134

VYHLÁŠKA

Národného bezpečnostného úradu

z 26. marca 2009,

ktorou sa ustanovujú podrobnosti o požiadavkách na bezpečné zariadenia na vyhotovovanie časovej pečiatky a požiadavky na produkty pre elektronický podpis (o produktoch elektronického podpisu)

Národný bezpečnostný úrad (ďalej len „úrad“) podľa § 9 ods. 1 písm. d) a § 24 ods. 17 zákona č. 215/2002 Z. z. o elektronickom podpise a o zmene a doplnení niektorých zákonov v znení zákona č. 214/2008 Z. z. (ďalej len „zákon“) ustanovuje:


§ 1

Predmet vyhlášky

Táto vyhláška upravuje

a) podrobnosti o požiadavkách na bezpečné zariadenia na vyhotovovanie časovej pečiatky,

b) požiadavky na produkty pre elektronický podpis, elektronickú pečať a časovú pečiatku.

§ 2

Podrobnosti o požiadavkách na bezpečné zariadenie na vyhotovenie časovej pečiatky

Bezpečné zariadenie na vyhotovenie časovej pečiatky podľa § 2 písm. k) zákona je zariadenie, ktoré spĺňa nasledujúce požiadavky:

a) súkromný kľúč a verejný kľúč vydavateľa časovej pečiatky sú vyhotovované kontrolovaným a riadeným spôsobom,

b) súkromný kľúč vydavateľa časovej pečiatky zostáva utajený a sú odstránené riziká, ktoré môžu spôsobiť narušenie jeho integrity,

c) integrita a autenticita verejného kľúča vydavateľa časovej pečiatky slúžiaceho na overenie podpisu, ako aj každého zo súvisiacich parametrov je zabezpečená počas distribúcie prijímateľom,

d) životnosť certifikátu vydavateľa časovej pečiatky nesmie byť dlhšia ako časový interval, počas ktorého zvolený algoritmus a dĺžka kľúča vyhovujú stanovenému účelu,

e) súkromný kľúč vydavateľa časovej pečiatky sa po uplynutí jeho platnosti zničí bez možnosti obnovy,1)

f) bezpečnosť kryptografického hardvéru slúžiaceho na podpisovanie časovej pečiatky nie je znížená ani narušená počas celej jeho životnosti,

g) inštalácia, aktivácia a vyhotovovanie kópií podpisových kľúčov vydavateľa časovej pečiatky v kryptografickom hardvére prebieha vo fyzicky zabezpečených priestoroch dôveryhodnými oprávnenými osobami,

h) inštaláciu, aktiváciu a vyhotovovanie kópií súkromného kľúča vydavateľa časovej pečiatky v kryptografickom hardvére môžu vykonať najmenej dve oprávnené osoby ich súčasnou činnosťou,

i) kryptografický hardvér slúžiaci na podpisovanie časovej pečiatky pracuje v súlade s technicko-prevádzkovou dokumentáciou a bezpečnostnou politikou a pri poruchách možno identifikovať ich príčinu a spôsobené následky,

j) súkromný kľúč vydavateľa časovej pečiatky uložený na kryptografickom hardvére vydavateľa časovej pečiatky musí byť po odstavení kryptografického hardvéru z prevádzky vymazaný,

k) časová pečiatka je vydaná v súlade s prijatou bezpečnostnou politikou a obsahuje správny čas,

l) kryptografický hardvér slúžiaci na podpisovanie časovej pečiatky primerane spĺňa požiadavky podľa § 3 ods. 4

§ 3

Požiadavky na produkty na vyhotovenie zaručeného elektronického podpisu

(1) Produkty na uchovávanie súkromných kľúčov a na vyhotovenie zaručeného elektronického podpisu určené pre podpisovateľa alebo overovateľa zaručeného elektronického podpisu spĺňajú požiadavky zákona, ak

a) pracujú so schválenými podpisovými schémami, algoritmami a parametrami týchto algoritmov,

b) je preukázaná zhoda

1. so štandardom uvedeným v prílohe č. 1 prvom bode,

2. s kryptografickými štandardami infraštruktúry verejného kľúča uvedenými v prílohe č. 1 druhom bode,

3. s požiadavkami uvedenými v osobitnom predpise,1)

c) úrad pre ne vydal certifikát podľa § 24 ods. 10 zákona.

(2) Softvérové produkty pre vyhotovovanie a overovanie zaručeného elektronického podpisu spĺňajú požiadavky zákona, ak

a) pracujú so schválenými podpisovými schémami, algoritmami a parametrami týchto algoritmov,

b) je preukázaná zhoda

1. so schváleným formátom zaručeného elektronického podpisu,

2. so štandardom uvedeným v prílohe č. 1 prvom bode,

3. s kryptografickými štandardami infraštruktúry verejného kľúča uvedenými v prílohe č. 1 druhom bode,

c) vytvárajú certifikačnú cestu – reťazec certifikátov potrebných na overenie platnosti certifikátu podpisovateľa,

d) spracúvajú zoznam zrušených certifikátov, prípadne spracúvajú odpovede z potvrdenia o existencii a platnosti certifikátu,

e) pridávajú časovú pečiatku, ak aplikácia poskytuje funkcionalitu vyhotovenia zaručeného elektronického podpisu s časovou pečiatkou,

f) podporujú čipové karty alebo iné médiá na uloženie kľúčov a certifikátov.

(3) Informačné systémy správy certifikátov určené najmä pre poskytovateľov akreditovaných certifikačných služieb spĺňajú požiadavky zákona, ak

a) pracujú so schválenými podpisovými schémami, algoritmami a parametrami týchto algoritmov,

b) spĺňajú tieto funkčné vlastnosti:

1. pracujú s hardvérovým modulom na ochranu kľúča certifikačnej autority, ktorý musí spĺňať požadovanú úroveň ochrany kľúča,

2. je preukázaná zhoda so schválenými formátmi kvalifikovaných certifikátov a certifikátov,

3. je preukázaná zhoda so štandardom uvedeným v prílohe č. 1 prvom bode,

4. umožňujú vytvorenie hierarchickej štruktúry certifikačných autorít,

5. umožňujú rozdelenie na certifikačnú autoritu a registračnú autoritu,

6. umožňujú krížovú certifikáciu,

7. umožňujú realizáciu zoznamu zrušených certifikátov, prípadne realizáciu potvrdzovania existencie a platnosti certifikátu,

8. zabezpečujú prevádzku rýchleho a bezpečného adresára,

9. umožňujú uplatňovanie bezpečnostnej politiky,2)

10. umožňujú prácu s administrátorskými nástrojmi na správu infraštruktúry verejných kľúčov,

11. je preukázaná ich zhoda s kryptografickými štandardami infraštruktúry verejného kľúča uvedenými v prílohe č. 1 druhom bode,

12. umožňujú podporu čipových kariet alebo iných médií na uloženie kľúčov a certifikátov,

13. je preukázaná zhoda s požiadavkami uvedenými v osobitnom predpise,1)

c) informačné systémy poskytovateľov akreditovaných certifikačných služieb podľa § 2 písm. p) tretieho bodu zákona umožňujú okrem funkčných vlastností uvedených v písmene b) aj vytváranie časovej pečiatky,

d) úrad pre ne vydal certifikát podľa § 24 ods. 10 zákona.

(4) Kryptografické moduly hardvérovej ochrany kľúča určené najmä pre poskytovateľov akreditovaných certifikačných služieb spĺňajú požiadavky zákona, ak

a) je zabezpečená ochrana pred neautorizovaným odhalením neverejného obsahu kryptografického modulu vrátane kryptografického kľúča v nešifrovanom tvare a ďalších kritických bezpečnostných parametrov,

b) je zabezpečená ochrana pred neautorizovanou a nedetekovateľnou modifikáciou kryptografického modulu vrátane neautorizovanej modifikácie, substitúcie, vloženia a vymazania kryptografického kľúča a ďalších kritických bezpečnostných parametrov,

c) je indikovaný operačný stav kryptografického modulu,

d) je zabezpečená činnosť kryptografického modulu v súlade s technicko-prevádzkovou dokumentáciou, bezpečnostnou politikou a pri poruche možno identifikovať príčinu a spôsobené následky,

e) sú detekované chyby v operáciách kryptografického modulu a je zabránené poškodeniu citlivých údajov a kritických bezpečnostných parametrov ako dôsledku detekovaných chýb,

f) vyhovuje bezpečnostným požiadavkám podľa FIPS-140-2 Bezpečnostné požiadavky na kryptografické moduly na úrovni 3 na ochranu informácií, ktoré nie sú utajovanými skutočnosťami podľa osobitného predpisu,3)

g) existuje špecifikácia kryptografického modulu a špecifikácia kryptografického rozhrania,

h) existuje špecifikácia modelu kryptografického modulu vo forme automatu s konečným počtom stavov,

i) dátové vstupy (porty) pre kritické bezpečnostné parametre sú fyzicky oddelené od ostatných dátových vstupov,

j) existuje detekcia narušenia kryptografického modulu a reakcia na porušenie ochrany a krytu,

k) existuje dôveryhodná komunikačná cesta,

l) vstup a výstup kľúča je v šifrovanej podobe alebo ak je priamy vstup a výstup s procedúrami rozdelenia znalostí kľúča,

m) umožňuje vykonať testovanie funkčnosti, pri zapnutí vykonanie samočinného testovania a má implementované testy podmienok prevádzky,

n) existuje overenie identity operátora a overenie, že identifikovaný operátor je autorizovaný vykonávať špecifickú rolu a príslušnú skupinu činností,

o) úrad pre ne vydal certifikát podľa § 24 ods. 10 zákona.

(5) Požiadavky podľa odseku 1 možno primerane uplatniť aj na produkty na vyhotovovanie elektronického podpisu podľa § 3 zákona.

§ 3a

Požiadavky na produkty na vyhotovenie zaručenej elektronickej pečate

(1) Produkty na uchovávanie súkromných kľúčov a na vyhotovenie zaručenej elektronickej pečate určené pre pôvodcu zaručenej elektronickej pečate spĺňajú požiadavky zákona, ak

a) pracujú so schválenými podpisovými schémami, algoritmami a parametrami týchto algoritmov,

b) je preukázaná zhoda

1. so štandardom uvedeným v prílohe č. 1 prvom bode,

2. s kryptografickými štandardami infraštruktúry verejného kľúča uvedenými v prílohe č. 1 druhom bode,

3. s požiadavkami uvedenými v osobitnom predpise;1) kryptografické moduly hardvérovej ochrany kľúča spĺňajú tieto požiadavky primerane,

c) úrad pre ne vydal certifikát podľa § 24 ods. 10 zákona.

(2) Softvérové produkty pre vyhotovenie a overovanie zaručenej elektronickej pečate spĺňajú požiadavky zákona, ak

a) pracujú so schválenými podpisovými schémami, algoritmami a parametrami týchto algoritmov,

b) spĺňajú tieto funkčné vlastnosti:

1. pracujú s kryptografickým modulom hardvérovej ochrany kľúča, ktorý spĺňa požadovanú úroveň ochrany kľúča, alebo podporujú čipové karty, alebo podporujú iné médiá na uloženie kľúčov a certifikátov,

2. je preukázaná zhoda so schváleným formátom zaručenej elektronickej pečate,

3. je preukázaná zhoda so štandardom uvedeným v prílohe č. 1 prvom bode,

c) vytvárajú certifikačnú cestu – reťazec certifikátov potrebných na overenie platnosti certifikátu pôvodcu pečate,

d) spracúvajú zoznam zrušených certifikátov, spracúvajú odpovede z potvrdenia o existencii a platnosti certifikátu alebo podporujú funkcionalitu modulu úradnej komunikácie použitím zoznamu platných kvalifikovaných systémových certifikátov,

e) pridávajú časovú pečiatku, ak aplikácia poskytuje funkciu vyhotovenia zaručenej elektronickej pečate s časovou pečiatkou.

(3) Požiadavky podľa odsekov 1 a 2 možno primerane uplatniť aj na produkty na vyhotovenie elektronickej pečate podľa § 3a zákona.


§ 4

Zrušovacie ustanovenie

Zrušuje sa vyhláška Národného bezpečnostného úradu č. 539/2002 Z. z., ktorou sa ustanovujú podrobnosti o požiadavkách na bezpečné zariadenia na vyhotovovanie časovej pečiatky a požiadavky na produkty pre elektronický podpis (o produktoch elektronického podpisu).

§ 5

Záverečné ustanovenia

(1) Touto vyhláškou sa preberajú právne akty Európskych spoločenstiev a Európskej únie uvedené v prílohe č. 2.

(2) Táto vyhláška bola prijatá v súlade s príslušným právnym aktom Európskych spoločenstiev4) pod číslom notifikácie 2008/0530/SK.

§ 6

Účinnosť

Táto vyhláška nadobúda účinnosť dňom vyhlásenia.


František Blanárik v. r.


Príloha č. 1 k vyhláške č. 134/2009 Z. z.

ZOZNAM ŠTANDARDOV VZŤAHUJÚCICH SA NA PRODUKTY NA VYHOTOVENIE ZARUČENÉHO ELEKTRONICKÉHO PODPISU

1. Certifikát infraštruktúry verejného kľúča a profil zoznamu zrušených certifikátov. Formáty sú uvedené v technickej norme.5)

2. Kryptografické štandardy infraštruktúry verejného kľúča. Formáty sú uvedené v technickej norme.6)

Príloha č. 2 k vyhláške č. 134/2009 Z. z.

ZOZNAM PREBERANÝCH PRÁVNYCH AKTOV EURÓPSKYCH SPOLOČENSTIEV A EURÓPSKEJ ÚNIE

Smernica Európskeho parlamentu a Rady 1999/93/ES z 13. decembra 1999 o rámci spoločenstva pre elektronické podpisy (Ú. v. ES L 13, 19. 1. 2000; Mimoriadne vydanie Ú. v. EÚ, kap. 13/zv. 24).

Poznámky pod čiarou

1) Napríklad § 2 ods. 8 vyhlášky Národného bezpečnostného úradu č. 339/2004 Z. z o bezpečnosti technických prostriedkov.

1a) Rozhodnutie Komisie č. 2003/511/ES zo 14. júla 2003 o zverejnení referenčných čísel pre všeobecne uznané normy na produkty pre elektronické podpisy.

2) § 10 vyhlášky Národného bezpečnostného úradu č. 133/2009 Z. z. o obsahu a rozsahu prevádzkovej dokumentácie vedenej certifikačnou autoritou a o bezpečnostných pravidlách a pravidlách na výkon certifikačných činností.

3) Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

4) Smernica Európskeho parlamentu a Rady 98/34/ES o postupe pri poskytovaní informácií v oblasti technických noriem a predpisov (Ú. v. ES L 204, 21. 7. 1998; Mimoriadne vydanie Ú. v. EÚ, kap. 3/zv. 20) v platnom znení.

5) ITU-T RECOMMENDATION X.509 | ISO/IEC 9594-8: Information technology – open systems interconnection – the directory: public key and attribute certificate frameworks, IETF RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.

6) STN EN 14890-1 Aplikačné rozhranie pre smart karty používané ako bezpečné zariadenia na vyhotovenie podpisu. Časť 1: Základné služby (36 9724), STN EN 14890-2 Aplikačné rozhranie pre smart karty používané ako bezpečné zariadenia na vyhotovenie podpisu. Časť 2: Dodatočné služby (36 9724), RSA Štandard PKCS#7, PKCS#10, PKCS#11, PKCS#15.