ICT-veiligheidsbeleid Gemeenschappelijke ICT-Dienstverlening e-ib Boudewijnlaan 30, blok 4A, 1000 BRUSSEL Tel. (02)553.13.00 - Fax. (02)553.13.15 E-mail: security.officer@vlaanderen.be PKI Vlaanderen Vlaamse overheid Issuing CA 1 Verklaring met betrekking tot de certificatiepraktijk Certificate Practice Statement OID: 1.3.6.1.4.1.24258.4.1 Pagina 1/41
Pagina 1/41
Documentbeheer Titel en referentienummer van dit document Titel: CPS PKI Vlaanderen Root CA Referentie: CPS-VlaanderenRootCA Huidige versie Huidige versie 07/09/2012 1.00 Datum Naam Auteurs 07-03-2012 Joost Daem kwaliteitscontrole Overleg Eigenaar e-ib Paul De Vroede Laatste versie vindt u : http://documenten.pki.vlaanderen.be Deze versie is van toepassing vanaf 07/09/2012. Distributie Publiek Pagina 2/41
Versie historiek Versie Omschrijving Datum Auteur 00.01 Creatie van het document 22/12/2011 Joost Daem 00.02 Draft-versie ter interne review 06/01/2012 Joost Daem 1.00 Finale versie 07/09/2012 Joost Daem Pagina 3/41
Referentie met andere Vo ICT-Veiligheidsbeleidslijnen, procedures en richtlijnen Naam Omschrijving Referentie Het ICT- Veiligheidsbeleid voor de beleidsdomeinen van de Vlaamse overheid. ISO/IEC17799:2000 (E) Information technology Code of practice for information security management Strategische beleidslijnen met betrekking tot de beveiliging van middelen binnen de Vlaamse overheid. Norm voor ICT-veiligheid, goedgekeurd door de stuurgroep strategische ICT-veiligheid, als referentiekader voor de Vlaamse overheid http://ict.vonet.be/nlapps/do cs/default.asp?fid=301 ISO/IEC17799:2000 (E) Contactlijst Naam Functie Telefoon Mailadres Paul De Vroede IT security officer e-ib 02 553 13 75 paul.devroede@bz.vlaanderen.be Daem Joost Security architect Gemeenschappelijke ICTdienstverlener 0479 55 55 01 joost.daem@hb.vlaanderen.be Frank Nijs Security manager Gemeenschappelijke ICTdienstverlener 0495 59 29 36 frank.nijs@hb.vlaanderen.be Pagina 4/41
Inhoudstafel DOCUMENTBEHEER... 2 INHOUDSTAFEL... 5 1 INTRODUCTIE... 8 1.1 OVERZICHT... 8 1.2 DOCUMENTNAAM EN IDENTIFICATIE... 9 1.3 PKI DEELNEMERS... 10 1.3.1 Certification Authority (CA)... 10 1.3.2 Registration Authorities (RA)... 10 1.3.3 Certificaathouders... 11 1.3.4 Vertrouwende partijen... 11 1.4 CERTIFICAATGEBRUIK... 11 1.4.1 Correct gebruik van het certificaat... 11 1.4.2 Niet toegelaten gebruik van certificaten... 11 1.5 BEHEER VAN DE CPS... 11 1.6 DEFINITIES EN ACRONIEMEN... 12 2 PUBLICATIE EN DOCUMENTEN... 13 3 IDENTIFICATIE EN AUTHENTICATIE... 13 3.1 NAAMGEVING... 14 3.2 INITIËLE VALIDATIE VAN DE IDENTITEIT... 14 3.3 IDENTIFICATIE EN AUTHENTICATIE VOOR AANVRAGEN TOT SLEUTELVERNIEUWING... 14 3.4 IDENTIFICATIE EN AUTHENTICATIE VOOR AANVRAGEN TOT INTREKKING EN OPSCHORTING VAN CERTIFICATEN... 14 4 LEVENSCYCLUS VAN CERTIFICATEN OPERATIONELE VEREISTEN... 14 4.1 CERTIFICAATAANVRAAG... 15 4.2 VERWERKING VAN DE CERTIFICAATAANVRAAG... 15 4.3 UITREIKING VAN HET CERTIFICAAT... 15 4.4 ACCEPTATIE VAN HET CERTIFICAAT... 15 4.5 SLEUTELPAAR EN CERTIFICAATGEBRUIK... 16 4.5.1 Verplichtingen van de certificaathouder... 16 4.5.2 Verplichtingen van de vertrouwende partijen... 16 4.6 HERNIEUWING VAN HET CERTIFICAAT... 16 4.7 SLEUTELVERNIEUWING... 16 4.8 WIJZIGING VAN EEN CERTIFICAAT... 17 4.9 INTREKKING EN OPSCHORTING VAN HET CERTIFICAAT... 17 4.10 CERTIFICAAT-STATUS DIENSTEN... 17 4.11 BEËINDIGING VAN HET CERTIFICAAT... 18 4.12 SLEUTEL ESCROW EN HERSTEL... 18 5 BEHEER, OPERATIONELE EN FYSIEKE BEVEILIGING... 18 5.1 FYSIEKE BEVEILIGINGSCONTROLES... 18 5.2 PROCEDURELE CONTROLES... 18 5.3 BEVEILIGINGSCONTROLES MET BETREKKING TOT PERSONEEL... 19 Pagina 5/41
5.3.1 Kwalificaties, Ervaring, Goedkeuringen... 19 5.3.2 Achtergrondcontroles en goedkeuringsprocedures... 19 5.3.3 Vereisten voor opleiding en opleidingsprocedures... 19 5.3.4 Periodieke bijscholing en opleiding... 19 5.3.5 Job rotatie... 19 5.3.6 Sancties voor personeelsleden... 19 5.3.7 Controles op onafhankelijke medewerkers... 19 5.3.8 Documentatie voor initiële opleiding en bijscholing... 20 5.4 AUDIT LOGGING PROCEDURES... 20 5.5 ARCHIVERING... 20 5.5.1 Logtypes... 21 5.5.2 Bewaartermijnen... 21 5.5.3 Beveiliging van het archief... 21 5.5.4 procedures voor backup van het archief... 21 5.5.5 Log timestamping vereisten... 21 5.5.6 Archivering... 21 5.5.7 Procedures voor het verkrijgen en verifiëren van archiefinformatie... 21 5.6 SLEUTELVERVANGING... 22 5.7 COMPROMITTERING EN DISASTER RECOVERY... 22 5.7.1 Maatregelen bij corruptie van IT-middelen, software en/of gegevens... 22 5.7.2 Intrekking van de publieke CA-sleutel... 22 5.7.3 Compromittering van de private CA-sleutel... 22 5.8 CA OF RA BEËINDIGING... 23 6 TECHNISCHE BEVEILIGING... 23 6.1 SLEUTELPAAR CREATIE & INSTALLATIE... 23 6.1.1 Creatieproces voor de private sleutel van de CA... 23 6.1.2 Beveiligde overdracht van de private sleutel aan de houder... 23 6.1.3 Beveiligde overdracht van de publieke sleutel aan de Root CAError! Bookmark not defined. 6.1.4 Beveiligde overdracht van de publieke sleutel aan de vertrouwende partijen... 24 6.1.5 Sleutelgroottes... 24 6.1.6 Verificatie van de parameters van de publieke sleutel... 24 6.1.7 Gebruik van de sleutels... 24 6.2 BESCHERMING VAN DE PRIVATE SLEUTEL EN CRYPTOGRAFISCHE MODULE BEVEILIGING... 24 6.2.1 Standaarden gebruikt voor de cryptografische module... 24 6.2.2 Gedeelde controle... 25 6.2.3 Private sleutel escrow... 25 6.2.4 Private sleutel backup... 25 6.2.5 Private sleutel archivering... 25 6.2.6 Private sleutel verplaatsing... 25 6.2.7 Interne opslag... 26 6.2.8 Activatie van de private sleutel... 26 6.2.9 Deactivatie van de private sleutel... 26 6.2.10 Vernietiging van de private sleutel... 26 6.2.11 Functies van de cryptografische module... 26 6.3 ANDERE ASPECTEN VAN SLEUTELPAARBEHEER... 26 6.3.1 Publieke sleutel archivering... 26 6.3.2 Operationele periode van uitgegeven certificaten... 27 Pagina 6/41
6.4 ACTIVATIEGEGEVENS... 27 6.5 IT BEVEILIGINGSCONTROLES... 27 6.6 BEVEILIGING VAN DE LEVENSCYCLUS... 27 6.7 NETWERK BEVEILIGINGSCONTROLES... 27 6.8 TIMESTAMPING... 27 7 CERTIFICAAT EN CRL PROFIELEN... 28 7.1 CERTIFICAATPROFIEL... 28 7.1.1 Vlaamse overheid Root CA certificaten... 29 7.1.2 RootCA Signed Vlaamse overheid Issuing CA 1... 29 7.2 CRL PROFIEL... 30 8 COMPLIANCE & AUDIT... 32 9 ANDERE ZAKELIJKE EN JURIDISCHE AANGELEGENHEDEN... 32 9.1 VERGOEDINGEN... 32 9.2 VERZEKERINGEN / FINANCIËLE DRAAGKRACHT... 33 9.3 CONFIDENTIALITEIT VAN ZAKELIJKE INFORMATIE... 33 9.3.1 Definitie van Vertrouwelijke informatie... 33 9.4 PRIVACY M.B.T. PERSOONSGEGEVENS... 33 9.5 INTELLECTUELE RECHTEN... 34 9.6 WAARBORGEN... 34 9.7 UITSLUITING VAN WAARBORGEN... 34 9.8 BEPERKINGEN VAN AANSPRAKELIJKHEID... 34 9.9 SCHADELOOSSTELLING VAN VORCA... 34 9.10 DUURTIJD EN BEËINDIGING... 35 9.11 INDIVIDUELE KENNISGEVINGEN EN COMMUNICATIE MET DE PKI-DEELNEMERS... 35 9.12 AANPASSINGEN... 35 9.13 PROCEDURES VOOR HET REGELEN VAN GESCHILLEN... 35 9.14 VAN KRACHT ZIJNDE WETGEVING... 35 9.15 NALEVING VAN MET WETGEVING... 35 9.16 DIVERSE BEPALINGEN... 36 9.17 OVERIGE BEPALINGEN... 36 10 DEFINITIES EN ACRONIEMEN... 37 10.1 LIJST MET DEFINITIES... 37 10.2 LIJST MET ACRONIEMEN... 40 2... 40 Pagina 7/41
1 INTRODUCTIE De verklaring met betrekking tot de certificatiepraktijk (hierna CPS genaamd) van de Vlaamse overheid Issuing CA 1 (hierna de VOICA1 genaamd) heeft betrekking op alle diensten die worden geleverd door de Vlaanderen Issuing Certificatie Autoriteit 1. Samen met deze CPS kunnen andere documenten van toepassing zijn. Deze documenten zijn beschikbaar via de VOICA1 Repository op: http://documenten.pki.vlaanderen.be. Deze CPS is wat betreft inhoud en formaat, in overeenstemming met de Internet Engineering Task Force (IETF) RFC3647 versie november 2003. De structuur uit RFC3647 werd naar best vermogen toegepast in de implementatie van de PKI-diensten van de VOICA1. De CPS behandelt in detail de technische, procedurele en organisatorische policies en praktijken van de VOICA1 met betrekking tot de beschikbare diensten en gedurende de levensduur van de certificaten uitgereikt door de VOICA1. 1.1 OVERZICHT Voor het ondersteunen van het gebruik en het uitreiken van digitale certificaten binnen de Vlaamse overheid valt de Vlaamse overheid Issuing CA 1 (VOICA1) hierarchisch onder Root CA van de Vlaamse overheid (VORCA). De VORCA reikt de toplevel certificaten uit aan operationele CA's van de Vlaamse overheid dewelke op hun beurt certificaten uitreiken aan eindgebruikers. De Vlaamse overheid Issuing CA 1 is een dergelijke operationele CA die certificaten uitreikt aan eindgebruikers binnen de Vlaamse overheid. De technologie die gebruikt wordt voor certificaatdiensten is de PKI-technologie. PKI (Public Key Infrastructure) is een acroniem voor een systeem van Public Key versleuteling met Infrastructuur die is opgezet om op een veilige manier te communiceren op een elektronische manier en vertrouwen te garanderen naar de gebruikers ervan. Een Certificate Practice Statement (CPS) is een verklaring met betrekking tot de praktijken die een Certificaat Authoriteit (CA) hanteert bij het uitreiken van certificaten. Een CPS biedt informatie aan vertrouwende partijen en certificaathouders over de procedures en getroffen maatregelen ten aanzien van de dienstverlening en hoe de diensten beschikbaar worden gesteld. Deze CPS is van toepassing binnen het domein van de VOICA1 en zijn functie als uitgever van eindgebruikerscertificaten van Vlaamse overheid. Deze CPS geeft ook de relatie weer tussen de VOICA1 en de andere CA's binnen de PKI hiërarchie van de Vlaamse overheid. Deze CPS is van toepassing op de VOICA1 en identificeert de rollen, verantwoordelijkheden en praktijken van de CA en RA's. Deze CPS bepaalt de voorwaarden waaraan alle certificaathouders en verbonden partijen inclusief moeten voldoen om toe te treden tot de VOICA1. De CPS bepaalt ook de rechten en verplichtingen van de andere PKI-deelnemers. Pagina 8/41
De bepalingen gedefinieerd in deze CPS met betrekking tot de praktijken, dienstenniveaus, verantwoordelijkheden en aansprakelijkheden binden alle betrokken partijen inclusief de VOICA1, certificaathouders en verbonden partijen. Deze CPS regelt de uitgifte van de eindgebruikerscertificaten binnen de toepassingsperiode tijdens dewelke de VOICA1 certificaten mag uitreiken. De CPS is online beschikbaar in de referentiesite van de VOICA1 op http://documenten.pki.vlaanderen.be. De CPS wordt onderhouden door e-ib (DAB ICT). De CPS beschrijft de vereisten voor het uitreiken, beheer en gebruik van certificaten binnen het bereik van het VOICA1 domein. De VOICA1 reikt certificaten uit aan eindgebruikers. Opmerkingen met betrekking tot de CPS van de VOICA1 kunnen gericht worden aan: per email aan security.officer@vlaanderen.be of per post aan e-ib (DAB ICT), Boudewijnlaan 30 bus 43, 1000 Brussel. De VOICA1 behoort tot een groep van verschillende CA's van de Vlaamse overheid. Om te voorzien in een vertrouwensrelatie tussen de verschillende CA's heeft de Vlaamse overheid een hiërarchie gedefinieerd. In deze hiërarchie is het de Vlaamse overheid Root CA (VORCA) die tot doel heeft vertrouwen te leveren met betrekking tot het gebruik van verschillende CA's binnen de Vlaamse overheid. De VORCA heeft elk van de publieke sleutels gecertificeerd van de operationele CA's van de Vlaamse overheid waaronder: Vlaamse overheid Issuing CA 1: gebruikt voor het ondertekenen van certificaten uitgereikt voor gebruik binnen de Vlaamse overheid De hiërarchie is opgebouwd rond een model van 2 lagen bestaande uit een Self-Signed Vlaamse overheid Root CA (VORCA) die offline staat en een of meerdere operationele CA s. Door het valideren van een certificaat uitgereikt door dergelijke operationele CA wordt het vertrouwen in de VORCA toegepast op de operationele CA die het certificaat heeft uitgereikt. 1.2 DOCUMENTNAAM EN IDENTIFICATIE De VOICA1 maakt gebruik van volgende OID s voor de identificatie van deze CPS: Certificaat type Vlaamse overheid Root CA Certificaat Vlaamse overheid Issuing CA 1 Certificaat OID 1.3.6.1.4.1.24258.4 1.3.6.1.4.1.24258.4.1 Pagina 9/41
1.3 PKI DEELNEMERS Verschillende partijen vormen de deelnemers van deze PKI-hiërarchie. De partijen hierna genoemd inclusief CA's, certificaathouders en vertrouwde partijen worden tezamen de PKIdeelnemers genoemd. 1.3.1 Certification Authority (CA) Een Certification Authority (CA) is een organisatie die digitale certificaten uitreikt. De Vlaamse overheid Issuing CA 1 is een Certification Authority. De VOICA1 verzekert de beschikbaarheid van alle diensten met betrekking tot de certificaten, inclusief de uitreiking, herroeping, opschorting, herondertekening en verficatiestatus. Dienst Beschikbaarheid CRL publicatie/download 98,36% kantooruren CPS publicatie/download 98,36% kantooruren Teneinde vertrouwde partijen in kennis te stellen van herroepen certificaten is de publicatie van een Certificate Revocation List (CRL) vereist. De VOICA1 beheert een dergelijke lijst (CRL) en stelt deze ter beschikking van de PKI deelnemers. De VOICA1 is opgezet in België, zij kan gecontacteerd worden op het adres dat wordt vermeld in deze CPS. Voor het leveren van CA-diensten, inclusief, de uitreiking, herroeping, opschorting, vernieuwing en statusverificatie van certificaten maakt de VOICA1 gebruik van een beveiligde en ontdubbelde omgeving. De verantwoordelijkheid van de VOICA1 bestaat erin van de volledige levenscyclus van een certificaat te beheren waaronder: De uitgifte Het herroepen Het opschorten Vernieuwing Statusverificatie Directorydiensten 1.3.2 Registration Authorities (RA) Pagina 10/41
Binnen het domein van de Vlaamse overheid Issuing CA 1 opereert er één RA die de taken uitoefent voor wat betreft de het uitreiken, beëindigen, opschorten en herroepen van certificaten die vallen onder deze CPS. De Vlaamse overheid besteedt een aantal ICT-beheerstaken uit aan een externe dienstenleverancier, deze wordt hierna de Dienstverlener genoemd. Binnen het domein van de Vlaamse overheid Issuing CA 1 is het de Dienstverlener die in opdracht van e-ib de rol van RA vervult. Wanneer een kandidaatcertificaathouder een aanvraag doet voor de creatie van een certificaat onder de Vlaamse overheid Issuing CA 1, is het de Dienstverlener die in opdracht van e-ib de aanvraag valideert en beslist over het al dan niet aanmaken van een certificaat door de Vlaamse overheid Issuing CA 1. 1.3.3 Certificaathouders De certificaathouder van een VOICA1-certificaat is de gebruiker van een apparaat verbonden aan de Vlaamse overheid die door middel van een certificaat dit systeem authenticeert om gebruik te maken van diensten van de Vlaamse overheid. 1.3.4 Vertrouwende partijen Binnen het VOICA1 domein zijn vertrouwende partijen entiteiten inclusief natuurlijke of rechtspersonen die vertrouwen op de authenticatie van een apparaat door middel van een certificaat verifieerbaar aan de hand van de publieke sleutel in het VOICA1-certificaat. Voor het valideren van de geldigheid van het ontvangen certificaat dienen de vertrouwende partijen steeds de CA validatiediensten te verifiëren (zoals CRL, delta CRL, web interface) alvorens vertrouwen te stellen in de inhoud van het certificaat. 1.4 CERTIFICAATGEBRUIK Bepaalde limitaties zijn van toepassing op het gebruik van certificaten uitgereikt door de VOICA1 waaronder deze aangehaald in de hiernavolgende paragrafen. 1.4.1 Correct gebruik van het certificaat Certificaten uitgereikt door de VOICA1 kunnen worden gebruikt voor: Authenticatie van apparaten 1.4.2 Niet toegelaten gebruik van certificaten Elk ander gebruik van een certificaat (vb.het bewijzen van de identiteit van een eindgebruiker, ) is niet toegelaten. 1.5 BEHEER VAN DE CPS Pagina 11/41
e-ib draagt de verantwoordelijkheid voor het opstellen, publiceren, OID-registratie, onderhoud en interpretatie van deze CPS. Het beheer van deze CPS gebeurt door e-ib, onafhankelijk van andere beheerspartijen of andere CA's binnen de Vlaamse overheid. Opmerkingen met betrekking tot de CPS van de VOICA1 kunnen gericht worden aan: per email aan security.officer@vlaanderen.be of per post aan e-ib (DAB ICT), Boudewijnlaan 30, bus 43, 1000 Brussel. Elke securitypolicy die wordt gebruikt in het kader van het beheer en controle op de PKIinfrastructuur door de VOICA1 dient conform te zijn aan de bepalingen van de CPS. 1.6 DEFINITIES EN ACRONIEMEN Een lijst van definities en acroniemen is achteraan dit document terug te vinden in hoofdstuk 10. Pagina 12/41
2 PUBLICATIE EN DOCUMENTEN De VOICA1 publiceert de informatie over de door haar uitgereikte certificaten op een online beschikbare opslagruimte. De VOICA1 behoudt zich het recht voor om de statusinformatie van de door haar uitgereikte certificaten te publiceren bij derde partijen. De VOICA1 stelt online documenten beschikbaar waarbij het informatie vrijgeeft over de door haar gevolgde praktijken, procedures en de inhoud van bepaalde policies, waaronder de CPS. De VOICA1 behoudt zich het recht voor om informatie ter beschikking te stellen met betrekking tot haar policies met alle middelen die ze hiervoor nodig acht. De aandacht van de PKI deelnemers hierop bevestigd dat de VOICA1 informatie kan publiceren die door hen direct of indirect aan de VOICA1 worden doorgespeeld op een publiek beschikbaar repertorium voor doeleinden die verband houden met het beschikbaar stellen van statusinformatie van certificaten. De VOICA1 beheert en onderhoudt een lijst met alle certificaten (Certificate Repository) die het heeft uitgereikt. Deze lijst geeft ook de status van de uitgereikte certificaten weer. De VOICA1 behoudt zich het recht voor de uitgereikte certificaten te publiceren. De VOICA1 publiceert de CRL op volgend distributiepunt: http://crl.pki.vlaanderen.be/voica12012.crl De VOICA1 onderhoudt de CRL en informatie op deze URL minstens tot de vervaldatum van alle certificaten die het heeft uitgereikt en waarin het CRL-distributiepunt staat vermeld. Goedgekeurde versies van documenten worden binnen 24 uur gepubliceerd op de online beschikbare opslagruimte. Als gevolg van hun gevoeligheid onthoudt de VOICA1 er zich van om bepaalde informatie publiek te maken zoals bepaalde documenten, beveiligingsmaatregelen, procedures gelieerd aan het werken met andere registration authorities, interne security policies, etc. Zulke documenten en praktijken zijn anderzijds onder bepaalde voorwaarden wel beschikbaar voor aangeduide auditpartijen waaraan de VOICA1 verantwoording dient af te leggen. De toegang tot de distributieplaats is vrij toegankelijk. De web interface, Certificate Repository, CPS en de CRL s zijn beschikbaar op de elektronische opslagplaats van de VOICA1 (http://documenten.pki.vlaanderen.be). 3 IDENTIFICATIE EN AUTHENTICATIE De RA onderhoudt gedocumenteerde praktijken en procedures voor het authenticeren van de identiteit en/of andere attributen van de kandidaatcertificaathouder. Alvorens de RA het verzoek om een certificaat uit te reiken doorgeeft aan de VOICA1, verifieert de RA de identiteit en de aanvraag van de kandidaatcertificaathouder. Pagina 13/41
De RA authenticeert de aanvragen van partijen die intrekking wensen van certificaten uitgegeven onder deze policy. 3.1 NAAMGEVING Om de kandidaat certificaathouder te identificeren volgt de VOICA1 een aantal regels met betrekking tot de naamgeving en identificatie waaronder toegelaten namen in het onderwerp van het certificaat. Deze regels worden door de RA toegepast. Namen opgenomen in de uitgegeven certificaten moeten niet noodzakelijk betekenis hebben. Zij dienen wel te refereren naar de informatie die toelaat de certificaathouder in de configuration management database (CMDB) te identificeren. Certificaathouders kunnen niet anoniem zijn en geen pseudoniemen gebruiken. 3.2 INITIËLE VALIDATIE VAN DE IDENTITEIT Voor de identificatie en authenticatie van de initiële aanvrager voor de registratie van een certificaat verzekert de RA dat: De kandidaat-houder toont het bezit van de private sleutel aan, overeenkomstig met de publieke sleutel die wordt aangeboden aan de VOICA1. Het apparaat geregistreerd staat in de configuration management database (CMDB) van de Vlaamse overheid, een eigenaar en een actieve status heeft. De gebruiker van een apparaat wordt geïdentificeerd bij de initiële overhandiging van het apparaat aan de gebruiker. De gebruiker van het apparaat staat geregistreerd in de CMDB, op deze wijze kan de identiteit van de certificaathouder steeds worden teruggevonden op basis van de identificatie van het apparaat. 3.3 IDENTIFICATIE EN AUTHENTICATIE VOOR AANVRAGEN TOT SLEUTELVERNIEUWING Bij aanvragen voor sleutelvernieuwing gebeurt dezelfde identiteitsvalidatie als deze bij de initiële aanvraag. 3.4 IDENTIFICATIE EN AUTHENTICATIE VOOR AANVRAGEN TOT INTREKKING EN OPSCHORTING VAN CERTIFICATEN Voor de identificatie en authenticatie van een aanvraag tot intrekking of opschorting vereist de RA een formele aanvraag van de eigenaar van het toestel waarop het werd certificaat geregistreerd. De opschorting of revocatie zal slechts worden uitgevoerd indien de RA voldoende zekerheid heeft verkregen over de validiteit van de aanvraag. 4 LEVENSCYCLUS VAN CERTIFICATEN OPERATIONELE VEREISTEN Elke eigenaar van een toestel waarvoor een certificaat werd uitgereikt door de VOICA1 heeft een doorlopende verplichting om de RA op de hoogte te stellen van alle wijzigingen met betrekking tot de gegevens die door de VOICA1 werden gecertificeerd tijdens de levensloop van het certificaat of van enig ander feit dat een invloed heeft op de geldigheid van het certificaat. De RA zal desgevallend de nodige maatregelen treffen om er voor te zorgen dat de situatie wordt rechtgezet (bv. door de VOICA1 te vragen het bestaande certificaat in te trekken en een nieuw certificaat te genereren met de correcte gegevens). Pagina 14/41
De VOICA1 reikt enkel certificaten uit en trekt certificaten enkel en alleen in op aanvraag van de RA, op uitdrukkelijk verzoek van de RA, met uitzondering van een aangetoonde compromitering. In geval van een aangetoonde compromitering of verlies over de controle van een private sleutel zal de VOICA1 onmiddellijk het certificaat intrekken, zelfs zonder aanvraag van de RA. 4.1 CERTIFICAATAANVRAAG De VOICA1 handelt op verzoek van de RA die de bevoegdheid heeft en aangeduid is om de aanvragen voor het uitreiken van een certificaat uit te voeren. De aanvrager wendt zich tot de RA met zijn aanvraag voor certificatie. Het is de verantwoordelijkheid van de RA om het apparaat te identificeren en na te gaan of het apparaat geregistreerd staat in de configuration management database (CMDB) van de Vlaamse overheid, een eigenaar en een actieve status heeft Bij acceptatie van de aanvraag zal de RA de VOICA1 de nodige informatie bezorgen en de te certificeren gegevens. 4.2 VERWERKING VAN DE CERTIFICAATAANVRAAG De RA handelt op basis van een certificaataanvraag en valideert en identificeert het apparaat. Vervolgens keurt de RA de certificaataanvraag goed of verwerpt ze en deelt de beslissing mee aan de aanvrager binnen een periode van 1 maand. Deze goedkeuring of afwijzing dient niet noodzakelijk te worden verantwoord aan de aanvrager of enige andere partij. 4.3 UITREIKING VAN HET CERTIFICAAT Na goedkeuring van de certificaataanvraag zal de RA de aanvraag doorsturen naar de VOICA1. De verzoeken van de RA worden goedgekeurd wanneer zij geldig zijn aangemaakt en de juiste gegevens bevatten conform de VOICA1 specificaties. De VOICA1 verifieert de identiteit van de RA op basis van de gebruikte credentials die gebruikt werden voor de authenticatie op het VOICA1-platform. Na uitgifte van het certificaat levert de VOICA1 dit certificaat af. 4.4 ACCEPTATIE VAN HET CERTIFICAAT Een uitgegeven VOICA1-certificaat wordt beschouwd als geaccepteerd door de certificaathouder wanneer deze het in gebruik neemt. Elk bezwaar tegen het aanvaarden van een uitgegeven certificaat moet expliciet worden meegedeeld aan de VOICA1. De reden voor de niet-aanvaarding met inbegrip van alle velden in het certificaat die de onjuiste informatie bevatten, moet ook worden meegedeeld. Pagina 15/41
4.5 SLEUTELPAAR EN CERTIFICAATGEBRUIK De verantwoordelijkheden met betrekking tot het gebruik van sleutels en certificaten worden hierna weergegeven. 4.5.1 Verplichtingen van de certificaathouder Tenzij anders vermeld in deze CPS omvatten de verplichtingen van de certificaathouder: Zich ervan te onthouden wijzigingen aan te brengen aan het certificaat De certificaten enkel te gebruiken voor wettelijke en toegelaten doeleinden in overeenstemming met de CPS van de VOICA1 Een certificaat enkel te gebruiken in functie van normale gebruiksdoeleinden ervan Het voorkomen van compromitering, verlies, openbaarmaking, wijziging en onbevoegd gebruik van hun private sleutels. Een certificaat enkel te gebruiken binnen de periode van de geldigheidsduur van het certificaat en niet meer na de intrekking ervan. 4.5.2 Verplichtingen van de vertrouwende partijen Een vertrouwende partij van een certificaat uitgegeven door de VOICA1 zal: Gebruik maken van correcte cryptografische hulpmiddelen om de geldigheid van het certificaat te valideren. Het certificaat valideren met behulp van een CRL of webgebaseerde certificaatvalidatie in overeenstemming met de validatieprocedure en pad vermeld in het certificaat. Het certificaat enkel en alleen vertrouwen tijdens de periode van de geldigheidsduur van het certificaat. Het certificaat enkel en alleen vertrouwen wanneer het niet is ingetrokken Het certificaat enkel vertrouwen wanneer dit redelijk is gegeven de omstandigheden 4.6 HERNIEUWING VAN HET CERTIFICAAT Certificaathouders kunnen een verzoek indienen voor de hernieuwing van het certificaat uitgegeven door de VOICA1. Om de vernieuwing van het certificaat aan te vragen dient de certificaathouder een aanvraag in bij de RA. Certificaten kunnen enkel worden verlengd zolang het bestaande certificaat nog geldig is. De vereisten voor vernieuwing van certificaten, waar van toepassing, kunnen verschillen van deze dewelke vereist waren bij de originele aanvraag. 4.7 SLEUTELVERNIEUWING In geval van intrekking van een certificaat of wanneer kennis werd genomen van de certificaathouder dat er een verlies, diefstal, wijziging, ongeoorloofde openbaarmaking of andere aantasting is van de private sleutel dewelke het onderwerp is van een certificaat uitgereikt door de VOICA1 dient een nieuw sleutelpaar te worden gegenereerd. Op basis van dit nieuwe sleutelpaar kan desgevallend een nieuwe certificaataanvraag worden ingediend. Pagina 16/41
4.8 WIJZIGING VAN EEN CERTIFICAAT Wijziging van een certificaat is niet van toepassing binnen de VOICA1, er dient desgevallend een nieuw keypair te worden gegenereerd en de keyceremonieprocedure dient te worden uitgevoerd conform een nieuwe aanvraag. 4.9 INTREKKING EN OPSCHORTING VAN HET CERTIFICAAT Op verzoek van de RA zal de VOICA1 een certificaat intrekken of opschorten. Het opschorten kan voor een periode van maximaal 6 weken. Het intrekken van een certificaat is definitief. De RA vraagt zonder verwijl de intrekking van een certificaat wanneer: Kennis werd genomen van de certificaathouder dat er een verlies, diefstal, wijziging, ongeoorloofde openbaarmaking of andere aantasting is van de private sleutel dewelke het onderwerp is van een certificaat uitgereikt door de VOICA1. Er een wijziging is van informatie dewelke het voorwerp uitmaakt van het certificaat De houder van het certificaat is verplicht de opschorting of revocatie onverwijld aan te vragen bij de RA wanneer er een sterk vermoeden of zekerheid rijst dat er een verlies, diefstal, wijziging, ongeoorloofde openbaarmaking of andere aantasting is van de private sleutel dewelke het onderwerp is van een certificaat uitgereikt door de VOICA1. Hierbij zal de houder zich correct identificeren bij de RA en alle informatie waarover hij beschikt over het incident overmaken aan de RA. De houder en de RA zullen gezamenlijk beslissen om over te gaan tot ofwel de opschorting ofwel de revocatie van het certificaat. Wanneer er een bewijs is van aantasting of compromitering van de private sleutel dewelke onderwerp uitmaakt van een uitgereikt certificaat zal de VOICA1 dit certificaat met onmiddellijke ingang. De VOICA1 publiceert meldingen van de ingetrokken certificaten op de door haar online beschikbaar gestelde opslagplaats. 4.10 CERTIFICAAT-STATUS DIENSTEN De VOICA1 stelt diensten ter beschikking voor het controleren van de certificaatstatus, waaronder CRL's en de bijbehorende web interfaces (zie hoofdstuk Error! Reference source not found.): CRL CRL's worden ondertekend en gemarkeerd met de tijd door de VOICA1. Een CRL wordt wekelijks uitgegeven vooraleer de vorige versie van de CRL zijn geldigheidsduur overschrijdt. De VOICA1 stelt alle CRL's beschikbaar op haar website. OCSP De VOICA1 stelt geen OCSP-dienst ter beschikking voor de door haar uitgereikte certificaten Het is de verantwoordelijkheid van de vertrouwende partijen de certificaatstatus te controleren. Wanneer de hierboven vermeldde diensten niet beschikbaar zouden zijn, dient de vertrouwende partij Pagina 17/41
De onbeschikbaarheid melden aan de service desk van de Vlaamse Overheid. De servicedesk is bereikbaar telefonisch via 02/553.90.00 of per e-mail via servicedesk@vlaanderen.be. De validatie opnieuw uit te voeren nadat de diensten terug beschikbaar zijn Eventueel kan in afwachting reeds een validatie worden uitgevoerd op basis van een gecachte maar nog geldige CRL. 4.11 BEËINDIGING VAN HET CERTIFICAAT Een certificaat wordt ongeldig wanneer het wordt ingetrokken, wanneer de geldigheidsduur verstrijkt of wanneer de CA-dienst wordt stopgezet. 4.12 SLEUTEL ESCROW EN HERSTEL Het deponeren van de sleutels bij een derde partij voor escrowdoeleinden is niet van toepassing voor de Vlaamse overheid Issuing CA 1. 5 BEHEER, OPERATIONELE EN FYSIEKE BEVEILIGING Dit hoofdstuk beschrijft niet-technische beveiligingsmaatregelen die gehanteerd worden door de VOICA1 voor het uitoefenen van de sleutelcreatie, de identificatie van de certificaathouder, certificaatuitreiking, certificaatintrekking, audit en archivering. 5.1 FYSIEKE BEVEILIGINGSCONTROLES De VOICA1 implementeert fysieke controles in haar beveiligde omgeving. Fysieke controles uitgeoefend door VOICA1 zijn ondermeer: De fysische toegang wordt beperkt door het gebruik van controlesystemen die gericht zijn op de toegang tot de lokatie waar de VOICA1-infrastructuur zich bevindt. Overspanning en klimaatregeling De gebouwen worden beschermd tegen blootstelling aan water De VOICA1 treft maatregelen wat betreft brandveiligheid en brandpreventie. De media worden veilig bewaard. Er worden veiligheidskopieën van de media bewaard op een andere plaats die fysisch veilig is en beschermd is tegen brand- en waterschade. Het afval wordt op een veilige manier verwijderd opdat gevoelige gegevens niet ongewenst onthuld zouden worden. De VOICA1 zorgt voor een gedeeltelijke off-site veiligheidskopie. De VOICA1 beschikt op haar sites over de geschikte infrastructuur om de CA-diensten te verlenen. De VOICA1 zorgt voor eigen veiligheidscontroles op haar sites, waaronder toegangscontrole. De toegang tot de sites wordt beperkt tot bevoegd personeel. De lijst waarin dit personeel is opgenomen is beschikbaar voor controle. 5.2 PROCEDURELE CONTROLES Pagina 18/41
De VOICA1 volgt het personeel en de beheerspraktijken voldoende om met redelijke zekerheid de betrouwbaarheid en bekwaamheid van de personeelsleden te waarborgen, alsook de toereikende uitvoering van hun taken op gebied van technologieën in verband met elektronische handtekeningen. 5.3 BEVEILIGINGSCONTROLES MET BETREKKING TOT PERSONEEL 5.3.1 Kwalificaties, Ervaring, Goedkeuringen De CSP voert controles uit om de kwalificaties en ervaring te bepalen die nodig is/zijn om te voldoen aan de bekwaamheidsgraad voor de specifieke functie. 5.3.2 Achtergrondcontroles en goedkeuringsprocedures De VOICA1 kan relevante controles uitvoeren op potentiële werknemers uit door middel van statusrapporten die uitgegeven worden door een bevoegde autoriteit, verklaringen van derde partijen of ondertekende eigen verklaringen. 5.3.3 Vereisten voor opleiding en opleidingsprocedures De VOICA1 voorziet in opleiding van haar personeel voor het uitoefenen van CA-functies en beheerstaken. 5.3.4 Periodieke bijscholing en opleiding Het personeel kan regelmatig bijgeschoold worden om voor continuïteit te zorgen en de kennis van het personeel en de procedures bij te werken. 5.3.5 Job rotatie Hoofdstuk is niet van toepassing. 5.3.6 Sancties voor personeelsleden Ten aanzien van personeelsleden die bij de uitvoering van de CA-functies en beheerstaken, hun bevoegdheid overschrijden of daden stellen die een misbruik van vertrouwen inhouden, zullen door de VOICA1 gepaste maatregelen worden genomen. 5.3.7 Controles op onafhankelijke medewerkers Onafhankelijke VOICA1 onderaannemers en diens personeel zijn onderhevig aan de zelfde achtergrondcontroles als het VOICA1 personeel. Pagina 19/41