Technické řešení PostSignum QCA
description
Transcript of Technické řešení PostSignum QCA
2ICZ a.s.
Přehled
Požadavky České pošty na řešení
Přehled technického řešení
Bezpečnost
Certifikáty veřejného klíče, registrační procedury
3ICZ a.s.
Požadavky ČP na řešení
Návaznost na projekty Interní CA a Veřejné CASplnění požadavků kladených legislativou na akreditovaného poskytovatele certifikačních služeb
Bezpečnost odpovídající významu úlohyDůvěrnost uchovávaných dat a záznamů o provozuIntegrita dat včetně záznamů o provozuDostupnost služeb
Splnění mezinárodních standardů (RFC 3280, RFC 3647, RFC 3739, CWA 14167, ETSI TS 101456, …)
4ICZ a.s.
Průběh projektu
Zahájení: září 2003analytické práce, návrhimplementace, testování, postupy, dokumentaceaudit
Vytvoření klíčů certifikační autority: duben 2005
auditakreditace
Rozhodnutí o akreditaci MI ČR: 3.8.2005Zahájení provozu: 1.9.2005
5ICZ a.s.
Technické řešení
Informační systém pro certifikační služby tvořen sw. UniCERT firmy Cybertrust
Úložiště klíčových párů certifikačních autorit –SureWare Keyper (FIPS 140-1 L4, shoda nástroje elektronického podpisu s požadavky vyhlášky 366/2001 Sb.)
Proprietární aplikace vyvinuté ICZAplikace pro správu zákazníků a žadatelů o certifikát a pro zpřístupnění certifikačních údajůNástroje pro generování klíčových párů a vytváření žádostí o certifikáty
6ICZ a.s.
Technické řešení
INTERNET
Kontaktnímísta
http://www.postsignum.czhttp://qca.postsignum.czldap://qca.postsignum.cz
CA - Trust centrum
http://postsignum.ttc.czldap://postsignum.ttc.cz Záložní pracoviště
7ICZ a.s.
Technické řešení
Vydané certifikáty a CRL zveřejňovány více nezávislými způsoby:
LDAP PostSignumwww PostSignumLDAP TTC Teleportwww TTC Teleport (pouze CRL)
Informace poskytovatele certifikačních služeb, certifikační politiky, CPS zveřejněny na www PostSignum
8ICZ a.s.
Bezpečnost PostSignum
Technická opatřeníOddělené segmenty sítě s omezenými prostupyUložení klíčů certifikačních autority bezpečném zařízení (HSM)Přihlašování obsluhy čipovou kartou – OS, aplikaceZáložní lokalitaVysoká úroveň fyzického zabezpečení prostor centra a záložní lokality
INTERNET
Kontaktnímísta
http://www.postsignum.czhttp://qca.postsignum.czldap://qca.postsignum.cz
CA - Trust centrum
http://postsignum.ttc.czldap://postsignum.ttc.cz Záložní pracoviště
9ICZ a.s.
Bezpečnost PostSignum
Organizační opatřeníProvozní režim a předpisyPlány zachování kontinuity provozuBezpečnostní politikyZaznamenávání všech operací
Automaticky vytvářené auditní záznamyPísemné záznamy o provozu
Pravidelné kontroly a audity (interní i externí)Kontroly souladu s předpisy a dostatečnosti systému
10ICZ a.s.
Certifikáty veřejného klíče
Certifikáty organizacíCertifikát pro ověření elektronického podpisu zaměstnanceCertifikát pro ověření elektronické značky organizace
Certifikáty fyzických osobCertifikát pro ověření elektronického podpisu fyzické osobyCertifikát pro ověření elektronické značky fyzické osoby
11ICZ a.s.
Elektronický podpis
vědomý akt živé osoby
seznam odvolaných certifikátů (CRL)
12ICZ a.s.
Elektronická značka
automatická operace "stroje"
seznam odvolaných certifikátů (CRL)
13ICZ a.s.
Získání certifikátu
14ICZ a.s.
§ 11 Zákona o elektronickém podpisu
(1) V oblasti orgánů veřejné moci je možné za účelem podpisu používat pouze zaručené elektronické podpisy a kvalifikované certifikáty vydávané akreditovanými poskytovateli certifikačních služeb (dále jen „uznávaný elektronický podpis“). ...
(2) Písemnosti orgánů veřejné moci ... označené elektronickou značkou založenou na kvalifikovaném systémovém certifikátu vydaném akreditovaným poskytovatelem certifikačních služeb nebo podepsané uznávaným elektronickým podpisem mají stejné právní účinky jako veřejné listiny vydané těmito orgány.
15ICZ a.s.
Použití kvalifikovaných certifikátů
Daňová přiznání (DPH, daň z příjmu, silniční daň, daň z nemovitostí…)
Komunikace s MPSV a ČSSZ (žádost o dávky sociální podpory, evidenční listy důchodového zabezpečení atd.)
Elektronické podatelny úřadů (obcí, ministerstev atd.)Podání na tyto úřady