K POSTĘPOWANIA CERTYFIKACYJNEGO ENTRUM · Nazwa jednostki organizacyjnej Ministerstwo Finansów, Departament Bezpieczeństwa i Ochrony Informacji Dokument Kodeks Postępowania Certyfikacyjnego

Nazwa jednostki organizacyjnej Ministerstwo Finansów, Departament Bezpieczeństwa i Ochrony Informacji

Dokument Kodeks Postępowania Certyfikacyjnego Centrum Certyfikacji Ministerstwa Finansów

Projekt realizowany jest w ramach Programu e-Cło współfinansowanego ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka

Strona 1 z 36

KODEKS POSTĘPOWANIA CERTYFIKACYJNEGO CENTRUM

CERTYFIKACJI MINISTERSTWA FINANSÓW

Wersja 1.0




Strona 2 z 36

MINISTERSTWO FINANSÓW, DEPARTAMENT BEZPIECZEŃSTWA I OCHRONY INFORMACJI

Nazwa KODEKS POSTĘPOWANIA CERTYFIKACYJNEGO CENTRUM CERTYFIKACJI MINISTERSTWA

FINANSÓW

Krótki opis dokumentu Dokument opisuje ogólne zasady stosowane w procesie certyfikacji kluczy, definiuje strony procesu certyfikacji oraz ich zobowiązania i odpowiedzialności.

Właściciel dokumentu Ministerstwo Finansów, Departament Bezpieczeństwa i Ochrony Informacji

Opracowany przez Nazwa komórki organizacyjnej

Izba Administracji Skarbowej w Białymstoku

Weryfikacja merytoryczna Imię i nazwisko, stanowisko

Data Podpis

Weryfikacja formalna Imię i nazwisko, stanowisko

Data Podpis

Zatwierdził Imię i nazwisko, stanowisko

Data Podpis

Data druku 2017-05-30 Liczba stron 36

Nazwa pliku Kodeks_Postepowania_Certyfikacyjnego_CCK_MF v1.0.doc

Status

HISTORIA ZMIAN

Nr wersji Data Opis Działanie (*) Rozdziały(**) Autorzy

1.0 15.05.2017 Utworzenie dokumentu N W Marek Burzyński

(*) Działanie: N-Nowy, Z-Zmiana, W-Weryfikacja

(**) Rozdziały: numery rozdziałów lub W-Wszystkie




Strona 3 z 36

SPIS TREŚCI

1 WSTĘP ................................................................................................................................................................................................ 5

1.1 ZAKRES DOKUMENTU ............................................................................................................................................................... 5 1.2 NAZWA DOKUMENTU ............................................................................................................................................................... 5 1.3 DEFINICJE I AKRONIMY ............................................................................................................................................................ 5 1.4 DOKUMENTY REFERENCYJNE .................................................................................................................................................. 7 1.5 ADRESY I DANE KONTAKTOWE ............................................................................................................................................... 7 1.6 PUBLIKACJA CERTYFIKATÓW CCK ORAZ LIST CRL ............................................................................................................ 7

2 POSTANOWIENIA OGÓLNE ....................................................................................................................................................... 7

2.1 OBOWIĄZKI STRON ................................................................................................................................................................... 7 2.1.1 Obowiązki CCK .......................................................................................................................................................... 7 2.1.2 Obowiązki Subskrybenta ...................................................................................................................................... 8 2.1.3 Obowiązki Strony ufającej .................................................................................................................................... 8

2.2 POWIADOMIENIA ...................................................................................................................................................................... 8

3 IDENTYFIKACJA I UWIERZYTELNIANIE ............................................................................................................................. 8

3.1 NAZWY W CERTYFIKATACH ..................................................................................................................................................... 8 3.2 WALIDACJA TOŻSAMOŚCI ........................................................................................................................................................ 9

3.2.1 CCK MF Zewnetrzne ................................................................................................................................................ 9 3.2.2 CCK MF Wewnetrzne .............................................................................................................................................. 9 3.2.3 CCK MF Infrastruktura i Aplikacje .................................................................................................................... 9

4 WYMAGANIA FUNKCJONALNE................................................................................................................................................ 9

4.1 WNIOSKI O WYDANIE CERTYFIKATU ..................................................................................................................................... 9 4.2 WYSTAWIENIE CERTYFIKATU ................................................................................................................................................. 9

4.2.1 Termin wydania certyfikatu od momentu złożenia wniosku ............................................................... 9 4.2.2 Oświadczenie o wydaniu certyfikatu............................................................................................................... 9

4.3 AKCEPTACJA CERTYFIKATU ..................................................................................................................................................... 9 4.4 ZAWIESZANIE I UNIEWAŻNIANIE CERTYFIKATÓW ............................................................................................................ 10

4.4.1 Okoliczności uzasadniające unieważnienie ............................................................................................... 10 4.4.2 Okoliczności uzasadniające zawieszenie .................................................................................................... 10 4.4.3 Osoby uprawnione do składania wniosku o zawieszenie lub unieważnienie certyfikatu ... 10 4.4.4 Procedura zawieszenia lub unieważnienia certyfikatu........................................................................ 10 4.4.5 Odwołanie zawieszenia certyfikatu .............................................................................................................. 10 4.4.6 Termin rozpatrywania wniosku o zawieszenie / unieważnienie certyfikatu ............................ 10 4.4.7 Informacje o zawieszeniu / unieważnieniu certyfikatu lub odwołaniu jego zawieszenia ... 11 4.4.8 Częstotliwość publikowania list CRL ............................................................................................................ 11 4.4.9 Korzystanie z list CRL .......................................................................................................................................... 11

4.5 PROCEDURY PROWADZENIA LOGÓW BEZPIECZEŃSTWA ................................................................................................. 11 4.5.1 Typy zdarzeń zapisywanych w logach ......................................................................................................... 11 4.5.2 Okres przechowywania logów ........................................................................................................................ 11 4.5.3 Powiadamianie podmiotów zdarzeń ............................................................................................................ 11

4.6 ARCHIWUM ............................................................................................................................................................................. 11 4.6.1 Typy archiwizowanych zdarzeń ..................................................................................................................... 11 4.6.2 Kopia zapasowa archiwum ............................................................................................................................... 11 4.6.3 Okres przechowywania zbiorów w archiwum ......................................................................................... 12

4.7 ODNAWIANIE KLUCZY ........................................................................................................................................................... 12 4.8 NARUSZENIA BEZPIECZEŃSTWA I ODTWARZANIE PO AWARIACH .................................................................................. 12 4.9 ZAKOŃCZENIE DZIAŁALNOŚCI URZĘDU CERTYFIKACJI .................................................................................................... 12




Strona 4 z 36

5 BEZPIECZEŃSTWO FIZYCZNE I BEZPIECZEŃSTWO PERSONELU ....................................................................... 12

5.1 ZABEZPIECZENIA FIZYCZNE .................................................................................................................................................. 12 5.2 PERSONEL ............................................................................................................................................................................... 13

5.2.1 Wymagania na wykształcenie, kwalifikacje, doświadczenie i uprawnienia personelu ......... 13 5.2.2 Procedury kontroli personelu ......................................................................................................................... 13 5.2.3 Sankcje za nieupoważnione działania.......................................................................................................... 13 5.2.4 Dokumenty udostępniane personelowi ...................................................................................................... 13 5.2.5 Personel CCK MF.................................................................................................................................................... 13

6 ZABEZPIECZENIA TECHNICZNE .......................................................................................................................................... 13

6.1 GENEROWANIE I INSTALOWANIE PAR KLUCZY.................................................................................................................. 13 6.1.1 Zasady ogólne generowania kluczy............................................................................................................... 13 6.1.2 Przeznaczenie klucza ........................................................................................................................................... 14

6.2 POSTĘPOWANIE Z KLUCZAMI PRYWATNYMI I ICH OCHRONA .......................................................................................... 14 6.2.1 Kopie zapasowe kluczy prywatnych ............................................................................................................. 14 6.2.2 Niszczenie kluczy prywatnych ........................................................................................................................ 14

6.3 ZABEZPIECZENIE SIECIOWE ................................................................................................................................................. 14

7 ZABEZPIECZENIA ORGANIZACYJNE .................................................................................................................................. 14

7.1 ZARZĄDZANIE BEZPIECZEŃSTWEM ..................................................................................................................................... 14 7.2 TRYB DZIAŁANIA CCK MF ................................................................................................................................................... 15 7.3 ZABEZPIECZENIA PROCEDURALNE ...................................................................................................................................... 15

8 STRUKTURA CERTYFIKATÓW I LIST CRL ....................................................................................................................... 15

8.1 CENTRUM CERTYFIKACJI MINISTERSTWA FINANSOW .................................................................................................... 15 8.1.1 Certyfikat Centrum Certyfikacji Ministerstwa Finansow .................................................................... 16 8.1.2 Certyfikat CCK MF Zewnetrzne ....................................................................................................................... 17 8.1.3 Certyfikat CCK MF Wewnetrzne ..................................................................................................................... 18 8.1.4 Certyfikat CCK MF Infrastruktura i Aplikacje ........................................................................................... 19 8.1.5 Lista CRL Centrum Certyfikacji Ministerstwa Finansow ..................................................................... 20

8.2 CCK MF ZEWNETRZNE ........................................................................................................................................................ 21 8.2.1 Profil „podpisywanie”......................................................................................................................................... 21 8.2.2 Lista CRL CCK MF Zewnetrzne ........................................................................................................................ 22

8.3 CCK MF WEWNETRZNE ...................................................................................................................................................... 23 8.3.1 Profil „podpisywanie”......................................................................................................................................... 23 8.3.2 Profil „szyfrowanie” ............................................................................................................................................ 24 8.3.3 Profil „uwierzytelnianie” ................................................................................................................................... 25 8.3.4 Lista CRL CCK MF Wewnetrzne ...................................................................................................................... 26

8.4 CCK MF INFRASTRUKTURA I APLIKACJE .......................................................................................................................... 27 8.4.1 Profil „podpisywanie”......................................................................................................................................... 27 8.4.2 Profil „podpisywanie/szyfrowanie”............................................................................................................. 28 8.4.3 Profil „podpisywanie kodu” ............................................................................................................................. 29 8.4.4 Profil „VPN” ............................................................................................................................................................. 30 8.4.5 Profil „TSA”.............................................................................................................................................................. 31 8.4.6 Profil „SSL Server” ................................................................................................................................................ 32 8.4.7 Profil „OCSP” ........................................................................................................................................................... 33 8.4.8 Profil „Domain Controller” ............................................................................................................................... 34 8.4.9 Lista CRL CCK MF Infrastruktura i Aplikacje ............................................................................................ 35

9 ADMINISTROWANIE SPECYFIKACJAMI KODEKSU ..................................................................................................... 36

9.1 ZMIANY W KODEKSIE ............................................................................................................................................................ 36 9.2 ZASADY PUBLIKOWANIA I POWIADAMIANIA ..................................................................................................................... 36




Strona 5 z 36

1 Wstęp

1.1 Zakres dokumentu Niniejszy dokument zawiera rozwinięcie i uszczegółowienie zasad postępowania certyfikacyjnego opisanych w Polityce Certyfikacji CCK MF, definiuje reguły stosowane w procesie zarządzania kluczami i certyfikatami cyfrowymi oraz świadczenia usług bazujących na kryptografii klucza publicznego. Opracowanie pokazuje jak uczestnicy procesu certyfikacji powinni wykonywać swoje funkcje i realizować przypisane im zadania. Jest obowiązujące dla wszystkich użytkowników korzystających z usług CCK MF, uczestników procesów certyfikacyjnych i uczestników procesów utrzymania infrastruktury CCK MF.

1.2 Nazwa dokumentu Niniejszemu dokumentowi przypisuje się nazwę pełną: „Kodeks Postępowania Certyfikacyjnego CCK MF”. Dokument ten jest dostępny pod adresem internetowym:

http://puesc.gov.pl/pki/resource/Kodeks_postepowania_certyfikacyjnego_CCK_MF.pdf

W treści dokumentu, jako równoważna, może być stosowana nazwa skrótowa: „KPC CCK MF”.

1.3 Definicje i akronimy

Termin Definicja

Certyfikat cyfrowy (certyfikat klucza publicznego)

Ciąg danych zawierający klucz publiczny właściciela certyfikatu oraz dodatkowe informacje (nazwę lub identyfikator organu wydającego certyfikaty, identyfikator właściciela klucza, okres ważności certyfikatu, numer seryjny certyfikatu oraz rozszerzenia), których autentyczność jest zweryfikowana i potwierdzona w formie podpisu cyfrowego, przez Centrum Certyfikacji.

CCK MF Centrum Certyfikacji Ministerstwa Finansów

CRL (Certificate Revocation List)

Lista zastrzeżonych oraz unieważnionych certyfikatów – zawiera numery seryjne certyfikatów, czas unieważnienia bądź zastrzeżenia oraz powód.

Pole certyfikatu Miejsce do umieszczenia właściwej informacji, która ma być zawarta w certyfikacie (np. imię Subskrybenta).

Polityka Certyfikacji

Zbiór zasad, określający podstawowe wymagania i reguły funkcjonowania Centrum Certyfikacji.

Punkt Rejestracji

Podmiot odpowiedzialny za jedną lub więcej z następujących funkcji: identyfikacja i uwierzytelnianie wnioskodawców, zatwierdzenie lub odrzucenie wniosków o wydanie certyfikatu, inicjowanie zawieszenia certyfikatów (w pewnych okolicznościach), rozpatrywania wniosków o unieważnienie lub zawieszenie certyfikatów oraz zatwierdzenie lub odrzucenie wniosków o odnowienie lub ponowne aktywowanie certyfikatów.

Rozszerzenie certyfikatu

Dodatkowe informacje umieszczone w certyfikacie definiujące lub uszczegóławiające zakres jego stosowalności.

Strona ufająca Podmiot, który na podstawie danych zawartych w certyfikacie subskrybenta, decyduje o uznaniu lub odrzuceniu jego uwierzytelnienia.

http://puesc.gov.pl/pki/resource/Kodeks_postepowania_certyfikacyjnego_CCK_MF.pdf




Strona 6 z 36

Subskrybent Podmiot, który otrzymał od CCK MF spersonalizowany cyfrowy certyfikat klucza publicznego. Za pomocą klucza prywatnego dokonuje on uwierzytelnienia i składa podpisy cyfrowe, zgodnie z dopuszczalnymi zastosowaniami certyfikatu.

Ścieżka certyfikacji Nieprzerwany łańcuch zaufania do certyfikatów wydawanych przez zaufane urzędy certyfikacji, rozpoczynający się od certyfikatu subskrybenta, a kończący się na głównym urzędzie w hierarchii certyfikacji.

Urząd Certyfikacji lub Centrum Certyfikacji

Struktura organizacyjna wyposażona w odpowiednie narzędzia i procedury, pełniąca funkcję tzw. „zaufanej trzeciej strony” w procesie certyfikacji kluczy subskrybentów.

Użytkownik zewnętrzny Osoba posiadająca konto zarejestrowane na Platformie Usług Elektronicznych Skarbowo-Celnych oraz identyfikator nadany w procedurze rejestracji.

Użytkownik wewnętrzny

Osoba będąca pracownikiem jednostki podległej ministrowi właściwemu do spraw finansów.

Zasada „N z M”

Zasada wykorzystywana przy dostępie do zasobów chronionych. Zgodnie z założeniami zasady, dostęp do chronionych zasobów jest możliwy tylko w przypadku wykorzystania N z M kart administratora, nigdy zaś z wykorzystaniem tylko 1 karty.

Akronim Znaczenie

CCK Centrum Certyfikacji

CPD MF Centrum Przetwarzania Danych Ministerstwa Finansów

CRL Certificate Revocation List – lista zastrzeżonych oraz unieważnionych certyfikatów.

CSP Cryptographic Service Provider – Dostawca Usług Kryptograficznych

DN Distinguished Name – notacja względnych nazw wyróżniających obiektów (np. osób fizycznych, serwerów, czy usług sieciowych) połączonych przecinkami, zgodnie z normą X.500

FIPS Federal Information Processing Standard – Federalny Standard Przetwarzania Informacji

HSM Hardware Security Module – Sprzętowy Moduł Bezpieczeństwa

KPC Kodeks Postępowania Certyfikacyjnego

MF Ministerstwo Finansów Rzeczypospolitej Polskiej

PC Polityka Certyfikacji

PUESC Platforma Usług Elektronicznych Skarbowo-Celnych

PR Punkt Rejestracji

RFC Request for Comments – techniczne oraz organizacyjne dokumenty w formie rekomendacji publikowanych przez Internet Engineering Task Force

SISC System Informacyjny Skarbowo - Celny




Strona 7 z 36

1.4 Dokumenty referencyjne Dokumentem referencyjnym dla Kodeksu Postępowania Certyfikacyjnego Centrum Certyfikacji Ministerstwa Finansów jest Polityka Certyfikacji Centrum Certyfikacji Ministerstwa Finansów. CCK Użytkowników Zewnętrznych działa w trybie online.

1.5 Adresy i dane kontaktowe Właścicielem systemu jest Ministerstwo Finansów, Departament Bezpieczeństwa i Ochrony Informacji, 00-950 Warszawa, ul. Świętokrzyska 12. Utrzymaniem systemu i jego administrowaniem z ramienia właściciela zajmuje się Centrum Kompetencyjne Architektury PKI, zlokalizowane w Izbie Administracji Skarbowej w Białymstoku, ul. Octowa 2, 15-399 Białystok. W sprawach związanych z funkcjonowaniem CCK należy kontaktować się pocztą elektroniczną na adres [email protected] lub telefonicznie +48 85 745 87 70. W sprawach wsparcia lub unieważniania certyfikatów należy kontaktować się z centrum wsparcia, którego adres jest publikowany na Platformie Usług Elektronicznych Służby Celnej (http://puesc.gov.pl)

1.6 Publikacja certyfikatów CCK oraz list CRL CCK MF udostępnia certyfikaty wystawców w następujących lokalizacjach sieciowych:

http://puesc.gov.pl/pki/resource/CCK_MF_Root.crt

http://puesc.gov.pl/pki/resource/CCK_MF_Zewnetrzne.crt

http://puesc.gov.pl/pki/resource/CCK_MF_Wewnetrzne.crt

http://puesc.gov.pl/pki/resource/CCK_MF_Infrastruktura_i_Aplikacje.crt

Listy CRL są publikowane następujących lokalizacjach sieciowych:

https://puesc.gov.pl/pki/crl/mfroot.crl

https://puesc.gov.pl/pki/crl/mfzew.crl

https://puesc.gov.pl/pki/crl/mfwew.crl

https://puesc.gov.pl/pki/crl/mfinfapl.crl

2 Postanowienia ogólne Każda ze stron procesu certyfikacji posiada odrębne kompetencje i zobowiązania, których powinna przestrzegać. W dalszej części scharakteryzowano odpowiedzialność poszczególnych podmiotów za poprawność procesu certyfikacji oraz cykl życia certyfikatu. Przedstawiono także jak uczestnicy procesu certyfikacji powinni wykonywać swoje funkcje i realizować przypisane im zadania.

2.1 Obowiązki stron

2.1.1 Obowiązki CCK

CCK jest zobligowane do:

Właściwego zabezpieczania swych kluczy prywatnych przed uszkodzeniem lub ujawnieniem

Zapewnienia kontroli dostępu do sprzętu i oprogramowania używanego w CCK

Terminowej realizacji żądań zawieszenia / unieważnienia certyfikatów

Publikowania i utrzymywania aktualnych list CRL

Prowadzenia repozytorium danych

http://puesc.gov.pl/

http://puesc.gov.pl/pki/resource/CCK_MF_Root.crt

http://puesc.gov.pl/pki/resource/CCK_MF_Zewnetrzne.crt

http://puesc.gov.pl/pki/resource/CCK_MF_Wewnetrzne.crt

http://puesc.gov.pl/pki/resource/CCK_MF_Infrastruktura_i_Aplikacje.crt

https://puesc.gov.pl/pki/crl/mfroot.crl

https://puesc.gov.pl/pki/crl/mfzew.crl

https://puesc.gov.pl/pki/crl/mfwew.crl

https://puesc.gov.pl/pki/crl/mfinfapl.crl




Strona 8 z 36

2.1.2 Obowiązki Subskrybenta

Subskrybent jest zobowiązany do:

Należytej ochrony własnego klucza prywatnego przed dostępem osób niepowołanych.

Niezwłocznego zawieszenia posiadanego certyfikatu w przypadku podejrzenia, że dostęp do jego

klucza prywatnego mogła uzyskać nieuprawniona osoba.

Niezwłocznego unieważnienia posiadanego certyfikatu w przypadku ujawnienia lub utraty klucza

prywatnego, uzyskania dostępu do klucza prywatnego przez inną osobę, wystąpienia okoliczności,

w których istnieje ryzyko nieuprawnionego posłużenia się kluczem Subskrybenta.

Kontrolowania okresu ważności posiadanego certyfikatu.

2.1.3 Obowiązki Strony ufającej

Strona ufająca jest zobowiązana do:

Niezawodnej weryfikacji poprawności podpisów cyfrowych wykonanych z użyciem certyfikatu

wydanego przez CCK MF. Weryfikacja obejmuje sprawdzenie ważności certyfikatu użytego do

podpisu oraz sprawdzenie, czy dany dokument/kod nie został zmodyfikowany po podpisaniu.

Weryfikacji certyfikatów używanych do ochrony danych transmitowanych do właściciela certyfikatu.

Posługiwania się ostatnio opublikowanymi i aktualnymi listami CRL w celu weryfikowania wszystkich

certyfikatów od samego początku ścieżki zaufania.

2.2 Powiadomienia CCK MF powiadamia Subskrybentów o zmianach swojego klucza cyfrowego i ścieżki zaufania oraz wynikającej z tego faktu konieczności dokonania stosownych aktualizacji ich certyfikatów.

3 Identyfikacja i uwierzytelnianie

3.1 Nazwy w certyfikatach Certyfikaty wydawane przez CCK MF zawierają co najmniej następujące elementy identyfikujące Subskrybenta:

Nazwa wystawcy Pola identyfikujące Subskrybenta

CCK MF Zewnetrzne UID = ID SISC CN = imię nazwisko GN = imię SN = nazwisko E = adres e-mail

CCK MF Wewnetrzne UID = identyfikator systemu kadrowego CN = imię nazwisko GN = imię SN = nazwisko E = adres e-mail OU = jednostka organizacyjna

CCK MF Infrastruktura i Aplikacje CN = nazwa (np. dla serwera jego adres DNS) E = adres e-mail




Strona 9 z 36

3.2 Walidacja tożsamości

3.2.1 CCK MF Zewnetrzne

CCK MF Zewnetrzne prowadzi walidację tożsamości Subskrybenta na podstawie danych uzyskanych z bazy podmiotów zarejestrowanych w SISC. CCK MF Zewnetrzne odmawia wydania certyfikatu osobom niezarejestrowanym – nieposiadającym nadanego unikalnego identyfikatora (IdSISC). W celu złożenia wniosku o wydanie certyfikatu użytkownik musi posiadać aktywne konto na PUESC. Szczegółowy sposób postępowania określa procedura wydania certyfikatu.

3.2.2 CCK MF Wewnetrzne

CCK MF Wewnetrzne prowadzi walidację tożsamości Subskrybenta realizowaną przez Operatorów w PR. Szczegółowy sposób postępowania określa procedura wydania certyfikatu.

3.2.3 CCK MF Infrastruktura i Aplikacje

CCK MF Infrastruktura i Aplikacje prowadzi walidację poprzez potwierdzenie danych zawartych we wniosku złożonym w CCK. Szczegółowy sposób postępowania określa procedura wydania certyfikatu.

4 Wymagania funkcjonalne

4.1 Wnioski o wydanie certyfikatu Szczegółowe zasady wnioskowania opisane zostały w odnośnych procedurach. Wniosek o wydanie certyfikatu składa się za pośrednictwem Platformy Usług Elektronicznych Służby Celnej (PUESC). Do złożenia wniosku wymagane jest posiadanie aktywnego konta na PUESC oraz identyfikatora nadanego w procedurze rejestracji. Warunkiem przyjęcia wniosku jest zapoznanie się i zatwierdzenie postanowień Regulaminu dostępnego na PUESC.

4.2 Wystawienie certyfikatu Jeśli wniosek spełnia wymogi formalne Subskrybentowi zostaje wydany certyfikat zgodnie z zasadami Polityki Certyfikacji CCK MF. Certyfikaty wystawiane są na okres nie dłuższy niż 5 lat.

4.2.1 Termin wydania certyfikatu od momentu złożenia wniosku

Jeśli wniosek spełnia wszystkie wymagania niezbędne do wydania certyfikatu, certyfikacja wykonywana jest niezwłocznie po wpłynięciu wniosku do CCK.

4.2.2 Oświadczenie o wydaniu certyfikatu

CCK MF Zewnetrzne oraz CCK MF Wewnetrzne udostępnia Subskrybentowi potwierdzenie wydania certyfikatu w postaci dokumentu elektronicznego (standard .pdf). Subskrybent zobowiązany jest pobrać potwierdzenie i przechowywać go (w oryginale lub jako wydruk). Dokument zawiera poufny kod identyfikacyjny, niezbędny w procesie zawieszania lub unieważniania certyfikatu. Ze względu na zawartość dokument należy przechowywać w sposób zapewniający jego poufność. CCK MF Infrastruktura i Aplikacje nie wystawia odrębnego potwierdzenia wydania certyfikatu.

4.3 Akceptacja certyfikatu Wymaga się, aby Subskrybent, na rzecz którego wystawiono certyfikat, zweryfikował prawidłowość danych zawartych w certyfikacie, bezpośrednio po jego otrzymaniu. W przypadku stwierdzenia nieprawidłowości, Subskrybent powinien niezwłocznie poinformować o tym wydawcę certyfikatu bezpośrednio lub za pośrednictwem centralnego systemu wsparcia (help-desku), unieważnić wydany certyfikat i wystąpić z wnioskiem o wydanie nowego, dokonując uprzednio korekty wadliwych danych.




Strona 10 z 36

Brak informacji ze strony Subskrybenta o nieprawidłowościach będzie traktowany jako akceptacja certyfikatu.

4.4 Zawieszanie i unieważnianie certyfikatów

4.4.1 Okoliczności uzasadniające unieważnienie

Certyfikat podlega unieważnieniu w przypadku:

Utraty nośnika z kluczem prywatnym,

Ujawnienia klucza prywatnego,

Stwierdzenie incydentu bezpieczeństwa mogącego skutkować ujawnieniem klucza prywatnego,

Zmiany danych Subskrybenta,

Złożenia przez Subskrybenta dyspozycji unieważnienia z przyczyn innych niż wymienione powyżej,

Rażącego złamania przez Subskrybenta zasad, określonych w Polityce Certyfikacji lub KPC.

4.4.2 Okoliczności uzasadniające zawieszenie

Certyfikat podlega zawieszeniu w przypadku czasowej utraty przez Subskrybenta kontroli nad kluczem prywatnym, gdy nie występują przesłanki do stwierdzenia, że naruszona została poufność klucza prywatnego, lub że został on użyty przez nieuprawnioną osobę. Zawieszenie jest operacją odwracalną, tzn. po wyjaśnieniu sytuacji i uzyskaniu pewności o bezpieczeństwie klucza, ważność certyfikatu może być na wniosek Subskrybenta przywrócona.

4.4.3 Osoby uprawnione do składania wniosku o zawieszenie lub unieważnienie certyfikatu

O unieważnienie lub zawieszenie certyfikatu mogą wnioskować:

Subskrybent,

Inspektor ds. bezpieczeństwa lub ochrony danych osobowych,

Administrator CCK

Inne osoby wymienione w odnośnych procedurach.

Wniosek powinien zawierać powód unieważnienia/zawieszenia.

4.4.4 Procedura zawieszenia lub unieważnienia certyfikatu

Procedura zawieszenia bądź unieważnienia certyfikatu obejmuje:

Zgłoszenie wniosku o zawieszenie / unieważnienie,

Walidację zgłoszonego wniosku,

Realizację bądź odrzucenie wniosku.

Szczegółowe zasady i przebieg procesu zawieszania / unieważniania certyfikatu określają odnośne

procedury.

4.4.5 Odwołanie zawieszenia certyfikatu

Procedura odwołania zawieszenia certyfikatu przebiega analogicznie jak zawieszenie certyfikatu. Po weryfikacji danych i autoryzacji Subskrybenta uprawniony operator przywraca ważność certyfikatu.

4.4.6 Termin rozpatrywania wniosku o zawieszenie / unieważnienie certyfikatu

Czynności mające na celu zawieszenie lub unieważnienie certyfikatu będą podejmowane niezwłocznie, nie później niż w ciągu 1 doby od zgłoszenia wniosku przez uprawnioną osobę. W przypadku trudności z walidacją wniosku CCK MF może wstrzymać się z jego realizacją bądź zmienić kwalifikację wniosku o unieważnienie na wniosek o zawieszenie, do czasu usunięcia wątpliwości.




Strona 11 z 36

4.4.7 Informacje o zawieszeniu / unieważnieniu certyfikatu lub odwołaniu jego zawieszenia

Informacja o zawieszeniu / unieważnieniu certyfikatu lub odwołaniu jego zawieszenia jest publikowana na liście CRL w ciągu 1 doby od wykonania operacji.

4.4.8 Częstotliwość publikowania list CRL

Listy CRL publikowane są przynajmniej 1 raz na dobę.

4.4.9 Korzystanie z list CRL

Przed akceptacją jakiegokolwiek certyfikatu Strona ufająca zobowiązana jest pobrać najnowszą listę CRL i sprawdzić statusy wszystkich certyfikatów ze ścieżki zaufania. Strona ufająca powinna także weryfikować autentyczność i integralność list CRL. Punkty dystrybucji list CRL wskazane są w certyfikacie i KPC.

4.5 Procedury prowadzenia logów bezpieczeństwa

4.5.1 Typy zdarzeń zapisywanych w logach

W logach bezpieczeństwa zapisuje się zdarzenia logiczne odnoszące się do bezpieczeństwa, w tym próbę uzyskania dostępu, operację zmiany, wygenerowania / zmodyfikowania klucza lub certyfikatu i inne zdarzenia mające istotne znaczenie dla weryfikacji prawidłowego przebiegu procesów w CCK. Zdarzenia są rejestrowane na poziomie aplikacji. Następujące informacje są zapisywane jako rekord logu bezpieczeństwa dla każdego z powyższych typów zdarzeń:

Typ zdarzenia,

Data i czas zdarzenia,

Wynik (powodzenie lub niepowodzenie) operacji będącej treścią zdarzenia,

Odcisk certyfikatu podmiotu zdarzenia i/lub operatora CCK.

4.5.2 Okres przechowywania logów

Logi bezpieczeństwa przechowuje się przez okres 2 lat. W tym czasie nie mogą być one usunięte z systemu.

4.5.3 Powiadamianie podmiotów zdarzeń

Nie określa się wymagań dotyczących powiadamiania podmiotów (osób, organizacji, urządzeń, aplikacji), które spowodowały zarejestrowanie zdarzenia.

4.6 Archiwum

4.6.1 Typy archiwizowanych zdarzeń

CCK MF prowadzi archiwum w szczególności dla możliwości ustalenia ważności wystawionego certyfikatu (łącznie z certyfikatami unieważnionymi i wygasłymi). W archiwum zapisuje się następujące dane:

Każdą zatwierdzoną wersję Polityki Certyfikacji,

Każdą zatwierdzoną wersję Kodeksu Postępowania Certyfikacyjnego,

Wydane i/lub opublikowane certyfikaty,

Wydane i/lub opublikowane listy CRL,

Logi audytowe.

4.6.2 Kopia zapasowa archiwum

Zbiory archiwalne podlegają procedurom tworzenia kopii zapasowych zgodnie z ustaloną polityką dla systemu certyfikującego.




Strona 12 z 36

4.6.3 Okres przechowywania zbiorów w archiwum

Zbiory archiwalne przechowuje się do zakończenia działalności CCK MF.

4.7 Odnawianie kluczy Odnowienie kluczy wiąże się każdorazowo z wydaniem nowego certyfikatu, identyfikowanego danymi wystawcy, numerem seryjnym i okresem ważności. Odnowienie certyfikatu dla starej pary kluczy dopuszcza się jedynie wtedy, gdy siła kryptograficzna kluczy jest nadal właściwa dla nowego certyfikatu oraz nie ma podejrzeń o ujawnienie lub możliwość złamania klucza prywatnego. CCK MF Zewnetrzne nie realizuje odnowienia certyfikatu dla starej pary kluczy.

4.8 Naruszenia bezpieczeństwa i odtwarzanie po awariach Sposób postępowania w przypadku stwierdzenia incydentów bezpieczeństwa jest określony w obowiązujących procedurach bezpieczeństwa i ochrony danych. Służby bezpieczeństwa teleinformatycznego wraz z administratorem CCK podejmują w takiej sytuacji kroku w celu wyjaśnienia przyczyn i skutków incydentu. Jeśli w wyniku badania stwierdzone zostanie naruszenie poufności klucza prywatnego CCK lub Subskrybenta, podjęte zostaną niezwłocznie działania zmierzające do ograniczenia skutków naruszenia oraz unieważnienia certyfikatu dla skompromitowanej pary kluczy i ponownej certyfikacji nowej pary kluczy, wytworzonej w bezpiecznym środowisku. Informacja o tym zostanie niezwłocznie przekazana zainteresowanym stronom. Przywracanie działania po awarii następuje poprzez odtworzenie danych z kopii zapasowych. Proces odtwarzania odbywał się będzie zgodnie z procedurami CPD MF. Procedura odzyskania systemu z kopii zapasowych realizowana będzie przez personel CPD MF - administratora systemu kopii zapasowych. Odtworzenie materiału kryptograficznego składowanego na kopiach zapasowych przeprowadzane jest w bezpiecznym środowisku HSM przez administratora CCK.

4.9 Zakończenie działalności Urzędu Certyfikacji Przed zakończeniem działalności CCK MF opublikuje z wyprzedzeniem informację o planie zakończenia działalności. W momencie podjęcia decyzji o zakończeniu działania CCK zaprzestanie wydawania certyfikatów lub ograniczy okres ważności wydawanych certyfikatów tak, by nie wykraczał poza planowany okres działalności CCK. W momencie zakończenia działalności CCK przestaje świadczyć wszelkie usługi certyfikacyjne oraz unieważnia certyfikaty, których okres ważności nie upłynął, a także publikuje listę CRL. Po całkowitym wyłączeniu wszelkie informacje umożliwiające odtworzenie systemu bezpieczeństwa powinny zostać bezpiecznie skasowane. W szczególności należy bezpiecznie skasować karty administracyjne do modułu HSM.

5 Bezpieczeństwo fizyczne i bezpieczeństwo personelu

5.1 Zabezpieczenia fizyczne Zabezpieczenia fizyczne, w szczególności obejmujące zagadnienia związane z:

kontrolą dostępu (w tym w strefach wysokiego bezpieczeństwa),

zasilaniem,

zabezpieczeniem przeciwogniowym,

ochroną przed zalaniem,

gospodarką odpadami,




Strona 13 z 36

określają regulacje zawarte w Polityce Bezpieczeństwa CPD MF.

5.2 Personel

5.2.1 Wymagania na wykształcenie, kwalifikacje, doświadczenie i uprawnienia personelu

Wymaga się, aby każdy merytoryczny pracownik CCK MF:

Posiadał wiedzę i praktyczne wyszkolenie w zakresie obsługi i administrowania systemu

certyfikującego,

Posiadał wiedzę w zakresie bezpieczeństwa teleinformatycznego,

Nie był prawomocnie karany za przestępstwa umyślne,

Posiadał wykształcenie kierunkowe lub ekwiwalentną praktykę branżową,

Posiadał wiedzę w zakresie obowiązujących zasad, polityk, procedur itp. niezbędnych do

wykonywania działań w ramach CCK.

5.2.2 Procedury kontroli personelu

Wszystkie czynności kontrolne personelu odbywają się zgodnie z procedurami Resortu Finansów.

5.2.3 Sankcje za nieupoważnione działania

W przypadku stwierdzenia albo uzasadnionego podejrzenia nieupoważnionego działania pracownika obsługującego, jego dostęp do systemu ulega niezwłocznemu zawieszeniu, do czasu wyjaśnienia sytuacji. Sposób prowadzenia postępowania wyjaśniającego określają obowiązujące w jednostkach Resortu Finansów regulacje. Sankcje za naruszenie obowiązków służbowych regulują przepisy powszechnie obowiązującego prawa oraz wydane na ich podstawie regulacje wewnętrzne.

5.2.4 Dokumenty udostępniane personelowi

Personelowi udostępniane są następujące dokumenty:

Polityka Certyfikacji CCK MF,

Kodeks Postępowania Certyfikacyjnego CCK MF,

Obowiązujące procedury i instrukcje,

Dokumentacja techniczna związana z wykonywanymi czynnościami.

5.2.5 Personel CCK MF

Utrzymanie warstwy technicznej systemu leży w gestii CPD MF. Administrowaniem systemem w warstwie aplikacyjnej zajmuje się Centrum Kompetencyjne Architektury PKI, na podstawie upoważnienia właściciela systemu.

6 Zabezpieczenia techniczne

6.1 Generowanie i instalowanie par kluczy

6.1.1 Zasady ogólne generowania kluczy

Do generowania i ochrony kluczy CCK używa się kryptograficznego modułu sprzętowego HSM,

spełniającego wymagania standardu FIPS 140-2 na poziomie co najmniej 2.

Rodzaj CCK Długość klucza RSA Algorytm funkcji skrótu

Główny urząd certyfikacji 4096 bitów sha512

Pośrednie urzędy certyfikacji 2048 bitów sha256




Strona 14 z 36

Klucze CCK są generowane zgodnie z normami ISO 9564-1 i ISO 11568-5 przy użyciu liczb pseudolosowych.

Proces generacji klucza należy przeprowadzać w obecności co najmniej 2 upoważnionych osób.

Wprowadza się zasadę „N z M” (tutaj: 2 z 6), w myśl której przy tworzeniu kluczy muszą być użyte co

najmniej 2 z 6 kart administratorów.

Klucze Subskrybentów CCK MF Zwnetrzne oraz CCK MF Wewnetrzne, których zastosowaniem jest podpis

elektroniczny, powinny mieć długość 2048 bitów. Wykorzystuje się funkcję skrótu sha256.

Klucze Subskrybentów CCK MF Infrastruktura i Aplikacje mogą mieć długość 1024 bity lub 2048 bitów.

Generowanie par kluczy odbywa się po stronie Subskrybenta.

6.1.2 Przeznaczenie klucza

Sposób użycia klucza określony jest w polu KeyUsage rozszerzeń standardowych certyfikatu. Użycie poszczególnych bitów w polu KeyUsage powinno być zgodne z zasadami przedstawionymi w RFC 5280.

6.2 Postępowanie z kluczami prywatnymi i ich ochrona Wszystkie operacje generowania, podpisywania i magazynowania kluczy prywatnych CCK muszą być przeprowadzane za pomocą modułu HSM. Klucze Subskrybentów są generowane po stronie Subskrybenta. Zaleca się stosowanie nośników kryptograficznych (kart, tokenów) zgodnych z FIPS 140-2 lub EAL4 (lub wyższe). Klucze prywatne muszą być chronione przed ujawnieniem lub użyciem przez osoby nieupoważnione.

6.2.1 Kopie zapasowe kluczy prywatnych

Tworzone są kopie bezpiecznego środowiska HSM zawierające zaszyfrowane klucze prywatne CCK. Kopie te mogą zostać wykorzystane w przypadku konieczności odzyskania kluczy. Odtworzenie zaszyfrowanego klucza możliwe jest wyłącznie w bezpiecznym środowisku HSM i wymaga autoryzacji przy użyciu kart administracyjnych HSM. Wszystkie kopie zapasowe systemu CCK są przechowywane zgodnie z wyspecyfikowaną polityką.

Bezpieczeństwo kopii realizowane jest zgodnie z wytycznymi Polityki Bezpieczeństwa CPD MF.

CCK MF nie posiada kopii kluczy prywatnych Subskrybentów. CCK MF może przechowywać jedynie dane

umożliwiające odtworzenie klucza prywatnego Subskrybenta, służącego do szyfrowania.

6.2.2 Niszczenie kluczy prywatnych

W przypadku unieważnienia certyfikatu, klucz prywatny powinien być zniszczony w sposób uniemożliwiający jego odtworzenie.

6.3 Zabezpieczenie sieciowe Serwery CCK MF są zlokalizowane w wydzielonej strefie, odseparowanej przez dedykowane przełączniki sieciowe i urządzenia klasy firewall. Dostęp administracyjny jest regulowany na poziomie urządzeń (określone przepływy sieciowe) i kont użytkowników. CCK MF nie posiada bezpośredniego styku z siecią publiczną.

7 Zabezpieczenia organizacyjne

7.1 Zarządzanie bezpieczeństwem Zasady dostępu do infrastruktury technicznej CCK są określane przez polityki obowiązujące w CPD MF. Przydzielanie uprawnień personelowi CCK odbywa się zgodnie z Instrukcją Zarządzania Systemem Informatycznym PKI. Poszczególne role w zakresie administrowania, utrzymania i kontroli działalności są rozdzielone.

14




Strona 15 z 36

7.2 Tryb działania CCK MF System informatyczny CCK MF jest zarządzany przez rozdzielone zespoły administratorów infrastruktury technicznej oraz aplikacji. Nadzór nad funkcjonowaniem systemu realizowany jest w trybie całodobowym (24/7/365) w celu zapewnienia wysokiej dostępności usług. Wsparcie dla użytkowników realizowane jest całodobowo za pośrednictwem centralnego help-desku SISC.

7.3 Zabezpieczenia proceduralne CCK MF posiada dedykowany zbiór procedur związanych z funkcjami certyfikacyjnymi (certyfikacją, unieważnianiem/zawieszaniem) oraz nadawaniem uprawnień do systemu na poziomie aplikacyjnym. W zakresie administrowania systemem informatycznym stosowane są obowiązujące w Resorcie Finansów procedury i regulacje. Do operacji dotyczących kluczy prywatnych CCK stosuje się dodatkowo zasadę realizacji z udziałem co najmniej 2 osób i autoryzacją kartami kryptograficznymi, zgodnie z 6.1.1.

8 Struktura certyfikatów i list CRL W niniejszej sekcji opisano strukturę certyfikatów wydawanych przez CCK MF. Każde z CCK wchodzących w skład CCK MF posiada zestaw skonfigurowanych profili certyfikacyjnych, w ramach których certyfikowane są klucze Subskrybentów. Profile certyfikatów tworzone są w oparciu o zastosowanie certyfikatu. Puste miejsca w tabelach oznaczają atrybuty specyficzne dla danej kopii certyfikatu. Każde CCK publikuje odrębną listę CRL. Adresy publikacji wskazane są w sekcji 1.6.

8.1 Centrum Certyfikacji Ministerstwa Finansow Główny urząd certyfikacyjny dysponuje dwoma profilami certyfikacyjnymi do certyfikacji kluczy CCK. W ramach tych profili wydał certyfikaty CCK wchodzącym w skład CCK MF.




Strona 16 z 36

8.1.1 Certyfikat Centrum Certyfikacji Ministerstwa Finansow

Atrybut Wartość Opis

Version v3 Certyfikat wersja x.509 v3

Serial number 15 Unikatowy numer seryjny certyfikatu

Signature algorithm

sha512RSA Identyfikacja algorytmu skrótu i podpisu

Issuer

CN = Centrum Certyfikacji Ministerstwa Finansow OU = Krajowa Administracja Skarbowa O = Ministerstwo Finansow C = PL

Wystawca certyfikatu

Valid from 2017-05-10 Początek okresu ważności certyfikatu

Valid to 2040-05-04 Koniec okresu ważności certyfikatu

Subject


Dane subskrybenta

Public key RSA(4096) bitowa wartość publicznego klucza RSA

Authority Key Identifier

KeyID = cd b5 7d 5a 84 0c 4a 87 bb 77 38 7d da e3 7a 3a 2a f1 7b 90

Identyfikator klucza Centrum Certyfikacji

Subject Key Identifier

cd b5 7d 5a 84 0c 4a 87 bb 77 38 7d da e3 7a 3a 2a f1 7b 90

Identyfikator klucza podmiotu

Basic Constraints

Subject Type=CA Path Length Constraint=1

Określenie maksymalnej liczby poziomów CCK poniżej CCK Root – atrybut krytyczny

KeyUsage Certificate Signing, Offline CRL Signing, CLR Signing

Przeznaczenie kluczy – atrybut krytyczny

Certificate Policies

URL=https://puesc.gov.pl/pki/resource/Polityka_certyfikacji_CCK_MF.pdf

Dostęp do polityki certyfikacji




Strona 17 z 36

8.1.2 Certyfikat CCK MF Zewnetrzne




Signature algorithm


Issuer





Subject

CN = CCK MF Zewnetrzne OU = Krajowa Administracja Skarbowa O = Ministerstwo Finansow C = PL

Dane subskrybenta






a1 9c e7 05 2e f4 49 a9 78 0f 4e ad 7a f0 6f 1d ed 6a b4 19


CRL Distribution Points

URL=https://puesc.gov.pl/pki/crl/mfroot.crl Dane punktu dystrybucyjnego list CRL

Basic Constraints











Strona 18 z 36

8.1.3 Certyfikat CCK MF Wewnetrzne




Signature algorithm


Issuer





Subject

CN = CCK MF Wewnetrzne OU = Krajowa Administracja Skarbowa O = Ministerstwo Finansow C = PL

Dane subskrybenta






cc 3b 1d ca 9b 77 a1 c9 e2 4b 49 d3 79 25 d2 78 5d 82 a7 48




Basic Constraints











Strona 19 z 36

8.1.4 Certyfikat CCK MF Infrastruktura i Aplikacje




Signature algorithm


Issuer





Subject

CN = CCK MF Infrastruktura i Aplikacje OU = Krajowa Administracja Skarbowa O = Ministerstwo Finansow C = PL

Dane subskrybenta






8b 4b f7 bb 75 df 96 f6 f0 a2 e7 c9 b7 96 a7 94 ea db 0c 29




Basic Constraints











Strona 20 z 36

8.1.5 Lista CRL Centrum Certyfikacji Ministerstwa Finansow


Version V2

Issuer


Wystawca listy

Effective date Data opublikowania listy

Next update Data publikacji następnej listy CRL

Signature algorithm sha512RSA Identyfikacja algorytmu skrótu i podpisu

CRL number Numer kolejny listy


cd b5 7d 5a 84 0c 4a 87 bb 77 38 7d da e3 7a 3a 2a f1 7b 90

Identyfikator klucza CCK

Lista unieważnień


userCertificate Numer seryjny certyfikatu

revocationDate Data unieważnienia

Niekrytyczne rozszerzenia CRL Authority Key Identifier - Identyfikator klucza Urzędu Certyfikacji wystawiającego listę CRL Number – numer seryjny CRL

*Pola niewypełnione oznaczają parametry specyficzne dla danej listy




Strona 21 z 36

8.2 CCK MF Zewnetrzne CCK MF Zewnetrzne emituje certyfikaty w ramach jednego profilu. Zastosowaniem certyfikatów CCK MF Zewnetrzne jest podpis elektroniczny.

8.2.1 Profil „podpisywanie”


Version v3 Certyfikat wersja X.509 v3

Serial number Unikatowy numer seryjny certyfikatu

Signature algorithm


Issuer



Valid from Początek okresu ważności certyfikatu

Valid to Koniec okresu ważności certyfikatu

Subject

Dane subskrybenta. UID – identyfikator SISC CN – imię + nazwisko GN – imię SN – nazwisko O = PUESC E – adres email

Public key bitowa wartość publicznego klucza RSA


KeyID = a1 9c e7 05 2e f4 49 a9 78 0f 4e ad 7a f0 6f 1d ed 6a b4 19





URL = https://puesc.gov.pl/pki/crl/mfzew.crl Dane punktu dystrybucyjnego list CRL

Basic Constraints Subject Type=CA:false Certyfikat użytkownika (nie CA) - atrybut krytyczny

KeyUsage digitalSignature Przeznaczenie kluczy – atrybut krytyczny

ExtendedKeyUsage emailProtection Rozszerzone przeznaczenie kluczy – atrybut krytyczny

Certificate Policies URL=https://puesc.gov.pl/pki/resource/Polityka_certyfikacji_CCK_MF.pdf


*Pola niewypełnione oznaczają parametry specyficzne dla danego certyfikatu




Strona 22 z 36

8.2.2 Lista CRL CCK MF Zewnetrzne


Version V2

Issuer


Wystawca listy






a1 9c e7 05 2e f4 49 a9 78 0f 4e ad 7a f0 6f 1d ed 6a b4 19


Lista unieważnień




reasonCode Powód unieważnienia






Strona 23 z 36

8.3 CCK MF Wewnetrzne CCK MF Wewnetrzne emituje certyfikaty w ramach odrębnych profili, których zastosowaniem jest podpisywanie, szyfrowanie oraz uwierzytelnianie konta użytkownika, przy czym certyfikat służący do szyfrowania danych jest wydawany jednocześnie z certyfikatem do podpisu elektronicznego. Możliwe jest również wydanie wyłącznie certyfikatu do podpisu elektronicznego lub certyfikatu do uwierzytelniania konta użytkownika.






Issuer





Subject

Dane subskrybenta. UID – identyfikator kadrowy CN – imię + nazwisko GN – imię SN – nazwisko O – organizacja OU – kod jednostki organizacyjnej E – adres email C – PL



KeyID = cc 3b 1d ca 9b 77 a1 c9 e2 4b 49 d3 79 25 d2 78 5d 82 a7 48





URL = https://puesc.gov.pl/pki/crl/mfwew.crl Dane punktu dystrybucyjnego list CRL










Strona 24 z 36

8.3.2 Profil „szyfrowanie”





Issuer





Subject











KeyUsage keyEncipherment, dataEncipherment Przeznaczenie kluczy – atrybut krytyczny








Strona 25 z 36

8.3.3 Profil „uwierzytelnianie”





Issuer





Subject











KeyUsage digitalSignature, keyEncipherment Przeznaczenie kluczy – atrybut krytyczny

ExtendedKeyUsage SmartCardLogon, ClientAuthentication Rozszerzone przeznaczenie kluczy – atrybut krytyczny







Strona 26 z 36

8.3.4 Lista CRL CCK MF Wewnetrzne


Version V2

Issuer


Wystawca listy






cc 3b 1d ca 9b 77 a1 c9 e2 4b 49 d3 79 25 d2 78 5d 82 a7 48


Lista unieważnień










Strona 27 z 36

8.4 CCK MF Infrastruktura i Aplikacje CCK MF Infrastruktura i Aplikacje emituje certyfikaty w ramach odrębnych profili, których zastosowaniem jest podpisywanie, szyfrowanie, podpisywanie kodu aplikacji, szyfrowanie SSL/TLS, VPN, certyfikaty kontrolerów domeny, podpisywanie protokołu OSCP, znakowanie czasem (TSA). Certyfikaty CCK MF Infrastruktura i Aplikacje stosowane są w usługach systemowych, na potrzeby zabezpieczenia infrastruktury i komunikacji między systemami i aplikacjami, itp.






Issuer





Subject

Dane subskrybenta. CN – nazwa (np. dla serwera jego adres DNS) E – adres email (np. administratora)



KeyID = 8b 4b f7 bb 75 df 96 f6 f0 a2 e7 c9 b7 96 a7 94 ea db 0c 29





URL = https://puesc.gov.pl/pki/crl/mfinfapl.crl

Dane punktu dystrybucyjnego list CRL










Strona 28 z 36

8.4.2 Profil „podpisywanie/szyfrowanie”





Issuer





Subject












KeyUsage digitalSignature, keyEncipherment, dataEncipherment









Strona 29 z 36

8.4.3 Profil „podpisywanie kodu”





Issuer





Subject












KeyUsage Przeznaczenie kluczy – atrybut krytyczny

ExtendedKeyUsage codeSigning, nsSCG Rozszerzone przeznaczenie kluczy – atrybut krytyczny







Strona 30 z 36

8.4.4 Profil „VPN”





Issuer





Subject












KeyUsage digitalSignature, keyEncipherment, dataEncipherment


ExtendedKeyUsage clientAuth Rozszerzone przeznaczenie kluczy – atrybut krytyczny







Strona 31 z 36

8.4.5 Profil „TSA”





Issuer





Subject













ExtendedKeyUsage timeStamping Rozszerzone przeznaczenie kluczy – atrybut krytyczny







Strona 32 z 36

8.4.6 Profil „SSL Server”





Issuer





Subject













ExtendedKeyUsage serverAuth, clientAuth Rozszerzone przeznaczenie kluczy – atrybut krytyczny







Strona 33 z 36

8.4.7 Profil „OCSP”





Issuer





Subject













ExtendedKeyUsage OCSPSigning Rozszerzone przeznaczenie kluczy – atrybut krytyczny







Strona 34 z 36

8.4.8 Profil „Domain Controller”





Issuer





Subject













ExtendedKeyUsage serverAuth, clientAuth Rozszerzone przeznaczenie kluczy – atrybut krytyczny







Strona 35 z 36

8.4.9 Lista CRL CCK MF Infrastruktura i Aplikacje


Version V2

Issuer


Wystawca listy






8b 4b f7 bb 75 df 96 f6 f0 a2 e7 c9 b7 96 a7 94 ea db 0c 29


Lista unieważnień










Strona 36 z 36

9 Administrowanie specyfikacjami Kodeksu

9.1 Zmiany w Kodeksie Niniejszy dokument jest własnością Ministerstwa Finansów. Zmiany postanowień Kodeksu mogą być wynikiem zauważonych błędów, uaktualnień, jak również wynikać ze zmienionych uwarunkowań technicznych i organizacyjnych. Ewentualne zmiany w Kodeksie muszą być skorelowane z Polityką Certyfikacji CCK MF. Kodeks Postępowania Certyfikacyjnego CCK MF jest zatwierdzany przez Dyrektora Departamentu w Ministerstwie Finansów pełniącego rolę właściciela systemu.

9.2 Zasady publikowania i powiadamiania Zmianom mogą podlegać dowolne elementy Kodeksu Postępowania Certyfikacyjnego CCK MF. Nowe wersje Kodeksu będą publikowane w Repozytorium oraz na Platformie Usług Elektronicznych Skarbowo-Celnych.

Documents

K POSTĘPOWANIA CERTYFIKACYJNEGO ENTRUM · Nazwa jednostki organizacyjnej Ministerstwo Finansów, Departament Bezpieczeństwa i Ochrony Informacji Dokument Kodeks Postępowania Certyfikacyjnego