificare, sunt nimiciţi în dispozitive speciale.

Sistemele operaţionale de securitate revin la starea iniţială şi se dezinstalează

în conformitate cu recomandările producătorilor. Sistemele operaţionale sunt

supuse acestor proceduri şi cînd purtătorii de informaţie sunt supuşi reparaţiei.

Cheile criptografice, codurile, purtătorii, folosiţi pentru păstrarea lor, sunt

nimicite conform Instrucţiunii ce reglementează securitatea şi exploatarea

mijloacelor de protecţie criptografică a informaţiei şi cu utilizarea dispozitivelor

de clasă nu mai jos de DIN-3 (aceste măsuri sunt aplicate dispozitivelor ce nu

permit reutilizarea lor şi garantează nimicirea informaţiei).

Suporturile de hîrtie ce conţin informaţie cu caracter important pentru

Centrul de certificare, după expirarea termenului stabilit de păstrare, sunt nimicite

în dispozitive speciale.

5.1.8 COPIEREA DE REZERVĂ COMPLETĂ

Copiile parolelor, a codurilor se păstrează în containere speciale.

De asemenea, se efectuează rezervarea arhivelor, a copiilor şi a seturilor

mijloacelor de program ale Centrului de certificare. Astfel, Centrul poate restabili

orice disfuncţie în timp de 48 ore, iar restabilirea sistemului de distribuire a listei

certificatelor revocate are loc în 10 minute.

5.2 ORGANIZAREA CONTROLULUI SECURITĂŢII

5.2.1 ROLURILE ŞI ATRIBUŢIILE FUNCŢIONALE

Centrul de certificare dispune de următoarele funcţii:



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 49 / 95

şeful Centrului de certificare este responsabil de administrarea corectă şi

conducerea Centrului de certificare;

administratorul securitate este responsabil de funcţionarea

corespunzătoare a sistemului complex de protecţie a informaţiei, precum şi

de elaborarea şi implementarea politicii de securitate a Centrului de

certificare;

administratorul certificare (persoana împuternicită a Centrului de

certificare) este responsabil pentru crearea, suspendarea sau restabilirea

valabilităţii şi revocarea certificatelor cheilor publice, ţinerea registrului

certificatelor cheilor publice, păstrarea şi utilizarea în siguranţă a cheii sale

private;

administratorul înregistrări este responsabil de corectitudinea

(autenticitatea) informaţiei de completare a certificatului cheii publice şi

înregistrarea titularilor certificatelor cheilor publice în procesul de creare,

suspendare sau restabilire a valabilităţii şi revocare a certificatelor cheilor

publice;

administratorul sistem este responsabil de administrarea, funcţionarea

corespunzătoare şi asigurarea securităţii complexului tehnic de program al


Înafara funcţiilor menţionate mai sus în cadrul Centrului de certificare mai pot

activa:

operatorii care realizează activităţi de deservire zilnică a complexului

tehnic de program al Centrului de certificare (copierea şi restabilirea

sistemului, gestionarea arhivelor, introducerea informaţiei etc.);

auditorul este responsabil de corespunderea desfăşurării proceselor

Centrului de certificare în conformitate cu clauzele actelor de reglementare ,

inclusiv ale Codului de practici şi proceduri. Auditorul efectuează auditul

intern, are acces la toate arhivele şi înscrierile auditorilor sistemului;

juristul este responsabil de elaborarea şi evidenţa documentelor juridice ale

Centrului de certificare, elaborarea bazei normative a Centrului şi controlul

asupra respectării legislaţiei în vigoare, studierea şi analiza întrebărilor

juridice în domeniul semnăturii digitale.

5.2.2 NUMĂRUL PERSOANELOR CU FUNCŢII DE RĂSPUNDERE,

NECESARE PENTRU REALIZAREA UNUI PROCES



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 50 / 95

Procedura creării perechii de chei a Centrului de certificare (i.e. a perechilor

de chei ale persoanelor împuternicite), necesare pentru semnarea certificatelor

cheilor publice şi a Listei certificatelor revocate, solicită prezenţa a cel puţin două

persoane: persoana împuternicită, care va deţine perechea de chei respectivă, şi a

administratorului securitate. Procesul de creare a perechii de chei poate fi asistat şi

de un angajat al Întreprinderii cu drept de acces la informaţia secretă a

Întreprinderii.

Accesul la dispozitivele criptografice ale Centrului de certificare este iniţiat

de câteva persoane cu funcţii cu drept de acces fizic şi logic.

Activarea modulului cu ajutorul cheilor de acces este urmat de aplicarea

cheilor Centrului de certificare cu scop de desfăşurare a proceselor necesare, în

particular, de creare şi semnare a certificatelor emise de Centrul de certificare.

Persoanele care posedă cheile de acces nu deţin cheile Centrului de

certificare şi invers. Cerinţele înaintate faţă de aceste două tipuri de chei sunt

descrise în § 6.2.7.

Toate celelalte operaţii şi roluri, descrise mai sus în Cod, se pot executa

individual şi fără prezenţa colegilor.

5.2.3 IDENTIFICAREA ŞI AUTENTIFICAREA ROLURILOR

Persoanele cu funcţii de răspundere ale Centrului de certificare sunt supuse

procedurilor de identificare şi autentificare în următoarele cazuri:

includerea în lista persoanelor cu drept de acces în încăperile Centrului de

certificare;

includerea în lista persoanelor cu drept de acces la sistemele şi resursele de

reţea ale Centrului de certificare;

eliberarea confirmării cu privire la funcţia deţinută;

asigurarea identificării în sistemul informaţional al Centrului de certificare.

Fiecare identificare evidenţiată:

trebuie să fie unică şi să aparţină unei persoane;

nu poate fi folosită împreună cu o altă persoană;



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 51 / 95

trebuie să fie limitată în dependenţă de funcţie (reieşind din funcţiile

executate) prin intermediul mijloacelor tehnice şi/sau de program ale

sistemului Centrului de certificare.

Identificarea se realizează cu ajutorul prezenţei fizice a persoanei cu funcţie

de răspundere în faţa persoanei împuternicite a Întreprinderii, a colaboratorului

secţiei juridică şi personal sau a secţiei gospodărie şi securitatea fizică, care

verifică actele ce confirmă identitatea (buletinul de identitate, paşaportul, permisul

de conducere). Ulterior, confirmarea identităţii se efectuează prin procedurile de

verificare, prevăzute în § 5.3.1 al Codului.

5.2.4 ROLURILE CE INTERZIC CUMULAREA FUNCŢIILOR

Centrul de certificare nu permite cumularea funcţiilor de administrator

înregistrări, administrator certificare, administrator certificare, administrator

securitate.

5.3 SECURITATEA PERSONALULUI

5.3.1 CERINŢE FAŢĂ DE CALIFICAREA ŞI EXPERIENŢA

PERSONALULUI

Colaboratorul Centrului de certificare, care este persoană cu funcţie de

răspundere, trebuie să treacă procedura de confirmare a corespunderii cu cerinţele

înaintate funcţiei respective. Pentru aceasta el prezintă toate documentele de

confirmare:

a calificării: diploma de studii superioare, certificatele cursurilor absolvite,

caracteristici profesionale;

a experienţei de lucru: carnetul de muncă, copia acordului de colaborare;

confirmarea credibilităţii: cazier juridic ce constată lipsa antecedentelor

penale;



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 52 / 95

să semneze acordul (contractul) de executare a atribuţiilor funcţionale pentru

asigurarea nivelului corespunzător de responsabilitate;

trebuie să fie instruit cu privire la regulile de lucru cu informaţia secretă şi

confidenţială (personală) şi de protecţie a acesteia;

trebuie să semneze acordul de nedivulgare a datelor personale ale abonatului

ce sunt sau pot fi cunoscute în procesul de executare a atribuţiilor

funcţionale;

este obligat să nu execute sarcini ce pot cauza daune sau duce la apariţia

situaţiilor de conflict între Centrul de certificare şi alte persoane (fizice sau

juridice).

Refuzul de numire în funcţie sau eliberare din funcţie este motivat de:

ducerea în eroare de către candidatul la funcţie;

caracteristici nefavorabile sau necredibile despre candidat;

semne de lipsă a responsabilităţii financiare.

5.3.2 PROCEDURILE DE VERIFICARE A PERSONALULUI

Verificarea personalului Centrului de certificare are loc în conformitate cu

procedurile stabilite de regulamentele interne ale Întreprinderii.

În Codul Centrului de certificare nu sunt definite cerinţe speciale pentru

colaboratorii care nu au acces la informaţia cu griful confidenţial.

5.3.3 CERINŢE DE INSTRUIRE A PERSONALULUI

Personalul care ocupă funcţii în Centrul de certificare trece instruirea cu

privire la:

prevederile Codului de practici şi proceduri;

prevederile Politicii de certificare;

procedurile şi controlul securităţii Centrului de certificare;

utilizarea şi funcţionarea mijloacelor tehnice şi de program ale Centrului de

certificare;

atribuţiile funcţionale ale funcţiei.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 53 / 95

5.3.4 FRECVENŢA DESFĂŞURĂRII PERIOADELOR REPETATE DE

INSTRUIRE ŞI CERINŢE

Pregătirea personalului are loc după necesitate sau după fiecare modificare

esenţială în Centrul de certificare.

5.3.5 FRECVENŢA ŞI CONSECUTIVITATEA TRANSFERURILOR

(ROTAŢIILOR) DE FUNCŢII

Actuala versiune a Codului nu înaintează cerinţe faţă de transferurile

colaboratorilor.

5.3.6 SANCŢIUNI ÎN CAZUL ACŢIUNILOR NEAUTORIZATE

În cazul acţiunilor nesancţionate din partea persoanelor cu funcţii de

răspundere ale Centrului de certificare se iau măsuri corespunzătoare de disciplină,

pînă la eliberarea din funcţie, definite în documentele corespunzătoare ale

Întreprinderii şi sunt în conformitate cu legislaţia în vigoare şi actele internaţionale.

În cazul acţiunilor nesancţionate din partea utilizatorilor semnăturii digitale,

administratorul securitate împreună cu administratorul sistem pot suspenda accesul

utilizatorului respectiv la sistemul Centrului de certificare.

5.3.7 CERINŢE DE ANGAJARE TEMPORARĂ A PERSONALULUI

Personalul, angajat pe un anumit interval de timp în bază de contract

(servicii externe, elaborarea şi dezvoltarea subsistemelor şi ale aplicaţiilor, etc.)

este supus aceleeaşi proceduri de verificare ca şi colaboratorii Centrului de

certificare. Mai mult ca atît, persoana angajată în bază de contract, cu excepţia

celei care a primit aviz pozitiv din partea administratorului securitate, în procesul

efectuării lucrărilor în încăperile Centrului de certificare este însoţită de un

colaborator împuternicit.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 54 / 95

5.3.8 DOCUMENTAŢIE PUSĂ LA DISPOZIŢIA PERSONALULUI

Centrul de certificare pune la dispoziţia personalului său documentaţia

minimală, necesară pentru executarea atribuţiilor sale funcţionale:

Politica de certificare,

Codul de practici şi proceduri,

Instrucţiunile de serviciu,

modelele cererilor şi ale altor documente necesare,

extrasele din actele regulatorii cu privire la acţiunile întreprinse în situaţii

critice.

5.4 EVENIMENTE SUPUSE ÎNREGISTRĂRII ŞI PROCEDURILE

AUDITULUI

Cu scop de desfăşurare efectivă a procedurilor Centrului de certificare şi

control al personalului şi abonaţilor Centrului, Centrul de certificare realizează

protocolarea acţiunilor tuturor abonaţilor şi ale personalului de deservire, inclusiv

şi a evenimentelor ce au loc în sistem.

Este necesar ca fiecare persoană, care are legătură cu prestarea serviciilor de

certificare, să înscrie informaţia cu scop de a gestiona şi a reacţiona adecvat în

conformitate cu atribuţiile sale funcţionale. Înscrierile informaţionale, ce alcătuiesc

registrele evenimentelor, trebuie să fie accesibile persoanelor autorizate cu drept de

acces la aceste date în caz de soluţionare a situaţiilor de conflict sau la depistarea

încercărilor de a încălca securitatea Centrului de certificare.

În măsura posibilităţilor registrele evenimentelor trebuie create în regim

automatizat. Dacă înscrierile nu pot fi create în regim automatizat sau

evenimentele nu pot fi ţinute la evidenţă cu ajutorul sistemelor automatizate atunci

se folosesc registre corespunzătoare pe suport de hîrtie.

Fiecare registru, electronic sau pe suport de hîrtie, este supus controlului în

procesul de audit al sistemelor.

În ce priveşte sistemele Centrului de certificare, auditorul Centrului (în cazul

existentenţei), la cererea administratorului securitate, poate efectua controlul şi



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 55 / 95

auditul regulat, verifica corespunderea mecanismelor şi procedurilor aplicate în

conformitate cu prezentul Cod, cu scop de ridicare a eficacităţii mecanismelor şi

procedurilor existente.

5.4.1 TIPURILE DE EVENIMENTE SUPUSE ÎNSCRIERII

Fiecare eveniment, critic din punct de vedere al securităţii Centrului de

certificare, este supus înscrierii şi păstrării în arhivă. Arhivele se păstrează în formă

criptată pe purtători, ce permit înscrierea unică cu scop de evitare a modificărilor

sau falsificării lor.

Registrele Centrului de certificare păstrează înscrierile fiecărei acţiuni

realizate de componentele de program în cadrul sistemului. Toate datele sunt

împărţite în trei categorii:

date de sistem – înscrieri ce conţin informaţie despre cererile abonaţilor şi

răspunsurile serverului (sau invers), în conformitate cu nivelul protocoalelor

de reţea (e.g., http, https, tcp etc.); în înscriere se indică adresa IP a

serverului, operaţiile executate (e.g., căutare, redactare, înscriere) şi datele

transmise (e.g., numărul înscrierilor în baza de date);

erori – înscrierile ce conţin informaţie despre erori, în conformitate cu

nivelul protocoalelor de reţea şi nivelul modulilor aplicaţiilor;

audite – înscrieri ce conţin informaţie ce ţine de serviciile de certificare a

cheilor publice (e.g., identificarea solicitantului, cereri de certificare, cereri

de revocare a certificatelor, publicarea certificatului şi a CRL etc.)

Pentru fiecare componentă de program, critică din punct de vedere al

securităţii Centrului de certificare, se foloseşte un registru separat. Registre

separate se folosesc şi pentru fiecare server şi staţie de lucru. După completarea cu

înscrieri registrele se arhivează şi în locul lor se crează altele noi. Registrele

anterioare, după arhivare şi copiere de rezervă, se şterg din sistem.

Fiecare înscriere, creată automat sau manual, conţine următoarea informaţie:

tipul evenimentului;

identificatorul evenimentului;

data şi ora producerii evenimentului;



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 56 / 95

identificatorul sau alte date, ce corespund indicatorului la colaboratorul

responsabil;

înscrierea despre decizia luată cu privire la eveniment (executat sau a dus la

apariţia erorii).

Accesul la registrele evenimentelor şi ale auditului au doar administratorul

securitate şi auditorul (a se vedea § 5.2 al Codului).

5.4.2 FRECVENŢA DE VERIFICARE A REGISTRELOR

EVENIMENTELOR

Înscrierile, conţinute în registrul evenimentelor, trebuie analizate minuţios

cel puţin o dată pe lună. Fiecare eveniment cu statut critic sau de importanţă

primară trebuie analizat şi descris în registrul corespunzător al evenimentelor.

Vizualizarea registrelor evenimentelor este însoţită de controlul modificării

nesancţionate, cu verificarea fiecărei anomalii depistate sau a deranjamentelor

reflectate în registre. Fiecare acţiune realizată ca urmare a deranjamentului depistat

trebuie înscrisă în registru.

5.4.3 PERIOADA DE UTILIZARE A REGISTRELOR EVENIMENTELOR

Înscrierile despre evenimentele înregistrate se păstrează în fişiere, amplasate

pe discurile de sistem, ce nu depăşesc dimensiunea spaţiului liber destinat acestor

fişiere. În această perioadă registrele sunt considerate active şi accesibile fiecărui

colaborator autorizat pentru efectuarea analizei.

Pentru a exclude cazurile de pierdere a datelor şi a menţine continuitatea lor

registrele evenimentelor se păstrează în arhive; din acest moment ele sunt

considerate inactive şi accesul la ele este posibil doar dintr-un sistem aparte.

Registrele arhivate se păstrează cel puţin 5 ani de la data arhivării.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 57 / 95

5.4.4 PROTECŢIA REGISTRELOR EVENIMENTELOR

Copiile arhivate sunt supuse criptării prin utilizarea algoritmului Triple DES

sau AES.

Cheile, folosite la criptarea conţinutului copiilor de arhivă ale registrelor, se

află în gestionarea şi la dispoziţia administratorului securitate. Înainte de arhivare

registrele evenimentelor sunt supuse vizualizării obligatorii de către

administratorul securitate, administratorul sistem sau auditor.

Accesul la registrele evenimentelor este configurat astfel:

doar persoanele care au legătură cu grupurile de utilizatori sus-menţionate au

acces la conţinutul registrelor;

doar administratorul securitate poate arhiva sau şterge (după arhivare)

registrele evenimentelor;

este verificată, după posibilitate, integritatea registrelor, a înscrierilor

conţinute în acestea cu privire la modificări şi anomalii;

nici unul din ei nu are dreptul de a modifica înscrierile ce indică evenimentul

ce a avut loc în sistem.

În plus sunt prevăzute măsuri ce împiedică ştergerea copiilor de arhivă pînă

la sfîrşitul perioadei lor de păstrare.

5.4.5 PROCEDURI APLICATE ÎN PROCESUL DE ARHIVARE A

REGISTRELOR EVENIMENTELOR

Procedurile Centrului de certificare presupun anumite acţiuni în procesul de

arhivare a registrelor evenimentelor. Aceste acţiuni trebuie reflectate în mod

obligator în registre pe suport de hîrtie (sau alte suporturi) în prezenţa nemijlocită a

administratorului securitate, a administratorului sistem şi a auditorului. Pe lîngă

aceasta, este analizat conţinutul registrelor, sunt culese datele statistice despre

evenimente şi analizate, sunt determinate locurile vulnerabile ale sistemului. Toate

datele sunt oformate ca raport şi sunt anexate la înscrieri în registru. Copiile de



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 58 / 95

arhivă sunt autentificate cu ajutorul mărcii temporale (trebuie să posede marca

temporală).

5.4.6 NOTIFICAREA PERSOANELOR RESPONSABILE DESPRE

EVENIMENTE

Sistemul de analiză a evenimentelor funcţionează în regim automatizat,

colectînd şi analizînd datele de intrare în regim de timp real şi, în caz de depistare a

evenimentelor critice (depistarea intruziunii nesancţionate, defect al sistemului,

refuz în deservire, deranjamente ale sistemului de alimentare cu energie electrică

etc.), asigură notificarea automată a administratorului securitate şi a altor persoane

responsabile despre evenimentul ce a avut loc. Sistemul de notificări înştiinţează

persoanele cu funcţii de răspundere conform participării şi atribuţiilor funcţionale.

De exemplu, dacă a fost depistată o încercare de intruziune nesancţionată în sistem

notificarea este trimisă administratorului securitate, în cazul defecţiunii

echipamentului sau a sistemului de alimentare cu energie electrică este notificat

administratorul sistem.

Informaţia despre evenimentele critice este transmisă persoanelor

responsabile prin intermediul mijloacelor de comunicaţii securizate, a telefonului

mobil, a poştei electronice.

Colaboratorii care au primit astfel de notificări sunt obligaţi să întreprindă

măsurile corespunzătoare pentru a soluţiona problema creată.

5.4.7 EVALUAREA PUNCTELOR VULNERABILE ALE SISTEMULUI

Evaluarea punctelor vulnerabile ale sistemului este necesară pentru a asigura

funcţionabilitatea completă a tuturor sistemelor Centrului de certificare, a avertiza

intrarea nesancţionată în sistem şi utilizarea resurselor lui în scopuri ilegale. Astfel

sunt necesare măsuri de evaluare pentru a determina punctele cu un grad ridicat de

risc, ce apar în sistem, în dependenţă de configurarea echipamentului, a tipurilor

mijloacelor de program aplicate. Aceste măsuri pot fi efectuate pentru toate

procedurile şi configuraţiile interne şi externe, aplicabile în Centrul de certificare.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 59 / 95

Pentru desfăşurarea acestor măsuri pot fi implicaţi colaboratori autorizaţi de

Centrul de certificare pentru a efectua auditul şi analiza punctelor vulnerabile ale

sistemului.

Auditorul este responsabil de realizarea auditului intern cu scop de control a

stării sistemelor şi corespunderea cu cerinţele Codului şi alte documente interne,

realizînd operaţii de creare a copiilor de rezervă ale registrelor.

Desfăşurarea auditului sistemelor de securitate are loc în conformitate cu

cerinţele stabilite în ISO/IEC 13355 Guidelines for Management of IT Security şi

ISO/IEC 17799 Code of Practice for Information Security Management.

5.5 ARHIVAREA ÎNSCRIERILOR

Toate datele ce au legătură cu funcţionarea Centrului de certificare,

securitatea sistemelor, cererile parvenite din partea abonaţilor, informaţia despre

abonaţi, publicarea certificatelor, listele certificatelor revocate, cheile utilizate în

Centrul de certificare, cît şi toată corespondenţa Centrului de certificare cu abonaţii

sunt supuse copierii de rezervă şi arhivării.

Centrul de certificare realizează gestiunea a două tipuri de arhive: arhive

accesibile în regim on-line (arhive on-line) şi arhive accesibile în regim off-line

(arhive off-line).

Certificatele valide ale abonaţilor (publicate cu cel mult 15 ani înainte de

data curentă) sunt păstrate în arhive on-line ale certificatelor active şi pot fi folosite

pentru realizarea anumitor tipuri de operaţii interne, de exemplu, pentru verificarea

valabilităţii certificatului.

Arhivele off-line se folosesc pentru păstrarea certificatelor (inclusiv

certificatele revocate), publicate în perioada de la 15 la 20 înainte de data curentă.

Arhivele conţin documentele corespunzătoare certificatelor, semnate (în trecut) de

către abonat (în format electronic).

Se recomandă criptarea datelor de arhivă şi utilizarea mărcii temporale.

Cheile, folosite pentru criptarea şi semnarea acestor date, sunt gestionate şi

accesibile administratorului securitate.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 60 / 95

5.5.1 TIPURILE DE DATE SUPUSE ARHIVĂRII

Arhivării şi păstrării obligatorii sunt supuse următoarele date:

a) informaţie despre efectuarea controalelor mijloacelor ce asigură securitatea

(primită din rapoartele auditului), protecţia logică şi fizică a Centrului de

certificare şi informaţia ce se păstrează în Repozitoriu;

b) cererile şi datele primite în format electronic de la abonat sau trimise

abonatului sub formă de fişiere sau mesaje electronice;

c) baza de date a abonaţilor;

d) baza de date a certificatelor;

e) listele certificatelor revocate publicate;

f) istoria cheilor Centrului de certificare din momentul generării şi pînă la

momentul nimicirii;

g) istoria cheilor abonaţilor din momentul generării lor şi pînă la nimicire, dacă

cheile sunt supuse arhivării în Centrul de certificare;

h) corespondenţa internă şi externă (pe suport de hîrtie şi în format electronic)

între Centrul de certificare, abonaţi şi părţile de încredere în ce priveşte

suspendarea valabilităţii certificatelor şi activarea repetată a lor;

i) documente şi date folosite în procesul de identificare a identităţii.

5.5.2 FRECVENŢA DE ARHIVARE A DATELOR

Arhivarea datelor şi crearea copiilor de rezervă sunt meţinute pe nivele,

conform următorului şablon de periodicitate:

baza de date a certificatelor şi baza de date a abonaţilor, dublate pe diferiţi

purtători, se păstrează în Centrul de certificare timp de şase ani (din

momentul publicării certificatului). Pe parcursul acestor şase ani arhivele se

păstrează pe bande magnetice, purtători rigizi sau discuri CD-ROM, încă

accesibile în regim on-line. Începînd cu al şaptelea an (şase ani de la

publicarea certificatului) toată informaţia ce ţine de abonaţi şi certificatele

acestora se păstrează pe discuri CD-ROM şi este accesibilă doar în regim

off-line;

Listele certificatelor revocate, corespondenţa electronică şi cererile

abonaţilor, la fel şi răspunsurile la cereri, se salvează cu aceeaşi frecvenţă şi

acelaşi interval de timp ca şi certificatele abonaţilor.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 61 / 95

5.5.3 TERMENELE DE PĂSTRARE A DATELOR DE ARHIVĂ

Datele de arhivă (în format electronic şi pe hîrtie) se păstrează pentru o

perioadă minimă de păstrare a arhivelor de cel puţin 20 ani.

La expirarea perioadei de păstrare datele de arhivă trebuie nimicite prin

distrugere fizică, elaborînd actul corespunzător, şi în prezenţa comisiei, în

componenţa căreia obligator intră administratorul certificare şi administratorul

securitate.

5.5.4 PROTECŢIA ARHIVELOR

Protecţia arhivelor Centrului de certificare are loc prin accesul la arhive doar

a colaboratorilor autorizaţi. Datele arhivate electronic sunt protejate de vizualizarea

nesancţionată, modificări sau ştergerea prin intermediul controlorilor de acces fizic

şi logic. Purtătorii, pe care sunt arhivate datele şi aplicaţiile corespunzătoare de

prelucrare a datelor, sunt menţinuţi încît să fie accesibili în intervalul de timp

stabilit în §5.5.3.

5.5.5 PROCEDURILE COPIERII DE REZERVĂ

Copiile de arhivă permit restabilirea completă (e.g., după căderea sistemului)

a tuturor datelor necesare pentru funcţionarea corectă a Centrului de certificare.

Întru asigurarea acestor scopuri sunt supuse copierii de rezervă următoarele

aplicaţii şi fişiere:

a) discurile de instalare a aplicaţiilor de sistem şi ale sistemelor;

b) discurile de instalare ce conţin mijloacele de program ale Centrului de

certificare;

c) serverele www şi discurile de instalare a Repozitoriului;

d) certificatele şi Listele certificatelor revocate;

e) datele din Repozitoriu;

f) datele despre abonaţii şi colaboratorii Centrului de certificare;

g) registrele evenimentelor.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 62 / 95

Metodele de creare a copiilor de rezervă trebuie să asigure posibilitatea de

restabilire rapidă a datelor şi sistemelor în cazul pierderii sau deteriorării lor. În

Centrul de certificare se aplică următoarele două metode:

copierea de rezervă ce are loc zilnic şi poate fi utilizată în cazul restabilirii

rapide a datelor pierdute;

copierea de rezervă pentru asigurarea restabilirii rapide a configuraţiilor şi

setărilor echipamentului şi mijloacelor de program. Aceste copii permit protejarea

şi restabilirea funcţionalităţii serverelor de bază. Arhivarea de rezervă trebuie să

cuprindă starea curentă a sistemelor şi să permită restabilirea completă a sistemului

funcţionabil în decurs de 48 ore din momentul depistării deteriorării.

Descrierea detaliată a procedurilor de creare a copiilor de rezervă şi de

restabilire a sistemelor după deteriorare se găseşte în documentele Centrului de

certificare notate cu “pentru uz de serviciu”.

5.5.6 CERINŢE DE APLICARE A MĂRCII TEMPORALE PE ÎNSCRIERE

Prezentul Cod recomandă aplicarea mărcii temporale în procesul de creare a

arhivei sau a copiei de rezervă. Marca temporală se creează cu ajutorul Serviciului

de marcare temporală (Time Stamp Authority - TSA). Pentru aceasta este nevoie

de certificatul emis în aceste scopuri.

5.5.7 PROCEDURILE DE ACCES ŞI DE VERIFICARE A INFORMAŢIEI

DE ARHIVĂ

Pentru verificarea integrităţii şi a posibilităţii de restabilire a datelor copiile

de arhivă şi de rezervă sunt supuse verificării periodice şi comparării cu originalul

(dacă este posibil). Acest tip de verificare este accesibil doar administratorului

securitate.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 63 / 95

5.6 SCHIMBAREA CHEILOR

Schimbarea cheilor Centrului de certificare are loc conform pp. 14-21 din Normele

tehnice în domeniul semnăturii digitale.

5.7 ÎNCĂLCAREA SECURITĂŢII CHEILOR ŞI RESTABILIREA DUPĂ

AVARIE

5.7.1 PROCEDURI ÎN CAZ DE COMPROMITERE A CHEILOR SAU DE

SUSPICIUNE DE COMPROMITERE A CHEILOR CENTRULUI DE

CERTIFICARE

În caz că s-a depistat sau există suspiciuni de compromitere a cheilor private

ale Centrului de certificare trebuie efectuate următoarele acţiuni:

Centrul de certificare generează o nouă pereche de chei şi primeşte un nou

certificat al cheii publice;

toţi utilizatorii semnăturii digitale sunt notificaţi imediat despre

compromiterea cheilor prin mijloacele de informare în masă şi prin poşta

electronică;

certificatul cheii publice, corespunzător cheii private compromise, este

revocat şi publicat în Lista certificatelor revocate;

toate certificatele din Lanţul de certificare al certificatului compromis,

corespunzător cheii compromise, sunt revocate cu indicarea cauzei

compromiterii;

abonaţilor le sunt emise noi certificate ale cheilor publice;

distribuirea noilor certificate ale abonaţilor are loc fără perceperea unei sume

de bani suplimentare.

5.7.2 DETERIORAREA RESURSELOR INFORMAŢIONALE, A

MIJLOACELOR DE PROGRAM SAU A DATELOR

Regulile de securitate, aplicate în Centrul de certificare, prevăd diferite

situaţii la apariţia cărora trebuie menţinute funcţionarea Centrului de certificare

şi nivelul garantat de prestare a serviciilor:

deteriorare fizică a sistemelor de computer, inclusiv infrastructura de reţea

şi de cablu – ca rezultat al apariţiei situaţiei de avarie;



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 64 / 95

deranjamente ale mijloacelor de program, imposibilitatea accesului la date

– ca rezultat al deteriorării mediului sistemelor informaţionale, a aplicaţiilor

utilizatorilor sau a executării altor programe, cum ar fi viruşii, „troianul”;

pierderea (stoparea, inaccesibilitatea) serviciilor de reţea importante,

prestate de Centrul de certificare – în primul rînd aceasta ţine de

alimentarea cu energie sau deteriorări ale conexiunilor de reţea;

deteriorarea parţială a reţelei interne, utilizată de Centrul de certificare cu

scop de prestare a serviciilor – poate servi obstacol pentru abonaţi şi duce la

refuz în deservire.

O listă mai completă se conţine în raportul planului de gestiune a riscurilor

„Raport despre analiza riscurilor”.

Pentru prevenirea şi reducerea la minim a ameninţărilor sus-menţionate sunt

prevăzute următoarele măsuri:

o Planul de restabilire în cazul calamităţilor şi a situaţiilor de avarie

Toţi abonaţii şi părţile de încredere sunt notificaţi, în perioade de timp

minime şi în corespundere cu gravitatea situaţiei apărute, despre fiecare caz de

deteriorare sau refuz în deservire, asociată cu sistemul informaţional

corespunzător. Planul de restabilire descrie un şir de proceduri, ce previn

compromiterea sistemului (defectarea, modificarea etc.). Trebuie întreprinse

următoarele măsuri:

periodic, conform procedurilor, sunt create copii de rezervă a bazelor

de date. Copiile includ toate cererile primite, certificatele publicate,

revocate şi restabilite. Ultimele copii se păstrează atît în Centrul de

certificare, cît şi înafara amplasării lui;

periodic, urmînd procedurile, sunt create copiile de rezervă ale datelor

din fiecare resursă informaţională. Aceste copii conţin toate cererile

primite, înscrierile din registrele evenimentelor, toate tipurile de

certificate, inclusiv cele revocate. Ultimele copii se păstrează atît în

Centrul de certificare, cît şi înafara amplasării lui;

cheile private ale Centrului de certificare, în conformitate cu

procedurile de asigurare a confidenţialităţii, sunt împărţite cîtorva

persoane de încredere care le păstrează;

sistemele de restabilire după avarie sunt testate pe fiecare componentă

de sistem cel puţin o dată pe an. Aceste teste sunt parte a auditului

intern al sistemului.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 65 / 95

o Verificarea modificărilor Instalarea sau reînnoirea mijloacelor de program pînă la cele mai actuale

versiuni este posibilă doar în cazul testărilor intensive, în strictă corespundere cu

procedurile stabilite în Instrucţiunea administratorului de sistem. Fiecare

modificare a sistemului necesită permisiunea şi confirmarea administratorului

securitate. În cazul pierderii datelor după instalarea unei noi componente a

sistemului se aplică planul de restabilire după avarie a sistemului deteriorat pînă la

starea anterioară deteriorării.

o Situaţii de avarie În cazul situaţiilor de avarie şi nefuncţionalitate a sistemelor Centrului de

certificare timp de 24 ore din momentul pornirii programului de restabilire după

avarie toate sistemele trebuie restabilite şi accesibile pentru verificare completă

pentru a fi lansate. Respectarea strictă şi cu regularitate a Procedurilor de

restabilire a activităţii centrului de certificare permite restabilirea sistemului după

starea la momentul apariţiei acestei situaţii. Cererile parvenite în perioada

nefuncţionalităţii sistemelor de bază sunt prelucrate şi păstrate pe serverele de

rezervă ajutătoare, ce funcţionează în regim de “schimb fierbinte”. În scop de

evitare a situaţiilor de acest gen Centrul de certificare întreprinde următoarele

măsuri:

includerea automată (posibil şi un control manual) în lucru a sistemelor

de înlocuire;

prelucrarea şi acumularea cererilor parvenite în regimul de timp real

pînă la restabilirea sistemului de bază;

prelucrarea cererilor parvenite si acumulate, dar neprelucrate în

perioada situaţiei critice.

o Posibilităţi suplimentare

Pentru a preveni deteriorarea sistemului din cauza alimentării cu energie şi

continuarea funcţionării se folosesc sistemele UPS şi electrogeneratoarele Diesel,

ce se află în stare de disponibilitate de a ieşi în regim de lucru timp de 30 secunde.

În plus, serverele de bază ale Centrului de certificare se alimentează cu energie

electrică de la cîteva substaţii, fizic amplasate în diferite raioane administrative ale

oraşului. Tot echipamentul de alimentare cu energie de rezervă este testat cel puţin

o data la şase luni, fapt ce se înregistrează în registrul evenimentelor.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 66 / 95

5.7.3 PROCEDURI ÎN CAZ DE COMPROMITERE A CHEILOR SAU DE

SUSPICIUNE DE COMPROMITERE A CHEILOR ABONAŢILOR

În cazul compromiterii cheilor sau de suspiciune de compromitere a cheilor

abonaţilor se aplică procedurile descrise în secţiunea 4.9 (Revocarea şi suspendarea

certificatului) a Codului.

5.7.4 RESTABILIREA SECURITĂŢII DUPĂ STAREA DE AVARIE

La finisarea procedurilor de restabilire a sistemului după avarie

administratorul securitate, administratorul certificare sau administratorul

înregistrări trebuie:

să schimbe toate parolele utilizate anterior;

să şteargă drepturile de acces la sistem şi la resursele lui, utilizate anterior;

să schimbe toate codurile şi PIN, asociate cu accesul fizic la componentele

sistemului;

conform regulilor de securitate în reţea a Centrului de certificare toate

componentele de reţea şi regulile de acces fizic trebuie revizuite;

să informeze despre restabilirea funcţionalităţii sistemului.

5.8 ÎNCETAREA ACTIVITĂŢII CENTRULUI DE CERTIFICARE

Obligaţiile descrise în această secţiune sunt elaborate cu scop de minimizare

a încălcărilor drepturilor abonaţilor şi părţilor de încredere în caz de decizie a

încetării activităţii de certificare a cheilor şi include obligativitatea de a notifica toţi

abonaţii despre încetarea activităţii şi transmiterea lor în deservirea altor Centre de

certificare.

5.8.1 CERINŢE CE ŢIN DE OBLIGAŢIILE DE TRANSMITERE

Înainte ca Centrul de certificare să-şi înceteze activitatea, el este obligat:

1) să înştiinţeze abonaţii despre luarea deciziei de încetare a activităţii de

certificare a cheilor utilizatorilor. Notificarea trebuie făcută cu nu mai puţin

de 90 zile pînă la încetarea deservirii utilizatorilor;



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 67 / 95

2) să înştiinţeze alte Centre de certificare despre decizia de a înceta activitatea

de certificare a cheilor;

3) să revoce toate certificatele valabile în momentul încetării activităţii,

indiferent dacă au parvenit sau nu cereri de revocare a certificatului din

partea utilizatorului;

4) să notifice utilizatorii asociaţi despre încetarea deservirii;

5) să propună, în legătură cu încetarea activităţii, oferta comercială de

minimizare a pierderilor financiare şi a intereselor abonaţilor (atît persoane

fizice, cît şi juridice), care utilizează la momentul dat certificatele cheilor

publice (valide);

6) să pregătească acordul cu alte Centre de certificare ce garantează protecţia

datelor acumulate;

5.8.2 PUBLICAREA CERTIFICATELOR ŞI SUCCESORII PROCESELOR

FINISATE

Întru asigurarea continuităţii procesului de certificare a cheilor abonaţilor

Centrul de certificare poate semna acord de transmitere spre deservire a

certificatelor cheilor publice altui centru de certificare, ce oferă servicii analoage

de confirmare şi deservire a cheilor abonaţilor, echivalînd concomitent publicarea

şi schimbarea certificatelor.

Publicînd certificatele înlocuite succesorul Centrului de certificare, ce a

încetat deservirea abonaţilor, acţionează cu drepturile şi obligaţiile Centrului de

certificare ce-şi încetează activitatea, coordonîndu-le cu drepturile şi obligaţiile

sale. Indiferent de situaţie, obligaţiile Centrului de certificare ce-şi încetează

activitatea se aplică şi acţionează în centrul succesor pînă la suspendarea

valabilităţii ultimului certificat al abonatului.

Datele de arhivă ale Centrului de certificare, ce şi-a încetat activitatea, se

transmit centrului de certificare ierarhic superior sau organului competent în

domeniul semnăturii digitale.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 68 / 95

6. CONTROLUL TEHNIC AL SECURITĂŢII

6.1 GENERAREA ŞI UTILIZAREA PERECHII DE CHEI

În procesul de administrare a cheilor se aplică proceduri ce asigură păstrarea

lor securizată şi utilizarea de către titular.

O atenţie deosebită se acordă proceselor de generare şi protecţie a cheilor

private ale Centrului de certificare, compromiterea cărora poate influenţa tot

domenul de certificare.

Centrul de certificare este titularul certificatului cheii publice emis de

Centrul de certificare de nivel superior. Cheia privată, corespunzătoare cheii

publice certificate, este folosită doar în scopuri de confirmare a conformităţii şi de

certificare a cheilor publice ale abonaţilor şi a Listei certificatelor revocate.

Crearea şi verificarea semnăturii digitale are loc în conformitate cu Capitolul

IV al Normelor tehnice în domeniul semnăturii digitale.

6.1.1 CREAREA CHEILOR PRIVATĂ ŞI PUBLICĂ

Cheile privată şi publică ale Centrului de certificare sunt create în încăperile

şi pe echipamentul Centrului de certificare în prezenţa persoanelor împuternicite,

dintre care una este în mod obligator administratorul securitate.

Cheile Centrului de certificare sunt create pe modulele hardware de

securitate (Hardware Security Module - HSM) corespunzătoare cerinţelor FIPS

140-2 nivelul 3.

Paşii realizaţi în procesul de creare a cheilor sunt înscrişi obligator în

registrul evenimentelor, se indică data creării şi se semnează toate persoanele

prezente. Înscrierile se păstrează pentru auditul sistemului şi al certificatelor.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 69 / 95

6.1.2 TRANSMITEREA CHEII PUBLICE ÎN CENTRUL DE

CERTIFICARE

Întrucît cheile privată şi publică sunt create în cadrul Centrului de certificare

nu este necesar de a transmite cheia privată în Centrul de certificare.

De asemenea, în baza cheii publice existente, în Centrul de certificare este

generată cererea pentru certificarea cheii publice în format electronic tip PKCS#10.

6.1.3 RĂSPÎNDIREA CHEILOR PUBLICE DE CENTRUL DE

CERTIFICARE

Cheile publice certificate de Centrul de certificare se răspîndesc ca

certificate conform recomandărilor ITU-T X.509 v.3.

Centrul de certificare răspîndeşte cheile sale pe două căi diferite:

publicînd certificatele în Repozitoriul Centrului de certificare

(https://pki.cts.md);

răspîndindu-le împreună cu mijloacele de program (browsere, clienţi de

poştă electronică etc.), ce permit utilizarea serviciilor prestate de Centrul

de certificare.

Centrul de certificare realizează transmiterea lanţului de certificare integru

către abonat.

6.1.4 LUNGIMEA CHEILOR

Lungimea cheilor este determinată de Normele tehnice în domeniul

semnăturii digitale.

https://pki.cts.md/



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 70 / 95

6.1.5 PARAMETRII CHEILOR PUBLICE ŞI VERIFICAREA CALITĂŢII

PARAMETRILOR

În prezentul Cod nu sunt stipulate cerinţe faţă de parametrii cheilor publice,

Centrul de certificare utilizează în acest sens recomandările minimale posibile

pentru cheile RSA şi DSA, descrise în “Algorithms and Parameters for Secure

Electronic Signatures”.

Verificarea calităţii parametrilor în procesul de creare a cheilor are loc

conform standardului FIPS PUB 140-2 Security Requirements For

Cryptographic Module.

6.1.6 SCOPURILE DE UTILIZARE A CHEILOR (ÎN CONFORMITATE

CU X.509 V3)

Pentru certificatele X.509, versiunea 3, Centrul de certificare completează

cîmpul KeyUsage (utilizarea cheii) din certificate în conformitate cu RFC 2459:

Internet X.509 Public Key Infrastructure Certificate and CRL Profile, ianuarie

1999.

Utilizarea valorilor cîmpului KeyUsage trebuie să corespundă următoarelor:

a) digitalSignature certificatul este destinat pentru verificarea semnăturii digitale, creată în scopuri

diferite de pct. b), g) şi h);

b) nonRepudiation certificatul este destinat pentru utilizarea mijloacelor de non-repudiere pentru

persoane fizice şi în alte scopuri, indicate în pct. f) şi g);

c) keyEncipherment certificatul este destinat pentru criptarea cheilor simetrice, asigurînd

confidenţialitatea datelor;

d) dataEncipherment certificatul este destinat pentru criptarea datelor abonatului, excluzînd pct. c)

şi e);

e) keyAgreement certificatul este destinat pentru utilizarea cu protocoalele de verificare a cheilor;

f) keyCertSign cheia publică a certificatului poate fi utilizată pentru verificarea semnăturii în

certificatele emise de Centrul de certificare;

g) cRLSign cheia publică a certificatului poate fi utilizată pentru verificarea certificatelor

revocate şi suspendate şi a listelor certificatelor revocate, emise de centrul de

certificare;

h) encipherOnly certificatul poate fi folosit în conformitate cu pct. e), indicînd posibilitatea

criptării datelor utilizînd protocolul de verificare a cheilor;

i) decipherOnly certificatul poate fi folosit în conformitate cu pct. e), indicînd posibilitatea

decriptării datelor prin utilizarea protocolului de verificare a cheilor.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 71 / 95

6.1.7 METODELE SOFTWARE ŞI/SAU HARDWARE DE CREARE A

CHEILOR

Cheile privată şi publică ale Centrului de certificare sunt create prin

metoda hardware.

Cheile privată şi publică ale abonatului sunt create prin metoda software-

hardware.

6.2 PROTECŢIA CHEILOR PRIVATE ŞI CONTROLUL INGINERESC AL

MODULILOR CRIPTOGRAFICI

Pentru asigurarea securităţii cheilor publice ale Centrului de certificare

Centrul a aplicat totalitatea măsurilor de control fizic, logic şi procedural.

Abonaţii trebuie să respecte regimul de exploatare a mijloacelor de program

stabilit de Ghidul utilizatorului semnăturii digitale.

6.2.1 STANDARDE PENTRU MODULELE CRIPTOGRAFICE

Pentru crearea cheilor Centrului de certificare se foloseşte modulul

criptografic corespunzător FIPS PUB 140-2 Security Requirements For

Cryptographic Module nivelul 3 sau 4.

Pentru crearea cheilor abonatului se foloseşte modulul criptografic

corespunzător FIPS PUB 140-2 Security Requirements For Cryptographic

Module nivelul 2 sau 3.

6.2.2 PARTAJAREA ŞI DISTRIBUIREA CHEII PRIVATE

Centrul de certificare practică partajarea şi distribuirea cheii private mai

multor persoane de încredere astfel încît pentru restabilirea lui în stare de lucru este

necesară prezenţa a cel puţin două persoane de încredere care deţin părţi din cheie.

Dacă numărul părţilor este prea mic cheia nu poate fi restabilită.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 72 / 95

Centrul de certificare foloseşte metoda indirectă de distribuire a cheilor, ce

constă în criptarea cheii private a Centrului de certificare cu cheia simetrică, ce se

partajează şi se distribuie, între posesorii părţilor, pe cartele criptografice protejate

cu coduri PIN. Nu este admisă păstrarea a două părţi din cheie pe aceeaşi cartelă

criptografică, la fel şi păstrarea în comun a cartelelor criptografice ce conţin părţi

ale cheii simetrice.

6.2.3 DEPOZITAREA CHEILOR PRIVATE

Nu se aplică.

6.2.4 COPIEREA DE REZERVĂ A CHEILOR PRIVATE

Centrul de certificare stochează copii de rezervă a cheilor sale private.

Aceste copii se utilizează în caz de apariţie a situaţiilor critice standard cu scop de

restabilire a funcţionalităţii sistemului.

Distribuirea cheilor private ale Centrului de certificare are loc conform pct.

6.2.2 din Cod.

6.2.5 INTRAREA ŞI STOCAREA CHEII PRIVATE PE MODULUL

CRIPTOGRAFIC

Cheile privată şi publică a Centrului de certificare sunt create pe modulul de

hardware criptografic.

Copia de rezervă a cheii private este stocată în mod criptat pe modulul

criptografic, pe care ulterior poate fi restabilită.

6.2.6 METODE DE ACTIVARE A CHEILOR PRIVATE

Datele de activare a cheii private se folosesc pentru autorizarea utilizatorului

semnăturii digitale şi pentru controlul accesului la cheia privată.

Datele de activare sunt folosite în două cazuri:

ca element al procedurii de autentificare ce se bazează pe unul sau mai mulţi

factori (parola, cod PIN etc);

ca parte a cheii private distribuite.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 73 / 95

Cheile private ale Centrului de certificare sunt activate după crearea lor sau

repunerea în funcţiune în modulul criptografic. Activarea acestor chei private este

realizată de administratorul securitate.

Autentificarea totdeauna se bazează pe verificarea împuternicirilor indicate

pe cartela de identificare, aflată permanent la administratorul securitate. După

introducerea cartelei în cititorul de cartelă se cere codul PIN; în acest caz se

subînţelege că pînă la scoaterea cartelei din cititor cheile private sunt în stare

activă.

Activarea cheilor private ale administratorului înregistrări, folosite la

semnarea datelor informaţionale şi a cererilor abonaţilor, succede procedura de

autentificare a administratorului şi are loc pe un interval de timp, necesar pentru

executarea unei operaţiuni criptografice ce necesită utilizarea acestor chei. După

finisarea procedurii cheile private sunt dezactivate automat şi trebuie activate

pentru utilizare în următoarea operaţiune.

Alte chei private, de exemplu, folosite cu scop de autentificare sau creare a

conexiunii securizate, pot fi automat activate pe perioada de creare a sesiunii

securizate, imediat după autentificarea utilizatorului. Închiderea sesiunii duce la

dezactivarea imediată a tuturor cheilor activate mai devreme.

6.2.7 METODE DE DEZACTIVARE A CHEILOR PRIVATE

Metodele de dezactivare a cheilor private sunt folosite în procesul de

terminare a utilizării cheilor private. Cheile private pot fi dezactivate după fiecare

procedură prin închiderea sesiunii de lucru sau scoaterea cartelei din cititorul de

cartele, în dependenţă de mecanismul de autentificare utilizat.

Cheile private ale Centrului de certificare sunt dezactivate în momentul

scoaterii cartelei din cititor de către administratorul certificare.

În caz că perioada de valabilitate a cheilor a expirat sau cheile au fost

revocate, sau este necesară suspendarea tehnologică a sistemului, dezactivarea este

efectuată doar de către administratorul securitate.

Cheia privată a administratorului înregistrări este dezactivată în momentul

închiderii sesiunii de lucru a sistemului. Administratorul înregistrări trebuie să

deconecteze locul lui de lucru odată cu terminarea sesiunii de lucru.

Fiecare procedură de dezactivare a cheilor private trebuie să se reflecte în

registrul evenimentelor.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 74 / 95

6.2.8 METODE DE DISTRUGERE (NIMICIRE) A CHEILOR PRIVATE

Centrul de certificare nimiceşte cheile sale private prin metoda ce garantează

inexistenţa părţilor de cheie ce ar putea permite restabilirea ei.

Nimicirea cheilor private implică ştergerea lor completă de pe purtător sau

distrugerea completă a purtătorului în cazul defectării cartelei şi a imposibilităţii

nimicirii datelor prin metode obişnuite, cu scop de prevenire a accesului la date

chiar şi pe cartela deteriorată.

Nimicirea cheilor private ale Centrului de certificare se realizează prin

nimicirea directă a purtătorului de informaţie, folosit pentru stocarea copiilor sau

arhivelor.

Fiecare procedură de nimicire a cheilor private este înscrisă în registrul

evenimentelor.

6.3 ALTE ASPECTE DE ADMINISTRARE A CHEILOR

6.3.1 ARHIVELE CHEILOR PUBLICE

Certificatele cheilor publice ale Centrului de certificare şi certificatele

utilizatorilor finali sunt supuse stocării şi arhivării.

Destinaţia de bază a arhivelor cheilor publice o reprezintă posibilitatea de a

verifica semnătura digitală după ştergerea certificatului din Repozitoriu (a se vedea

Cap. 2). Această operaţie este foarte importantă în prestarea serviciului de non-

repudiere, de exemplu, marca temporală, sau a serviciului de verificare a statutului

certificatului.

Fiecare Centru de certificare realizează arhivarea certificatelor cheilor

publice în baza certificatelor abonaţilor emise. Cheile publice ale Centrului de

certificare sunt arhivate împreună cu cheile private corespunzătoare, după cum este

indicat în §6.2.5 din Cod.

Certificatele mai pot fi arhivate local de către abonaţi, dacă aplicaţia ce le

utilizează permite (necesită) aceasta. De exemplu, clienţii de e-mail ai

utilizatorilor.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 75 / 95

Arhivele cheilor publice trebuie protejate de adăugarea, modificarea sau

extragerea nesancţionată a cheilor din arhiva creată. Protecţia are loc prin

intermediul semnării arhivelor şi controlul accesului la arhivele cheilor publice.

În cadrul domenului Centrului de certificare sunt arhivate certificatele

utilizate pentru verificarea semnăturii digitale, celelalte tipuri de certificate fiind

nimicite după scoaterea din Repozitoriu.

Administratorul securitate verifică integritatea arhivelor cheilor publice

lunar. Această procedură se efectuează cu scop de verificare a funcţionalităţii,

integrităţii arhivelor şi certificatele, stocate în arhivă, nu sunt modificate.

Cheile publice, stocate în arhivele cheilor publice, sunt păstrate 20 ani

(conform Secţiunii 5.5 din Cod). Fiecare procedură de nimicire a arhivelor cheilor

publice este înscrisă în registrele evenimentelor respective.

6.3.2 TERMENUL DE VALABILITATE A CERTIFICATULUI ŞI

PERIOADA DE UTILIZARE A CHEILOR PRIVATĂ ŞI PUBLICĂ

Termenul de valabilitate a certificatului ia sfîrşit la expirarea perioadei de

valabilitate a acestuia sau la revocarea certificatului.

Termenul de valabilitate a certificatului cheii publice, corespunzătoare cheii

private, alcătuieşte:

2 ani şi 6 luni – pentru Centrul de certificare;

1 an şi 3 luni – pentru centrele de certificare de nivelul trei;

1 an – pentru abonaţi.

Termenul de valabilitate a cheii private alcătuieşte:

1 an şi 3 luni - pentru Centrul de certificare;

7 luni - pentru centrele de certificare de nivelul trei;

1 an – pentru abonaţi.

Începutul termenului de valabilitate a cheii private se consideră data şi ora

începutului termenului de valabilitate a certificatului cheii publice corespunzătoare.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 76 / 95

6.4 ACTIVAREA DATELOR

Datele de activare se folosesc pentru activarea cheilor private. Deasemenea

sunt folosite pentru intensificarea controlului şi a nivelului garantat de autentificare

a abonatului la accesarea cheilor private.

6.4.1 CREAREA ŞI UTILIZAREA DATELOR DE ACTIVARE

Datele de activare, folosite pentru protecţia purtătorilor ce conţin cheile

private, înclusiv în cazul cheilor private distribuite, sunt create conform FIPS-112

Password Usage.

Principiile de bază de alegere a parolelor prevăd că parolele trebuie:

create de utilizator;

să aibă lungimea minimă de 8 caractere;

să conţină cel puţin 1 caracter alfabetic şi 1 caracter cifric;

să conţină măcar o minusculă;

să nu conţină acelaşi caracter decît o singură dată;

să nu coincidă cu parola profilului administratorului;

să nu conţină o parte a profilului utilizatorului.

Centrul de certificare recomandă utilizarea a doi şi mai mulţi factori de

autentificare (cartelă şi parolă, biometrie şi parolă sau biometrie şi cartelă).

6.4.2 PROTECŢIA DATELOR DE ACTIVARE

Metodele de protecţie a datelor de activare depind de scopul de utilizare a

datelor: pentru autentificare şi controlul accesului la cheia privată sau pentru

restabilirea cheii private „împărţite”.

În cazul autentificării datele de activare sunt protejate conform FIPS-112

Password Usage. În cazul cheii private „împărţite” datele de activare sunt protejate

conform FIPS 140 computer security standards that specify requirements for

cryptography modules.

Abonaţii sine stătător trebuie să-şi păstreze datele de activare şi să semneze

actul de luare la cunoştinţă a obligaţiunilor (responsabilităţii) sale.

http://en.wikipedia.org/wiki/Computer_security

http://en.wikipedia.org/wiki/Standardization

http://en.wikipedia.org/wiki/Cryptographic



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 77 / 95

Centrul de certificare recomandă ca stocarea datelor de activare ale

administratorilor şi ale abonaţilor să se realizeze prin metode criptografice şi

controlul accesului fizic, iar protecţia cheilor private să se realizeze prin utilizarea

purtătorilor materiali şi a parolelor sigure. Tentativele de acces neautorizat la

aceste dispozitive de păstrare trebuie să ducă la blocarea temporară a purtătorului

de date. Datele de activare nu trebuie transmise niciodată împreună cu datele

activate.

Centrul de certificare recomandă utilizarea a doi şi mai mulţi factori de

autentificare (cartelă şi parolă, biometrie şi parolă sau biometrie şi cartelă).

6.4.3 ALTE ASPECTE ALE PROCESULUI DE ACTIVARE A DATELOR

Datele de activare protejază accesul la cheile private, păstrate pe dispozitive,

şi trebuie modificate periodic.

Datele de activare pot fi arhivate.

6.5 CONTROLUL DE SECURITATE

Centrul de certificare îşi îndeplineşte funcţiile folosind sistemele de

încredere (Trustworthy Systems), ce corespund Politicii de securitate a Centrului

de certificare.

6.5.1 CERINŢE TEHNICE SPECIFICE DE CONTROL DE SECURITATE

Centrul de certificare garantează că sistemele ce susţin mijloacele de

program şi fişierele cu date ale Centrului de certificare sunt sisteme de încredere

pentru prevenirea accesului nesancţionat. În plus, Centrul de certificare limitează

accesul la servere pînă la persoanele care au temei pentru acces. Utilizatorii

aplicaţiilor comune nu au drept de acces la serverul în stare de lucru.

Reţeaua de lucru a centrului de certificare este separată logic de la alte

componente. Această separare previne accesul la reţea, cu excepţia accesului prin

intermediul anumitor aplicaţii.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 78 / 95

Pentru protecţia reţelei de lucru de accesele intern şi extern şi pentru

limitarea sferei şi sursei de activitate în reţea se foloseşte firewall. Centrul de

certificare impune utilizarea parolei cu număr minim de caractere, cu combinarea

caracterelor speciale, alfabetice şi cifrice.

Centrul de certificare schimbă periodic parolele.

Accesul direct la baza de date a Repozitoriului Centrului de certificare este

limitat pînă la persoanele care au temei pentru acces.

6.5.2 EVALUAREA SECURITĂŢII

Nivelele de securitate ale calculatoarelor corespund cerinţelor EAL 4

stipulate în ISO/IEC 15408-3:1999, Information technology – security

techniques – Evaluation criteria for IT security – Part 3: Security assurance

requirements.

Sistemele de calculatoare ale Centrului de certificare corespund cerinţelor

descrise în Information Technology Security Evalution Criteria (ITSEC). Cele

spuse mai sus sunt confirmate prin raportul auditorilor independenţi care

efectuează evaluarea de corespundere a funcţionalităţii Centrului de certificare cu

cerinţele şi criteriile de bază, definite în WebTrust Principles and Criteria for

Certification authorities. Toate rapoartele auditorilor şi alţi indici de evaluare sunt

accesibile în Repozitoriul Centrului de certificare.

6.6 CONTROLUL TEHNIC AL CICLULUI DE VIAŢĂ

Destinaţia principală a acestui tip de control este urmărirea după starea

sistemului şi asigurarea integrităţii complexului tehnic de program.

6.6.1 ADMINISTRAREA CONTROLULUI DE SECURITATE

Destinaţia principală a sistemelor şi a regulilor de control de securitate,

aplicate în Centrul de certificare, este urmărirea funcţionalităţii şi conformităţii

nivelului de încredere cerut şi conformităţii cu situaţia reală în corespundere cu

configurarea acceptată.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 79 / 95

Configurarea actuală a sistemelor Centrului de certificare permite de a face

modificări şi reînnoiri cu înscrierea tuturor transformărilor şi posibilitatea de

restabilire pînă la starea anterioară de lucru. Configurarea sistemului se bazează pe

regulile elaborate şi în conformitate cu regulile şi recomandările indicate în

Politica de securitate a Centrului de certificare.

Administrarea sistemului de securitate presupune controlul direct şi

verificarea corespunderii stării sistemului şi a integrităţii lui, controlul numerelor

versiunilor şi verificarea originalităţii mijloacelor tehnice.

6.7 ADMINISTRAREA SECURITĂŢII DE REŢEA

Serverele şi staţiile de lucru de încredere, exploatate în Centrul de

certificare, funcţionează în reţea locală multinivel.

Accesul, venit din Internet, la orice segment al reţelei este protejat prin

software şi/sau hardware specializat, ce realizează funcţii de control a traficului,

conform cerinţelor ITSEC, de asemenea se realizează controlul accesului la

anumite porturi (în aceste scopuri este activat sistemul de depistare a intruziunilor).

6.8 MARCA TEMPORALĂ

În cazul mesajelor între centrele de certificare, centrele de înregistrări şi

abonaţi se recomandă utilizarea mărcii temporale certificate.

Marca temporală, creată în sistemul Centrului de certificare, corespunde

recomandărilor RFC 3161 Time-Stamp Protocol.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 80 / 95

7. PROFILURILE CERTIFICATULUI, A LISTEI

CERTIFICATELOR REVOCATE ŞI OCSP

Profilurile certificatelor şi a listei certificatelor revocate (CRL) se creează

conform formatului determinat în standardul ITU-T X509 v.3. Profilul OCSP este

creat conform cerinţelor RFC 2560 (Certificate Management X.509 Internet

Public Key Infrastructure Online Certificate Status Protocol - OCSP). Mai jos

sunt analizate valorile cîmpurilor Certificatului, a Listei certificatelor revocate şi a

răspunsurilor serverului OCSP, extensiile de bază şi alternative, elaborate pentru

necesităţile Centrului de certificare.

7.1 PROFILUL CERTIFICATELOR

În conformitate cu standardul X509 v.3 certificatul cheii publice prezintă

consecutivitatea următoarelor cîmpuri: primul – conţine corpul certificatului

(tbsCertificate), al doilea – informaţie despre algoritmii utilizaţi pentru semnarea

certificatelor (signatureAlgorithm) şi al treilea – semnătura digitală, creată în

certificat de Centrul de certificare (signatureValue).

7.1.1 VERSIUNEA CERTIFICATULUI

Certificatele cheilor publice sub formă de document electronic trebuie să

corespundă cerinţelor standardului ITU-T X.509 versiunea 3, standardului SMV

ISO CEI 9594-8:2007 Information technology. Open Systems Interconnection.

The Directory: Public-key and attribute certificate frameworks sau recomandării

IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate and

Certificate Revocation List (CRL) Profile.

Structurile certificatelor cheilor publice ale persoanelor împuternicite ale

centrelor de certificare şi ale abonaţilor sunt prezentate în anexele №1 şi №2 la

Normele tehnice în domeniul semnăturii digitale.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 81 / 95

7.1.2 CÎMPURILE DE BAZĂ ALE CERTIFICATULUI

Certificatul cheii publice constă din cîmpuri şi extensii (de bază –

determinate de actele normative în vigoare, şi alternative – determinate de Centrul

de certificare).

Toate certificatele, emise de Centrul de certificare, au următoarele cîmpuri

de bază, semnificaţiile cărora sunt stabilite corespunzător regulilor, indicate în

tabelul de mai jos:

Cîmpurile de bază

Version Versiunea V3

Serial Number Numărul de înregistrare a

certificatului

Număr aleator

Issuer Datele de identificare ale centrului

de certificare, emitent al

certificatului

CN = Denumirea Centrului de certificare

OU = menţiunea că este autoritate de

certificare, numele, prenumele, IDNP-ul

persoanei împuternicite a Centrului de

certificare

O = Denumirea persoanei juridice, IDNO

L = Localitatea

S = Statul

C = Codul statului Validity Period Termen de valabilitate Valabil de pe: “__” ______ 20__ oo:mm:ss GMT

Valabil pînă la: “__” _____ 20__ oo:mm:ss GMT

Subject Datele de identificare ale titularului

certificatului

SERIALNUMBER = IDNP-ul abonatului

Phone= Telefonul abonatului (după caz)

T = Funcţia abonatului (după caz)

CN = Numele, prenumele abonatului

PostalCode = Codul poştal corespunzător

adresei juridice

STREET = Adresa juridică (după caz)

OU = Subdiviziunea persoanei juridice în

care activează abonatul (după caz)

O = Denumirea persoanei juridice, IDNO, în

care activează abonatul (după caz)

L = Localitatea

S = Statul

C = Codul statului FriendlyName Nume în clar Denumirea Centrului de certificare



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 82 / 95

Public Key Cheia publică Cheia publică a abonatului

Issuer Signature

Algorithm

Algoritmul de semnare a

emitentului certificatului

Denumirea algoritmului semnăturii digitale a


Issuer Sign Semnătura digitală a emitentului

certificatului

Semnătura emitentului în conformitate cu algoritmul

utilizat

7.1.3 CÎMPURILE AUXILIARE ALE CERTIFICATULUI

Toate certificatele, emise de Centrul de certificare, au următoarele cîmpuri

auxiliare, semnificaţiile cărora sunt stabilite corespunzător regulilor, indicate în

tabelul de mai jos:

Cîmpurile auxiliare

Key Usage Utilizarea cheii Irevocabilitate, semnătura digitală în certificatele

persoanelor împuternicite ale centrelor de certificare şi

în ale utilizatorilor semnăturii digitale, semnătura

digitală în lista certificatelor revocate, domeniile de

activitate ale semnăturii digitale şi alte restricţii

stabilite

Subject Key

Identifier

Identificatorul cheii titularului

certificatului

Identificatorul cheii private a persoanei împuternicite a

Centrului de certificare, corespunzătoare prezentului

certificat

Private Key

Usage Period

Perioada de utilizare a cheii private Valabil de pe: “__” ______ 20__ oo:mm:ss GMT

Valabil pînă la: “__" _____ 20__ oo:mm:ss GMT

CRL Distribution

Point

Punctul de distribuţie a listei

certificatelor revocate

Sursa de publicare a listei certificatelor revocate

Certificate Template Modelul certificatului CA

Subject AltName Numele alternativ al titularului RFC822=Poşta electronică a abonatului

Centrul de certificare susţine următoarele tipuri de extensii:

AuthorityKeyIdentifier: identificatorul cheii Centrului de certificare,

corespunzătoare cheii private, folosită pentru semnarea certificatului cheii

publice – extensia este marcată ca non-critical,

SubjectKeyIdentifier: identificatorul abonatului (non-critical),



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 83 / 95

KeyUsage: valori permise de utilizare a cheilor – această extensie este

marcată ca critical. Cîmpul descrie scopurile de utilizare a cheilor, de

exemplu pentru criptarea datelor, schimbul de chei etc. (a se vedea mai jos).

digitalSignature (0) -- cheie pentru crearea semnăturii,

nonRepudiation (1) – cheie asociată cu serviciile de non-repudiere,

keyEncipherment (2) -- cheie pentru schimbul de chei,

dataEncipherment (3) -- cheie pentru criptarea datelor,

keyAgreement (4) -- cheie pentru negocierea de chei,

keyCertSign (5) -- cheie pentru semnarea de certificate,

cRLSign (6) -- cheie pentru semnarea de CRL-uri,

encipherOnly (7) -- cheie numai pentru criptare,

decipherOnly (8) -- cheie numai pentru decriptare

ExtKeyUSage: restricţia de utilizare a cheii – extensia este marcată ca non-

critical. Acest cîmp defineşte unul sau mai multe domenii de utilizare a

cheii în conformitate cu domeniile standard, definite în cîmpul keyUsage, şi

indică posibilităţile de utilizare a certificatului. Obligator, cîmpul trebuie

înteles ca RESTRICŢIE a valorilor permise de utilizare a cheii definite în

keyUsage. Centrul de certificare emite certificate, ce pot conţine una sau o

combinaţie dintre următoarele valori:

serverAuth

- autentificarea serverului Web TLS; cîmpul keyUsage are setaţi biţii pentru:

digitalSignature, keyEncipherments sau keyAgreement;

clientAuth - autentificarea clientului Web TLS; cîmpul keyUsage are setaţi biţii pentru:

digitalSignature şi/sau keyAgreement;

codeSigning - semnarea codurilor executabile; cîmpul keyUsage are setat bitul pentru:

digitalSignature;

emailProtection - protecţia e-mail-ului; cîmpul keyUsage are setaţii biţii pentru: digitalSignature;

nonRepudiation şi/sau (keyEncipherment sau keyAgreement);

dvcs - emiterea confirmărilor de către notariate; cîmpul keyUsage are setaţi biţii

pentru: digitalSignature, nonRepudiation, keyCertSign, cRLSign.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 84 / 95

CertificatePolicies – extensia prezintă informaţie (identificatori, adrese

electronice), ce indică politicile de certificare aplicate în Centrul de

certificare. Extensia este marcată ca non-critical.

Certificatele, emise de Centrul de certificare, conţin extensii în conformitate

cu recomandările definite în RFC 3280 Internet X.509 Public Key Infrastructure

Certificate and Certificate Revocation List (CRL) Profile. PolicyMapping Cîmp marcat ca non-critical. El conţine unul sau mai multe

identificatoare ale obiectelor, definind echivalenţa între politicile de

certificare ale Centrului de certificare şi ale Centrului ce trece

certificarea (de obicei, se utilizează în scop de cross-certificare între

centrele de certificare).

IssuerAlternativeName Extensia conţine atribute ne incluse ca componente ale DN. Cîmpul este

marcat ca non-critical.

SubjectAlternativeName Defineşte numele alternativ al subiectului certificatului. Cîmpul este

marcat ca non-critical.

BasicConstraints Constrîngeri de bază. Cîmpul totdeauna este marcat ca critical pentru

Centrul de certificare şi non-critical pentru certificatul abonatului.

Valoarea acestui cîmp permite definirea centrului de certificare drept

abonat (cîmpul cA) şi lungimea maximală (reieşind din ierarhia centrelor

de certificare) a centrelor de certificare intermediare între centrul

respectiv şi abonat (cîmpul pathLength).

CRLDistributionPoint Punctul de distribuire a listei certificatelor revocate. Cîmpul nu este

marcat ca critical, extensia defineşte adresa de reţea la care se află

CRL-ul curent, emis de cRLIssuer.

SubjectDirectoryAttributes Atribute ce indică la directoria utilizatorului. Cîmpul este marcat ca non-

critical. Extensia conţine atribute auxiliare, asociate cu utilizatorul, şi

include informaţie indicată în cîmpul Subject şi

SubjectAlternativeName. Această extensie nu este inclusă în

componenţa DN.

7.1.4 EXTENSIILE CERTIFICATULUI ŞI TIPURI DE CERTIFICATE

Certificatele, emise de Centrul de certificare, pot conţine diverse extensii,

definite în § 7.1.1 al Codului. Prezenţa unor sau altor extensii în corpul

certificatului este determinată de destinaţia corespunzătoare a certificatului

abonatului, la cererea căruia are loc certificarea cheii publice.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 85 / 95

7.1.5 EXTENSIILE CERTIFICATELOR CENTRELOR DE CERTIFICARE

Certificatul Centrului de certificare, la fel şi certificatele corespunzătoare ale

centrelor de certificare subordonate (de nivelul trei) pot conţine următoarele

extensii:

EXTENSIE

VALOARE STATUT

Basic Constraints Subject Type = СА

Path length constraint = {none,1,2,3...}

critical

7.1.6 CERTIFICATE DE AUTENTIFICARE A SERVERULUI

Certificatele, emise de Centrul de certificare, de autentificare a serverului, a

domenelor de reţea (inclusiv Wildcard) pot conţine următoarele extensii:

EXTENSIE

VALOARE STATUT

Basic Constraints Subject Type = empty (end entity)

Path length constraint = none

non-critical

Key Usage non-repudiation (bit 1)

key encipherment, (bit 1)

non-critical

Extended Key Usage

Server Authentication (serverAuth)

Netscape SGC

Microsoft SGC

non-critical

Netscape Cert Type SSL Server (bit 1) non-critical

Subject Alternative

Name

DNS.1: Full FQDN

DNS.2: Alternative service name (optional)

non-critical

CRL Distribution

Point

URI: non-critical



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 86 / 95

Authority Info

Access

OCSP: non-critical

Certificate Policies

Policies:

CPS:

Notice number:

Organization:

Explicit text: dependable upon policy identifier

(plain text)

non-critical

7.1.7 CERTIFICATE PENTRU SEMNARE DE COD

Certificatele, emise de Centrul de certificare pentru semnarea codului

(inclusiv semnarea formelor şi semnarea cripto-canalelor), pot conţine următoarele

extensii:

EXTENSIE

VALOARE STATUT

Basic Constraints Subject Type = empty (end entity)


non-critical

Key Usage digital signature (bit 0)

non-repudiation (bit 1)

non-critical

Extended Key Usage Code Signing non-critical

Netscape Cert Type Object Signing (bit 3) non-critical

Subject Alternative

Name

URI: non-critical

CRL Distribution

Point

URI:

non-critical

Authority Info

Access

OCSP: non-critical



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 87 / 95


Policies:

CPS:

Notice number:

Organization:


(plain text)

non-critical

7.1.8 CERTIFICATELE ABONAŢILOR

Certificatele emise abonaţilor (inclusiv certificatele pentru criptarea

sistemelor de fişiere (EFS), certificatele pentru schimbul electronic de date (EDI),

certificatele pentru semnătura digitală cu forţă juridică conform RFC 3739

Qualified Certificates Profile, certificatele ce susţin autentificarea riguroasă (aşa-

numitele Strong Internet ID's) pot conţine extensiile specificate în tabelul de mai

jos:

EXTENSIE VALOARE STATUT

Basic Constraints Subject Type = end entity


non-critical

Key Usage digital signature, bit 0

non-repudiation, bit 1

critical

Extended Key Usage

TLS Client Authentication

Email Protection

non-critical

Netscape Cert Type SSL Client (bit 0)

S/MIME (bit 2)

non-critical

Subject Alternative

Name

Email:

non-critical

CRL Distribution

Point

URI: non-critical



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 88 / 95

Authority Info

Access

OCSP:

non-critical


Policies:

CPS:

Notice number: 3

Organization:


(plain text)

non-critical

7.1.9 IDENTIFICATORUL ALGORITMULUI SEMNĂTURII DIGITALE

Cîmpul signatureAlgorithm conţine identificatorul algoritmului

criptografic, descriind algoritmul pentru crearea semnăturii digitale, aplicat de

Centrul de certificare în certificatul cheii publice.

De exemplu, Centrul de certificare utilizează algoritmii RSA în combinaţie

cu funcţia hash SHA-1.

7.1.10 CÎMPUL SEMNĂTURII DIGITALE

Valoarea cîmpului signatureValue reprezintă rezultatul execuţiei funcţiei

hash pentru toate cîmpurile certificatului, marcate ca cîmpuri ale corpului

certificatului (tbsCertificate) şi criptarea ulterioară a digest-ului cu ajutorul cheii

private a abonatului.

7.2 PROFILUL CRL

Listele certificatelor revocate (CRL) constau din trei cîmpuri. Primul cîmp

(tbsCertList) conţine informaţie despre certificatele revocate, al doilea şi al treilea

– signatureAlgorithm şi signatureValue conţin informaţie despre identificatorul

algoritmului, folosit pentru semnarea listei certificatelor revocate, şi despre



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 89 / 95

semnătura digitală a Centrului de certificare. În acest mod, ultimele două cîmpuri

sunt identice cu cîmpurile certificatului cheii publice. Cîmpul tbsCertList

reprezintă o secvenţă de cîmpuri de bază şi auxiliare. Cîmpurile de bază identifică

Centrul de certificare, ce a semnat Lista certificatelor revocate, iar cele auxiliare

conţin informaţie despre certificatele revocate şi extensiile CRL-ului.

Cîmpurile de bază şi auxiliare, ce se conţin în Lista certificatelor revocate,

sunt:

Denumirea

(în engleză)

Descrierea Conţinutul

Cîmpuri de bază

Version Versiunea V2

Issuer Emitentul CRL N = numele, prenumele, IDNP-ul persoanei

împuternicite a Centrului de certificare

CN = Denumirea Centrului de certificare

L = Localitatea

S = Statul

OU = Subdiviziunea persoanei juridice

O = Denumirea persoanei juridice, IDNO

P = Telefonul persoanei împuternicite a


T = Funcţia persoanei împuternicite a


C = Codul statului

E = Adresa de e-mail a persoanei

împuternicite a Centrului de certificare

thisUpdate Data emiterii CRL „__” ______ 20__ oo:mm:ss GMT

nextUpdate Termenul pentru care este

valabilă CRL

„__” ______ 20__ oo:mm:ss GMT

Revoked

Certificates

Lista certificatelor revocate Numărul de serie al certificatului

(CertificateSerialNumber)

Data revocării sau suspendării

valabilităţii certificatului (Time)

Issuer Algoritmul semnăturii Denumirea algoritmului semnăturii



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 90 / 95

Signature

Algorithm

emitentului certificatului digitale a emitentului certificatului

Issuer Sign Semnătura digitală a


Semnătura emitentului în conformitate

cu algoritmul utilizat

Cîmpuri auxiliare

Reason Code Codul cauzei revocării

certificatului

"0" nu este indicată

"1" comromiterea cheii private

"2"compromiterea centrului de

certificare

"3" schimbarea apartenenţei

"4" certificatul a fost schimbat

"5" încetarea activităţii

"6" suspendarea valabilităţii

Hold

Instruction

Code

Codul cauzei de suspendare

temporară a valabilităţii

certificatului

Codul cauzei de suspendare temporară a

valabilităţii (OID)

Authority Key

Identifier

Identificatorul cheii

emitentului

Identificatorul cheii private a persoanei

împuternicite a centrului de certificare cu

utilizarea căreia este semnată CRL

CRLNumber Numărul de serie Numărul de serie al CRL

7.2.1 EXTENSIILE ACCEPTATE

Extensiile Listei certificatelor revocate ale Centrului de certificare

(crlEntryExtensions) conţin următoarele cîmpuri:

ReasonCode: codul cauzei revocării certificatului. Valoarea acestui cîmp

este marcată ca extensie non-critical şi permite determinarea cauzei



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 91 / 95

revocării certificatului şi, ca urmare, determină gradul final de încredere.

Centrul de certificare acceptă următoarele cauze de revocare:

unspecified - nespecificat;

keyCompromise - pierderea sau compromiterea cheii;

cACompromise - pierderea sau compromiterea cheii Centrului de certificare;

affilationChanged - datele utilizatorului au fost modificate;

superseded - certificatul a fost înnoit (aplicarea operaţiei renew)

cessationOfOperation - sistarea utilizării certificatului;

certificateHold - suspendarea valabilităţii certificatului;

removeFromCRL - eliminarea certificatului din CRL.

HoldInstructionCode: codul operaţiei de suspendare a valabilităţii

certificatului. Cîmp marcat ca non-critical şi determină identificatorul

înregistrat al instrucţiunii, folosit în procesul de căutare a certificatului

printre cele revocate cu definirea cauzei de suspendare a valabilităţii

certificatului (certificateHold). Dacă aplicaţia utilizatorului în procesul de

analiză a CRL-ului găseşte valoarea id-holdinstruction-callissuer, abonatul

trebuie înştiinţat să ia legătura cu Centrul de certificare pentru a concretiza

cauzele de suspendare a valabilităţii certificatului şi a determina acţiunile

ulterioare conform cauzei indicate (a accepta sau a respinge). Dacă aplicaţia

abonatului găseşte valoarea id-holdinstruction-reject, certificatul trebuie

respins în mod obligator. Instrucţiunea id-holdinstruction-none prin

semnificaţie permite utilizarea extensiilor de tipul holdInstructionCode, în

continuare utilizarea acestui cod în Listele certificatelor revocate ale

Centrului de certificare se consideră permisă.

7.3 PROFILUL RĂSPUNSULUI OCSP

Protocolul de verificare a statutului certificatului (OCSP) este folosit de

centrele de certificare şi permite verificarea statutului certificatului în regim de

timp real. Serverul OCSP, ce confirmă statutul certificatului, dispune de cheile

privată şi publică pentru semnarea răspunsului OCSP.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 92 / 95

Certificatul serverului OCSP conţine extensia extKeyUsage, conform RFC

3280. Extensia trebuie marcată ca necritică (non-critical) şi semnifică faptul că

Centrul de certificare, semnînd certificatul serverului OCSP, îi deleghează acestuia

împuterniciri de confirmare a statutului certificatului cheii publice, pentru care a

fost primită cererea din partea utilizatorului final.

De asemenea, certificatul serverului OCSP trebuie să conţină informaţie

despre metodele de contact cu serverul. Această informaţie este inclusă în cîmpul

AuthorityInfoAccessSyntax.

7.3.1 VERSIUNEA

Serverul OCSP al Centrului de certificare confirmă statutul certificatului

cheii publice în conformitate cu recomandările RFC 2560 Online Certificate

Status Protocol - OCSP.

7.3.2 INFORMAŢIE DESPRE STATUTUL CERTIFICATULUI

Informaţia despre statutul certificatului cheii publice este definită în

cîmpurile certStatus ale structurii SingleResponse. Ea trebuie să conţină una din

cele trei valori, definite în § 4.9.7 ale Codului.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 93 / 95

8. AUDITUL ŞI ALTE EVALUĂRI

Funcţiile auditului sunt necesare pentru controlul integrităţii activităţii

Centrului de certificare, a serviciilor prestate.

Scopul auditului este de a verifica echivalenţa acţiunilor Centrului de

certificare şi a centrelor de înregistrare împuternicite şi a cerinţelor şi procedurilor

stabilite (inclusiv cu Codul de practici şi proceduri şi Politica de certificare).

Auditul, efectuat de Centrul de certificare, se răsfrînge asupra centrelor de

prelucrare a datelor şi asupra procedurilor de administrare a cheilor. Acest audit se

desfăşoară în Centrul de certificare, în centrele de înregistrări împuternicite şi în

alte componente ale infrastructurii cheilor publice, de exemplu, serverele OCSP.

Auditul poate fi efectuat de angajaţii Centrului de certificare (audit intern)

sau de instituţii independente (audit extern). Indiferent de tip, auditul se desfăşoară

la cererea şi sub supravegherea administratorului securitate.

8.1 FRECVENŢA EFECTUĂRII AUDITULUI

Auditul extern verifică integritatea şi conformitatea procedurilor aplicabile

cu legislaţia în vigoare (în corelaţie cu prezentul Cod şi Politica de certificare) şi

trebuie efectuat cel puţin o dată în patru ani.

8.2 IDENTIFICAREA ŞI CALIFICAREA AUDITORULUI

Auditul extern este efectuat de o instituţie licenţiată, independentă,

înregistrată în Republica Moldova sau de o instituţie internaţională cu

reprezentanţă în Republica Moldova ce:

dispune de personal cu studii tehnice corespunzătoare şi experienţă de

lucru (cu acte ce o atestă) în domeniul infrastructurii cheilor publice, a

tehnologiilor şi a echipamentului de securitate informaţională şi a auditului

sistemelor de securitate;

este înregistrată, licenţiată şi recunoscută la nivel internaţional.

Auditul intern este efectuat de angajaţi calificaţi ai Întreprinderii.



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 94 / 95

8.3 CONTROALE DE AUDIT ŞI INTERCORELAŢIA CU SUPERVIZAŢII

A se vedea Secţiunea 8.2 din Cod.

8.4 ÎNTREBĂRI CU SPECIFIC DE AUDIT

Procedurile interne şi externe ale auditului sunt efectuate în conformitate cu

regulile stabilite de American Institute of Certified Public

Accountants/Canadian Institute of Chartered Accountants (AICPA/CICA)

Web Trust Principles and Criteria for Certification Authorities (în continuare

- Web Trust).

Auditul se desfăşoară conform regulilor stabilite în Regulamentul de

efectuare a auditului intern al Centrului de certificare şi se răsfrînge asupra:

securităţii fizice a Centrului de certificare;

procedurii de verificare a identităţii abonatului;

serviciilor de certificare şi a procedurilor de prestare a acestora;

securităţii mijloacelor de program şi a accesului la reţea;

securităţii personalului Centrului de certificare;

registrelor evenimentelor şi a proceselor de monitorizare a sistemului;

arhivării şi restabilirii datelor;

procedurii de arhivare;

înscrierilor de modificare a parametrilor de configurare a Centrului de

certificare;

înscrierilor despre analiza şi verificările aplicaţiilor de program şi a

dispozitivelor tehnice.

8.5 ACŢIUNI DESFĂŞURATE ÎN CAZ DE DEPISTARE A

DISCREPANŢELOR

Rapoartele controalelor de audit efectuate sunt transmise conducerii

Centrului de certificare. Timp de 15 zile de la primirea rezultatelor auditului

conducerea pregăteşte un rezumat cu privire la neajunsurile depistate şi elaborează

planul de acţiuni pentru înlăturarea acestora. Aceste acţiuni trebuie direcţionate

spre înlăturarea discrepanţelor depistate şi a situaţiilor critice. După înlăturarea



A CHEILOR PUBLICE


C4 – PUBLIC


RG.0600.13 1.1 13.11.2013 95 / 95

discrepanţelor şi a necorespunderilor, acestea sunt şterse din raportul auditorului

prin alcătuirea raportului de înlăturare a discrepanţelor depistate, copia căruia este

trimisă instituţiei ce efectuează auditul în caz de audit extern.

În caz de defecte ce prezintă risc direct pentru procesul de certificare a

cheilor publice administratorul securitate poate lua decizia de suspendare

temporară a procesului dat. Toţi abonaţii vor fi înştiinţaţi despre decizia luată şi

despre termenele de suspendare.

8.6 NOTIFICARE DESPRE REZULTATELE AUDITULUI

Rapoartele auditorului(-ilor) (cu cele mai mici detalii posibile) şi opinia

generală a auditorului despre starea şi funcţionalitatea Centrului de certificare sunt

elaborate în conformitate cu cerinţele indicate în WebTrust şi, după verificarea de

către administratorul sistemului de securitate, sunt publicate în Repozitoriu după

fiecare audit efectuat.

CODUL DE PRACTICI ŞI PROCEDURI - cts.md...5.5.6 Cerinţe de aplicare a mărcii temporale pe...

Documents

Transcript of CODUL DE PRACTICI ŞI PROCEDURI - cts.md...5.5.6 Cerinţe de aplicare a mărcii temporale pe...