CODUL DE PRACTICI ŞI PROCEDURI - cts.md...5.5.6 Cerinţe de aplicare a mărcii temporale pe...
Transcript of CODUL DE PRACTICI ŞI PROCEDURI - cts.md...5.5.6 Cerinţe de aplicare a mărcii temporale pe...
ÎS CENTRUL DE TELECOMUNICAŢII SPECIALE
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE A CHEILOR PUBLICE
Noiembrie 2013
Chişinău 2013
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 2 / 95
CUPRINS
1. INTRODUCERE .................................................................................................................................................... 6 1.1 Rezumat .................................................................................................................................................................. 7 1.2 Definirea Codului de practici şi proceduri (denumirea şi identificarea documentului) ........................................ 10 1.3 Participanţi ai infrastructurii cheilor publice (PKI)............................................................................................... 10 1.3.1 Centre de certificare (СА) ..................................................................................................................................... 10 1.3.2 Centre de înregistrări (RA) ................................................................................................................................... 11 1.3.3 Utilizatori finali..................................................................................................................................................... 11 1.3.4 Părţi de încredere .................................................................................................................................................. 13 1.3.5 Alte servicii ........................................................................................................................................................... 13 1.4 Aplicabilitate ......................................................................................................................................................... 13 1.4.1 Aplicabilitatea certificatului cheii publice ............................................................................................................ 14 1.4.2 Restricţii de aplicabilitate a certificatelor cheilor publice ..................................................................................... 14 1.5 Administrarea Codului de practici şi proceduri .................................................................................................... 15 1.5.1 Instituţia administratoare a Codului de practici şi proceduri ................................................................................ 15 1.5.2 Date de contact...................................................................................................................................................... 16 1.5.3 Procedura de coordonare şi aprobare a Codului de practici şi proceduri .............................................................. 16 2. REPOZITORIUL ŞI PUBLICAREA ................................................................................................................... 17 2.1 Repozitoriul Centrului de certificare..................................................................................................................... 17 2.2 Publicarea informaţiei despre certificatele cheilor publice ................................................................................... 18 2.3 Frecvenţa de publicare .......................................................................................................................................... 18 2.4 Controlul accesului la Repozitoriu ........................................................................................................................ 19 3. IDENTIFICAREA ŞI AUTENTIFICAREA ........................................................................................................ 19 3.1 Nume .................................................................................................................................................................... 19 3.1.1 Tipuri de nume ...................................................................................................................................................... 19 3.1.2 Numele caracteristice ............................................................................................................................................ 20 3.1.3 Anonimatul sau pseudonimele abonaţilor ............................................................................................................. 21 3.1.4 Regulile de interpretare a diferitor forme de nume ............................................................................................... 21 3.1.5 Unicitatea numelor ................................................................................................................................................ 22 3.1.6 Recunoaşterea şi rolul mărcilor comerciale .......................................................................................................... 22 3.2 Înregistrarea .......................................................................................................................................................... 22 3.2.1 Autentificarea persoanelor juridice ....................................................................................................................... 23 3.2.2 Autentificarea persoanelor fizice ......................................................................................................................... 24 3.2.3 Autentificarea echipamentului (fizic sau logic) .................................................................................................... 24 3.3 Identificarea şi autentificarea la solicitarea certificării noii perechi de chei ......................................................... 24 3.3.1 Autentificarea la certificarea noii perechi de chei în cazul expirării perioadei de valabilitate a
certificatului ............................................................................................................................................................................ 25 3.3.2 Autentificarea în cazul introducerii modificărilor în certificatul valid ................................................................. 25 3.3.3 Autentificarea în cazul certificării perechii noi de chei după revocarea certificatului .......................................... 25 3.4 Identificarea şi autentificarea la depunerea cererii pentru revocarea certificatului ............................................... 26 4. CERINŢE FAŢĂ DE GESTIONAREA CICLULUI DE VIAŢĂ AL CERTIFICATULUI ................................ 26 4.1 Cererea pentru certificare ...................................................................................................................................... 27 4.1.1 Entităţi care pot depune cerere pentru certificare.................................................................................................. 28 4.1.2 Înregistrarea cererii pentru certificare ................................................................................................................... 28 4.2 Prelucrarea cererilor pentru certificare ................................................................................................................. 29 4.2.1 Realizarea autentificării şi identificării ................................................................................................................. 29 4.2.2 Acceptarea sau refuzul cererii pentru certificare................................................................................................... 29 4.2.3 Timpul de prelucrare a cererii pentru certificare ................................................................................................... 30 4.3 Eliberarea certificatului ......................................................................................................................................... 30 4.3.1 Acţiunile administratorului certificare în procesul de generare a certificatului cheii publice ............................... 31 4.3.2 Notificarea abonatului despre emiterea certificatului ........................................................................................... 32
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 3 / 95
4.4 Acceptarea certificatului ....................................................................................................................................... 32 4.4.1 Acţiunea ce semnifică acceptarea certificatului .................................................................................................... 32 4.4.2 Publicarea certificatului de către Centrul de certificare ........................................................................................ 32 4.4.3 Notificarea altor persoane despre eliberarea certificatului abonatului .................................................................. 32 4.5 Cheile privată şi publică şi utilizarea certificatului ............................................................................................... 33 4.5.1 Cheia privată a abonatului şi utilizarea certificatului ............................................................................................ 33 4.5.2 Cheia publică a abonatului şi utilizarea certificatului de partea de încredere ....................................................... 33 4.6 Reînnoirea certificatului........................................................................................................................................ 34 4.7 Reînnoirea cheilor ................................................................................................................................................. 34 4.8 Introducerea modificărilor în certificat ................................................................................................................. 34 4.9 Revocarea şi suspendarea valabilităţii certificatului ............................................................................................. 35 4.9.1 Cauze pentru revocare .......................................................................................................................................... 36 4.9.2 Entităţi ce pot solicita revocarea certificatului ...................................................................................................... 36 4.9.3 Procedurile de revocare a certificatului ................................................................................................................ 37 4.9.4 Termenul de prelucrare a cererii de revocare a certificatului în Centrul de certificare ......................................... 38 4.9.5 Verificarea certificatelor revocate de către părţile de încredere ............................................................................ 38 4.9.6 Frecvenţa publicării listei certificatelor revocate .................................................................................................. 39 4.9.7 Verificarea accesibilităţii service-ului OCSP........................................................................................................ 39 4.9.8 Cerinţe înaintate la verificarea certificatului prin service-ul OCSP ...................................................................... 39 4.9.9 Alte forme de verificare a statutului certificatului ................................................................................................ 40 4.9.10 Cerinţe speciale faţă de încălcarea securităţii cheii private ................................................................................... 40 4.9.11 Circumstanţe ce determină suspendarea valabilităţii certificatului ....................................................................... 40 4.9.12 Entităţi ce pot solicita suspendarea certificatului .................................................................................................. 41 4.9.13 Procedurile de suspendare şi restabilire a valabilităţii certificatului ..................................................................... 41 4.9.14 Restricţii pe perioada suspendării valabilităţii certificatului ................................................................................. 42 4.9.15 Restabilirea valabilităţii certificatului ................................................................................................................... 42 4.10 Depozitarea cheii şi restabilirea ei ........................................................................................................................ 44 5. RESURSE, GESTIONARE ŞI CONTROLUL OPERAŢIONAL ........................................................................ 45 5.1 Controlul fizic al securităţii .................................................................................................................................. 45 5.1.1 Amplasare ............................................................................................................................................................. 45 5.1.2 Accesul fizic ......................................................................................................................................................... 45 5.1.3 Alimentarea electrică şi condiţionarea aerului ...................................................................................................... 46 5.1.4 Umiditatea ............................................................................................................................................................. 47 5.1.5 Securitatea antiincendiară şi măsurile de prevenire .............................................................................................. 47 5.1.6 Păstrarea purtătorilor de informaţie ...................................................................................................................... 47 5.1.7 Nimicirea purtătorilor de informaţie ..................................................................................................................... 48 5.1.8 Copierea de rezervă completă ............................................................................................................................... 48 5.2 Organizarea controlului securităţii ........................................................................................................................ 48 5.2.1 Rolurile şi atribuţiile funcţionale .......................................................................................................................... 48 5.2.2 Numărul persoanelor cu funcţii de răspundere, necesare pentru realizarea unui proces ....................................... 49 5.2.3 Identificarea şi autentificarea rolurilor .................................................................................................................. 50 5.2.4 Rolurile ce interzic cumularea funcţiilor .............................................................................................................. 51 5.3 Securitatea personalului ........................................................................................................................................ 51 5.3.1 Cerinţe faţă de calificarea şi experienţa personalului............................................................................................ 51 5.3.2 Procedurile de verificare a personalului ................................................................................................................ 52 5.3.3 Cerinţe de instruire a personalului ........................................................................................................................ 52 5.3.4 Frecvenţa desfăşurării perioadelor repetate de instruire şi cerinţe ........................................................................ 53 5.3.5 Frecvenţa şi consecutivitatea transferurilor (rotaţiilor) de funcţii ......................................................................... 53 5.3.6 Sancţiuni în cazul acţiunilor neautorizate ............................................................................................................. 53 5.3.7 Cerinţe de angajare temporară a personalului ....................................................................................................... 53 5.3.8 Documentaţie pusă la dispoziţia personalului ....................................................................................................... 54 5.4 Evenimente supuse înregistrării şi procedurile auditului ...................................................................................... 54 5.4.1 Tipurile de evenimente supuse înscrierii .............................................................................................................. 55 5.4.2 Frecvenţa de verificare a registrelor evenimentelor .............................................................................................. 56
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 4 / 95
5.4.3 Perioada de utilizare a registrelor evenimentelor .................................................................................................. 56 5.4.4 Protecţia registrelor evenimentelor ....................................................................................................................... 57 5.4.5 Proceduri aplicate în procesul de arhivare a registrelor evenimentelor ................................................................ 57 5.4.6 Notificarea persoanelor responsabile despre evenimente ..................................................................................... 58 5.4.7 Evaluarea punctelor vulnerabile ale sistemului ..................................................................................................... 58 5.5 Arhivarea înscrierilor ............................................................................................................................................ 59 5.5.1 Tipurile de date supuse arhivării ........................................................................................................................... 60 5.5.2 Frecvenţa de arhivare a datelor ............................................................................................................................. 60 5.5.3 Termenele de păstrare a datelor de arhivă............................................................................................................. 61 5.5.4 Protecţia arhivelor ................................................................................................................................................. 61 5.5.5 Procedurile copierii de rezervă ............................................................................................................................. 61 5.5.6 Cerinţe de aplicare a mărcii temporale pe înscriere .............................................................................................. 62 5.5.7 Procedurile de acces şi de verificare a informaţiei de arhivă ................................................................................ 62 5.6 Schimbarea cheilor ............................................................................................................................................... 63 5.7 Încălcarea securităţii cheilor şi restabilirea după avarie ........................................................................................ 63 5.7.1 Proceduri în caz de compromitere a cheilor sau de suspiciune de compromitere a cheilor Centrului de
certificare 63 5.7.2 Deteriorarea resurselor informaţionale, a mijloacelor de program sau a datelor .................................................. 63 5.7.3 Proceduri în caz de compromitere a cheilor sau de suspiciune de compromitere a cheilor abonaţilor ................. 66 5.7.4 Restabilirea securităţii după starea de avarie ........................................................................................................ 66 5.8 Încetarea activităţii Centrului de certificare .......................................................................................................... 66 5.8.1 Cerinţe ce ţin de obligaţiile de transmitere ........................................................................................................... 66 5.8.2 Publicarea certificatelor şi succesorii proceselor finisate ..................................................................................... 67 6. CONTROLUL TEHNIC AL SECURITĂŢII ....................................................................................................... 68 6.1 Generarea şi utilizarea perechii de chei ................................................................................................................ 68 6.1.1 Crearea cheilor privată şi publică.......................................................................................................................... 68 6.1.2 Transmiterea cheii publice în Centrul de certificare ............................................................................................. 69 6.1.3 Răspîndirea cheilor publice de Centrul de certificare ........................................................................................... 69 6.1.4 Lungimea cheilor .................................................................................................................................................. 69 6.1.5 Parametrii cheilor publice şi verificarea calităţii parametrilor .............................................................................. 70 6.1.6 Scopurile de utilizare a cheilor (în conformitate cu X.509 v3) ............................................................................. 70 6.1.7 Metodele software şi/sau hardware de creare a cheilor ......................................................................................... 71 6.2 Protecţia cheilor private şi controlul ingineresc al modulilor criptografici ........................................................... 71 6.2.1 Standarde pentru modulele criptografice .............................................................................................................. 71 6.2.2 Partajarea şi distribuirea cheii private ................................................................................................................... 71 6.2.3 Depozitarea cheilor private ................................................................................................................................... 72 6.2.4 Copierea de rezervă a cheilor private .................................................................................................................... 72 6.2.5 Intrarea şi stocarea cheii private pe modulul criptografic ..................................................................................... 72 6.2.6 Metode de activare a cheilor private ..................................................................................................................... 72 6.2.7 Metode de dezactivare a cheilor private ............................................................................................................... 73 6.2.8 Metode de distrugere (nimicire) a cheilor private ................................................................................................. 74 6.3 Alte aspecte de administrare a cheilor .................................................................................................................. 74 6.3.1 Arhivele cheilor publice ........................................................................................................................................ 74 6.3.2 Termenul de valabilitate a certificatului şi perioada de utilizare a cheilor privată şi publică ............................... 75 6.4 Activarea datelor ................................................................................................................................................... 76 6.4.1 Crearea şi utilizarea datelor de activare ................................................................................................................ 76 6.4.2 Protecţia datelor de activare .................................................................................................................................. 76 6.4.3 Alte aspecte ale procesului de activare a datelor .................................................................................................. 77 6.5 Controlul de securitate .......................................................................................................................................... 77 6.5.1 Cerinţe tehnice specifice de control de securitate ................................................................................................. 77 6.5.2 Evaluarea securităţii .............................................................................................................................................. 78 6.6 Controlul tehnic al ciclului de viaţă ...................................................................................................................... 78 6.6.1 Administrarea controlului de securitate ................................................................................................................ 78 6.7 Administrarea securităţii de reţea ......................................................................................................................... 79
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 5 / 95
6.8 Marca temporală ................................................................................................................................................... 79 7. PROFILURILE CERTIFICATULUI, A LISTEI CERTIFICATELOR REVOCATE ŞI OCSP .......................... 80 7.1 Profilul certificatelor ............................................................................................................................................. 80 7.1.1 Versiunea certificatului ......................................................................................................................................... 80 7.1.2 Cîmpurile de bază ale certificatului ...................................................................................................................... 81 7.1.3 Cîmpurile auxiliare ale certificatului .................................................................................................................... 82 7.1.4 Extensiile certificatului şi tipuri de certificate ...................................................................................................... 84 7.1.5 Extensiile certificatelor centrelor de certificare .................................................................................................... 85 7.1.6 Certificate de autentificare a serverului ................................................................................................................ 85 7.1.7 Certificate pentru semnare de cod ......................................................................................................................... 86 7.1.8 Certificatele abonaţilor ......................................................................................................................................... 87 7.1.9 Identificatorul algoritmului semnăturii digitale .................................................................................................... 88 7.1.10 Cîmpul semnăturii digitale .................................................................................................................................... 88 7.2 Profilul CRL ......................................................................................................................................................... 88 7.2.1 Extensiile acceptate ............................................................................................................................................... 90 7.3 Profilul răspunsului OCSP .................................................................................................................................... 91 7.3.1 Versiunea .............................................................................................................................................................. 92 7.3.2 Informaţie despre statutul certificatului ................................................................................................................ 92 8. AUDITUL ŞI ALTE EVALUĂRI ........................................................................................................................ 93 8.1 Frecvenţa efectuării auditului ............................................................................................................................... 93 8.2 Identificarea şi calificarea auditorului ................................................................................................................... 93 8.3 Controale de audit şi intercorelaţia cu supervizaţii ............................................................................................... 94 8.4 Întrebări cu specific de audit ................................................................................................................................. 94 8.5 Acţiuni desfăşurate în caz de depistare a discrepanţelor ....................................................................................... 94 8.6 Notificare despre rezultatele auditului .................................................................................................................. 95
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 6 / 95
1. INTRODUCERE
Prezentul Cod de practici şi proceduri (Regulamentul Centrului de certificare
a cheilor publice) este elaborat în baza Legii cu privire la documentul electronic şi
semnătura digitală № 264-XV din 15 iulie 2004, a Hotărîrii Guvernului № 945 din
5 septembrie 2005 cu privire la centrele de certificare, a Condiţiilor speciale de
activitate a centrelor de certificare a cheilor publice, aprobate prin ordinul
directorului Serviciului de Informaţii şi Securitate al Republicii Moldova № 13 din
3 aprilie 2006, a Regulamentului Centrului de certificare a cheilor publice al
autorităţilor administraţiei publice, aprobat prin Ordinul directorului Serviciului de
Informaţii şi Securitate al Republicii Moldova № 32 din 15 iunie 2006, în
corespundere cu recomandările IETF (Internet Engineering Task Force) RFC 3647
(Internet X.509 Public Key Infrastructure Certificate Policy and Certification
Practices Framework).
Codul de practici şi proceduri (în continuare Cod) stabileşte condiţiile de
organizare a activităţii Centrului de certificare a cheilor publice (în continuare
Centru de certificare), creat în cadrul Î.S. „Centrul de telecomunicaţii speciale”
(în continuare Întreprindere), şi determină:
funcţiile, obligaţiile şi drepturile centrului de certificare;
procedurile şi mecanismele utilizate în procesul de prestare a serviciilor de
certificare;
ordinea de interacţiune cu alte centre de certificare şi cu utilizatorii
semnăturii digitale;
măsuri tehnico-organizatorice de bază pentru asigurarea securităţii.
Codul reprezintă un document reglementat al activităţii Întreprinderii în
calitate de Centru de certificare şi se răsfrînge asupra:
centrelor de certificare a cheilor publice subordonate sau care se află în
relaţii comerciale cu Centrul de certificare;
utilizatorilor semnăturii digitale, care-şi certifică cheile publice în Centrul
de certificare.
Infrastructura Centrului de certificare prevede 3 tipuri de certificate
(certificatele persoanelor împuternicite ale Centrului de certificare, certificatele
cheilor publice ale utilizatorilor semnăturii digitale şi certificatele serviciilor),
pentru care Codul determină cerinţele faţă de securitatea generală.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 7 / 95
Codul descrie infrastructura cheilor publice (Public Key Infrastructure) a
Centrului de certificare atât din punct de vedere juridic, cât şi cel tehnic; determină
procedurile şi mecanismele de funcţionare a Centrului de certificare în
conformitate cu standardele aprobate; determină:
obligaţiile centrelor de certificare a cheilor publice şi ale utilizatorilor
semnăturii digitale reieşind din infrastructura cheilor publice a Centrului
de certificare;
aspecte juridice ce ţin de serviciile de certificare prestate;
asigurarea securităţii şi efectuarea auditului activităţii Centrului de
certificare;
metodele de identificare a solicitantului pentru certificarea cheii publice;
procedurile operaţionale pentru prestarea serviciilor de certificare;
cererile pentru certificarea cheilor publice, cererile pentru suspendarea şi
restabilirea validităţii, revocarea şi confirmarea autenticităţii
certificatelor;
procedurile de securitate operaţională pentru înscrierea rezultatelor
auditului, păstrarea datelor şi restabilirea după pana de funcţionare;
regulile de asigurare a securităţii fizice, ale personalului, de administrare
a cheilor şi a securităţii logice a Centrului de certificare;
lista certificatelor eliberate, lista certificatelor revocate administrate în
Centrul de certificare;
aplicarea Codului, inclusiv metodele de îmbunătăţire şi ordinea de
introducere a modificărilor.
Codul presupune faptul că cititorul posedă cunoştinţe generale despre
semnătura digitală şi infrastructura cheilor publice (PKI). În lipsa acestora
informaţie cu privire la criptografia cheii publice şi utilizarea infrastructurii cheilor
publice se poate găsi pe site-ul Centrului de certificare http://www.pki.cts.md.
1.1 REZUMAT
Centrul de certificare prestează servicii de certificare în cadrul infrastructurii
cheilor publice (PKI) unice în Republica Moldova (a se vedea Fig. 1), fără crearea
unui domen de certificare separat.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 8 / 95
Figura 1. Centrul de certificare a cheilor publice în infrastructura cheilor publice din Republica
Moldova.
Aplicarea cu succes a Codului necesită un şir de documente stabilite de către
organul competent şi legislaţia în domeniul semnăturii digitale. Aceste documente
au caracter general şi fac legătura între utilizatori şi centrele de certificare,
stabilind standarde obligatorii pentru toţi.
Tabelul 1 conţine lista de bază a documentelor, accesibilitatea pentru
documentare publică şi locul amplasării acestora.
Documente Statut Accesibilitate
Documente ajutătoare cu privire la securitate şi proceduri în cadrul Întreprinderii
Politica de certificare a cheilor publice
Accesibil
http://www.pki.cts.md
Centrul de certificare de
nivel superior
(ROOT CA)
Centrul de certificare a
cheilor publice (СА)
Centre de înregistrări la
distanţă (RA)
Utilizatori Autorităţile administraţiei publice,
persoane fizice şi juridice
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 9 / 95
Politica de securitate a Centrului de
certificare
Politica de acordare şi control al
accesului la resursele Centrului de
certificare
Planul de gestionare a riscurilor
Planul de asigurare a continuităţii
activităţii Centrului de certificare
Procedurile de restabilire a activităţii
Centrului de certificare
Instrucţiunea ce reglementează
securitatea şi exploatarea MPCI
Ordinea de sincronizare a timpului
după GMT
Inaccesibil
Inaccesibil
Inaccesibil
Inaccesibil
Inaccesibil
Inaccesibil
Inaccesibil
pentru utilizare în interes de servici
pentru utilizare în interes de servici
pentru utilizare în interes de servici
pentru utilizare în interes de servici
pentru utilizare în interes de servici
pentru utilizare în interes de servici
pentru utilizare în interes de servici
Documente specifice
Codul de practici şi proceduri al
Centrului de certificare
Accesibil
https://pki.cts.md/despre-centru/legislatie.html
Tabelul 1. Documente ce reglementează activitatea Centrului de certificare.
Prevederile prezentului Cod corespund cerinţelor din standardele unanim
recunoscute, inclusiv AICPA/CICA WebTrust Program for Certification
Authorities, ANS X9.79:2001 PKI Practices and Policy Framework, şi ale altor
standarde din domeniul activităţii centrelor de certificare.
Structura Codului corespunde standardului „Internet X.509 Public Key
Infrastructure. Certificate Policy and Certification Practices Framework”,
cunoscut sub numele de RFC 3647, cu excepţia câtorva modificări în denumiri şi
detalii ce corespund modelelor business ale Întreprinderii. Corespunderea cu
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 10 / 95
standardul dat simplifică dezvoltarea politicii de certificare, interacţiunea cu
utilizatorii semnăturii digitale şi alte centre de certificare.
1.2 DEFINIREA CODULUI DE PRACTICI ŞI PROCEDURI (DENUMIREA
ŞI IDENTIFICAREA DOCUMENTULUI)
Prezentul Cod reprezintă un document reglementat al activităţii Întreprinderii
în calitate de Centru de certificare a cheilor publice.
Codul are denumiri în limbile de stat (Codul de Practici şi Proceduri), rusă
(Свод Правил и Процедур) şi engleză (Certification Practice Statement).
Toate versiunile acestui document pot fi găsite pe site-ul Centrului de
certificare:
versiunea electronică în repozitoriu – https://pki.cts.md/despre-
centru/legislatie.html sau;
versiunea pe suport de hârtie – la cerere pe adresa Centrului de certificare (a se
vedea Secţiunea 1.5).
1.3 PARTICIPANŢI AI INFRASTRUCTURII CHEILOR PUBLICE (PKI)
Codul de practici şi proceduri se răsfrînge asupra tuturor utilizatorilor
semnăturii digitale care sunt abonaţi sau parteneri ai Centrului de certificare,
indiferent de locul aflării acestora.
Centrul de certificare prestează servicii de certificare a cheilor publice ale
abonaţilor atît ca persoane fizice, cît şi ca persoane juridice, reglînd aceste corelaţii
prin prezentul Cod. Scopul acestui document (inclusiv descrierea procedurilor de
generare a perechii de chei publică şi privată, de asigurare a securităţii sistemului)
este informarea şi convingerea abonaţilor Centrului de certificare în faptul că
nivelul de încredere în certificatele publicate se datorează practicii de lucru în
domeniul respectiv al Centrului de certificare.
1.3.1 CENTRE DE CERTIFICARE (СА)
Centrul de certificare a cheilor publice prestează servicii de certificare în
cadrul infrastructurii cheilor publice (PKI) unice a Republicii Moldova (a se vedea
Fig. 1).
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 11 / 95
În cadrul domenului de certificare a Centrului de certificare pot fi create
centre de certificare de nivelul trei.
Prin centru de certificare de nivelul trei se subînţelege departamentul
persoanei juridice ce prestează servicii de certificare a cheilor publice şi alte
servicii în domeniul semnăturii digitale în scopuri corporative, în conformitate cu
propriul Cod de practici şi proceduri, ce poate fi acelaşi pentru toate centrele de
certificare sau pot diferenţia de la un centru la altul în dependenţă de scopul
urmărit de respectivul centru.
1.3.2 CENTRE DE ÎNREGISTRĂRI (RA)
Centrul de certificare oferă posibilitatea de a crea Centru de înregistrări la
distanţă, reprezentanţă a Centrului de certificare în interacţiunea cu abonaţii.
Centrul de înregistrări activează în bază de Contract şi asistă Centrul de
certificare, executînd funcţiile administratorului înregistrări în conformitate cu
prezentul Cod.
În acest sens, în Centrul de înregisrări au loc următoarele proceduri:
identificarea şi înregistrarea solicitantului pentru certificarea cheii publice;
primirea şi prelucrarea cererilor pentru certificare, suspendare, restabilire a
validităţii şi revocare a certificatului cheii publice.
Orice persoană juridică poate fi Centru de înregistrări cu condiţia executării
tuturor cerinţelor înaintate de Centrul de certificare.
Centrul de înregistrări la distanţă nu are dreptul de a deschide alte centre de
înregistrări, nici de a delega funcţiile sale altei persoane juridice neacreditată de
Centrul de certificare.
Centrul de înregistrări la distanţă interacţionează doar cu Abonaţii –
solicitanţii pentru certificarea cheilor publice. Cererea pentru certificarea cheii
publice a persoanei împuternicite a centrului de certificare de nivelul trei se depune
doar la Centrul de certificare.
1.3.3 UTILIZATORI FINALI
În condiţiile legislaţiei în vigoare Centrul de certificare prestrează servicii
oricărui tip de utilizatori ai semnăturii digitale.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 12 / 95
Tipul
certificatului
Eliberat Serviciul pentru care
se eliberează
certificatul
Utilizatori
Certificatul cheii
publice
Persoanei fizice
Persoanei fizice
Persoanei fizice
Corporativ
Vînzare
Administrarea
infrastructurii cheilor
publice
Colaboratorii centrului de certificare,
administratorii centrelor de înregistrări la
distanţă
Orice utilizator al semnăturii digitale
(angajaţi ai autorităţilor publice, ai
persoanelor juridice cu diverse forme de
activitate, cetăţeni)
Persoanele împuternicite ale
centrelor de certificare a cheilor
publice de nivelul trei
Certificate ale
service-urilor
Persoanei fizice
Persoanei fizice
Gestionarea service-
ului
Administrarea
service-ului
Administratorii dispozitivelor (fizice şi
logice)
Persoane juridice cu diverse forme de
activitate ce prestează servicii de non-
repudiere.
Tabelul 2. Utilizatorii serviciilor prestate de Centrul de certificare.
Prin utilizatori finali se subînţeleg:
abonaţi – utilizatori finali, ale căror date personale de identificare sunt
înscrise în câmpul Subject al certificatului cheii publice şi care nu eliberează
certificate ale cheilor publice altor persoane;
părţi de încredere – utilizatori finali, care folosesc certificatele cheilor
publice ale abonatilor în scop de verificare a semnăturii digitale a abonatului sau în
scop de asigurare a securităţii informaţiei transmise.
Orice persoană fizică sau juridică, inclusiv dispozitivul (fizic sau logic) al
acestora, poate deveni Abonat al Centrului de certificare.
Abonatul se adresează personal în Centrul de certificare după serviciile
corespunzătoare.
Instituţiile, ce doresc să procure certificate ale cheilor publice pentru
angajaţii săi, se pot adresa la Centrul de certificare prin reprezentantul împuternicit
(persoana responsabilă).
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 13 / 95
1.3.4 PĂRŢI DE ÎNCREDERE
Partea de încredere, ce foloseşte serviciile Centrului de certificare, poate fi
reprezentată de orice persoană, decizia căreia depinde de legătura directă între
identitatea abonatului şi cheia publică a acestuia (fapt confirmat de certificatul
cheii publice eliberat de Centrul de certificare).
Partea de încredere este responsabilă de verificarea statutului certificatului
abonatului, de verificarea semnăturii digitale în scop de identificare a sursei sau
autorului mesajului, sau pentru crearea canalului de comunicaţii securizat cu
titularul certificatului cheii publice. Reieşind din informaţia conţinută în câmpurile
certificatului cheii publice, partea de încredere verifică corectitudinea utilizării
certificatului cheii publice după destinaţie şi în conformitate cu restricţiile
menţionate în certificat.
1.3.5 ALTE SERVICII
Centrul de certificare prestează şi alte servicii, cum ar fi:
accesul public la repozitoriu;
serviciul de marcare temporală (Time-Stamping Authority);
serviciul de verificare în regim de timp real a statutului certificatului cheii
publice (Online Certificate Status Protocol – OCSP);
serviciul de aplicare a semnăturii digitale prin intermediul aplicaţiei web,
serviciul de aplicare a semnăturii digitale prin intermediul aplicaţiei desktop,
serviciul de aplicare şi/sau verificare automatizată a semnăturii digitale;
serviciul MobileSignature.
1.4 APLICABILITATE
Prezentul CPP se aplică tuturor participanţilor la infrastructura cheilor
publice a Centrului de certificare, inclusiv Centrului de certificare, Centrului de
înregistrări, abonaţilor şi părţilor terţe de încredere. Prezentul CPP descrie regulile
stabilite în procesul de utilizare a certificatelor cheilor publice, emise de Centrul de
certificare.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 14 / 95
1.4.1 APLICABILITATEA CERTIFICATULUI CHEII PUBLICE
Certificatele cheilor publice, emise de Centrul de certificare, permit părţilor
terţe de încredere, participanţilor în procesul de comunicare electronică să verifice
semnăturile digitale ale abonaţilor. În conformitate cu legislaţia în vigoare
semnătura digitală sau orice tranzacţie, ce ţine de certificatul cheii publice emis de
Centrul de certificare, va fi considerată validă, indiferent de locul unde a fost emis
certificatul cheii publice sau a fost creată/utilizată semnătura digitală şi indiferent
de locul unde Centrul de certificare sau utilizatorul semnăturii digitale îşi
desfăşoară activitatea.
Domeniul de aplicabilitate a certificatelor cheilor publice se determină de
două elemente:
aplicarea certificatului (e.g., pentru verificarea semnăturii digitale, pentru
asigurarea confidenţialităţii, etc. în restricţiile menţionate în certificat);
lista sau descrierea aplicaţiilor ce permit sau interzic utilizarea certificatului.
Certificatele cheilor publice, emise de Centrul de certificare, pot fi utilizate
în aplicaţii, ce corespund următoarelor cerinţe:
administrează perechea de cheii publică şi privată;
utilizează certificatele şi cheile publice corespunzătoare după destinaţia lor;
dispun de mecanisme interne de verificare a statutului certificatului, de
creare a lanţului de certificare şi verificare a valabilităţii
certificatului/semnăturii digitale;
propun utilizatorului informaţia corespunzătoare despre certificate şi
statutele acestora.
1.4.2 RESTRICŢII DE APLICABILITATE A CERTIFICATELOR
CHEILOR PUBLICE
Utilizarea certificatelor cheilor publice, emise de Centrul de certificare, nu
este limitată la un anumit mediu de afaceri, cum ar fi sistemul serviciilor
financiare sau un mediu de piaţă virtuală. Cu toate acestea, Centrul de certificare
sau alţi participanţi la infrastructura cheilor publice nu poartă răspundere pentru
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 15 / 95
monitorizarea sau stabilirea cărorva restricţii de aplicabilitate a certificatului cheii
publice în aceste medii.
Este interzisă utilizarea certificatelor în aplicaţiile ce nu sunt incluse în lista
sus-menţionată şi nu corespund cerinţelor, înaintate în p.1.4.1 al CPP.
Unele certificate ale cheilor publice, emise de Centrul de certificare, au
restricţii de utilizare. De exemplu, certificatele cheilor publice ale persoanelor
împuternicite ale centrelor de certificare nu pot fi utilizate decât pentru semnarea
certificatelor cheilor publice ale utilizatorilor semnăturii digitale, a listei
certificatelor revocate. Certificatele cheilor publice ale utilizatorilor se supun
aplicaţiilor clienţilor şi nu sunt utilizate drept certificate pentru servicii. De
asemenea, certificatele administratorilor se utilizează doar pentru executarea
atribuţiilor funcţionale de administrator.
În ce priveşte certificatele cheilor publice, emise de Centrul de certificare, ce
corespund recomandării X.509 v3 The Directory: Public-key and attribute
certificate framework, utilizarea cheii este restricţionată de obiectivele cu caracter
tehnic, pentru care se utilizează cheia privată, corespunzătoare cheii publice
certificate. Certificatele cheilor publice ale utilizatorilor finali nu pot fi utilizate
drept certificate ale Centrului de certificare. Alte restricţii de aplicabilitate a
certificatelor cheilor publice sunt determinate de însuşi utilizatori şi se înscriu în
câmpurile corespunzătoare ale certificatului.
Certificatele cheilor publice se utilizează doar conform câmpurilor, stabilite
la crearea lor, şi în conformitate cu legislaţia în vigoare.
1.5 ADMINISTRAREA CODULUI DE PRACTICI ŞI PROCEDURI
1.5.1 INSTITUŢIA ADMINISTRATOARE A CODULUI DE PRACTICI ŞI
PROCEDURI
Întreprinderea este persoana juridică responsabilă pentru elaborarea,
înregistrarea, aplicarea şi modificarea ulterioară a CPP al Centrului de certificare.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 16 / 95
1.5.2 DATE DE CONTACT
Întrebări cu privire la prezentul CPP puteţi adresa la următoarea adresă:
Î.S. “Centrul de telecomunicaţii speciale”
Republica Moldova,
or. Chişinău,
Piaţa Marii Adunări naţionale, 1,
MD – 2033,
Telefon/fax: (+373) 22 250522
E-mail: [email protected]
1.5.3 PROCEDURA DE COORDONARE ŞI APROBARE A CODULUI DE
PRACTICI ŞI PROCEDURI
Prezentul Cod este publicat în formă electronică în Repozitoriul Centrului de
certificare (http://pki.сts.md).
Modificarea prevederilor acestui Cod este rezultatul depistării erorilor, al
actualizării sau al propunerilor parvenite de la utilizatorii semnăturii digitale.
Propunerile cu privire la modificările Codului se primesc prin poşta electronică sau
pe adresa Centrului de certificare.
După fiecare modificare, introdusă în Cod, se schimbă identificatorul lui.
Modificările se fac de Centrul de certificare sub formă de documente ce
conţin acele modificări sau actualizări.
Centrul de certificare îşi asumă dreptul de a introduce modificări în
prezentul CPP fără notificarea utilizatorilor semnăturii digitale în compartimentele
ce ţin de greşeli de redactare, schimbarea URL-ului şi a datelor de contact.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 17 / 95
Centrul de certificare va introduce modificări în prezentul Cod cu notificarea
persoanelor interesate.
Modificări esenţiale, însoţite de notificări, sunt cele ce schimbă esenţa
prevederilor prezentului Cod şi sunt determinate de Centrul de certificare.
Toate actualizările şi completările propuse în prezentul Cod sunt pe site-ul
http://pki.cts.md.
Centrul de certificare este deschis observaţiilor utilizatorilor semnăturii
digitale asupra CPP şi, în caz că acestea sunt acceptabile, vor trece procedura de
aprobare în conformitate cu secţiunea dată.
În cazuri excepţionale, dacă Centrul de certificare consideră că modificările
au un caracter urgent, în scop de prevenire sau de stopare a încălcării securităţii
infrastructurii cheii publice, Centrul de certificare are dreptul de a formula astfel
de modificări, publicându-le în Repozitoriul Centrului de certificare.
Termenul pentru depunerea obiecţiilor şi comentariilor cu privire la
modificările propuse ale prevederilor prezentului CPP este de cincisprezece (15)
zile din momentul publicării lor pe site-ul Centrului de certificare.
Vor fi luate în consideraţie toate obiecţiile şi comentariile şi:
modificările propuse vor intra în vigoare fără rectificări,
modificările vor fi supuse rectificărilor şi vor fi republicate ca rectificări
noi, în conformitate cu prezenta secţiune,
modificările propuse vor fi şterse.
Modificările propuse, cu excepţia celor şterse, intră în vigoare din momentul
expirării termenului pentru depunerea obiecţiilor şi comentariilor.
Aprobarea CPP este o procedură internă a Întreprinderii şi are loc conform
regulilor stabilite la Întreprindere.
2. REPOZITORIUL ŞI PUBLICAREA
2.1 REPOZITORIUL CENTRULUI DE CERTIFICARE
Repozitoriul Centrului de certificare este sursa informaţională de bază a
Centrului de certificare şi reprezintă totalitatea datelor, accesibile public, sub formă
de documente pe suport de hârtie şi documente electronice.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 18 / 95
În Repozitoriu sunt stocate certificatele cheilor publice, emise de Centrul de
certificare, şi informaţia suplimentară cu privire la funcţionarea corectă a
infrastructurii (CRL, prezentul CPP, etc.).
2.2 PUBLICAREA INFORMAŢIEI DESPRE CERTIFICATELE CHEILOR
PUBLICE
Repozitoriul Centrului de certificare este o interfaţă publică ce conţine
următoarea informaţie:
versiunile actuale ale Codului de practici şi proceduri, ale Politicilor de
certificare;
contracte-tip şi anexe, ce urmează a fi semnate cu utilizatorii semnăturii
digitale;
declaraţia cu privire la confidenţialitatea informaţiei primite şi prelucrate;
lista centrelor de înregistrări împuternicite;
Registrul în care se conţin:
o certificatele cheilor publice ale abonaţilor;
o certificatele cheilor publice ale persoanelor împuternicite ale centrelor
de certificare de nivelul trei;
o lista certificatelor revocate;
altă informaţie ce se modifică în timp real.
Cu conţinutul Repozitoriului a se lua cunoştinţă pe https://pki.cts.md.
2.3 FRECVENŢA DE PUBLICARE
Informaţia, publicată în Repozitoriul Centrului de certificare, se actualizează
în următorul mod:
Politicile de certificare şi Codul de practici şi proceduri – la introducerea
modificărilor în caz de depistare a erorilor, modificare a standardelor
corespunzătoare sau la propunerile abonaţilor;
contractele-tip şi anexele – după introducerea modificărilor;
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 19 / 95
certificatele cheilor publice ale persoanelor împuternicite ale Centrului de
certificare – după primirea noilor certificate;
certificatele abonaţilor – după eliberarea noului certificat în baza acordului
în scris al abonatului;
lista certificatelor revocate – a se vedea Secţiunea 4.9.7;
informaţie suplimentară – la fiecare completare.
2.4 CONTROLUL ACCESULUI LA REPOZITORIU
Informaţia, publicată în Repozitoriul Centrului de certificare, este informaţie
publică. Întreprinderea a implementat măsuri de securitate fizică şi logică pentru a
preveni adăugarea, ştergerea sau schimbarea informaţiei publicate în Repozitoriul
Centrului de certificare.
3. IDENTIFICAREA ŞI AUTENTIFICAREA
3.1 NUME
3.1.1 TIPURI DE NUME
Certificatele cheilor publice, emise de Centrul de certificare, corespund
cerinţelor standardului ITU-T X.509, versiunea 3, standardului SMV ISO CEI
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 20 / 95
9594-8:2007 Information technology. Open Systems Interconnection. The
Directory: Public-key and attribute certificate frameworks sau IETF RFC 5280
Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation
List (CRL) Profile.
Certificatele cheilor publice, emise de Centrul de certificare, conţin nume
caracteristice X.501 (cunoscut ca standard ISO/IEC 9594-2) în câmpurile
emitentului şi subiectului.
Structurile certificatelor cheilor publice ale persoanelor împuternicite şi ale
utilizatorilor semnăturii digitale sunt prezentate în anexele № 1 şi 2 la Normele
tehnice în domeniul semnăturii digitale, aprobate prin Ordinul directorului
Serviciului de Informaţii şi Securitate al Republicii Moldova nr. 64 din 07.12.2006
(Monitorul Oficial № 112-116/481 din 03.08.2007) (în continuare – Norme
tehnice).
3.1.2 NUMELE CARACTERISTICE
Numele ce se conţin în certificatele cheilor publice, emise de Centrul de
certificare abonaţilor, trebuie să fie cu sens şi să identifice persoana fizică drept
subiect de certificare. Nu se acceptă utilizarea pseudonimelor.
Numele „distinguished name” (DN) constă din câmpuri obligatorii ce
corespund Normelor tehnice, recomandărilor RFC 5280 Internet X.509 Public
Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile şi
X.520 The Directory: Selected attribute types.
Numele, utilizate pentru crearea înscrierilor DN în certificatele abonaţilor, se
scriu în grafia latină cu utilizarea simbolurilor diacritice.
În cazul persoanelor juridice DN constă din următoarele câmpuri obligatorii:
a) SerialNumber -- IDNP-ul abonatului;
b) câmpul CN – numele, prenumele abonatului;
c) câmpul L – localitatea;
d) câmpul S – statul;
e) câmpul ОU – subdiviziunea persoanei juridice în care activează abonatul;
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 21 / 95
f) câmpul О – denumirea, IDNO-ul persoanei juridice, în care activează
abonatul;
g) câmpul Phone – numărul de telefon al abonatului;
h) câmpul Т – funcţia abonatului;
i) câmpul С – codul internaţional al statului (pentru Republica Moldova acesta
este MD);
j) câmpul Е – adresa de e-mail a abonatului;
k) câmpul STREET – adresa juridică a persoanei juridice.
În cazul persoanelor fizice DN constă din următoarele câmpuri obligatorii:
l) SerialNumber -- IDNP-ul abonatului;
m) câmpul CN – numele, prenumele abonatului;
n) câmpul L – localitatea;
o) câmpul S – statul;
p) câmpul Phone – numărul de telefon al abonatului (opţional);
q) câmpul С – codul internaţional al statului (pentru Republica Moldova acesta
este MD);
r) câmpul Е – adresa de e-mail a abonatului.
Datele indicate de abonat sunt verificate şi identificate de administratorul
înregistrări. Centrul de certificare garantează unicitatea numelor în cadrul
domeniului său.
3.1.3 ANONIMATUL SAU PSEUDONIMELE ABONAŢILOR
Anonimatul şi pseudonimele abonaţilor nu se aplică.
3.1.4 REGULILE DE INTERPRETARE A DIFERITOR FORME DE NUME
Interpretarea diferitor forme de nume ale certificatelor cheilor publice se
bazează pe profilurile certificatelor, expuse în §7 al prezentului CPP. Pentru
crearea şi interpretarea DN se folosesc recomandările expuse în Secţiunea 3.1.2.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 22 / 95
3.1.5 UNICITATEA NUMELOR
În scopul identificării utilizatorului certificatele cheilor publice, emise de
Centrul de certificare, sunt legalizate în conformitate cu DN.
Centrul de certificare asigură unicitatea certificatului abonatului în cadrul
domeniului Centrului de certificare prin intermediul unicităţii numărului de serie al
fiecărui certificat şi a unicităţii codului numeric personal al abonatului (IDNP).
3.1.6 RECUNOAŞTEREA ŞI ROLUL MĂRCILOR COMERCIALE
Centrul de certificare posedă marca sa comercială înregistrată, ce constă din
imaginea grafică şi inscripţie:
Imaginea grafică şi inscripţia reprezintă mărci comerciale înregistrate ale
Întreprinderii şi nu pot fi utilizate de nimeni fără permisiunea în scris a
Întreprinderii.
Marca comercială a Centrului de certificare este un element suplimentar al
logotipului pentru fiecare Centru de înregistrări, ce intră în componenţa domeniului
Centrului de certificare; dreptul de utilizare a acestui logotip este permis automat
noului Centru de înregistrări.
3.2 ÎNREGISTRAREA
Înregistrarea abonatului constă din proceduri ce permit Centrului de
certificare primirea şi verificarea veridicităţii datelor prezentate.
Înregistrarea are loc în caz când solicitantul pentru certificarea cheii publice
nu a fost abonat al Centrului de certificare. Înregistrarea presupune un şir de
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 23 / 95
proceduri pentru colectarea datelor veridice necesare la identificarea persoanei
abonatului.
Fiecare abonat este supus procedurii de înregistrare o singură dată. După
verificarea datelor pentru certificare, prezentate de către solicitant, acesta este
inclus în lista abonaţilor Centrului de certificare.
Depunerea pachetului de documente pentru certificarea cheii publice este
anticipată de consultarea şi executarea paşilor expuşi în instrucţinea de pe site-ul
Centrului de certificare https://pki.cts.md.
3.2.1 AUTENTIFICAREA PERSOANELOR JURIDICE
Identificarea persoanei juridice are drept scop:
dovada că la momentul depunerii cererii pentru certificarea cheii publice
persoana juridică, menţionată în cerere, există;
dovada că solicitantul pentru certificarea cheii publice este persoană
împuternicită din cadrul persoanei juridice menţionate.
Procedura de identificare are loc în caz că persoana juridică:
are rol de abonat prin intermediul persoanei sale împuternicite;
solicită eliberarea certificatului pentru echipament sau pentru mijloace de
program, posesorul cărora este;
crează centru de certificare de nivelul trei în infrastructura cheilor publice a
Centrului de certificare.
Identificarea persoanei juridice are loc în prezenţa reprezentantului
împuternicit al persoanei juridice în faţa administratorului înregistrări. Pachetul de
documente depus are următorul conţinut:
copia extrasului din Registrul de Stat al persoanelor juridice,
copiile actului ce identifică identitatea reprezentantului împuternicit (emis de
o autoritate de încredere şi recunoscut pe teritoriul Republicii Moldova) şi a
actului ce confirmă împuternicirea acestuia.
Administratorul înregistrări identifică persoana juridică conform
prevederilor Instrucţiunii administratorului înregistrări.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 24 / 95
Dacă persoana juridică utilizează certificatele emise de Centrul de
certificare, procedura de identificare pentru certificarea noii perechi de chei are loc
în baza pachetului de documente depus anterior.
3.2.2 AUTENTIFICAREA PERSOANELOR FIZICE
Identificarea persoanelor fizice are drept scop:
dovada că informaţia, prezentată în cererea pentru certificare, se referă la
persoana fizică în cauză;
dovada că solicitantul pentru certificarea cheii publice este o persoană fizică,
identificată în cerere.
Identificarea persoanelor fizice are la bază actele ce identifică persoana
solicitantă. Procedura de identificare, desfăşurată de administratorul înregistrări,
constă în:
verificarea autenticităţii actelor prezentate de solicitant, inclusiv în bazele
de date ale Centrului de certificare şi ale centrelor de înregistrări;
verificarea autenticităţii cererii:
o verificarea corespunderii datelor indicate în cerere cu cele din
documente;
o verificarea corespunderii numelui distinctiv;
Administratorul înregistrări identifică persoana fizică conform prevederilor
Instrucţiunii administratorului înregistrări.
Acţiunile ulterioare ale administratorului înregistrări sunt similare celor din
procedura de autentificare a persoanei juridice.
3.2.3 AUTENTIFICAREA ECHIPAMENTULUI (FIZIC SAU LOGIC)
Autentificarea echipamentului (fizic sau logic) are loc similar procedurii de
autentificare a persoanei juridice.
3.3 IDENTIFICAREA ŞI AUTENTIFICAREA LA SOLICITAREA
CERTIFICĂRII NOII PERECHI DE CHEI
Autentificarea identităţii abonatului care depune cererea pentru certificarea
noii perechi de chei sau pentru modificarea cărorva date din certificatul cheii
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 25 / 95
publice valid are loc conform prevederilor Instrucţiunii administratorului
înregistrări.
3.3.1 AUTENTIFICAREA LA CERTIFICAREA NOII PERECHI DE CHEI
ÎN CAZUL EXPIRĂRII PERIOADEI DE VALABILITATE A
CERTIFICATULUI
Procedura de certificare a noii perechi de chei pentru abonaţii Centrului de
certificare, ale căror certificate valide expiră, are loc în momentul depunerii cererii
pentru certificare cu cel puţin 30 zile pînă la expirarea perioadei de valabilitate.
Certificatul, emis de Centrul de certificare pentru noua pereche de chei,
conţine aceeaşi parametri ca şi cel a cărui perioadă de valabilitate expiră, cu
excepţia numărului de serie, a perechii de chei şi a perioadei de valabilitate a
certificatului.
Abonaţii Centrului de certificare, care depun cererile pentru certificarea noii
perechi de chei sub formă de document electronic, sunt identificaţi în baza
semnăturii digitale şi a certificatului cheii publice valid.
3.3.2 AUTENTIFICAREA ÎN CAZUL INTRODUCERII MODIFICĂRILOR
ÎN CERTIFICATUL VALID
Modificări în certificatul cheii publice valid al abonatului se fac în cazul
necesităţii modificării măcar a unui câmp (e.g., la schimbarea funcţiei abonatului, a
informaţiei de contact, a adresei electronice, a adresei juridice, a numelui la
casătorie, divorţ, etc.).
La fel se modifică perechea de chei certificată şi numărul de serie al
certificatului. Autentificarea abonatului are loc în baza pachetului de documente
depus anterior, iar introducerea modificărilor – în baza documentului ce atestă
modificarea datelor abonatului.
3.3.3 AUTENTIFICAREA ÎN CAZUL CERTIFICĂRII PERECHII NOI DE
CHEI DUPĂ REVOCAREA CERTIFICATULUI
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 26 / 95
Nu este permisă certificarea noii perechi de chei a abonatului după revocarea
certificatului dacă:
cauza revocării a fost eliberarea certificatului dat altei persoane, decât cea
indicată în câmpul Subject (subiectul certificării);
certificatul dat a fost eliberat fără permisiunea persoanei -- subiect al
certificării;
administratorii certificare sau înregistrări află sau au temei de a presupune că
informaţia, înscrisă în cererea pentru certificare, nu este veridică.
La schimbarea certificatelor cheilor publice revocate autentificarea are loc
conform procedurii de autentificare la înregistrarea iniţială a utilizatorului
semnăturii digitale (a se vedea Secţiunea 3.2 a CPP).
3.4 IDENTIFICAREA ŞI AUTENTIFICAREA LA DEPUNEREA CERERII
PENTRU REVOCAREA CERTIFICATULUI
În cazul compromiterii cheii private abonatul este obligat, în modul stabilit
de CPP, să anunţe Centrul de certificare despre aceasta, solicitînd ulterior prin
cerere revocarea certificatului cheii publice (a se vedea Secţiunea 4.9 Revocarea şi
suspendarea certificatului).
Cererea pentru revocare se depune ca document pe suport de hârtie, semnată
olograf de către solicitant.
În cazul persoanei fizice identitatea solicitantului se stabileşte prin propria
prezenţă în faţa administratorului înregistrări în baza buletinului de identitate, iar în
cazul persoanei juridice – în baza documentelor parvenite din partea acesteia.
În cazurile determinate de Cod administratorii Centrului de certificare au
dreptul unilateral să revoce certificatele cheilor publice ale utilizatorilor.
4. CERINŢE FAŢĂ DE GESTIONAREA CICLULUI DE VIAŢĂ
AL CERTIFICATULUI
Centrul de certificare îndeplineşte următoarele proceduri:
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 27 / 95
a) certificarea cheii publice a persoanei împuternicite a Centrului de certificare
în Centrul de certificare de nivel superior (conform procedurii stabilită în
Regulamentul Centrului de certificare de nivel superior);
b) certificarea cheii publice a persoanei împuternicite a centrului de certificare
de nivelul trei;
c) certificarea cheii publice a solicitantului pentru certificarea cheii publice;
d) certificarea cheii publice a mijloacelor de program şi a echipamentului;
e) suspendarea şi restabilirea validităţii certificatului cheii publice;
f) revocarea certificatului cheii publice;
g) confirmarea autenticităţii şi validităţii certificatului cheii publice;
h) aplicarea mărcii temporale (TSA);
i) confirmarea statutului certificatului cheii publice în regim de timp real
(OCSP);
j) punerea la dispoziţie a listei certificatelor revocate (CRL);
k) realizarea acţiunilor necesare pentru emiterea certificatelor SSL de către alte
autorităţi de certificare în beneficiul solicitantului.
Fiecare procedură începe cu pregătirea pachetului de documente pentru
prestarea unui anumit serviciu, stabilit de Centrul de certificare, şi depunerea
acestuia de către abonat la centrul de înregistrări sau direct la Centrul de
certificare.
4.1 CEREREA PENTRU CERTIFICARE
Pentru certificarea cheii publice solicitantul depune la Centrul de certificare
pachetul de documente ce conţine:
a) cererea pentru certificarea cheii publice sub formă de document pe suport de
hîrtie, semnat cu semnătura olografă;
b) copia buletinului de identitate;
c) purtătorul material al certificatului cheii publice sub formă de document
electronic, ce satisface cerinţele impuse de organul competent (a se vedea
Normele tehnice în domeniul semnăturii digitale).
Persoana juridică suplimentar depune:
d) cererea centralizată, semnată de conducătorul persoanei juridice, ce conţine
lista cu numele şi prenumele, funcţia angajaţilor, cheile publice ale cărora
urmează a fi certificate, numărul cererii de certificare şi idnp-ul angajatului;
e) copia extrasului din Registrul de Stat al persoanelor juridice;
f) copia actului privind numirea persoanei împuternicite
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 28 / 95
În cazul persoanei împuternicite a centrului de certificare de nivelul trei pachetul
de documente mai conţine:
g) certificatul de înregistrare a centrului de certificare de nivelul trei;
h) ordinul conducătorului centrului de certificare de nivelul trei cu privire la
numirea persoanei împuternicite a centrului.
Cererea pentru certificarea cheii publice este depusă personal de solicitant la
Centrul de certificare sau la centrele de înregistrări. Cererea este creată de
solicitant la completarea formularului electronic pe site-ul centrului de certificare
(https://pki.cts.md). Cererea este printată, semnată cu semnătura olografă şi depusă
sub formă de document pe suport de hîrtie.
Cererea pentru certificarea cheii publice trebuie să conţină:
a) numele şi familia solicitantului, IDNP, numărul documentului ce atestă
identitatea;
b) informaţie de contact (numărul de telefon, adresa poştală, adresa poştei
electronice);
c) denumirea persoanei juridice, al cărei angajat este, IDNO, funcţia deţinută
(în caz de necesitate);
d) alte date de identificare ale persoanei în dependenţă de scopurile pentru care
este eliberat certificatul cheii publice.
4.1.1 ENTITĂŢI CARE POT DEPUNE CERERE PENTRU CERTIFICARE
Cererile pot fi depuse de diverşi solicitanţi şi pot conţine solicitări pentru
diverse tipuri de certificate (în dependenţă de necesităţi – a se vedea Tabelul 2).
4.1.2 ÎNREGISTRAREA CERERII PENTRU CERTIFICARE
Solicitantul, care satisface toate condiţiile prevăzute în Cod, este înregistrat de
către administratorul înregistrări. În caz contrar, administratorul înregistrări refuză
înregistrarea solicitantului pentru certificare şi restituie solicitantului pachetul de
documente depus pentru înlăturarea cauzelor ce au servit temei de refuz.
După înregistrarea solicitantului pentru certificare administratorul înregistrări
transmite administratorului certificare cererea pentru certificarea cheii publice pe
suport de hîrtie, înregistrată şi semnată cu semnătura sa olografă, şi documentele
ataşate acesteia.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 29 / 95
4.2 PRELUCRAREA CERERILOR PENTRU CERTIFICARE
Fiecare cerere pentru certificare este prelucrată în următorul mod:
administratorul înregistrări primeşte cererea pentru certificare de la abonat;
administratorul înregistrări verifică datele din cerere;
ca urmare a verificării administratorul înregistrări confirmă corespunderea
datelor, conţinute în cerere, prin semnătura sa aplicată pe cerere;
cererea confirmată şi documentele ataşate se transmit administratorului
certificare.
4.2.1 REALIZAREA AUTENTIFICĂRII ŞI IDENTIFICĂRII
Administratorul înregistrări al Centrului de certificare identifică solicitantul
în baza documentelor depuse şi realizează verificarea prealabilă în conformitate cu
Instrucţiunea administratorului înregistrări.
În procesul verificării prealabile administratorul înregistrări trebuie să
constate respectarea următoarelor condiţii:
a) respectarea de către solicitant a legislaţiei în vigoare în domeniul semnăturii
digitale la întocmirea şi depunerea cererii pentru certificarea cheii publice;
b) respectarea de către solicitant a drepturilor persoanelor terţe la întocmirea şi
depunerea cererii pentru certificarea cheii publice;
c) autenticitatea informaţiei prezentate în cererea pentru certificarea cheii
publice.
4.2.2 ACCEPTAREA SAU REFUZUL CERERII PENTRU CERTIFICARE
La primirea pachetului de documente de la administratorul înregistrări
administratorul certificare efectuează următoarele proceduri:
a) compară cererea cu baza de date existentă a utilizatorilor (abonaţilor)
înregistraţi;
b) verifică autenticitatea cererii (semnătura administratorului înregistrări);
c) verifică corespunderea cererii (sintaxa şi conţinutul);
d) verifică împuternicirile solicitantului de a depune cerere pentru certificare;
e) înscrie procedurile efectuate în baza de date şi în registrele de sistem.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 30 / 95
În cazul depistării încălcărilor legislaţiei în domeniul semnăturii digitale
administratorul certificare ia decizia de refuz a certificării cheii publice, indicînd
motivul refuzului.
Decizia de refuz a certificării cheii publice poate fi atacată în organul
competent sau în instanţa de judecată şi nu serveşte temei pentru depunerea
repetată a cererii după înlăturarea cauzelor ce au servit motive pentru refuz.
4.2.3 TIMPUL DE PRELUCRARE A CERERII PENTRU CERTIFICARE
Timp de 3 zile lucrătoare din data înregistrării cererii administratorul
certificare ia decizia de certificare a cheii publice a solicitantului.
4.3 ELIBERAREA CERTIFICATULUI
După primirea şi prelucrarea cererii pentru certificare (a se vedea Secţiunile
4.1 şi 4.2), în cazul deciziei pozitive de certificare administratorul certificare
certifică cheia publică a solicitantului sub formă de document electronic, iar pentru
persoanele împuternicite ale centrelor de certificare de nivelul trei şi sub formă de
document pe suport de hîrtie în două exemplare, în conformitate cu Capitolul 7 al
Codului.
Certificatul cheii publice ca document pe suport de hîrtie se eliberează
abonatului doar la solicitarea acestuia.
Certificatul cheii publice a abonatului sub formă de document electronic
trebuie să corespundă standardului ISO/IEC 9594/8 Directory Services,
standardului Uniunii Internaţionale a Telecomunicaţiilor ITU-T X.509, versiunea
3, şi recomandării IETF (Internet Engineering Task Force) RFC 5280 (RFC 2459)
Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation
List (CRL) Profile, RFC 4210 Internet X.509 Public Key Infrastructure Certificate
Management Protocol (CMP), RFC 4211 Internet X.509 Public Key Infrastructure
Certificate Request Message Format (CRMF).
Conţinutul certificatului cheii publice a abonatului este determinat de
Normele tehnice în domeniul semnăturii digitale. Certificatul cheii publice sub formă de document pe suport de hîrtie în două
exemplare este semnat cu semnăturile olografe de către persoana împuternicită a
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 31 / 95
Centrului de certificare şi titularul certificatului şi legalizat cu ştampila
Întreprinderii şi a persoanei juridice respective.
Titularului certificatului cheii publice i se eliberează:
a) purtătorul material, ce conţine:
certificatul cheii publice a abonatului;
certificatul cheii publice a persoanei înputernicite a Centrului de
certificare;
certificatul cheii publice a persoanei înputernicite a Centrului de
certificare de nivel superior.
Persoanei împuternicite a centrului de certificare de nivelul 3 i se eliberează,
suplimentar:
b) un exemplar al certificatului cheii publice sub formă de document pe suport
de hîrtie, semnat şi legalizat cu ştampile;
c) copia certificatului cheii publice a persoanei împuternicite a Centrului de
certificare sub formă de document pe suport de hîrtie;
d) documentul pe suport de hîrtie ce conţine datele de identificare ale titularului
certificatului cheii publice şi fraza-cheie pentru autentificare la distanţă
(parola).
Certificatul cheii publice se eliberează titularului personal pe purtătorul
material în prezenţa sa fizică în Centrul de certificare şi prin poşta electronică cu
confirmarea recepţionării mesajului. În cazul persoanei juridice acesta este
transmis titularului prin intermediul persoanei împuternicite.
Perioada de valabilitate a certificatului cheii publice a abonatului corespunde
Normelor tehnice în domeniul semnăturii digitale.
4.3.1 ACŢIUNILE ADMINISTRATORULUI CERTIFICARE ÎN
PROCESUL DE GENERARE A CERTIFICATULUI CHEII PUBLICE
Fiecare certificat este eliberat în regim de timp real (on-line). Procedura de
eliberare este următoarea:
prin operaţii de testare şi determinare a corespunderii cheillor cu standardele
PKI în Centrul de certificare este verificată calitatea cheilor publice obţinute,
cererea în format electronic (request) este trimisă serverului ce eliberează
certificatul,
este verificată informaţia din cerere,
dacă informaţia corespunde cerinţelor, procedura se termină cu succes,
serverul emite certificatul şi trimite modulului hardware de securitate
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 32 / 95
(Hardware Security Module - HSM) să semneze certificatul; certificatul este
plasat în registrul certificatelor cheilor publice al Centrului de certificare,
Centrul de certificare pregăteşte răspunsul ce conţine certificatul emis (în
cazul emiterii lui) şi îl transmite abonatului.
4.3.2 NOTIFICAREA ABONATULUI DESPRE EMITEREA
CERTIFICATULUI
Centrul de certificare notifică abonatul despre emiterea certificatului cheii
publice prin intermediul poştei electronice sau a apelului telefonic.
Fiecare certificat emis este publicat în Repozitoriul Centrului de certificare.
4.4 ACCEPTAREA CERTIFICATULUI
4.4.1 ACŢIUNEA CE SEMNIFICĂ ACCEPTAREA CERTIFICATULUI
La primirea certificatului cheii publice abonatul verifică conţinutul acestuia
în raport cu corectitudinea reprezentării datelor din cererea pentru certificare.
Dacă abonatul depistează necorespunderi, el trebuie să anunţe imediat
Centrul de certificare. În acest caz valabilitatea certificatului este anulată (această
procedură este echivalentă cu revocarea certificatului la solicitarea abonatului).
Dacă în decursul a 3 (trei) zile din momentul primirii certificatului de la
abonat nu parvin obiecţii, primirea şi instalarea certificatului de către abonat se
consideră realizată cu succes.
4.4.2 PUBLICAREA CERTIFICATULUI DE CĂTRE CENTRUL DE
CERTIFICARE
Fiecare certificat al cheii publice eliberat este publicat în Repozitoriul
Centrului de certificare
4.4.3 NOTIFICAREA ALTOR PERSOANE DESPRE ELIBERAREA
CERTIFICATULUI ABONATULUI
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 33 / 95
Publicarea certificatului cheii publice în Repozitoriul Centrului de certificare
este echivalentă notificării părţilor interesate despre faptul că certificatul
abonatului a fost emis şi abonatul este utilizator autorizat al domenului Centrului
de certificare.
4.5 CHEILE PRIVATĂ ŞI PUBLICĂ ŞI UTILIZAREA CERTIFICATULUI
4.5.1 CHEIA PRIVATĂ A ABONATULUI ŞI UTILIZAREA
CERTIFICATULUI
Abonatul foloseşte cheia sa privată şi certificatul cheii publice:
în conformitate cu destinaţia acestora, stabilită de prevederile Codului şi
restricţiile stipulate în certificatul cheii publice (câmpurile keyUsage şi
enhancedKeyUsage),
în conformitate cu contractul de prestări servicii dintre abonat şi Centrul de
certificare,
doar în perioadele valabilităţii lor.
În intervalul de timp cît perioada de valabilitate a certificatului cheii publice
este suspendată utilizarea cheii private pentru crearea semnăturii digitale este
interzisă.
4.5.2 CHEIA PUBLICĂ A ABONATULUI ŞI UTILIZAREA
CERTIFICATULUI DE PARTEA DE ÎNCREDERE
Partea de încredere utilizează cheia publică şi certificatul cheii publice a
abonatului:
în conformitate cu destinaţia acestora, stabilită de prevederile Codului şi
restricţiile stipulate în certificatul cheii publice (câmpurile keyUsage şi
enhancedKeyUsage);
doar după verificarea statutului certificatului şi verificarea semnăturii
digitale a Centrului de certificare, emitentul certificatului abonatului;
doar în perioadele de valabilitate ale acestora.
În intervalul de timp cît perioada de valabilitate a certificatului cheii publice este
suspendată partea de încredere nu poate utiliza cheia publică şi certificatul cheii
publice ale abonatului.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 34 / 95
4.6 REÎNNOIREA CERTIFICATULUI
Conform legislaţiei în vigoare reînnoirea certificatului nu este permisă.
4.7 REÎNNOIREA CHEILOR
Procedura de certificare la reînnoirea cheilor are loc în caz cînd abonatul
Centrului de certificare (deja utilizator înregistrat) solicită eliberarea unui nou
certificat. Certificarea noii perechi de chei este diferită de reînnoirea cheilor prin
faptul că:
certificarea noii perechi de chei nu este asociată cu certificatul valid şi este
utilizat de abonat pentru primirea unuia sau mai multor (de obicei
suplimentare) certificate;
reînnoirea cheilor se referă la un anumit tip de certificat, menţionat în cerere,
datele căruia se vor păstra complet în noul certificat (cu excepţia cheii
publice, a numărului de serie, a perioadei de valabilitate a certificatului, iar
în unele cazuri – şi a noii semnături a Centrului de certificare).
Reînnoirea cheilor la cererea abonatului are loc doar cu condiţia existenţei
certificatului valid şi a certificatelor anterior nerevocate.
Reînnoirea cheilor are loc conform §§ 3.3, 4.1 şi 4.2 din Cod, după care:
abonatul este notificat despre emiterea noului certificat al cheii publice cu
noul număr de serie;
abonatul acceptă certificatul cheii publice;
noul certificat este publicat în Repozitoriul Centrului de certificare.
4.8 INTRODUCEREA MODIFICĂRILOR ÎN CERTIFICAT
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 35 / 95
Introducerea modificărilor în certificatul cheii publice presupune schimbarea
certificatului valid pe unul nou în care o parte din date este modificată, inclusiv
cheia publică a abonatului.
Introducerea modificărilor în certificatul cheii publice are loc:
doar la cererea abonatului pentru a introduce modificări în certificatul ce-i
aparţine;
pentru certificatele cheilor publice valide ce nu au fost revocate.
Introducerea modificărilor în certificatul cheii publice are loc după aceeaşi
procedură ca şi reînnoirea cheilor în cazul cînd modificării sunt supuse datele de
contact ale abonatului (adresa poştală, adresa poştei electronice, numărul de
telefon).
În cazul modificării altor date (numele abonatului ca rezultat al căsătoriei, al
divorţului etc., subdiviziunii persoanei juridice sau a funcţiei, a restricţiilor de
utilizare a certificatului cheii publice) introducerea lor are loc conform §§ 4.1 şi 4.2
din Cod.
După eliberarea certificatului cu modificările de rigoare, certificatul vechi
este trecut în Lista certificatelor revocate. În cîmpul despre cauza revocării este
aleasă opţiunea affiliationChanged, ceea ce semnifică:
a) certificatul a fost revocat ca rezultat al modificărilor datelor conţinute în el;
b) terţele părţi nu au motiv de a considera cheia privată corespunzătoare ca
fiind compromisă.
Ca rezultat al procedurilor efectuate:
abonatul este notificat despre emiterea noului certificat al cheii publice cu
un nou număr de serie;
abonatul acceptă certificatul cheii publice;
noul certificat este publicat în Repozitoriul Centrului de certificare.
4.9 REVOCAREA ŞI SUSPENDAREA VALABILITĂŢII
CERTIFICATULUI
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 36 / 95
4.9.1 CAUZE PENTRU REVOCARE
Principala cauză de revocare a certificatului este pierderea controlului (sau
suspiciuni de pierdere a controlului) asupra cheii private ce aparţine abonatului,
sau încălcarea obligaţiunilor/cerinţelor Codului de către abonat.
Certificatul cheii publice se revocă în următoarele cazuri:
a) la introducerea modificărilor în certificatul cheii publice;
b) fapt stabilit de compromitere a cheii private;
c) rezilierea, de către abonat, a contractului de prestări servicii. Dacă abonatul
personal nu depune cerere de revocare a certificatului Centrul de certificare
sau reprezentantul împuternicit al abonatului (angajatorul abonatului)
iniţiază şi efectuează această procedură din numele lui;
d) la solicitarea titularului certificatului cheii publice;
e) la decizia Centrului de certificare (abonatul nu respectă prevederile Politicii
de certificare şi ale Codului sau condiţiile altor acte regulatorii, publicate de
Centrul de certificare);
f) la încetarea activităţii Centrului de certificare toate certificatele eliberate şi
publicate, cu perioada de valabilitate neexpirată, într-un termen specificat,
sunt revocate împreună cu certificatul Centrului de certificare;
g) abonatul reţine sau ignoră condiţia de achitare a serviciilor prestate de
certificare a cheilor publice;
h) încrederea faţă de gradul de fiabilitate a cheii private a Centrului de
certificare a fost subminată;
i) la concedierea abonatului – reprezentant al persoanei juridice, la cererea
abonatului sau a persoanei juridice;
j) la depistarea unor informaţii neveridice în cererea de certificare a cheii
publice sau în certificatul cheii publice;
k) la expirarea termenului pentru care a fost suspendată valabilitatea
certificatului cheii publice, dacă nu a fost luată decizia de restabilire a
valabilităţii certificatului;
l) la expirarea termenului de valabilitate a certificatului cheii publice.
Prin compromiterea cheii private se subînţelege:
apariţia accesului nesancţionat la cheia privată;
pierderea cheii private;
furtul cheii private;
ştergerea întîmplătoare a cheii private.
4.9.2 ENTITĂŢI CE POT SOLICITA REVOCAREA CERTIFICATULUI
Certificatul cheii publice a abonatului se revocă:
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 37 / 95
a) la cererea titularului certificatului cheii publice;
b) la cererea persoanei juridice – angajatorul abonatului;
c) la decizia Centrului de certificare (la cererea administratorului securitate);
d) la cererea Centrului de înregistrări în cazul existenţei informaţiei ce
confirmă revocarea certificatului.
4.9.3 PROCEDURILE DE REVOCARE A CERTIFICATULUI
Cererea de revocare a certificatului se depune prin una din următoarele
metode:
cererea se trimite în format electronic, semnată cu cheia privată valabilă,
sau prin telefon cu identificarea parolei; această metodă se foloseşte doar la
solicitarea titularului certificatului cheii publice ce urmează a fi revocat;
cererea se depune în format electronic, semnată cu semnătura digitală a
Centrului de înregistrări;
cererea se depune sub formă de document pe suport de hîrtie personal de
către abonat direct la Centrul de certificare.
Cererea de revocare a certificatului cheii publice a abonatului pe suport de
hîrtie reprezintă document semnat cu semnătura olografă a solicitantului şi, în caz
de necesitate, cu semnătura conducătorului centrului de certificare de nivelul trei
sau al persoanei juridice corespunzătoare.
Cererea de revocare a certificatului cheii publice a abonatului trebuie să
conţină:
a) datele de identificare ale abonatului;
b) numărul de serie al certificatului cheii publice ce urmează a fi revocat;
c) cauza revocării certificatului cheii publice;
d) data semnării cererii, semnăturile abonatului şi, în caz de necesitate, a
conducătorului centrului de certificare de nivelul trei sau al persoanei
juridice.
Procedura de revocare a certificatului cheii publice are loc astfel:
1. la primirea cererii de revocare administratorul înregistrări o autentifică
(verifică corectitudinea completării cererii, verifică semnătura digitală) şi identifică
solicitantul;
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 38 / 95
2. dacă verificarea are loc cu succes administratorul înregistrări transmite
cererea administratorului certificare care revocă certificatul cheii publice şi-l
publică în Lista certificatelor revocate cu indicarea cauzei revocării;
3. administartorul certificare trimite notificare titularului certificatului
cheii publice despre revocarea certificatului deţinut;
4. notificare despre revocarea certificatului cheii publice primeşte şi
solicitantul revocării (dacă acesta nu este titularul certificatului).
4.9.4 TERMENUL DE PRELUCRARE A CERERII DE REVOCARE A
CERTIFICATULUI ÎN CENTRUL DE CERTIFICARE
Persoana împuternicită a Centrului de certificare ia decizia cu privire la
revocarea certificatului timp de 1 oră lucrătoare din momentul primirii cererii de
revocare a certificatului cheii publice a abonatului.
Centrul de certificare notifică abonatul despre decizia luată de acceptare sau
refuz a revocării, cu indicarea motivului refuzului, în termen de 3 ore lucrătoare
din momentul primirii cererii de revocare.
Certificatul revocat este inclus în lista certificatelor revocate timp de 3 ore
lucrătoare din momentul primirii cererii de revocare, iar Centrul de certificare
emite lista actualizată a certificatelor revocate.
Timpul de revocare a certificatului cheii publice a abonatului se consideră
timpul de publicare (emitere) a listei actualizate a certificatelor revocate (timpul
indicat în cîmpul ThisUpdate).
4.9.5 VERIFICAREA CERTIFICATELOR REVOCATE DE CĂTRE
PĂRŢILE DE ÎNCREDERE
La primirea documentului electronic semnat cu semnătura digitală partea de
încredere este obligată să verifice dacă certificatul cheii publice, corespunzător
cheii private cu ajutorul căreia a fost creată semnătura digitală, nu se află în Lista
certificatelor revocate.
Verificarea statutului certificatului doar în baza Listei certificatelor revocate
este suficientă pentru a evita riscurile de a cauza prejudicii părţii de încredere.
Există şi posibilitatea de a solicita de la Centrul de certificare confirmarea
autenticităţii semnăturii digitale în documentul electronic sau de a verifica statutul
certificatului în regim de timp real prin intermediul protocolului OCSP.
Prezenţa certificatului în Lista certificatelor revocate obligă partea de
încredere să respingă documentul asociat cu acest certificat dacă motivul revocării
a fost:
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 39 / 95
unspecified – necunoscută;
keyCompromise – încălcarea securităţii cheii private;
cACompromise – încălcarea securităţii cheii private a Centrului de
certificare;
cessationOfOperation – suspendarea prestării serviciilor;
certificateHold –suspendarea valabilităţii certificatului cheii publice.
Dacă certificatul a fost revocat din unul din motivele
affiliationChanged –modificarea informaţiei din certificat;
removeFromCRL – restabilirea valabilităţii certificatului;
partea de încredere decide singură despre plauzibilitatea semnăturii digitale
corespunzătoare.
4.9.6 FRECVENŢA PUBLICĂRII LISTEI CERTIFICATELOR REVOCATE
Lista certificatelor revocate (CRL) a Centrului de certificare este publicată
(actualizată) cel puţin 1 dată la 10 zile şi la fiecare revocare, suspendare sau
restabilire a valabilităţii certificatului cheii publice.
4.9.7 VERIFICAREA ACCESIBILITĂŢII SERVICE-ULUI OCSP
Centrul de certificare prestează servicii de verificare a statutului
certificatelor cheilor publice în regim de timp real pe baza protocolului OCSP,
descris în RFC 2560 Internet X.509 Public Key Infrastructure: Online Certificate
Status Protocol. Folosind OCSP, se poate obţine informaţie mai actualizată şi mai
veridică (în comparaţie cu o simplă verificare a CRL) despre statutul certificatului.
OCSP funcţionează după principiul întrebare-răspuns. Ca răspuns la
fiecare cerere serverul OCSP oferă următoarea informaţie despre statutul
certificatului:
good – răspuns pozitiv la cerere (i.e. certificatul este valabil);
revoked – certificatul este revocat;
unknown – certificatul verificat nu a fost eliberat de Centrul de
certificare.
4.9.8 CERINŢE ÎNAINTATE LA VERIFICAREA CERTIFICATULUI
PRIN SERVICE-UL OCSP
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 40 / 95
Părţile de încredere nu sunt obligate să verifice statutul certificatului
abonatului cu ajutorul service-ului OCSP, descris în Secţiunea 4.9.7. Dar, necătînd
la aceasta, se recomandă utilizarea service-ului OCSP pentru a minimiza riscul
falsificării documentelor electronice cu utilizarea semnăturii digitale, mai ales în
cazul folosirii datelor şi a documentelor cu grad înalt de importanţă.
4.9.9 ALTE FORME DE VERIFICARE A STATUTULUI
CERTIFICATULUI
În cazul încălcării securităţii cheii private (sau alte cazuri ce corespund
situaţiei) a centrului de certificare de nivelul trei în domenul Centrului de
certificare, informaţia corespunzătoare imediat este trecută în CRL şi (opţional) se
trimite prin poşta electronică tuturor abonaţilor acestui centru de certificare şi
abonaţilor, cheile private ale cărora au legătură cu acesta.
Fiecare abonat este obligat să ia cunoştinţă cu conţinutul mesajelor
electronice, recepţionate de la Centrul de certificare, cu statutul URGENT
(urgent).
4.9.10 CERINŢE SPECIALE FAŢĂ DE ÎNCĂLCAREA SECURITĂŢII
CHEII PRIVATE
Codul nu defineşte cerinţe suplimentare faţă de încălcarea securităţii cheii
private.
4.9.11 CIRCUMSTANŢE CE DETERMINĂ SUSPENDAREA
VALABILITĂŢII CERTIFICATULUI
Suspendarea valabilităţii certificatului cheii publice a abonatului are loc în
următoarele cazuri:
a) la solicitarea titularului cheii publice (e.g., pentru un interval de timp cînd
lipseşte de la servici, dar nu mai mult de o lună);
b) la decizia Centrului de certificare – la primirea cererii de revocare a
certificatului şi este imposibilă autentificarea şi/sau identificarea
solicitantului (conform cererilor în format electronic);
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 41 / 95
c) datele pe suport de hîrtie (din cerere) trezesc suspiciuni;
d) cererea este prin telefon;
e) la apariţia motivelor de a presupune că a fost încălcată confidenţialitatea
cheii private (acces nesancţionat, pierderea sau furtul cheii private);
f) la apariţia motivelor de a presupune că informaţia, conţinută în certificatul
cheii publice, nu este veridică;
g) din alte motive neindicate şi primite de la abonat.
4.9.12 ENTITĂŢI CE POT SOLICITA SUSPENDAREA CERTIFICATULUI
Certificatul cheii publice a abonatului se suspendă:
a) la cererea titularului certificatului cheii publice;
b) la cererea persoanei juridice – angajatorul abonatului;
c) la decizia Centrului de certificare;
d) la cererea Centrului de înregistrări.
4.9.13 PROCEDURILE DE SUSPENDARE ŞI RESTABILIRE A
VALABILITĂŢII CERTIFICATULUI
Cererea de suspendare a valabilităţii certificatului se depune prin una din
următoarele metode:
cererea se trimite în format electronic, semnată cu cheia privată valabilă,
sau prin telefon cu identificarea parolei; această metodă se foloseşte doar la
solicitarea titularului certificatului cheii publice ce urmează a fi suspendat;
cererea se depune în format electronic, semnată cu semnătura digitală a
Centrului înregistrări;
cererea se depune sub formă de document pe suport de hîrtie personal de
către abonat direct la Centrul de certificare.
Cererea de suspendare a valabilităţii certificatului cheii publice a abonatului
pe suport de hîrtie reprezintă un document semnat cu semnătura olografă a
solicitantului şi, în caz de necesitate, cu semnătura conducătorului centrului de
certificare de nivelul trei sau al persoanei juridice corespunzătoare.
Cererea de suspendare a valabilităţii certificatului cheii publice a abonatului
trebuie să conţină:
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 42 / 95
a) datele de identificare ale abonatului;
b) numărul de serie al certificatului cheii publice, valabilitatea căruia urmează a
fi suspendată;
c) termenul de suspendare a valabilităţii certificatului cheii publice;
d) cauza suspendării valabilităţii certificatului cheii publice;
e) data semnării cererii, semnăturile abonatului şi, în caz de necesitate, a
conducătorului centrului de certificare de nivelul trei sau al persoanei
juridice.
Procedura de suspendare a valabilităţii certificatului cheii publice are loc în
mod analog celei de revocare.
Certificatul cheii publice, valabilitatea căruia este suspendată, este publicat
în Lista certificatelor revocate.
Timpul de suspendare a valabilităţii certificatului cheii publice a abonatului
se consideră timpul de publicare (emitere) a listei actualizate a certificatelor
revocate (timpul indicat în cîmpul ThisUpdate).
Dacă la expirarea termenului de suspendare nu se decide restabilirea
valabilităţii lui, certificatul cheii publice este revocat.
4.9.14 RESTRICŢII PE PERIOADA SUSPENDĂRII VALABILITĂŢII
CERTIFICATULUI
Valabilitatea certificatului cheii publice este suspendată pe o perioadă de
pînă la 30 zile calendaristice.
4.9.15 RESTABILIREA VALABILITĂŢII CERTIFICATULUI
Valabilitatea certificatului cheii publice a abonatului este restabilită în
următoarele cazuri:
a) la solicitarea titularului certificatului cheii publice;
b) la solicitarea persoanei juridice – angajatorul abonatului;
c) la decizia Centrului de certificare;
a) la decizia centrului de înregistrări.
Cererea de restabilire a valabilităţii certificatului se depune prin una din
următoarele metode:
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 43 / 95
cererea se trimite în format electronic, semnată cu cheia privată valabilă,
sau prin telefon cu identificarea parolei; această metodă se foloseşte doar la
solicitarea titularului certificatului cheii publice ce urmează a fi restabilit;
cererea se depune în format electronic, semnată cu semnătura digitală a
Centrului înregistrări;
cererea se depunde sub formă de document pe suport de hîrtie personal de
către abonat direct la Centrul de certificare.
Cererea de restabilire a valabilităţii certificatului cheii publice a abonatului
trebuie să conţină:
f) datele de identificare ale abonatului;
g) numărul de serie al certificatului cheii publice, valabilitatea căruia este
suspendată;
h) termenul de suspendare a valabilităţii certificatului cheii publice;
i) cauza suspendării valabilităţii certificatului cheii publice;
j) data semnării cererii, semnăturile abonatului şi, în caz de necesitate, a
conducătorului centrului de certificare de nivelul trei sau al persoanei
juridice.
Procedura de restabilire a valabilităţii certificatului cheii publice are loc în
următorul mod:
1. la primirea cererii administratorul înregistrări o autentifică (verifică
corectitudinea completării cererii, verifică semnătura digitală) şi identifică
solicitantul;
2. dacă verificarea are loc cu succes administratorul înregistrări transmite
cererea administratorului certificare care restabileşte valabilitatea
certificatului cheii publice şi-l şterge din Lista certificatelor revocate;
3. administratorul certificare trimite notificare titularului certificatului
cheii publice despre restabilirea valabilităţii certificatului deţinut;
4. notificare despre restabilirea valabilităţii certificatului cheii publice
primeşte şi solicitantul revocării (dacă acesta nu este titularul
certificatului).
Dacă valabilitatea certificatului cheii publice a fost suspendată la decizia
Centrului de certificare, Centrul de certificare este în drept să decidă unilateral şi
restabilirea valabilităţii certificatului cheii publice respectiv.
Timpul de restabilire a valabilităţii certificatului cheii publice se consideră
timpul de publicare (emitere) a listei actualizate a certificatelor revocate (timpul
indicat în cîmpul ThisUpdate).
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 44 / 95
4.10 DEPOZITAREA CHEII ŞI RESTABILIREA EI
Nu se aplică.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 45 / 95
5. RESURSE, GESTIONARE ŞI CONTROLUL OPERAŢIONAL
Conţinutul acestui Capitol corespunde Politicii de Securitate a Centrului de
certificare.
5.1 CONTROLUL FIZIC AL SECURITĂŢII
Sistemul de operare, terminalele operatorilor şi resursele informaţionale ale
Centrului de certificare se află într-o încăpere special amenajată, protejată fizic de
accesul nesancţionat, de deteriorări şi încălcarea activităţii Centrului de certificare.
Fiecare intrare şi ieşire este controlată şi înscrisă în Registru; este menţinută
stabilitatea sursei de energie electrică, a izolaţiei hidrofuge şi a mediului
înconjurător.
5.1.1 AMPLASARE
Centrul de certificare are sediul pe adresa juridică: or. Chişinău, Piaţa Marii
Adunări Naţionale, 1, MD-2033.
5.1.2 ACCESUL FIZIC
Accesul fizic în încăperea Centrului de certificare este controlat şi gestionat
de sistemele de control al accesului şi de supraveghere video, de detectare a
pătrunderii nesancţionate, de sistemul neîntrerupt de alimentare cu energie
electrică, de sistemul antiincendiar. Toate sistemele funcţionează 24/24.
Centrul de certificare este deschis pentru vizitatori (nivelul 1) în fiecare zi de
lucru de la 09:00 la 16:00. În rest (inclusiv zilele de odihnă), accesul este permis
doar persoanelor abilitate şi conducerii Centrului de certificare.
Vizitatorii Centrului de certificare de fiecare dată trebuie însoţiţi de
persoanele abilitate ale Centrului.
Accesul fizic în încăperile Centrului de certificare este oferit după nivele.
Descrierea şi cerinţele faţă de fiecare nivel sunt prezentate în tabel.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 46 / 95
Nivel Descriere Mecanismul de control al
accesului
Nivelul unu
de securitate fizică
Se referă la bariera de acces
primară. Este acordat utilizatorilor
semnăturii digitale.
Accesul la acest nivel necesită însoţirea
utilizatorului semnăturii digitale de către persoana
abilitată – colaborator al Centrului de certificare.
Accesul la acest nivel este monitorizat şi
înregistrat.
Nivelul doi
de securitate fizică
Se răsfrînge asupra ariilor comune,
inclusiv sala de şedinţe şi birourile.
Este acordat operatorilor Centrului
de certificare.
Nivelul doi impune controlul accesului individual
al tuturor persoanelor. Accesul la nivelul doi este
monitorizat automat.
Nivelul trei
de securitate fizică
Se răsfrînge asupra încăperilor
unde au loc procesele Centrului de
certificare şi anume, autentificarea,
verificarea şi eliberarea
certificatelor. Este acordat
administratorului înregistrări.
Nivelul trei impune utilizarea autentificării
multifactoriale a accesului individual. Accesul la
nivelul trei este monitorizat automat.
Nivelul patru
de securitate fizică
Se răsfrînge asupra încăperilor cu
regim special unde au loc procesele
Centrului de certificare şi anume,
administrarea cheilor Centrului de
certificare, crearea certificatelor
cheilor publice.
Nivelul patru impune utilizarea autentificării
multifactoriale a accesului individual.
Tabelul 6. Nivelele securităţii fizice a Centrului de certificare.
Conţinutul acestei secţiuni corespunde Politicii de acordare şi control a
accesului la resursele Centrului de certificare.
5.1.3 ALIMENTAREA ELECTRICĂ ŞI CONDIŢIONAREA AERULUI
Toate zonele, cu prezenţă obligatorie a personalului, pe parcursul orelor de
lucru sunt alimentate cu aer filtrat de temperatură şi umiditate necesare. Zona
sistemelor computerizate totdeauna este alimentată cu un flux de aer condiţionat
pentru asigurarea unui regim de temperatură adecvată pentru funcţionare, critic
necesar pentru echipamentul computerizat.
Din momentul depistării de sistem a deconectării de avarie a alimentării cu energie
timp de 120 minute funcţionarea echipamentului este asigurată pe baza energiei
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 47 / 95
surselor neîntreruptibile de energie (UPS). Perioadele de funcţionalitate mai lungi
sunt asigurate de generatoarele de energie diesel staţionare. În acest interval de
timp este permisă deconectarea sistemului de condiţionare a aerului în zona
sistemelor computerizate şi trecerea la iluminarea de servici. Monitorizarea şi
gestionarea sistemelor din zona computerizată sunt realizate independent de alte
zone şi încăperi şi fizic nu au nici o legătură între ele.
5.1.4 UMIDITATEA
În zona sistemelor computerizate sunt instalaţi senzori ce verifică automat
nivelul umidităţii în aer şi a prezenţei apei. Aceşti senzori sunt integraţi în sistemul
de control al securităţii clădirii Centrului de certificare. Colaboratorii responsabili,
conform nomenclatorului şi atribuţiilor, vor fi înştiinţaţi la momentul oportun
despre pericol, iar în cazuri excepţionale vor fi înştiinţate şi serviciile publice
(civile).
5.1.5 SECURITATEA ANTIINCENDIARĂ ŞI MĂSURILE DE
PREVENIRE
Centrul de certificare este dotat cu mijloace autonome şi sisteme de alarmă
antiincendiară, stingere automată a incendiului şi înlăturare a fumului conform
normativelor NCM.E.03.03-2003 "Dotarea clădirilor şi instalaţiilor cu sisteme
autonome de semnalizare şi stingere a incendiilor", NCM.E.03.05-2004 "Instalaţii
autonome de stingere şi semnalizare a incendiilor. Normativ pentru proiectare".
5.1.6 PĂSTRAREA PURTĂTORILOR DE INFORMAŢIE
În scop de asigurare a funcţionării şi integrităţii mediului informaţional al
Centrului de certificare toti purtătorii de informaţie, inclusiv copiile pe suport de
hîrtie ale documentaţiei, ce au legătură cu datele critice, se păstrează în safeuri
metalice ignifuge, accesul la care este limitat întru preîntîmpinarea posibilelor
acţiuni nesancţionate chiar şi din partea persoanelor împuternicite.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 48 / 95
Safeurile sunt amplasate într-o încăpere cu nivel înalt de securitate. Acces în
încăpere şi la safeuri îl au doar persoanele împuternicite.
5.1.7 NIMICIREA PURTĂTORILOR DE INFORMAŢIE
La expirarea termenului de păstrare toţi purtătorii de informaţie (hîrtia ş.a.),
ce conţin informaţie importantă din punct de vedere al securităţii Centrului de
certificare, sunt nimiciţi în dispozitive speciale.
Sistemele operaţionale de securitate revin la starea iniţială şi se dezinstalează
în conformitate cu recomandările producătorilor. Sistemele operaţionale sunt
supuse acestor proceduri şi cînd purtătorii de informaţie sunt supuşi reparaţiei.
Cheile criptografice, codurile, purtătorii, folosiţi pentru păstrarea lor, sunt
nimicite conform Instrucţiunii ce reglementează securitatea şi exploatarea
mijloacelor de protecţie criptografică a informaţiei şi cu utilizarea dispozitivelor
de clasă nu mai jos de DIN-3 (aceste măsuri sunt aplicate dispozitivelor ce nu
permit reutilizarea lor şi garantează nimicirea informaţiei).
Suporturile de hîrtie ce conţin informaţie cu caracter important pentru
Centrul de certificare, după expirarea termenului stabilit de păstrare, sunt nimicite
în dispozitive speciale.
5.1.8 COPIEREA DE REZERVĂ COMPLETĂ
Copiile parolelor, a codurilor se păstrează în containere speciale.
De asemenea, se efectuează rezervarea arhivelor, a copiilor şi a seturilor
mijloacelor de program ale Centrului de certificare. Astfel, Centrul poate restabili
orice disfuncţie în timp de 48 ore, iar restabilirea sistemului de distribuire a listei
certificatelor revocate are loc în 10 minute.
5.2 ORGANIZAREA CONTROLULUI SECURITĂŢII
5.2.1 ROLURILE ŞI ATRIBUŢIILE FUNCŢIONALE
Centrul de certificare dispune de următoarele funcţii:
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 49 / 95
şeful Centrului de certificare este responsabil de administrarea corectă şi
conducerea Centrului de certificare;
administratorul securitate este responsabil de funcţionarea
corespunzătoare a sistemului complex de protecţie a informaţiei, precum şi
de elaborarea şi implementarea politicii de securitate a Centrului de
certificare;
administratorul certificare (persoana împuternicită a Centrului de
certificare) este responsabil pentru crearea, suspendarea sau restabilirea
valabilităţii şi revocarea certificatelor cheilor publice, ţinerea registrului
certificatelor cheilor publice, păstrarea şi utilizarea în siguranţă a cheii sale
private;
administratorul înregistrări este responsabil de corectitudinea
(autenticitatea) informaţiei de completare a certificatului cheii publice şi
înregistrarea titularilor certificatelor cheilor publice în procesul de creare,
suspendare sau restabilire a valabilităţii şi revocare a certificatelor cheilor
publice;
administratorul sistem este responsabil de administrarea, funcţionarea
corespunzătoare şi asigurarea securităţii complexului tehnic de program al
Centrului de certificare.
Înafara funcţiilor menţionate mai sus în cadrul Centrului de certificare mai pot
activa:
operatorii care realizează activităţi de deservire zilnică a complexului
tehnic de program al Centrului de certificare (copierea şi restabilirea
sistemului, gestionarea arhivelor, introducerea informaţiei etc.);
auditorul este responsabil de corespunderea desfăşurării proceselor
Centrului de certificare în conformitate cu clauzele actelor de reglementare ,
inclusiv ale Codului de practici şi proceduri. Auditorul efectuează auditul
intern, are acces la toate arhivele şi înscrierile auditorilor sistemului;
juristul este responsabil de elaborarea şi evidenţa documentelor juridice ale
Centrului de certificare, elaborarea bazei normative a Centrului şi controlul
asupra respectării legislaţiei în vigoare, studierea şi analiza întrebărilor
juridice în domeniul semnăturii digitale.
5.2.2 NUMĂRUL PERSOANELOR CU FUNCŢII DE RĂSPUNDERE,
NECESARE PENTRU REALIZAREA UNUI PROCES
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 50 / 95
Procedura creării perechii de chei a Centrului de certificare (i.e. a perechilor
de chei ale persoanelor împuternicite), necesare pentru semnarea certificatelor
cheilor publice şi a Listei certificatelor revocate, solicită prezenţa a cel puţin două
persoane: persoana împuternicită, care va deţine perechea de chei respectivă, şi a
administratorului securitate. Procesul de creare a perechii de chei poate fi asistat şi
de un angajat al Întreprinderii cu drept de acces la informaţia secretă a
Întreprinderii.
Accesul la dispozitivele criptografice ale Centrului de certificare este iniţiat
de câteva persoane cu funcţii cu drept de acces fizic şi logic.
Activarea modulului cu ajutorul cheilor de acces este urmat de aplicarea
cheilor Centrului de certificare cu scop de desfăşurare a proceselor necesare, în
particular, de creare şi semnare a certificatelor emise de Centrul de certificare.
Persoanele care posedă cheile de acces nu deţin cheile Centrului de
certificare şi invers. Cerinţele înaintate faţă de aceste două tipuri de chei sunt
descrise în § 6.2.7.
Toate celelalte operaţii şi roluri, descrise mai sus în Cod, se pot executa
individual şi fără prezenţa colegilor.
5.2.3 IDENTIFICAREA ŞI AUTENTIFICAREA ROLURILOR
Persoanele cu funcţii de răspundere ale Centrului de certificare sunt supuse
procedurilor de identificare şi autentificare în următoarele cazuri:
includerea în lista persoanelor cu drept de acces în încăperile Centrului de
certificare;
includerea în lista persoanelor cu drept de acces la sistemele şi resursele de
reţea ale Centrului de certificare;
eliberarea confirmării cu privire la funcţia deţinută;
asigurarea identificării în sistemul informaţional al Centrului de certificare.
Fiecare identificare evidenţiată:
trebuie să fie unică şi să aparţină unei persoane;
nu poate fi folosită împreună cu o altă persoană;
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 51 / 95
trebuie să fie limitată în dependenţă de funcţie (reieşind din funcţiile
executate) prin intermediul mijloacelor tehnice şi/sau de program ale
sistemului Centrului de certificare.
Identificarea se realizează cu ajutorul prezenţei fizice a persoanei cu funcţie
de răspundere în faţa persoanei împuternicite a Întreprinderii, a colaboratorului
secţiei juridică şi personal sau a secţiei gospodărie şi securitatea fizică, care
verifică actele ce confirmă identitatea (buletinul de identitate, paşaportul, permisul
de conducere). Ulterior, confirmarea identităţii se efectuează prin procedurile de
verificare, prevăzute în § 5.3.1 al Codului.
5.2.4 ROLURILE CE INTERZIC CUMULAREA FUNCŢIILOR
Centrul de certificare nu permite cumularea funcţiilor de administrator
înregistrări, administrator certificare, administrator certificare, administrator
securitate.
5.3 SECURITATEA PERSONALULUI
5.3.1 CERINŢE FAŢĂ DE CALIFICAREA ŞI EXPERIENŢA
PERSONALULUI
Colaboratorul Centrului de certificare, care este persoană cu funcţie de
răspundere, trebuie să treacă procedura de confirmare a corespunderii cu cerinţele
înaintate funcţiei respective. Pentru aceasta el prezintă toate documentele de
confirmare:
a calificării: diploma de studii superioare, certificatele cursurilor absolvite,
caracteristici profesionale;
a experienţei de lucru: carnetul de muncă, copia acordului de colaborare;
confirmarea credibilităţii: cazier juridic ce constată lipsa antecedentelor
penale;
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 52 / 95
să semneze acordul (contractul) de executare a atribuţiilor funcţionale pentru
asigurarea nivelului corespunzător de responsabilitate;
trebuie să fie instruit cu privire la regulile de lucru cu informaţia secretă şi
confidenţială (personală) şi de protecţie a acesteia;
trebuie să semneze acordul de nedivulgare a datelor personale ale abonatului
ce sunt sau pot fi cunoscute în procesul de executare a atribuţiilor
funcţionale;
este obligat să nu execute sarcini ce pot cauza daune sau duce la apariţia
situaţiilor de conflict între Centrul de certificare şi alte persoane (fizice sau
juridice).
Refuzul de numire în funcţie sau eliberare din funcţie este motivat de:
ducerea în eroare de către candidatul la funcţie;
caracteristici nefavorabile sau necredibile despre candidat;
semne de lipsă a responsabilităţii financiare.
5.3.2 PROCEDURILE DE VERIFICARE A PERSONALULUI
Verificarea personalului Centrului de certificare are loc în conformitate cu
procedurile stabilite de regulamentele interne ale Întreprinderii.
În Codul Centrului de certificare nu sunt definite cerinţe speciale pentru
colaboratorii care nu au acces la informaţia cu griful confidenţial.
5.3.3 CERINŢE DE INSTRUIRE A PERSONALULUI
Personalul care ocupă funcţii în Centrul de certificare trece instruirea cu
privire la:
prevederile Codului de practici şi proceduri;
prevederile Politicii de certificare;
procedurile şi controlul securităţii Centrului de certificare;
utilizarea şi funcţionarea mijloacelor tehnice şi de program ale Centrului de
certificare;
atribuţiile funcţionale ale funcţiei.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 53 / 95
5.3.4 FRECVENŢA DESFĂŞURĂRII PERIOADELOR REPETATE DE
INSTRUIRE ŞI CERINŢE
Pregătirea personalului are loc după necesitate sau după fiecare modificare
esenţială în Centrul de certificare.
5.3.5 FRECVENŢA ŞI CONSECUTIVITATEA TRANSFERURILOR
(ROTAŢIILOR) DE FUNCŢII
Actuala versiune a Codului nu înaintează cerinţe faţă de transferurile
colaboratorilor.
5.3.6 SANCŢIUNI ÎN CAZUL ACŢIUNILOR NEAUTORIZATE
În cazul acţiunilor nesancţionate din partea persoanelor cu funcţii de
răspundere ale Centrului de certificare se iau măsuri corespunzătoare de disciplină,
pînă la eliberarea din funcţie, definite în documentele corespunzătoare ale
Întreprinderii şi sunt în conformitate cu legislaţia în vigoare şi actele internaţionale.
În cazul acţiunilor nesancţionate din partea utilizatorilor semnăturii digitale,
administratorul securitate împreună cu administratorul sistem pot suspenda accesul
utilizatorului respectiv la sistemul Centrului de certificare.
5.3.7 CERINŢE DE ANGAJARE TEMPORARĂ A PERSONALULUI
Personalul, angajat pe un anumit interval de timp în bază de contract
(servicii externe, elaborarea şi dezvoltarea subsistemelor şi ale aplicaţiilor, etc.)
este supus aceleeaşi proceduri de verificare ca şi colaboratorii Centrului de
certificare. Mai mult ca atît, persoana angajată în bază de contract, cu excepţia
celei care a primit aviz pozitiv din partea administratorului securitate, în procesul
efectuării lucrărilor în încăperile Centrului de certificare este însoţită de un
colaborator împuternicit.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 54 / 95
5.3.8 DOCUMENTAŢIE PUSĂ LA DISPOZIŢIA PERSONALULUI
Centrul de certificare pune la dispoziţia personalului său documentaţia
minimală, necesară pentru executarea atribuţiilor sale funcţionale:
Politica de certificare,
Codul de practici şi proceduri,
Instrucţiunile de serviciu,
modelele cererilor şi ale altor documente necesare,
extrasele din actele regulatorii cu privire la acţiunile întreprinse în situaţii
critice.
5.4 EVENIMENTE SUPUSE ÎNREGISTRĂRII ŞI PROCEDURILE
AUDITULUI
Cu scop de desfăşurare efectivă a procedurilor Centrului de certificare şi
control al personalului şi abonaţilor Centrului, Centrul de certificare realizează
protocolarea acţiunilor tuturor abonaţilor şi ale personalului de deservire, inclusiv
şi a evenimentelor ce au loc în sistem.
Este necesar ca fiecare persoană, care are legătură cu prestarea serviciilor de
certificare, să înscrie informaţia cu scop de a gestiona şi a reacţiona adecvat în
conformitate cu atribuţiile sale funcţionale. Înscrierile informaţionale, ce alcătuiesc
registrele evenimentelor, trebuie să fie accesibile persoanelor autorizate cu drept de
acces la aceste date în caz de soluţionare a situaţiilor de conflict sau la depistarea
încercărilor de a încălca securitatea Centrului de certificare.
În măsura posibilităţilor registrele evenimentelor trebuie create în regim
automatizat. Dacă înscrierile nu pot fi create în regim automatizat sau
evenimentele nu pot fi ţinute la evidenţă cu ajutorul sistemelor automatizate atunci
se folosesc registre corespunzătoare pe suport de hîrtie.
Fiecare registru, electronic sau pe suport de hîrtie, este supus controlului în
procesul de audit al sistemelor.
În ce priveşte sistemele Centrului de certificare, auditorul Centrului (în cazul
existentenţei), la cererea administratorului securitate, poate efectua controlul şi
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 55 / 95
auditul regulat, verifica corespunderea mecanismelor şi procedurilor aplicate în
conformitate cu prezentul Cod, cu scop de ridicare a eficacităţii mecanismelor şi
procedurilor existente.
5.4.1 TIPURILE DE EVENIMENTE SUPUSE ÎNSCRIERII
Fiecare eveniment, critic din punct de vedere al securităţii Centrului de
certificare, este supus înscrierii şi păstrării în arhivă. Arhivele se păstrează în formă
criptată pe purtători, ce permit înscrierea unică cu scop de evitare a modificărilor
sau falsificării lor.
Registrele Centrului de certificare păstrează înscrierile fiecărei acţiuni
realizate de componentele de program în cadrul sistemului. Toate datele sunt
împărţite în trei categorii:
date de sistem – înscrieri ce conţin informaţie despre cererile abonaţilor şi
răspunsurile serverului (sau invers), în conformitate cu nivelul protocoalelor
de reţea (e.g., http, https, tcp etc.); în înscriere se indică adresa IP a
serverului, operaţiile executate (e.g., căutare, redactare, înscriere) şi datele
transmise (e.g., numărul înscrierilor în baza de date);
erori – înscrierile ce conţin informaţie despre erori, în conformitate cu
nivelul protocoalelor de reţea şi nivelul modulilor aplicaţiilor;
audite – înscrieri ce conţin informaţie ce ţine de serviciile de certificare a
cheilor publice (e.g., identificarea solicitantului, cereri de certificare, cereri
de revocare a certificatelor, publicarea certificatului şi a CRL etc.)
Pentru fiecare componentă de program, critică din punct de vedere al
securităţii Centrului de certificare, se foloseşte un registru separat. Registre
separate se folosesc şi pentru fiecare server şi staţie de lucru. După completarea cu
înscrieri registrele se arhivează şi în locul lor se crează altele noi. Registrele
anterioare, după arhivare şi copiere de rezervă, se şterg din sistem.
Fiecare înscriere, creată automat sau manual, conţine următoarea informaţie:
tipul evenimentului;
identificatorul evenimentului;
data şi ora producerii evenimentului;
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 56 / 95
identificatorul sau alte date, ce corespund indicatorului la colaboratorul
responsabil;
înscrierea despre decizia luată cu privire la eveniment (executat sau a dus la
apariţia erorii).
Accesul la registrele evenimentelor şi ale auditului au doar administratorul
securitate şi auditorul (a se vedea § 5.2 al Codului).
5.4.2 FRECVENŢA DE VERIFICARE A REGISTRELOR
EVENIMENTELOR
Înscrierile, conţinute în registrul evenimentelor, trebuie analizate minuţios
cel puţin o dată pe lună. Fiecare eveniment cu statut critic sau de importanţă
primară trebuie analizat şi descris în registrul corespunzător al evenimentelor.
Vizualizarea registrelor evenimentelor este însoţită de controlul modificării
nesancţionate, cu verificarea fiecărei anomalii depistate sau a deranjamentelor
reflectate în registre. Fiecare acţiune realizată ca urmare a deranjamentului depistat
trebuie înscrisă în registru.
5.4.3 PERIOADA DE UTILIZARE A REGISTRELOR EVENIMENTELOR
Înscrierile despre evenimentele înregistrate se păstrează în fişiere, amplasate
pe discurile de sistem, ce nu depăşesc dimensiunea spaţiului liber destinat acestor
fişiere. În această perioadă registrele sunt considerate active şi accesibile fiecărui
colaborator autorizat pentru efectuarea analizei.
Pentru a exclude cazurile de pierdere a datelor şi a menţine continuitatea lor
registrele evenimentelor se păstrează în arhive; din acest moment ele sunt
considerate inactive şi accesul la ele este posibil doar dintr-un sistem aparte.
Registrele arhivate se păstrează cel puţin 5 ani de la data arhivării.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 57 / 95
5.4.4 PROTECŢIA REGISTRELOR EVENIMENTELOR
Copiile arhivate sunt supuse criptării prin utilizarea algoritmului Triple DES
sau AES.
Cheile, folosite la criptarea conţinutului copiilor de arhivă ale registrelor, se
află în gestionarea şi la dispoziţia administratorului securitate. Înainte de arhivare
registrele evenimentelor sunt supuse vizualizării obligatorii de către
administratorul securitate, administratorul sistem sau auditor.
Accesul la registrele evenimentelor este configurat astfel:
doar persoanele care au legătură cu grupurile de utilizatori sus-menţionate au
acces la conţinutul registrelor;
doar administratorul securitate poate arhiva sau şterge (după arhivare)
registrele evenimentelor;
este verificată, după posibilitate, integritatea registrelor, a înscrierilor
conţinute în acestea cu privire la modificări şi anomalii;
nici unul din ei nu are dreptul de a modifica înscrierile ce indică evenimentul
ce a avut loc în sistem.
În plus sunt prevăzute măsuri ce împiedică ştergerea copiilor de arhivă pînă
la sfîrşitul perioadei lor de păstrare.
5.4.5 PROCEDURI APLICATE ÎN PROCESUL DE ARHIVARE A
REGISTRELOR EVENIMENTELOR
Procedurile Centrului de certificare presupun anumite acţiuni în procesul de
arhivare a registrelor evenimentelor. Aceste acţiuni trebuie reflectate în mod
obligator în registre pe suport de hîrtie (sau alte suporturi) în prezenţa nemijlocită a
administratorului securitate, a administratorului sistem şi a auditorului. Pe lîngă
aceasta, este analizat conţinutul registrelor, sunt culese datele statistice despre
evenimente şi analizate, sunt determinate locurile vulnerabile ale sistemului. Toate
datele sunt oformate ca raport şi sunt anexate la înscrieri în registru. Copiile de
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 58 / 95
arhivă sunt autentificate cu ajutorul mărcii temporale (trebuie să posede marca
temporală).
5.4.6 NOTIFICAREA PERSOANELOR RESPONSABILE DESPRE
EVENIMENTE
Sistemul de analiză a evenimentelor funcţionează în regim automatizat,
colectînd şi analizînd datele de intrare în regim de timp real şi, în caz de depistare a
evenimentelor critice (depistarea intruziunii nesancţionate, defect al sistemului,
refuz în deservire, deranjamente ale sistemului de alimentare cu energie electrică
etc.), asigură notificarea automată a administratorului securitate şi a altor persoane
responsabile despre evenimentul ce a avut loc. Sistemul de notificări înştiinţează
persoanele cu funcţii de răspundere conform participării şi atribuţiilor funcţionale.
De exemplu, dacă a fost depistată o încercare de intruziune nesancţionată în sistem
notificarea este trimisă administratorului securitate, în cazul defecţiunii
echipamentului sau a sistemului de alimentare cu energie electrică este notificat
administratorul sistem.
Informaţia despre evenimentele critice este transmisă persoanelor
responsabile prin intermediul mijloacelor de comunicaţii securizate, a telefonului
mobil, a poştei electronice.
Colaboratorii care au primit astfel de notificări sunt obligaţi să întreprindă
măsurile corespunzătoare pentru a soluţiona problema creată.
5.4.7 EVALUAREA PUNCTELOR VULNERABILE ALE SISTEMULUI
Evaluarea punctelor vulnerabile ale sistemului este necesară pentru a asigura
funcţionabilitatea completă a tuturor sistemelor Centrului de certificare, a avertiza
intrarea nesancţionată în sistem şi utilizarea resurselor lui în scopuri ilegale. Astfel
sunt necesare măsuri de evaluare pentru a determina punctele cu un grad ridicat de
risc, ce apar în sistem, în dependenţă de configurarea echipamentului, a tipurilor
mijloacelor de program aplicate. Aceste măsuri pot fi efectuate pentru toate
procedurile şi configuraţiile interne şi externe, aplicabile în Centrul de certificare.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 59 / 95
Pentru desfăşurarea acestor măsuri pot fi implicaţi colaboratori autorizaţi de
Centrul de certificare pentru a efectua auditul şi analiza punctelor vulnerabile ale
sistemului.
Auditorul este responsabil de realizarea auditului intern cu scop de control a
stării sistemelor şi corespunderea cu cerinţele Codului şi alte documente interne,
realizînd operaţii de creare a copiilor de rezervă ale registrelor.
Desfăşurarea auditului sistemelor de securitate are loc în conformitate cu
cerinţele stabilite în ISO/IEC 13355 Guidelines for Management of IT Security şi
ISO/IEC 17799 Code of Practice for Information Security Management.
5.5 ARHIVAREA ÎNSCRIERILOR
Toate datele ce au legătură cu funcţionarea Centrului de certificare,
securitatea sistemelor, cererile parvenite din partea abonaţilor, informaţia despre
abonaţi, publicarea certificatelor, listele certificatelor revocate, cheile utilizate în
Centrul de certificare, cît şi toată corespondenţa Centrului de certificare cu abonaţii
sunt supuse copierii de rezervă şi arhivării.
Centrul de certificare realizează gestiunea a două tipuri de arhive: arhive
accesibile în regim on-line (arhive on-line) şi arhive accesibile în regim off-line
(arhive off-line).
Certificatele valide ale abonaţilor (publicate cu cel mult 15 ani înainte de
data curentă) sunt păstrate în arhive on-line ale certificatelor active şi pot fi folosite
pentru realizarea anumitor tipuri de operaţii interne, de exemplu, pentru verificarea
valabilităţii certificatului.
Arhivele off-line se folosesc pentru păstrarea certificatelor (inclusiv
certificatele revocate), publicate în perioada de la 15 la 20 înainte de data curentă.
Arhivele conţin documentele corespunzătoare certificatelor, semnate (în trecut) de
către abonat (în format electronic).
Se recomandă criptarea datelor de arhivă şi utilizarea mărcii temporale.
Cheile, folosite pentru criptarea şi semnarea acestor date, sunt gestionate şi
accesibile administratorului securitate.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 60 / 95
5.5.1 TIPURILE DE DATE SUPUSE ARHIVĂRII
Arhivării şi păstrării obligatorii sunt supuse următoarele date:
a) informaţie despre efectuarea controalelor mijloacelor ce asigură securitatea
(primită din rapoartele auditului), protecţia logică şi fizică a Centrului de
certificare şi informaţia ce se păstrează în Repozitoriu;
b) cererile şi datele primite în format electronic de la abonat sau trimise
abonatului sub formă de fişiere sau mesaje electronice;
c) baza de date a abonaţilor;
d) baza de date a certificatelor;
e) listele certificatelor revocate publicate;
f) istoria cheilor Centrului de certificare din momentul generării şi pînă la
momentul nimicirii;
g) istoria cheilor abonaţilor din momentul generării lor şi pînă la nimicire, dacă
cheile sunt supuse arhivării în Centrul de certificare;
h) corespondenţa internă şi externă (pe suport de hîrtie şi în format electronic)
între Centrul de certificare, abonaţi şi părţile de încredere în ce priveşte
suspendarea valabilităţii certificatelor şi activarea repetată a lor;
i) documente şi date folosite în procesul de identificare a identităţii.
5.5.2 FRECVENŢA DE ARHIVARE A DATELOR
Arhivarea datelor şi crearea copiilor de rezervă sunt meţinute pe nivele,
conform următorului şablon de periodicitate:
baza de date a certificatelor şi baza de date a abonaţilor, dublate pe diferiţi
purtători, se păstrează în Centrul de certificare timp de şase ani (din
momentul publicării certificatului). Pe parcursul acestor şase ani arhivele se
păstrează pe bande magnetice, purtători rigizi sau discuri CD-ROM, încă
accesibile în regim on-line. Începînd cu al şaptelea an (şase ani de la
publicarea certificatului) toată informaţia ce ţine de abonaţi şi certificatele
acestora se păstrează pe discuri CD-ROM şi este accesibilă doar în regim
off-line;
Listele certificatelor revocate, corespondenţa electronică şi cererile
abonaţilor, la fel şi răspunsurile la cereri, se salvează cu aceeaşi frecvenţă şi
acelaşi interval de timp ca şi certificatele abonaţilor.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 61 / 95
5.5.3 TERMENELE DE PĂSTRARE A DATELOR DE ARHIVĂ
Datele de arhivă (în format electronic şi pe hîrtie) se păstrează pentru o
perioadă minimă de păstrare a arhivelor de cel puţin 20 ani.
La expirarea perioadei de păstrare datele de arhivă trebuie nimicite prin
distrugere fizică, elaborînd actul corespunzător, şi în prezenţa comisiei, în
componenţa căreia obligator intră administratorul certificare şi administratorul
securitate.
5.5.4 PROTECŢIA ARHIVELOR
Protecţia arhivelor Centrului de certificare are loc prin accesul la arhive doar
a colaboratorilor autorizaţi. Datele arhivate electronic sunt protejate de vizualizarea
nesancţionată, modificări sau ştergerea prin intermediul controlorilor de acces fizic
şi logic. Purtătorii, pe care sunt arhivate datele şi aplicaţiile corespunzătoare de
prelucrare a datelor, sunt menţinuţi încît să fie accesibili în intervalul de timp
stabilit în §5.5.3.
5.5.5 PROCEDURILE COPIERII DE REZERVĂ
Copiile de arhivă permit restabilirea completă (e.g., după căderea sistemului)
a tuturor datelor necesare pentru funcţionarea corectă a Centrului de certificare.
Întru asigurarea acestor scopuri sunt supuse copierii de rezervă următoarele
aplicaţii şi fişiere:
a) discurile de instalare a aplicaţiilor de sistem şi ale sistemelor;
b) discurile de instalare ce conţin mijloacele de program ale Centrului de
certificare;
c) serverele www şi discurile de instalare a Repozitoriului;
d) certificatele şi Listele certificatelor revocate;
e) datele din Repozitoriu;
f) datele despre abonaţii şi colaboratorii Centrului de certificare;
g) registrele evenimentelor.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 62 / 95
Metodele de creare a copiilor de rezervă trebuie să asigure posibilitatea de
restabilire rapidă a datelor şi sistemelor în cazul pierderii sau deteriorării lor. În
Centrul de certificare se aplică următoarele două metode:
copierea de rezervă ce are loc zilnic şi poate fi utilizată în cazul restabilirii
rapide a datelor pierdute;
copierea de rezervă pentru asigurarea restabilirii rapide a configuraţiilor şi
setărilor echipamentului şi mijloacelor de program. Aceste copii permit protejarea
şi restabilirea funcţionalităţii serverelor de bază. Arhivarea de rezervă trebuie să
cuprindă starea curentă a sistemelor şi să permită restabilirea completă a sistemului
funcţionabil în decurs de 48 ore din momentul depistării deteriorării.
Descrierea detaliată a procedurilor de creare a copiilor de rezervă şi de
restabilire a sistemelor după deteriorare se găseşte în documentele Centrului de
certificare notate cu “pentru uz de serviciu”.
5.5.6 CERINŢE DE APLICARE A MĂRCII TEMPORALE PE ÎNSCRIERE
Prezentul Cod recomandă aplicarea mărcii temporale în procesul de creare a
arhivei sau a copiei de rezervă. Marca temporală se creează cu ajutorul Serviciului
de marcare temporală (Time Stamp Authority - TSA). Pentru aceasta este nevoie
de certificatul emis în aceste scopuri.
5.5.7 PROCEDURILE DE ACCES ŞI DE VERIFICARE A INFORMAŢIEI
DE ARHIVĂ
Pentru verificarea integrităţii şi a posibilităţii de restabilire a datelor copiile
de arhivă şi de rezervă sunt supuse verificării periodice şi comparării cu originalul
(dacă este posibil). Acest tip de verificare este accesibil doar administratorului
securitate.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 63 / 95
5.6 SCHIMBAREA CHEILOR
Schimbarea cheilor Centrului de certificare are loc conform pp. 14-21 din Normele
tehnice în domeniul semnăturii digitale.
5.7 ÎNCĂLCAREA SECURITĂŢII CHEILOR ŞI RESTABILIREA DUPĂ
AVARIE
5.7.1 PROCEDURI ÎN CAZ DE COMPROMITERE A CHEILOR SAU DE
SUSPICIUNE DE COMPROMITERE A CHEILOR CENTRULUI DE
CERTIFICARE
În caz că s-a depistat sau există suspiciuni de compromitere a cheilor private
ale Centrului de certificare trebuie efectuate următoarele acţiuni:
Centrul de certificare generează o nouă pereche de chei şi primeşte un nou
certificat al cheii publice;
toţi utilizatorii semnăturii digitale sunt notificaţi imediat despre
compromiterea cheilor prin mijloacele de informare în masă şi prin poşta
electronică;
certificatul cheii publice, corespunzător cheii private compromise, este
revocat şi publicat în Lista certificatelor revocate;
toate certificatele din Lanţul de certificare al certificatului compromis,
corespunzător cheii compromise, sunt revocate cu indicarea cauzei
compromiterii;
abonaţilor le sunt emise noi certificate ale cheilor publice;
distribuirea noilor certificate ale abonaţilor are loc fără perceperea unei sume
de bani suplimentare.
5.7.2 DETERIORAREA RESURSELOR INFORMAŢIONALE, A
MIJLOACELOR DE PROGRAM SAU A DATELOR
Regulile de securitate, aplicate în Centrul de certificare, prevăd diferite
situaţii la apariţia cărora trebuie menţinute funcţionarea Centrului de certificare
şi nivelul garantat de prestare a serviciilor:
deteriorare fizică a sistemelor de computer, inclusiv infrastructura de reţea
şi de cablu – ca rezultat al apariţiei situaţiei de avarie;
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 64 / 95
deranjamente ale mijloacelor de program, imposibilitatea accesului la date
– ca rezultat al deteriorării mediului sistemelor informaţionale, a aplicaţiilor
utilizatorilor sau a executării altor programe, cum ar fi viruşii, „troianul”;
pierderea (stoparea, inaccesibilitatea) serviciilor de reţea importante,
prestate de Centrul de certificare – în primul rînd aceasta ţine de
alimentarea cu energie sau deteriorări ale conexiunilor de reţea;
deteriorarea parţială a reţelei interne, utilizată de Centrul de certificare cu
scop de prestare a serviciilor – poate servi obstacol pentru abonaţi şi duce la
refuz în deservire.
O listă mai completă se conţine în raportul planului de gestiune a riscurilor
„Raport despre analiza riscurilor”.
Pentru prevenirea şi reducerea la minim a ameninţărilor sus-menţionate sunt
prevăzute următoarele măsuri:
o Planul de restabilire în cazul calamităţilor şi a situaţiilor de avarie
Toţi abonaţii şi părţile de încredere sunt notificaţi, în perioade de timp
minime şi în corespundere cu gravitatea situaţiei apărute, despre fiecare caz de
deteriorare sau refuz în deservire, asociată cu sistemul informaţional
corespunzător. Planul de restabilire descrie un şir de proceduri, ce previn
compromiterea sistemului (defectarea, modificarea etc.). Trebuie întreprinse
următoarele măsuri:
periodic, conform procedurilor, sunt create copii de rezervă a bazelor
de date. Copiile includ toate cererile primite, certificatele publicate,
revocate şi restabilite. Ultimele copii se păstrează atît în Centrul de
certificare, cît şi înafara amplasării lui;
periodic, urmînd procedurile, sunt create copiile de rezervă ale datelor
din fiecare resursă informaţională. Aceste copii conţin toate cererile
primite, înscrierile din registrele evenimentelor, toate tipurile de
certificate, inclusiv cele revocate. Ultimele copii se păstrează atît în
Centrul de certificare, cît şi înafara amplasării lui;
cheile private ale Centrului de certificare, în conformitate cu
procedurile de asigurare a confidenţialităţii, sunt împărţite cîtorva
persoane de încredere care le păstrează;
sistemele de restabilire după avarie sunt testate pe fiecare componentă
de sistem cel puţin o dată pe an. Aceste teste sunt parte a auditului
intern al sistemului.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 65 / 95
o Verificarea modificărilor Instalarea sau reînnoirea mijloacelor de program pînă la cele mai actuale
versiuni este posibilă doar în cazul testărilor intensive, în strictă corespundere cu
procedurile stabilite în Instrucţiunea administratorului de sistem. Fiecare
modificare a sistemului necesită permisiunea şi confirmarea administratorului
securitate. În cazul pierderii datelor după instalarea unei noi componente a
sistemului se aplică planul de restabilire după avarie a sistemului deteriorat pînă la
starea anterioară deteriorării.
o Situaţii de avarie În cazul situaţiilor de avarie şi nefuncţionalitate a sistemelor Centrului de
certificare timp de 24 ore din momentul pornirii programului de restabilire după
avarie toate sistemele trebuie restabilite şi accesibile pentru verificare completă
pentru a fi lansate. Respectarea strictă şi cu regularitate a Procedurilor de
restabilire a activităţii centrului de certificare permite restabilirea sistemului după
starea la momentul apariţiei acestei situaţii. Cererile parvenite în perioada
nefuncţionalităţii sistemelor de bază sunt prelucrate şi păstrate pe serverele de
rezervă ajutătoare, ce funcţionează în regim de “schimb fierbinte”. În scop de
evitare a situaţiilor de acest gen Centrul de certificare întreprinde următoarele
măsuri:
includerea automată (posibil şi un control manual) în lucru a sistemelor
de înlocuire;
prelucrarea şi acumularea cererilor parvenite în regimul de timp real
pînă la restabilirea sistemului de bază;
prelucrarea cererilor parvenite si acumulate, dar neprelucrate în
perioada situaţiei critice.
o Posibilităţi suplimentare
Pentru a preveni deteriorarea sistemului din cauza alimentării cu energie şi
continuarea funcţionării se folosesc sistemele UPS şi electrogeneratoarele Diesel,
ce se află în stare de disponibilitate de a ieşi în regim de lucru timp de 30 secunde.
În plus, serverele de bază ale Centrului de certificare se alimentează cu energie
electrică de la cîteva substaţii, fizic amplasate în diferite raioane administrative ale
oraşului. Tot echipamentul de alimentare cu energie de rezervă este testat cel puţin
o data la şase luni, fapt ce se înregistrează în registrul evenimentelor.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 66 / 95
5.7.3 PROCEDURI ÎN CAZ DE COMPROMITERE A CHEILOR SAU DE
SUSPICIUNE DE COMPROMITERE A CHEILOR ABONAŢILOR
În cazul compromiterii cheilor sau de suspiciune de compromitere a cheilor
abonaţilor se aplică procedurile descrise în secţiunea 4.9 (Revocarea şi suspendarea
certificatului) a Codului.
5.7.4 RESTABILIREA SECURITĂŢII DUPĂ STAREA DE AVARIE
La finisarea procedurilor de restabilire a sistemului după avarie
administratorul securitate, administratorul certificare sau administratorul
înregistrări trebuie:
să schimbe toate parolele utilizate anterior;
să şteargă drepturile de acces la sistem şi la resursele lui, utilizate anterior;
să schimbe toate codurile şi PIN, asociate cu accesul fizic la componentele
sistemului;
conform regulilor de securitate în reţea a Centrului de certificare toate
componentele de reţea şi regulile de acces fizic trebuie revizuite;
să informeze despre restabilirea funcţionalităţii sistemului.
5.8 ÎNCETAREA ACTIVITĂŢII CENTRULUI DE CERTIFICARE
Obligaţiile descrise în această secţiune sunt elaborate cu scop de minimizare
a încălcărilor drepturilor abonaţilor şi părţilor de încredere în caz de decizie a
încetării activităţii de certificare a cheilor şi include obligativitatea de a notifica toţi
abonaţii despre încetarea activităţii şi transmiterea lor în deservirea altor Centre de
certificare.
5.8.1 CERINŢE CE ŢIN DE OBLIGAŢIILE DE TRANSMITERE
Înainte ca Centrul de certificare să-şi înceteze activitatea, el este obligat:
1) să înştiinţeze abonaţii despre luarea deciziei de încetare a activităţii de
certificare a cheilor utilizatorilor. Notificarea trebuie făcută cu nu mai puţin
de 90 zile pînă la încetarea deservirii utilizatorilor;
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 67 / 95
2) să înştiinţeze alte Centre de certificare despre decizia de a înceta activitatea
de certificare a cheilor;
3) să revoce toate certificatele valabile în momentul încetării activităţii,
indiferent dacă au parvenit sau nu cereri de revocare a certificatului din
partea utilizatorului;
4) să notifice utilizatorii asociaţi despre încetarea deservirii;
5) să propună, în legătură cu încetarea activităţii, oferta comercială de
minimizare a pierderilor financiare şi a intereselor abonaţilor (atît persoane
fizice, cît şi juridice), care utilizează la momentul dat certificatele cheilor
publice (valide);
6) să pregătească acordul cu alte Centre de certificare ce garantează protecţia
datelor acumulate;
5.8.2 PUBLICAREA CERTIFICATELOR ŞI SUCCESORII PROCESELOR
FINISATE
Întru asigurarea continuităţii procesului de certificare a cheilor abonaţilor
Centrul de certificare poate semna acord de transmitere spre deservire a
certificatelor cheilor publice altui centru de certificare, ce oferă servicii analoage
de confirmare şi deservire a cheilor abonaţilor, echivalînd concomitent publicarea
şi schimbarea certificatelor.
Publicînd certificatele înlocuite succesorul Centrului de certificare, ce a
încetat deservirea abonaţilor, acţionează cu drepturile şi obligaţiile Centrului de
certificare ce-şi încetează activitatea, coordonîndu-le cu drepturile şi obligaţiile
sale. Indiferent de situaţie, obligaţiile Centrului de certificare ce-şi încetează
activitatea se aplică şi acţionează în centrul succesor pînă la suspendarea
valabilităţii ultimului certificat al abonatului.
Datele de arhivă ale Centrului de certificare, ce şi-a încetat activitatea, se
transmit centrului de certificare ierarhic superior sau organului competent în
domeniul semnăturii digitale.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 68 / 95
6. CONTROLUL TEHNIC AL SECURITĂŢII
6.1 GENERAREA ŞI UTILIZAREA PERECHII DE CHEI
În procesul de administrare a cheilor se aplică proceduri ce asigură păstrarea
lor securizată şi utilizarea de către titular.
O atenţie deosebită se acordă proceselor de generare şi protecţie a cheilor
private ale Centrului de certificare, compromiterea cărora poate influenţa tot
domenul de certificare.
Centrul de certificare este titularul certificatului cheii publice emis de
Centrul de certificare de nivel superior. Cheia privată, corespunzătoare cheii
publice certificate, este folosită doar în scopuri de confirmare a conformităţii şi de
certificare a cheilor publice ale abonaţilor şi a Listei certificatelor revocate.
Crearea şi verificarea semnăturii digitale are loc în conformitate cu Capitolul
IV al Normelor tehnice în domeniul semnăturii digitale.
6.1.1 CREAREA CHEILOR PRIVATĂ ŞI PUBLICĂ
Cheile privată şi publică ale Centrului de certificare sunt create în încăperile
şi pe echipamentul Centrului de certificare în prezenţa persoanelor împuternicite,
dintre care una este în mod obligator administratorul securitate.
Cheile Centrului de certificare sunt create pe modulele hardware de
securitate (Hardware Security Module - HSM) corespunzătoare cerinţelor FIPS
140-2 nivelul 3.
Paşii realizaţi în procesul de creare a cheilor sunt înscrişi obligator în
registrul evenimentelor, se indică data creării şi se semnează toate persoanele
prezente. Înscrierile se păstrează pentru auditul sistemului şi al certificatelor.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 69 / 95
6.1.2 TRANSMITEREA CHEII PUBLICE ÎN CENTRUL DE
CERTIFICARE
Întrucît cheile privată şi publică sunt create în cadrul Centrului de certificare
nu este necesar de a transmite cheia privată în Centrul de certificare.
De asemenea, în baza cheii publice existente, în Centrul de certificare este
generată cererea pentru certificarea cheii publice în format electronic tip PKCS#10.
6.1.3 RĂSPÎNDIREA CHEILOR PUBLICE DE CENTRUL DE
CERTIFICARE
Cheile publice certificate de Centrul de certificare se răspîndesc ca
certificate conform recomandărilor ITU-T X.509 v.3.
Centrul de certificare răspîndeşte cheile sale pe două căi diferite:
publicînd certificatele în Repozitoriul Centrului de certificare
(https://pki.cts.md);
răspîndindu-le împreună cu mijloacele de program (browsere, clienţi de
poştă electronică etc.), ce permit utilizarea serviciilor prestate de Centrul
de certificare.
Centrul de certificare realizează transmiterea lanţului de certificare integru
către abonat.
6.1.4 LUNGIMEA CHEILOR
Lungimea cheilor este determinată de Normele tehnice în domeniul
semnăturii digitale.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 70 / 95
6.1.5 PARAMETRII CHEILOR PUBLICE ŞI VERIFICAREA CALITĂŢII
PARAMETRILOR
În prezentul Cod nu sunt stipulate cerinţe faţă de parametrii cheilor publice,
Centrul de certificare utilizează în acest sens recomandările minimale posibile
pentru cheile RSA şi DSA, descrise în “Algorithms and Parameters for Secure
Electronic Signatures”.
Verificarea calităţii parametrilor în procesul de creare a cheilor are loc
conform standardului FIPS PUB 140-2 Security Requirements For
Cryptographic Module.
6.1.6 SCOPURILE DE UTILIZARE A CHEILOR (ÎN CONFORMITATE
CU X.509 V3)
Pentru certificatele X.509, versiunea 3, Centrul de certificare completează
cîmpul KeyUsage (utilizarea cheii) din certificate în conformitate cu RFC 2459:
Internet X.509 Public Key Infrastructure Certificate and CRL Profile, ianuarie
1999.
Utilizarea valorilor cîmpului KeyUsage trebuie să corespundă următoarelor:
a) digitalSignature certificatul este destinat pentru verificarea semnăturii digitale, creată în scopuri
diferite de pct. b), g) şi h);
b) nonRepudiation certificatul este destinat pentru utilizarea mijloacelor de non-repudiere pentru
persoane fizice şi în alte scopuri, indicate în pct. f) şi g);
c) keyEncipherment certificatul este destinat pentru criptarea cheilor simetrice, asigurînd
confidenţialitatea datelor;
d) dataEncipherment certificatul este destinat pentru criptarea datelor abonatului, excluzînd pct. c)
şi e);
e) keyAgreement certificatul este destinat pentru utilizarea cu protocoalele de verificare a cheilor;
f) keyCertSign cheia publică a certificatului poate fi utilizată pentru verificarea semnăturii în
certificatele emise de Centrul de certificare;
g) cRLSign cheia publică a certificatului poate fi utilizată pentru verificarea certificatelor
revocate şi suspendate şi a listelor certificatelor revocate, emise de centrul de
certificare;
h) encipherOnly certificatul poate fi folosit în conformitate cu pct. e), indicînd posibilitatea
criptării datelor utilizînd protocolul de verificare a cheilor;
i) decipherOnly certificatul poate fi folosit în conformitate cu pct. e), indicînd posibilitatea
decriptării datelor prin utilizarea protocolului de verificare a cheilor.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 71 / 95
6.1.7 METODELE SOFTWARE ŞI/SAU HARDWARE DE CREARE A
CHEILOR
Cheile privată şi publică ale Centrului de certificare sunt create prin
metoda hardware.
Cheile privată şi publică ale abonatului sunt create prin metoda software-
hardware.
6.2 PROTECŢIA CHEILOR PRIVATE ŞI CONTROLUL INGINERESC AL
MODULILOR CRIPTOGRAFICI
Pentru asigurarea securităţii cheilor publice ale Centrului de certificare
Centrul a aplicat totalitatea măsurilor de control fizic, logic şi procedural.
Abonaţii trebuie să respecte regimul de exploatare a mijloacelor de program
stabilit de Ghidul utilizatorului semnăturii digitale.
6.2.1 STANDARDE PENTRU MODULELE CRIPTOGRAFICE
Pentru crearea cheilor Centrului de certificare se foloseşte modulul
criptografic corespunzător FIPS PUB 140-2 Security Requirements For
Cryptographic Module nivelul 3 sau 4.
Pentru crearea cheilor abonatului se foloseşte modulul criptografic
corespunzător FIPS PUB 140-2 Security Requirements For Cryptographic
Module nivelul 2 sau 3.
6.2.2 PARTAJAREA ŞI DISTRIBUIREA CHEII PRIVATE
Centrul de certificare practică partajarea şi distribuirea cheii private mai
multor persoane de încredere astfel încît pentru restabilirea lui în stare de lucru este
necesară prezenţa a cel puţin două persoane de încredere care deţin părţi din cheie.
Dacă numărul părţilor este prea mic cheia nu poate fi restabilită.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 72 / 95
Centrul de certificare foloseşte metoda indirectă de distribuire a cheilor, ce
constă în criptarea cheii private a Centrului de certificare cu cheia simetrică, ce se
partajează şi se distribuie, între posesorii părţilor, pe cartele criptografice protejate
cu coduri PIN. Nu este admisă păstrarea a două părţi din cheie pe aceeaşi cartelă
criptografică, la fel şi păstrarea în comun a cartelelor criptografice ce conţin părţi
ale cheii simetrice.
6.2.3 DEPOZITAREA CHEILOR PRIVATE
Nu se aplică.
6.2.4 COPIEREA DE REZERVĂ A CHEILOR PRIVATE
Centrul de certificare stochează copii de rezervă a cheilor sale private.
Aceste copii se utilizează în caz de apariţie a situaţiilor critice standard cu scop de
restabilire a funcţionalităţii sistemului.
Distribuirea cheilor private ale Centrului de certificare are loc conform pct.
6.2.2 din Cod.
6.2.5 INTRAREA ŞI STOCAREA CHEII PRIVATE PE MODULUL
CRIPTOGRAFIC
Cheile privată şi publică a Centrului de certificare sunt create pe modulul de
hardware criptografic.
Copia de rezervă a cheii private este stocată în mod criptat pe modulul
criptografic, pe care ulterior poate fi restabilită.
6.2.6 METODE DE ACTIVARE A CHEILOR PRIVATE
Datele de activare a cheii private se folosesc pentru autorizarea utilizatorului
semnăturii digitale şi pentru controlul accesului la cheia privată.
Datele de activare sunt folosite în două cazuri:
ca element al procedurii de autentificare ce se bazează pe unul sau mai mulţi
factori (parola, cod PIN etc);
ca parte a cheii private distribuite.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 73 / 95
Cheile private ale Centrului de certificare sunt activate după crearea lor sau
repunerea în funcţiune în modulul criptografic. Activarea acestor chei private este
realizată de administratorul securitate.
Autentificarea totdeauna se bazează pe verificarea împuternicirilor indicate
pe cartela de identificare, aflată permanent la administratorul securitate. După
introducerea cartelei în cititorul de cartelă se cere codul PIN; în acest caz se
subînţelege că pînă la scoaterea cartelei din cititor cheile private sunt în stare
activă.
Activarea cheilor private ale administratorului înregistrări, folosite la
semnarea datelor informaţionale şi a cererilor abonaţilor, succede procedura de
autentificare a administratorului şi are loc pe un interval de timp, necesar pentru
executarea unei operaţiuni criptografice ce necesită utilizarea acestor chei. După
finisarea procedurii cheile private sunt dezactivate automat şi trebuie activate
pentru utilizare în următoarea operaţiune.
Alte chei private, de exemplu, folosite cu scop de autentificare sau creare a
conexiunii securizate, pot fi automat activate pe perioada de creare a sesiunii
securizate, imediat după autentificarea utilizatorului. Închiderea sesiunii duce la
dezactivarea imediată a tuturor cheilor activate mai devreme.
6.2.7 METODE DE DEZACTIVARE A CHEILOR PRIVATE
Metodele de dezactivare a cheilor private sunt folosite în procesul de
terminare a utilizării cheilor private. Cheile private pot fi dezactivate după fiecare
procedură prin închiderea sesiunii de lucru sau scoaterea cartelei din cititorul de
cartele, în dependenţă de mecanismul de autentificare utilizat.
Cheile private ale Centrului de certificare sunt dezactivate în momentul
scoaterii cartelei din cititor de către administratorul certificare.
În caz că perioada de valabilitate a cheilor a expirat sau cheile au fost
revocate, sau este necesară suspendarea tehnologică a sistemului, dezactivarea este
efectuată doar de către administratorul securitate.
Cheia privată a administratorului înregistrări este dezactivată în momentul
închiderii sesiunii de lucru a sistemului. Administratorul înregistrări trebuie să
deconecteze locul lui de lucru odată cu terminarea sesiunii de lucru.
Fiecare procedură de dezactivare a cheilor private trebuie să se reflecte în
registrul evenimentelor.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 74 / 95
6.2.8 METODE DE DISTRUGERE (NIMICIRE) A CHEILOR PRIVATE
Centrul de certificare nimiceşte cheile sale private prin metoda ce garantează
inexistenţa părţilor de cheie ce ar putea permite restabilirea ei.
Nimicirea cheilor private implică ştergerea lor completă de pe purtător sau
distrugerea completă a purtătorului în cazul defectării cartelei şi a imposibilităţii
nimicirii datelor prin metode obişnuite, cu scop de prevenire a accesului la date
chiar şi pe cartela deteriorată.
Nimicirea cheilor private ale Centrului de certificare se realizează prin
nimicirea directă a purtătorului de informaţie, folosit pentru stocarea copiilor sau
arhivelor.
Fiecare procedură de nimicire a cheilor private este înscrisă în registrul
evenimentelor.
6.3 ALTE ASPECTE DE ADMINISTRARE A CHEILOR
6.3.1 ARHIVELE CHEILOR PUBLICE
Certificatele cheilor publice ale Centrului de certificare şi certificatele
utilizatorilor finali sunt supuse stocării şi arhivării.
Destinaţia de bază a arhivelor cheilor publice o reprezintă posibilitatea de a
verifica semnătura digitală după ştergerea certificatului din Repozitoriu (a se vedea
Cap. 2). Această operaţie este foarte importantă în prestarea serviciului de non-
repudiere, de exemplu, marca temporală, sau a serviciului de verificare a statutului
certificatului.
Fiecare Centru de certificare realizează arhivarea certificatelor cheilor
publice în baza certificatelor abonaţilor emise. Cheile publice ale Centrului de
certificare sunt arhivate împreună cu cheile private corespunzătoare, după cum este
indicat în §6.2.5 din Cod.
Certificatele mai pot fi arhivate local de către abonaţi, dacă aplicaţia ce le
utilizează permite (necesită) aceasta. De exemplu, clienţii de e-mail ai
utilizatorilor.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 75 / 95
Arhivele cheilor publice trebuie protejate de adăugarea, modificarea sau
extragerea nesancţionată a cheilor din arhiva creată. Protecţia are loc prin
intermediul semnării arhivelor şi controlul accesului la arhivele cheilor publice.
În cadrul domenului Centrului de certificare sunt arhivate certificatele
utilizate pentru verificarea semnăturii digitale, celelalte tipuri de certificate fiind
nimicite după scoaterea din Repozitoriu.
Administratorul securitate verifică integritatea arhivelor cheilor publice
lunar. Această procedură se efectuează cu scop de verificare a funcţionalităţii,
integrităţii arhivelor şi certificatele, stocate în arhivă, nu sunt modificate.
Cheile publice, stocate în arhivele cheilor publice, sunt păstrate 20 ani
(conform Secţiunii 5.5 din Cod). Fiecare procedură de nimicire a arhivelor cheilor
publice este înscrisă în registrele evenimentelor respective.
6.3.2 TERMENUL DE VALABILITATE A CERTIFICATULUI ŞI
PERIOADA DE UTILIZARE A CHEILOR PRIVATĂ ŞI PUBLICĂ
Termenul de valabilitate a certificatului ia sfîrşit la expirarea perioadei de
valabilitate a acestuia sau la revocarea certificatului.
Termenul de valabilitate a certificatului cheii publice, corespunzătoare cheii
private, alcătuieşte:
2 ani şi 6 luni – pentru Centrul de certificare;
1 an şi 3 luni – pentru centrele de certificare de nivelul trei;
1 an – pentru abonaţi.
Termenul de valabilitate a cheii private alcătuieşte:
1 an şi 3 luni - pentru Centrul de certificare;
7 luni - pentru centrele de certificare de nivelul trei;
1 an – pentru abonaţi.
Începutul termenului de valabilitate a cheii private se consideră data şi ora
începutului termenului de valabilitate a certificatului cheii publice corespunzătoare.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 76 / 95
6.4 ACTIVAREA DATELOR
Datele de activare se folosesc pentru activarea cheilor private. Deasemenea
sunt folosite pentru intensificarea controlului şi a nivelului garantat de autentificare
a abonatului la accesarea cheilor private.
6.4.1 CREAREA ŞI UTILIZAREA DATELOR DE ACTIVARE
Datele de activare, folosite pentru protecţia purtătorilor ce conţin cheile
private, înclusiv în cazul cheilor private distribuite, sunt create conform FIPS-112
Password Usage.
Principiile de bază de alegere a parolelor prevăd că parolele trebuie:
create de utilizator;
să aibă lungimea minimă de 8 caractere;
să conţină cel puţin 1 caracter alfabetic şi 1 caracter cifric;
să conţină măcar o minusculă;
să nu conţină acelaşi caracter decît o singură dată;
să nu coincidă cu parola profilului administratorului;
să nu conţină o parte a profilului utilizatorului.
Centrul de certificare recomandă utilizarea a doi şi mai mulţi factori de
autentificare (cartelă şi parolă, biometrie şi parolă sau biometrie şi cartelă).
6.4.2 PROTECŢIA DATELOR DE ACTIVARE
Metodele de protecţie a datelor de activare depind de scopul de utilizare a
datelor: pentru autentificare şi controlul accesului la cheia privată sau pentru
restabilirea cheii private „împărţite”.
În cazul autentificării datele de activare sunt protejate conform FIPS-112
Password Usage. În cazul cheii private „împărţite” datele de activare sunt protejate
conform FIPS 140 computer security standards that specify requirements for
cryptography modules.
Abonaţii sine stătător trebuie să-şi păstreze datele de activare şi să semneze
actul de luare la cunoştinţă a obligaţiunilor (responsabilităţii) sale.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 77 / 95
Centrul de certificare recomandă ca stocarea datelor de activare ale
administratorilor şi ale abonaţilor să se realizeze prin metode criptografice şi
controlul accesului fizic, iar protecţia cheilor private să se realizeze prin utilizarea
purtătorilor materiali şi a parolelor sigure. Tentativele de acces neautorizat la
aceste dispozitive de păstrare trebuie să ducă la blocarea temporară a purtătorului
de date. Datele de activare nu trebuie transmise niciodată împreună cu datele
activate.
Centrul de certificare recomandă utilizarea a doi şi mai mulţi factori de
autentificare (cartelă şi parolă, biometrie şi parolă sau biometrie şi cartelă).
6.4.3 ALTE ASPECTE ALE PROCESULUI DE ACTIVARE A DATELOR
Datele de activare protejază accesul la cheile private, păstrate pe dispozitive,
şi trebuie modificate periodic.
Datele de activare pot fi arhivate.
6.5 CONTROLUL DE SECURITATE
Centrul de certificare îşi îndeplineşte funcţiile folosind sistemele de
încredere (Trustworthy Systems), ce corespund Politicii de securitate a Centrului
de certificare.
6.5.1 CERINŢE TEHNICE SPECIFICE DE CONTROL DE SECURITATE
Centrul de certificare garantează că sistemele ce susţin mijloacele de
program şi fişierele cu date ale Centrului de certificare sunt sisteme de încredere
pentru prevenirea accesului nesancţionat. În plus, Centrul de certificare limitează
accesul la servere pînă la persoanele care au temei pentru acces. Utilizatorii
aplicaţiilor comune nu au drept de acces la serverul în stare de lucru.
Reţeaua de lucru a centrului de certificare este separată logic de la alte
componente. Această separare previne accesul la reţea, cu excepţia accesului prin
intermediul anumitor aplicaţii.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 78 / 95
Pentru protecţia reţelei de lucru de accesele intern şi extern şi pentru
limitarea sferei şi sursei de activitate în reţea se foloseşte firewall. Centrul de
certificare impune utilizarea parolei cu număr minim de caractere, cu combinarea
caracterelor speciale, alfabetice şi cifrice.
Centrul de certificare schimbă periodic parolele.
Accesul direct la baza de date a Repozitoriului Centrului de certificare este
limitat pînă la persoanele care au temei pentru acces.
6.5.2 EVALUAREA SECURITĂŢII
Nivelele de securitate ale calculatoarelor corespund cerinţelor EAL 4
stipulate în ISO/IEC 15408-3:1999, Information technology – security
techniques – Evaluation criteria for IT security – Part 3: Security assurance
requirements.
Sistemele de calculatoare ale Centrului de certificare corespund cerinţelor
descrise în Information Technology Security Evalution Criteria (ITSEC). Cele
spuse mai sus sunt confirmate prin raportul auditorilor independenţi care
efectuează evaluarea de corespundere a funcţionalităţii Centrului de certificare cu
cerinţele şi criteriile de bază, definite în WebTrust Principles and Criteria for
Certification authorities. Toate rapoartele auditorilor şi alţi indici de evaluare sunt
accesibile în Repozitoriul Centrului de certificare.
6.6 CONTROLUL TEHNIC AL CICLULUI DE VIAŢĂ
Destinaţia principală a acestui tip de control este urmărirea după starea
sistemului şi asigurarea integrităţii complexului tehnic de program.
6.6.1 ADMINISTRAREA CONTROLULUI DE SECURITATE
Destinaţia principală a sistemelor şi a regulilor de control de securitate,
aplicate în Centrul de certificare, este urmărirea funcţionalităţii şi conformităţii
nivelului de încredere cerut şi conformităţii cu situaţia reală în corespundere cu
configurarea acceptată.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 79 / 95
Configurarea actuală a sistemelor Centrului de certificare permite de a face
modificări şi reînnoiri cu înscrierea tuturor transformărilor şi posibilitatea de
restabilire pînă la starea anterioară de lucru. Configurarea sistemului se bazează pe
regulile elaborate şi în conformitate cu regulile şi recomandările indicate în
Politica de securitate a Centrului de certificare.
Administrarea sistemului de securitate presupune controlul direct şi
verificarea corespunderii stării sistemului şi a integrităţii lui, controlul numerelor
versiunilor şi verificarea originalităţii mijloacelor tehnice.
6.7 ADMINISTRAREA SECURITĂŢII DE REŢEA
Serverele şi staţiile de lucru de încredere, exploatate în Centrul de
certificare, funcţionează în reţea locală multinivel.
Accesul, venit din Internet, la orice segment al reţelei este protejat prin
software şi/sau hardware specializat, ce realizează funcţii de control a traficului,
conform cerinţelor ITSEC, de asemenea se realizează controlul accesului la
anumite porturi (în aceste scopuri este activat sistemul de depistare a intruziunilor).
6.8 MARCA TEMPORALĂ
În cazul mesajelor între centrele de certificare, centrele de înregistrări şi
abonaţi se recomandă utilizarea mărcii temporale certificate.
Marca temporală, creată în sistemul Centrului de certificare, corespunde
recomandărilor RFC 3161 Time-Stamp Protocol.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 80 / 95
7. PROFILURILE CERTIFICATULUI, A LISTEI
CERTIFICATELOR REVOCATE ŞI OCSP
Profilurile certificatelor şi a listei certificatelor revocate (CRL) se creează
conform formatului determinat în standardul ITU-T X509 v.3. Profilul OCSP este
creat conform cerinţelor RFC 2560 (Certificate Management X.509 Internet
Public Key Infrastructure Online Certificate Status Protocol - OCSP). Mai jos
sunt analizate valorile cîmpurilor Certificatului, a Listei certificatelor revocate şi a
răspunsurilor serverului OCSP, extensiile de bază şi alternative, elaborate pentru
necesităţile Centrului de certificare.
7.1 PROFILUL CERTIFICATELOR
În conformitate cu standardul X509 v.3 certificatul cheii publice prezintă
consecutivitatea următoarelor cîmpuri: primul – conţine corpul certificatului
(tbsCertificate), al doilea – informaţie despre algoritmii utilizaţi pentru semnarea
certificatelor (signatureAlgorithm) şi al treilea – semnătura digitală, creată în
certificat de Centrul de certificare (signatureValue).
7.1.1 VERSIUNEA CERTIFICATULUI
Certificatele cheilor publice sub formă de document electronic trebuie să
corespundă cerinţelor standardului ITU-T X.509 versiunea 3, standardului SMV
ISO CEI 9594-8:2007 Information technology. Open Systems Interconnection.
The Directory: Public-key and attribute certificate frameworks sau recomandării
IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate and
Certificate Revocation List (CRL) Profile.
Structurile certificatelor cheilor publice ale persoanelor împuternicite ale
centrelor de certificare şi ale abonaţilor sunt prezentate în anexele №1 şi №2 la
Normele tehnice în domeniul semnăturii digitale.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 81 / 95
7.1.2 CÎMPURILE DE BAZĂ ALE CERTIFICATULUI
Certificatul cheii publice constă din cîmpuri şi extensii (de bază –
determinate de actele normative în vigoare, şi alternative – determinate de Centrul
de certificare).
Toate certificatele, emise de Centrul de certificare, au următoarele cîmpuri
de bază, semnificaţiile cărora sunt stabilite corespunzător regulilor, indicate în
tabelul de mai jos:
Cîmpurile de bază
Version Versiunea V3
Serial Number Numărul de înregistrare a
certificatului
Număr aleator
Issuer Datele de identificare ale centrului
de certificare, emitent al
certificatului
CN = Denumirea Centrului de certificare
OU = menţiunea că este autoritate de
certificare, numele, prenumele, IDNP-ul
persoanei împuternicite a Centrului de
certificare
O = Denumirea persoanei juridice, IDNO
L = Localitatea
S = Statul
C = Codul statului Validity Period Termen de valabilitate Valabil de pe: “__” ______ 20__ oo:mm:ss GMT
Valabil pînă la: “__” _____ 20__ oo:mm:ss GMT
Subject Datele de identificare ale titularului
certificatului
SERIALNUMBER = IDNP-ul abonatului
Phone= Telefonul abonatului (după caz)
T = Funcţia abonatului (după caz)
CN = Numele, prenumele abonatului
PostalCode = Codul poştal corespunzător
adresei juridice
STREET = Adresa juridică (după caz)
OU = Subdiviziunea persoanei juridice în
care activează abonatul (după caz)
O = Denumirea persoanei juridice, IDNO, în
care activează abonatul (după caz)
L = Localitatea
S = Statul
C = Codul statului FriendlyName Nume în clar Denumirea Centrului de certificare
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 82 / 95
Public Key Cheia publică Cheia publică a abonatului
Issuer Signature
Algorithm
Algoritmul de semnare a
emitentului certificatului
Denumirea algoritmului semnăturii digitale a
emitentului certificatului
Issuer Sign Semnătura digitală a emitentului
certificatului
Semnătura emitentului în conformitate cu algoritmul
utilizat
7.1.3 CÎMPURILE AUXILIARE ALE CERTIFICATULUI
Toate certificatele, emise de Centrul de certificare, au următoarele cîmpuri
auxiliare, semnificaţiile cărora sunt stabilite corespunzător regulilor, indicate în
tabelul de mai jos:
Cîmpurile auxiliare
Key Usage Utilizarea cheii Irevocabilitate, semnătura digitală în certificatele
persoanelor împuternicite ale centrelor de certificare şi
în ale utilizatorilor semnăturii digitale, semnătura
digitală în lista certificatelor revocate, domeniile de
activitate ale semnăturii digitale şi alte restricţii
stabilite
Subject Key
Identifier
Identificatorul cheii titularului
certificatului
Identificatorul cheii private a persoanei împuternicite a
Centrului de certificare, corespunzătoare prezentului
certificat
Private Key
Usage Period
Perioada de utilizare a cheii private Valabil de pe: “__” ______ 20__ oo:mm:ss GMT
Valabil pînă la: “__" _____ 20__ oo:mm:ss GMT
CRL Distribution
Point
Punctul de distribuţie a listei
certificatelor revocate
Sursa de publicare a listei certificatelor revocate
Certificate Template Modelul certificatului CA
Subject AltName Numele alternativ al titularului RFC822=Poşta electronică a abonatului
Centrul de certificare susţine următoarele tipuri de extensii:
AuthorityKeyIdentifier: identificatorul cheii Centrului de certificare,
corespunzătoare cheii private, folosită pentru semnarea certificatului cheii
publice – extensia este marcată ca non-critical,
SubjectKeyIdentifier: identificatorul abonatului (non-critical),
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 83 / 95
KeyUsage: valori permise de utilizare a cheilor – această extensie este
marcată ca critical. Cîmpul descrie scopurile de utilizare a cheilor, de
exemplu pentru criptarea datelor, schimbul de chei etc. (a se vedea mai jos).
digitalSignature (0) -- cheie pentru crearea semnăturii,
nonRepudiation (1) – cheie asociată cu serviciile de non-repudiere,
keyEncipherment (2) -- cheie pentru schimbul de chei,
dataEncipherment (3) -- cheie pentru criptarea datelor,
keyAgreement (4) -- cheie pentru negocierea de chei,
keyCertSign (5) -- cheie pentru semnarea de certificate,
cRLSign (6) -- cheie pentru semnarea de CRL-uri,
encipherOnly (7) -- cheie numai pentru criptare,
decipherOnly (8) -- cheie numai pentru decriptare
ExtKeyUSage: restricţia de utilizare a cheii – extensia este marcată ca non-
critical. Acest cîmp defineşte unul sau mai multe domenii de utilizare a
cheii în conformitate cu domeniile standard, definite în cîmpul keyUsage, şi
indică posibilităţile de utilizare a certificatului. Obligator, cîmpul trebuie
înteles ca RESTRICŢIE a valorilor permise de utilizare a cheii definite în
keyUsage. Centrul de certificare emite certificate, ce pot conţine una sau o
combinaţie dintre următoarele valori:
serverAuth
- autentificarea serverului Web TLS; cîmpul keyUsage are setaţi biţii pentru:
digitalSignature, keyEncipherments sau keyAgreement;
clientAuth - autentificarea clientului Web TLS; cîmpul keyUsage are setaţi biţii pentru:
digitalSignature şi/sau keyAgreement;
codeSigning - semnarea codurilor executabile; cîmpul keyUsage are setat bitul pentru:
digitalSignature;
emailProtection - protecţia e-mail-ului; cîmpul keyUsage are setaţii biţii pentru: digitalSignature;
nonRepudiation şi/sau (keyEncipherment sau keyAgreement);
dvcs - emiterea confirmărilor de către notariate; cîmpul keyUsage are setaţi biţii
pentru: digitalSignature, nonRepudiation, keyCertSign, cRLSign.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 84 / 95
CertificatePolicies – extensia prezintă informaţie (identificatori, adrese
electronice), ce indică politicile de certificare aplicate în Centrul de
certificare. Extensia este marcată ca non-critical.
Certificatele, emise de Centrul de certificare, conţin extensii în conformitate
cu recomandările definite în RFC 3280 Internet X.509 Public Key Infrastructure
Certificate and Certificate Revocation List (CRL) Profile. PolicyMapping Cîmp marcat ca non-critical. El conţine unul sau mai multe
identificatoare ale obiectelor, definind echivalenţa între politicile de
certificare ale Centrului de certificare şi ale Centrului ce trece
certificarea (de obicei, se utilizează în scop de cross-certificare între
centrele de certificare).
IssuerAlternativeName Extensia conţine atribute ne incluse ca componente ale DN. Cîmpul este
marcat ca non-critical.
SubjectAlternativeName Defineşte numele alternativ al subiectului certificatului. Cîmpul este
marcat ca non-critical.
BasicConstraints Constrîngeri de bază. Cîmpul totdeauna este marcat ca critical pentru
Centrul de certificare şi non-critical pentru certificatul abonatului.
Valoarea acestui cîmp permite definirea centrului de certificare drept
abonat (cîmpul cA) şi lungimea maximală (reieşind din ierarhia centrelor
de certificare) a centrelor de certificare intermediare între centrul
respectiv şi abonat (cîmpul pathLength).
CRLDistributionPoint Punctul de distribuire a listei certificatelor revocate. Cîmpul nu este
marcat ca critical, extensia defineşte adresa de reţea la care se află
CRL-ul curent, emis de cRLIssuer.
SubjectDirectoryAttributes Atribute ce indică la directoria utilizatorului. Cîmpul este marcat ca non-
critical. Extensia conţine atribute auxiliare, asociate cu utilizatorul, şi
include informaţie indicată în cîmpul Subject şi
SubjectAlternativeName. Această extensie nu este inclusă în
componenţa DN.
7.1.4 EXTENSIILE CERTIFICATULUI ŞI TIPURI DE CERTIFICATE
Certificatele, emise de Centrul de certificare, pot conţine diverse extensii,
definite în § 7.1.1 al Codului. Prezenţa unor sau altor extensii în corpul
certificatului este determinată de destinaţia corespunzătoare a certificatului
abonatului, la cererea căruia are loc certificarea cheii publice.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 85 / 95
7.1.5 EXTENSIILE CERTIFICATELOR CENTRELOR DE CERTIFICARE
Certificatul Centrului de certificare, la fel şi certificatele corespunzătoare ale
centrelor de certificare subordonate (de nivelul trei) pot conţine următoarele
extensii:
EXTENSIE
VALOARE STATUT
Basic Constraints Subject Type = СА
Path length constraint = {none,1,2,3...}
critical
7.1.6 CERTIFICATE DE AUTENTIFICARE A SERVERULUI
Certificatele, emise de Centrul de certificare, de autentificare a serverului, a
domenelor de reţea (inclusiv Wildcard) pot conţine următoarele extensii:
EXTENSIE
VALOARE STATUT
Basic Constraints Subject Type = empty (end entity)
Path length constraint = none
non-critical
Key Usage non-repudiation (bit 1)
key encipherment, (bit 1)
non-critical
Extended Key Usage
Server Authentication (serverAuth)
Netscape SGC
Microsoft SGC
non-critical
Netscape Cert Type SSL Server (bit 1) non-critical
Subject Alternative
Name
DNS.1: Full FQDN
DNS.2: Alternative service name (optional)
non-critical
CRL Distribution
Point
URI: non-critical
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 86 / 95
Authority Info
Access
OCSP: non-critical
Certificate Policies
Policies:
CPS:
Notice number:
Organization:
Explicit text: dependable upon policy identifier
(plain text)
non-critical
7.1.7 CERTIFICATE PENTRU SEMNARE DE COD
Certificatele, emise de Centrul de certificare pentru semnarea codului
(inclusiv semnarea formelor şi semnarea cripto-canalelor), pot conţine următoarele
extensii:
EXTENSIE
VALOARE STATUT
Basic Constraints Subject Type = empty (end entity)
Path length constraint = none
non-critical
Key Usage digital signature (bit 0)
non-repudiation (bit 1)
non-critical
Extended Key Usage Code Signing non-critical
Netscape Cert Type Object Signing (bit 3) non-critical
Subject Alternative
Name
URI: non-critical
CRL Distribution
Point
URI:
non-critical
Authority Info
Access
OCSP: non-critical
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 87 / 95
Certificate Policies
Policies:
CPS:
Notice number:
Organization:
Explicit text: dependable upon policy identifier
(plain text)
non-critical
7.1.8 CERTIFICATELE ABONAŢILOR
Certificatele emise abonaţilor (inclusiv certificatele pentru criptarea
sistemelor de fişiere (EFS), certificatele pentru schimbul electronic de date (EDI),
certificatele pentru semnătura digitală cu forţă juridică conform RFC 3739
Qualified Certificates Profile, certificatele ce susţin autentificarea riguroasă (aşa-
numitele Strong Internet ID's) pot conţine extensiile specificate în tabelul de mai
jos:
EXTENSIE VALOARE STATUT
Basic Constraints Subject Type = end entity
Path length constraint = none
non-critical
Key Usage digital signature, bit 0
non-repudiation, bit 1
critical
Extended Key Usage
TLS Client Authentication
Email Protection
non-critical
Netscape Cert Type SSL Client (bit 0)
S/MIME (bit 2)
non-critical
Subject Alternative
Name
Email:
non-critical
CRL Distribution
Point
URI: non-critical
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 88 / 95
Authority Info
Access
OCSP:
non-critical
Certificate Policies
Policies:
CPS:
Notice number: 3
Organization:
Explicit text: dependable upon policy identifier
(plain text)
non-critical
7.1.9 IDENTIFICATORUL ALGORITMULUI SEMNĂTURII DIGITALE
Cîmpul signatureAlgorithm conţine identificatorul algoritmului
criptografic, descriind algoritmul pentru crearea semnăturii digitale, aplicat de
Centrul de certificare în certificatul cheii publice.
De exemplu, Centrul de certificare utilizează algoritmii RSA în combinaţie
cu funcţia hash SHA-1.
7.1.10 CÎMPUL SEMNĂTURII DIGITALE
Valoarea cîmpului signatureValue reprezintă rezultatul execuţiei funcţiei
hash pentru toate cîmpurile certificatului, marcate ca cîmpuri ale corpului
certificatului (tbsCertificate) şi criptarea ulterioară a digest-ului cu ajutorul cheii
private a abonatului.
7.2 PROFILUL CRL
Listele certificatelor revocate (CRL) constau din trei cîmpuri. Primul cîmp
(tbsCertList) conţine informaţie despre certificatele revocate, al doilea şi al treilea
– signatureAlgorithm şi signatureValue conţin informaţie despre identificatorul
algoritmului, folosit pentru semnarea listei certificatelor revocate, şi despre
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 89 / 95
semnătura digitală a Centrului de certificare. În acest mod, ultimele două cîmpuri
sunt identice cu cîmpurile certificatului cheii publice. Cîmpul tbsCertList
reprezintă o secvenţă de cîmpuri de bază şi auxiliare. Cîmpurile de bază identifică
Centrul de certificare, ce a semnat Lista certificatelor revocate, iar cele auxiliare
conţin informaţie despre certificatele revocate şi extensiile CRL-ului.
Cîmpurile de bază şi auxiliare, ce se conţin în Lista certificatelor revocate,
sunt:
Denumirea
(în engleză)
Descrierea Conţinutul
Cîmpuri de bază
Version Versiunea V2
Issuer Emitentul CRL N = numele, prenumele, IDNP-ul persoanei
împuternicite a Centrului de certificare
CN = Denumirea Centrului de certificare
L = Localitatea
S = Statul
OU = Subdiviziunea persoanei juridice
O = Denumirea persoanei juridice, IDNO
P = Telefonul persoanei împuternicite a
Centrului de certificare
T = Funcţia persoanei împuternicite a
Centrului de certificare
C = Codul statului
E = Adresa de e-mail a persoanei
împuternicite a Centrului de certificare
thisUpdate Data emiterii CRL „__” ______ 20__ oo:mm:ss GMT
nextUpdate Termenul pentru care este
valabilă CRL
„__” ______ 20__ oo:mm:ss GMT
Revoked
Certificates
Lista certificatelor revocate Numărul de serie al certificatului
(CertificateSerialNumber)
Data revocării sau suspendării
valabilităţii certificatului (Time)
Issuer Algoritmul semnăturii Denumirea algoritmului semnăturii
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 90 / 95
Signature
Algorithm
emitentului certificatului digitale a emitentului certificatului
Issuer Sign Semnătura digitală a
emitentului certificatului
Semnătura emitentului în conformitate
cu algoritmul utilizat
Cîmpuri auxiliare
Reason Code Codul cauzei revocării
certificatului
"0" nu este indicată
"1" comromiterea cheii private
"2"compromiterea centrului de
certificare
"3" schimbarea apartenenţei
"4" certificatul a fost schimbat
"5" încetarea activităţii
"6" suspendarea valabilităţii
Hold
Instruction
Code
Codul cauzei de suspendare
temporară a valabilităţii
certificatului
Codul cauzei de suspendare temporară a
valabilităţii (OID)
Authority Key
Identifier
Identificatorul cheii
emitentului
Identificatorul cheii private a persoanei
împuternicite a centrului de certificare cu
utilizarea căreia este semnată CRL
CRLNumber Numărul de serie Numărul de serie al CRL
7.2.1 EXTENSIILE ACCEPTATE
Extensiile Listei certificatelor revocate ale Centrului de certificare
(crlEntryExtensions) conţin următoarele cîmpuri:
ReasonCode: codul cauzei revocării certificatului. Valoarea acestui cîmp
este marcată ca extensie non-critical şi permite determinarea cauzei
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 91 / 95
revocării certificatului şi, ca urmare, determină gradul final de încredere.
Centrul de certificare acceptă următoarele cauze de revocare:
unspecified - nespecificat;
keyCompromise - pierderea sau compromiterea cheii;
cACompromise - pierderea sau compromiterea cheii Centrului de certificare;
affilationChanged - datele utilizatorului au fost modificate;
superseded - certificatul a fost înnoit (aplicarea operaţiei renew)
cessationOfOperation - sistarea utilizării certificatului;
certificateHold - suspendarea valabilităţii certificatului;
removeFromCRL - eliminarea certificatului din CRL.
HoldInstructionCode: codul operaţiei de suspendare a valabilităţii
certificatului. Cîmp marcat ca non-critical şi determină identificatorul
înregistrat al instrucţiunii, folosit în procesul de căutare a certificatului
printre cele revocate cu definirea cauzei de suspendare a valabilităţii
certificatului (certificateHold). Dacă aplicaţia utilizatorului în procesul de
analiză a CRL-ului găseşte valoarea id-holdinstruction-callissuer, abonatul
trebuie înştiinţat să ia legătura cu Centrul de certificare pentru a concretiza
cauzele de suspendare a valabilităţii certificatului şi a determina acţiunile
ulterioare conform cauzei indicate (a accepta sau a respinge). Dacă aplicaţia
abonatului găseşte valoarea id-holdinstruction-reject, certificatul trebuie
respins în mod obligator. Instrucţiunea id-holdinstruction-none prin
semnificaţie permite utilizarea extensiilor de tipul holdInstructionCode, în
continuare utilizarea acestui cod în Listele certificatelor revocate ale
Centrului de certificare se consideră permisă.
7.3 PROFILUL RĂSPUNSULUI OCSP
Protocolul de verificare a statutului certificatului (OCSP) este folosit de
centrele de certificare şi permite verificarea statutului certificatului în regim de
timp real. Serverul OCSP, ce confirmă statutul certificatului, dispune de cheile
privată şi publică pentru semnarea răspunsului OCSP.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 92 / 95
Certificatul serverului OCSP conţine extensia extKeyUsage, conform RFC
3280. Extensia trebuie marcată ca necritică (non-critical) şi semnifică faptul că
Centrul de certificare, semnînd certificatul serverului OCSP, îi deleghează acestuia
împuterniciri de confirmare a statutului certificatului cheii publice, pentru care a
fost primită cererea din partea utilizatorului final.
De asemenea, certificatul serverului OCSP trebuie să conţină informaţie
despre metodele de contact cu serverul. Această informaţie este inclusă în cîmpul
AuthorityInfoAccessSyntax.
7.3.1 VERSIUNEA
Serverul OCSP al Centrului de certificare confirmă statutul certificatului
cheii publice în conformitate cu recomandările RFC 2560 Online Certificate
Status Protocol - OCSP.
7.3.2 INFORMAŢIE DESPRE STATUTUL CERTIFICATULUI
Informaţia despre statutul certificatului cheii publice este definită în
cîmpurile certStatus ale structurii SingleResponse. Ea trebuie să conţină una din
cele trei valori, definite în § 4.9.7 ale Codului.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 93 / 95
8. AUDITUL ŞI ALTE EVALUĂRI
Funcţiile auditului sunt necesare pentru controlul integrităţii activităţii
Centrului de certificare, a serviciilor prestate.
Scopul auditului este de a verifica echivalenţa acţiunilor Centrului de
certificare şi a centrelor de înregistrare împuternicite şi a cerinţelor şi procedurilor
stabilite (inclusiv cu Codul de practici şi proceduri şi Politica de certificare).
Auditul, efectuat de Centrul de certificare, se răsfrînge asupra centrelor de
prelucrare a datelor şi asupra procedurilor de administrare a cheilor. Acest audit se
desfăşoară în Centrul de certificare, în centrele de înregistrări împuternicite şi în
alte componente ale infrastructurii cheilor publice, de exemplu, serverele OCSP.
Auditul poate fi efectuat de angajaţii Centrului de certificare (audit intern)
sau de instituţii independente (audit extern). Indiferent de tip, auditul se desfăşoară
la cererea şi sub supravegherea administratorului securitate.
8.1 FRECVENŢA EFECTUĂRII AUDITULUI
Auditul extern verifică integritatea şi conformitatea procedurilor aplicabile
cu legislaţia în vigoare (în corelaţie cu prezentul Cod şi Politica de certificare) şi
trebuie efectuat cel puţin o dată în patru ani.
8.2 IDENTIFICAREA ŞI CALIFICAREA AUDITORULUI
Auditul extern este efectuat de o instituţie licenţiată, independentă,
înregistrată în Republica Moldova sau de o instituţie internaţională cu
reprezentanţă în Republica Moldova ce:
dispune de personal cu studii tehnice corespunzătoare şi experienţă de
lucru (cu acte ce o atestă) în domeniul infrastructurii cheilor publice, a
tehnologiilor şi a echipamentului de securitate informaţională şi a auditului
sistemelor de securitate;
este înregistrată, licenţiată şi recunoscută la nivel internaţional.
Auditul intern este efectuat de angajaţi calificaţi ai Întreprinderii.
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 94 / 95
8.3 CONTROALE DE AUDIT ŞI INTERCORELAŢIA CU SUPERVIZAŢII
A se vedea Secţiunea 8.2 din Cod.
8.4 ÎNTREBĂRI CU SPECIFIC DE AUDIT
Procedurile interne şi externe ale auditului sunt efectuate în conformitate cu
regulile stabilite de American Institute of Certified Public
Accountants/Canadian Institute of Chartered Accountants (AICPA/CICA)
Web Trust Principles and Criteria for Certification Authorities (în continuare
- Web Trust).
Auditul se desfăşoară conform regulilor stabilite în Regulamentul de
efectuare a auditului intern al Centrului de certificare şi se răsfrînge asupra:
securităţii fizice a Centrului de certificare;
procedurii de verificare a identităţii abonatului;
serviciilor de certificare şi a procedurilor de prestare a acestora;
securităţii mijloacelor de program şi a accesului la reţea;
securităţii personalului Centrului de certificare;
registrelor evenimentelor şi a proceselor de monitorizare a sistemului;
arhivării şi restabilirii datelor;
procedurii de arhivare;
înscrierilor de modificare a parametrilor de configurare a Centrului de
certificare;
înscrierilor despre analiza şi verificările aplicaţiilor de program şi a
dispozitivelor tehnice.
8.5 ACŢIUNI DESFĂŞURATE ÎN CAZ DE DEPISTARE A
DISCREPANŢELOR
Rapoartele controalelor de audit efectuate sunt transmise conducerii
Centrului de certificare. Timp de 15 zile de la primirea rezultatelor auditului
conducerea pregăteşte un rezumat cu privire la neajunsurile depistate şi elaborează
planul de acţiuni pentru înlăturarea acestora. Aceste acţiuni trebuie direcţionate
spre înlăturarea discrepanţelor depistate şi a situaţiilor critice. După înlăturarea
CODUL DE PRACTICI ŞI PROCEDURI
AL CENTRULUI DE CERTIFICARE
A CHEILOR PUBLICE
Clasificare de securitate
C4 – PUBLIC
Cod de referinţă Versiune În vigoare din Pagină
RG.0600.13 1.1 13.11.2013 95 / 95
discrepanţelor şi a necorespunderilor, acestea sunt şterse din raportul auditorului
prin alcătuirea raportului de înlăturare a discrepanţelor depistate, copia căruia este
trimisă instituţiei ce efectuează auditul în caz de audit extern.
În caz de defecte ce prezintă risc direct pentru procesul de certificare a
cheilor publice administratorul securitate poate lua decizia de suspendare
temporară a procesului dat. Toţi abonaţii vor fi înştiinţaţi despre decizia luată şi
despre termenele de suspendare.
8.6 NOTIFICARE DESPRE REZULTATELE AUDITULUI
Rapoartele auditorului(-ilor) (cu cele mai mici detalii posibile) şi opinia
generală a auditorului despre starea şi funcţionalitatea Centrului de certificare sunt
elaborate în conformitate cu cerinţele indicate în WebTrust şi, după verificarea de
către administratorul sistemului de securitate, sunt publicate în Repozitoriu după
fiecare audit efectuat.