Euroopan komissio VARMENNEKÄYTÄNTÖLAUSUMA

Transkriptio

1 EUROOPAN KOMISSIO HENKILÖSTÖN JA HALLINNON PÄÄOSASTO Linja SPS Turvallisuus Tietoturva Euroopan komissio VARMENNEKÄYTÄNTÖLAUSUMA (Versio 1.0, ) Bâtiment Jean Monnet, Rue Alcide de Gasperi, L-2920 Luxembourg. Puhelin: (352) Rue de la Loi 200, B-1049 Bruxelles / Wetstraat 200, B-1049 Brussel - Belgium. Puhelin: (32-2)

2 Sisällysluettelo (Versio 1.0, ) JOHDANTO Yleistä Tunnistetiedot Yhteisö ja sovellettavuus Varmentaja Rekisteröijät Tietohakemistot Tilaajat Luottavat osapuolet Sovellettavuus Yhteystiedot YLEISET MÄÄRÄYKSET Velvoitteet Varmentajan velvoitteet Rekisteröijän ja paikallisen rekisteröijän velvoitteet Tilaajan velvoitteet Luottavan osapuolen velvoitteet Tietohakemiston velvoitteet Vastuu [oikeudellinen yksikkö tarkistaa] Takuut ja rajoitus takuisiin Vastuuvapauslausekkeet ja vastuun rajoittaminen Muut ehdot Taloudellinen vastuu Luottavien osapuolten maksamat vahingonkorvaukset Luottamussuhteet Tulkinta ja täytäntöönpano Sovellettava laki Eriyttäminen, oikeuksien säilyminen, fuusio, ilmoitusmenettely Riidanratkaisumenettelyt Maksut Julkaiseminen ja tietohakemisto Varmentajan tietojen julkaiseminen

3 Julkaisutiheys Pääsynvalvonta Tietohakemistot Vaatimustenmukaisuustarkastus [ei vielä toteutettu] [tarkistetaan, kun toteutetaan] Vaatimustenmukaisuustarkastusten tiheys Varmentajan tarkastajan henkilöllisyys/pätevyys Tarkastajan suhde tarkastettavaan varmentajaan Tarkastuksen kohde Tarkastuksen johdosta toteutettavat toimenpiteet Tulosten ilmoittaminen Luottamuksellisuuspolitiikka Tiedot, joita ei saa luovuttaa Tiedot, joita pidetään julkisina Varmenteen sulkemista koskevien tietojen luovuttaminen Tietojen luovuttaminen lainvalvontaviranomaisille Muut tietojen antamista koskevat seikat Immateriaalioikeudet TUNNISTUS JA TODENNUS Rekisteröinti Nimityypit Nimien merkitsevyys Eri nimimuotojen tulkintaa koskevat säännöt Nimien yksilöivyys Nimiä koskeva riidanratkaisumenettely Tavaramerkkien tunnistus, todennus ja roolit Yksityisen avaimen hallussapidon todistaminen Organisaation henkilöllisyyden todentaminen Henkilön henkilöllisyyden todentaminen Tilaajan yhteyksien todentaminen Tilaajan henkilöllisyyden todentaminen Laitteiden tai sovellusten todentaminen Varmenteen automaattinen uusiminen Varmenteen uusiminen sulkemisen jälkeen Sulkemista koskeva pyyntö TOIMINNALLISET VAATIMUKSET

4 4.1. Varmenteen hakeminen Varmenteen myöntäminen Varmenteen hyväksyminen Varmenteen sulkeminen ja määräaikainen sulkeminen Sulkemisen syyt Oikeus pyytää sulkemista Sulkupyyntömenettely [ei vielä toteutettu] [tarkistetaan, kun toteutetaan] Sulkupyynnön armonaika Määräaikaisen sulkemisen syyt Oikeus pyytää määräaikaista sulkemista Määräaikainen sulkupyyntömenettely Määräaikaisen sulkemisen kesto Sulkulistojen antotiheys Sulkulistan tarkistusvaatimukset Mahdollisuus varmenteen sulkemiseen tai sen tilan tarkistamiseen verkossa Verkossa tapahtuvan varmenteen sulkemisen tarkistusvaatimukset Muut saatavilla olevat sulkuilmoitukset Muiden sulkuilmoitusten tarkistusvaatimukset Avaimen vaarantumista koskevat erityisvaatimukset Turvajäljitysmenettelyt [ei vielä toteutettu] [tarkistetaan, kun toteutetaan] Kirjattavat tapahtumat Jäljityslokin käsittelytiheys Jäljityslokin säilytysaika Jäljityslokin suojaaminen Jäljityslokin varmistusmenettelyt Jäljitysketjun keräysjärjestelmä Ilmoitus tapahtuman aiheuttajalle Haavoittuvuuden arviointi Tietojen arkistointi [ei vielä toteutettu] [tarkistetaan, kun toteutetaan] Arkistoitavat tiedot Arkiston säilytysaika Arkiston suojaaminen Arkiston varmistusmenettelyt

5 Arkiston keräysjärjestelmä Arkistotietojen saamista ja tarkistamista koskevat menettelyt Avaimen vaihto Vaarantumis- ja katastrofitilanteita koskeva palautusmenettely [ei vielä toteutettu] [tarkistetaan, kun toteutetaan] Tietokoneresurssien, ohjelmistojen ja/tai tietojen turmeltuminen Käyttäjän avaimen palautus Palautumissuunnitelma Varmentajan lakkauttaminen FYYSISET SEKÄ MENETTELYJÄ JA HENKILÖSTÖÄ KOSKEVAT TURVATARKASTUKSET Fyysiset turvatarkastukset Tilojen sijainti ja rakenne Fyysinen pääsy Sähkö ja ilmastointi Vesivahingot Palontorjunta Tietovälineiden säilytys Jätehuolto Varmistus tilojen ulkopuolella [ei sovelleta] Menettelyjä koskevat tarkastukset Luotetut roolit Kuhunkin tehtävään tarvittavien henkilöiden määrä Tunnistus ja todennus kutakin roolia varten Henkilöstöä koskevat turvatarkastukset Tausta-, pätevyys-, kokemus- ja selvitysvaatimukset Taustojen tarkistusmenettelyt Koulutusvaatimukset Uudelleenkoulutuksen tiheys ja vaatimukset Työnkierto Seuraamukset luvattomista toimista Alihankkijan henkilöstö Henkilöstölle toimitettavat asiakirjat TEKNISET TURVATARKASTUKSET Avainparin generointi ja käyttöönotto Avainparin generointi

6 Yksityisen avaimen toimitus loppukäyttäjälle Julkisen avaimen toimitus varmenteen myöntäjälle Varmentajan julkisen avaimen toimitus käyttäjille Avainten pituus Julkisen avaimen parametrien luominen Parametrien laadunvarmistus Laitteiston/ohjelmiston avaimen luominen Avaimen käyttötarkoitus (X.509v3-kentässä) Yksityisen avaimen suojaaminen Salausmoduuleja koskevat vaatimukset Yksityisen avaimen monihenkilövalvonta Yksityisen avaimen vara-avainjärjestelmä (Key Escrow) Yksityisen avaimen varmistus Yksityisen avaimen arkistointi Yksityisen avaimen syöttäminen salausmoduuliin Yksityisen avaimen aktivointimenetelmä Yksityisen avaimen deaktivointimenetelmä Yksityisen avaimen hävittämismenetelmä Muita avainparin ylläpitoon liittyviä seikkoja Julkisen avaimen arkistointi Julkisten ja yksityisten avainten käyttöajat Aktivointitiedot Aktivointitietojen generointi ja asennus Aktivointitietojen suojaaminen Muut aktivointitietoihin liittyvät seikat Tietokoneiden turvatarkastukset Erityiset tietokoneiden turvallisuutta koskevat tekniset vaatimukset Tietoturvallisuusluokitus Elinkaaren turvatarkastukset Järjestelmäkehityksen valvonta Turvallisuusjohtamisen valvonta Verkon turvatarkastukset Salausmoduulien tekninen valvonta VARMENTEEN JA SULKULISTAN PROFIILI Varmenteen profiili

7 Version numero Varmenteen laajennukset Algoritmin oliotunnisteet Nimimuodot Nimirajoitukset Varmennepolitiikan oliotunniste Politiikkarajoitusten laajennuksen käyttö Politiikkatarkenteiden syntaksi ja semantiikka Kriittisen varmennepolitiikan semantiikan käsittely Sulkulistan profiili [tarkistetaan, kun toteutetaan] Version numero Sulkulistojen ja sulkulistojen tietueiden laajennukset ERITELMÄN HALLINNOINTI Eritelmän muuttamismenettelyt Kohdat, joita voidaan muuttaa ilmoittamatta Muutokset, joista on ilmoitettava Julkaiseminen ja ilmoittaminen Varmennekäytäntölausuman hyväksymismenettelyt LIITTEET Lyhenteet Määritelmät Viiteasiakirjat

8 1. JOHDANTO Tämän asiakirjan runko perustuu asiakirjaan RFC 2527, jossa on kattava analyysi aiheesta. Asiakirjassa RFC 2527 annetaan kattava luettelo aiheista, joita on käsiteltävä varmennekäytäntölausumassa. Tässä asiakirjassa käytetään seuraavia merkintätapoja: normaali kirjasinlaji: toteutettu ja toiminnassa kursiivi: ei vielä toteutettu, tarkastellaan myöhemmin hakasuluissa oleva teksti: käsiteltävänä. Euroopan komissio toteuttaa julkisen avaimen infrastruktuurin (Public Key Infrastructure, PKI) tietoturvallisuutensa varmistamiseksi. PKI-järjestelmä koostuu järjestelmistä, tuotteista ja palveluista, joiden avulla tarjotaan ja ylläpidetään X.509- varmenteita julkisen avaimen salaustekniikkaa varten. Tässä asiakirjassa kuvataan Euroopan komission varmentajan (Certification Authority, CA) jonka nimi on CommisSign toteuttamia varmennekäytäntöjä, joilla varmistetaan varmentajan luotettavuus julkisen avaimen varmenteiden myöntämisessä tilaajille. Tämä asiakirja on laadittu Euroopan komission julkisen avaimen infrastruktuurin (PKI) varmennepolitiikan (Certificate Policy, CP) vaatimusten mukaisesti. Euroopan komission PKI-järjestelmän varmennepolitiikan ja tämän asiakirjan välinen suhde on sellainen, että varmennepolitiikassa kuvataan CommisSignin varmentajan politiikkaa ja tässä asiakirjassa kuvataan yksityiskohtaisesti varmennepolitiikan toteuttamista. Tämän asiakirjan käyttäjien olisi tutustuttava Euroopan komission julkisen avaimen infrastruktuurin varmennepolitiikkaan saadakseen tietoa CommisSignin varmentajan varmennekäytäntölausuman (Certificate Practice Statement, CPS) taustalla olevasta politiikasta Yleistä Tämän käytäntölausuman eritelmä noudattaa ja vastaa IETF:n (Internet Engineering Task Force) asiakirjan Public Key Infrastructure X.509 (IETF PKIX) osaa 4 (Certificate Policy and Certification Practice Statement Framework). Tämä asiakirja on tarkoitettu Euroopan komission ja muiden sellaisten tahojen käyttöön, joiden on arvioitava CommisSignin varmentajan luotettavuus ja määritettävä sen varmenteiden soveltuvuus tietoturvavaatimustensa täyttämiseen. Tämän asiakirjan käytännöt tukevat keskitason varmuutta, ellei toisin sanota. Kun Euroopan komissio lisää muita varmuustasoja, tätä asiakirjaa muutetaan siten, että siinä kuvataan myös näiden tasojen käytäntöjä. 8

9 CommisSignin varmentajan varmennekäytäntölausumassa kuvataan suosituksen X.509 version 3 mukaisten julkisen avaimen varmenteiden luomista, ylläpitämistä ja käyttämistä verkkoon kytkettyjen tietokonepohjaisten järjestelmien välistä viestintää vaativissa sovelluksissa sekä sähköisten tietojen eheyttä ja luottamuksellisuutta vaativissa sovelluksissa. Tällaisiin sovelluksiin kuuluvat muun muassa sähköposti, turvaluokkaan EU RESTRICTED ja sitä alempiin luokkiin kuuluvien tietojen siirto sekä sähköisten lomakkeiden digitaalinen allekirjoitus. "X.509-varmenteilla" tarkoitetaan tässä asiakirjassa suosituksen X.509 version 3 mukaisia varmenteita. "PKI-asiakasohjelmistolla" tai "PKIohjelmistolla" tarkoitetaan ohjelmistoa, joka toteuttaa PKI-järjestelmän toiminnot CommisSignin varmentajan verkkoalueella. Tämän varmennekäytäntölausuman mukaisen julkisen avaimen varmenteen myöntäminen tarkoittaa seuraavaa: varmennetta ei saa käyttää turvaluokkiin EU CONFIDENTIAL, EU SECRET eikä EU TOP SECRET kuuluvien tietojen suojaamiseen varmenteen myöntäminen ei merkitse, että tilaajalla olisi valtuudet suorittaa liiketoimia Euroopan komission puolesta. Euroopan komission PKI-järjestelmän varmennepolitiikkaviranomainen (Policy Authority, PA) arvioi tämän varmennekäytäntölausuman. Varmennepolitiikkaviranomainen hyväksyy kaikki varmentajien varmennekäytäntölausumat Euroopan komission PKI-järjestelmässä. Tämän varmennekäytäntölausuman ja siihen liittyvän varmennepolitiikan täytäntöönpanon, laatimisen, tulkinnan ja voimassaolon osalta CommisSignin varmentajaan sovelletaan Euroopan komission sääntöjä. Euroopan komission varmennepolitiikkaviranomainen vastaa Euroopan komission PKI-järjestelmän yleisestä johtamisesta. Varmennepolitiikkaviranomainen vastaa Euroopan komission PKIjärjestelmän politiikan määrittelystä. Varmennepolitiikkaviranomaisen on varmistettava, että CommisSignin varmentaja toimii asianomaisten varmennus- ja varmenneasiakirjojen politiikan ja käytäntöjen mukaisesti, sekä hyväksyttävä ja hallinnoitava ristiinvarmennukset. Varmennepolitiikkaviranomainen toimii Euroopan komission kollegion yhteydessä. Euroopan komission varmentaja (Certification Authority, CA) vastaa Euroopan komission käyttämien suosituksen X.509 version 3 mukaisten julkisen avaimen varmenteiden luomisesta ja ylläpitämisestä Euroopan komission varmennepolitiikan ja tämän varmennekäytäntölausuman mukaisesti. Euroopan komissio käyttää keskitettyä rekisteröijää (Registration Authority, RA) ja paikallista rekisteröijää (Local Registration Authority, LRA) tietojen keräämiseen, henkilöllisyyden todentamiseen ja valtuuttamiseen sekä varmenteen ylläpitotoimien pyytämiseen käyttäjien puolesta. 9

10 1.2. Tunnistetiedot Tämä asiakirja on Euroopan komission varmentajan varmennekäytäntölausuma. Tässä asiakirjassa kuvatut käytännöt ovat Euroopan komission julkisen avaimen infrastruktuurin (PKI) turvallisuuspolitiikan mukaisia Yhteisö ja sovellettavuus Varmentaja Tämän varmennekäytäntölausuman tarkoituksena on vastata julkisen avaimen varmenteita koskeviin Euroopan komission yleisiin vaatimuksiin. CommisSignin varmentaja toimii varmentajana Euroopan komission PKIjärjestelmässä. CommisSignin varmentaja on tarkoitettu Euroopan komission ja mahdollisesti sellaisten Euroopan komission ulkopuolisten organisaatioiden tai henkilöiden käyttöön, jotka vaihtavat sähköpostia Euroopan komission kanssa. CommisSignin varmentaja myöntää, allekirjoittaa ja ylläpitää julkisen avaimen varmenteita. Varmentaja myöntää käyttäjävarmenteita komission koko henkilöstölle, lukuun ottamatta muita satunnaisesti tarvittavia henkilöitä. CommisSignin varmentajassa on henkilöitä, jotka vastaavat varmentajan yleisestä toiminnasta, sekä henkilöitä, jotka käyttävät ja ylläpitävät varmentajan palvelinta ja varmentajan ohjelmistoja. Varmentajan toiminnasta vastaava viranomainen (CA Operation Authority, OA) vastaa varmentajan käytäntölausuman laatimisesta ja hallinnoinnista sekä yleisavaimen ylläpidosta. Toiminnasta vastaava viranomainen vastaa rekisteröijien varmentajan verkkoalueella suorittamien toimien tarkastamisesta. Toiminnasta vastaava viranomainen ilmoittaa varmennepolitiikkaviranomaiselle varmentajan toimintaan liittyvistä kysymyksistä. Varmentajan virkamiehet (CA Officers) vastaavat varmentajan palvelimen ja varmentajan ohjelmistojen toiminnasta ja ylläpidosta. CommisSignin varmentaja luo ja allekirjoittaa X.509-varmenteet, joilla komission henkilöstöön kuuluvat tilaajat yhdistetään julkisiin avaimiinsa levittää X.509-varmenteita hakemistojen kautta julkaisee varmenteen statuksen sulkulistoilla [ei toiminnassa] vastaa varmentajan toiminnasta tämän varmennekäytäntölausuman mukaisesti 10

11 Rekisteröijät hyväksyy ja nimeää henkilöt PKI-virkamiesten toimiin tarkastaa ja jäljittää rekisteröijän ja paikallisen rekisteröijän toimet verkkoalueellaan ratkaisee riitoja loppukäyttäjien sekä varmentajan, rekisteröijän tai paikallisen rekisteröijän välillä pyytää PKI-virkamiehen tai rekisteröijän varmenteen sulkemista. Tässä varmennekäytäntölausumassa erotetaan tarvittaessa erilaiset käyttäjät ja roolit varmentajan tehtävissä. Kun tällainen erottelu ei ole tarpeen, "varmentajalla" tarkoitetaan varmentajaa kokonaisuudessaan, mukaan luettuina sen ohjelmistot ja toimet. (* Huomautus: ristiinvarmennus toteutetaan tämän varmennekäytäntölausuman ja Euroopan komission varmennepolitiikkaviranomaisen määrittämien mahdollisten lisävaatimusten mukaisesti. Kaikki ristiinvarmennukset komission käyttäjien ja muiden varmentajien välillä toteutetaan komission varmennepolitiikkaviranomaisen antamien ohjeiden mukaisesti. Muiden varmentajien kanssa tehdyistä sopimuksista laaditaan asiakirjat ja sovellettavista vastuuvapauslausekkeista ilmoitetaan komission käyttäjille.) Rekisteröijä (Registration Authority, RA) on taho, joka vastaa loppukäyttäjän hallinnoinnista komission varmentajan puolesta. On olemassa yksi keskitetty rekisteröijä (Registration Authority, RA) ja useita paikallisia rekisteröijiä (Local Registration Authority, LRA). "Rekisteröijällä" tai "paikallisella rekisteröijällä" tarkoitetaan Euroopan komissiossa olevaa henkilöä, jolla on rekisteröijän tai paikallisen rekisteröijän käyttöoikeuksia ja joka suorittaa rekisteröijän tai paikallisen rekisteröijän tehtäviä. Rekisteröijä tunnistaa ja todentaa varmenteen hakijan hallinnollisen henkilöllisyyden luo varmenteessa olevan käyttäjän kohdenimen (SubjectName) ja muuttaa sitä käy läpi jäljityslokit ja ilmoittaa epäilyttävistä tapahtumista varmentajan toiminnasta vastaavalle viranomaiselle luo erilaisia raportteja käyttäjän tilasta. Paikallinen rekisteröijä tunnistaa ja todentaa varmenteen hakijan fyysisen henkilöllisyyden todentaa varmennepyynnön aitouden 11

12 Tietohakemistot Tilaajat todentaa käyttäjän kohdenimen (SubjectName) ottaa vastaan ja levittää tilaajan valtuustietoja suorittaa varmenne- ja ylläpitotehtäviä loppukäyttäjilleen (esimerkiksi käyttäjien valtuuttaminen, käyttäjien varmenteiden mitätöiminen tai määräaikainen sulkeminen) päivittää varmenteet[, sulkee varmenteet] ja hoitaa avaimen palautuksen loppukäyttäjille. CommisSignin varmentaja käyttää Euroopan komission hakemistoa varmenteiden, sulkulistojen (Certificate Revocation List, CRL) [ja varmentajien sulkulistojen (Authority Revocation List, ARL)] julkaisemiseen ja levittämiseen. Tietotekniikan keskus ylläpitää Euroopan komission hakemistoa. Hakemisto on käytössä 24 tuntia vuorokaudessa ja käyttötukea annetaan 12 tuntia vuorokaudessa viitenä päivänä viikossa. Tilaajat käyttävät CommisSignin varmentajan [myöntämiä ja/tai] varmentamia yksityisiä avaimia hyväksyttyihin sovelluksiin. Tilaajat kuuluvat komission henkilöstöön. Varmenne voidaan myöntää tehtäväkohtaiseen postilaatikkoon. Silloin tästä loppukäyttäjästä, joka ei ole ihminen, vastaavan henkilön on sovellettava ja ylläpidettävä tämän käyttäjän varmennetta. Tämä henkilö voi siirtää oikeutensa toiselle henkilölle (varahenkilölle). Lisäksi tilaajat voivat käyttää CommisSignin varmentajan myöntämiä varmenteita tietojen salaamiseen muita tilaajia varten ja näiden digitaalisten allekirjoitusten todentamiseen (CommisSignin varmentajan verkkoalueella ja ristiinvarmennetuilla verkkoalueilla). Tällöin tilaajat ovat myös luottavia osapuolia. Tässä varmennekäytäntölausumassa "loppukäyttäjällä" (End Entity) tarkoitetaan käyttäjiä yleensä, mukaan luettuina käyttäjien roolit tilaajina ja luottavina osapuolina. Kun näiden roolien erottelu on tässä varmennekäytäntölausumassa tarpeen, "tilaajalla" (Subscriber) tarkoitetaan loppukäyttäjää varmenteen kohteena ja "luottavalla osapuolella" (Relying Party) tarkoitetaan loppukäyttäjää CommisSignin varmentajan myöntämien varmenteiden todentajana Luottavat osapuolet Luottava osapuoli (Relying Party) voi olla joko CommisSignin varmentajan varmenteen kohde tai CommisSignin varmentajaan luottaneen [ja sen kanssa ristiinvarmennussopimuksen allekirjoittaneen] ulkopuolisen varmentajan tilaaja. Tässä varmennekäytäntölausumassa käsitellään CommisSignin varmentajan varmenteen kohteena olevan luottavan osapuolen oikeuksia ja velvoitteita. [Ulkopuoliselle varmentajalle kuuluvan luottavan osapuolen 12

13 Sovellettavuus oikeuksia ja velvoitteita käsitellään kahden varmentajan omistajien välisessä ristiinvarmennussopimuksessa.] Tässä varmennekäytäntölausumassa kuvattuja käytäntöjä sovelletaan CommisSignin varmentajaan ja sen ylläpitäjiin, Euroopan komission rekisteröijiin ja näiden ylläpitäjiin, CommisSignin varmentajan käyttämään tietohakemistoon, CommisSignin varmentajan varmentamiin loppukäyttäjiin sekä luottaviin osapuoliin. Tässä varmennekäytäntölausumassa kuvatut käytännöt soveltuvat varmennekäyttöön, kuten sähköiseen tunnistukseen, valtuuttamiseen ja tietojen eheyteen Euroopan komission tiedoissa, mukaan luettuina kriittisissä ja sitä alemmissa tietojärjestelmissä (ks. tietoturvallisuuspolitiikka). Tässä varmennekäytäntölausumassa kuvatut käytännöt soveltuvat varmennekäyttöön, kuten luottamuksellisuuteen Euroopan komission tiedoissa, mukaan luettuina turvaluokkaan EU RESTRICTED ja sitä alempiin luokkiin kuuluvissa tiedoissa (ks. tietoturvallisuuspolitiikka). Kiellettyjä sovelluksia ovat Euroopan komission varmennepolitiikkaviranomaisen yksilöimät sovellukset. Sovelluksia, joille myönnettävät varmenteet yleensä kielletään, ovat sovellukset, jotka käyttävät tai sisältävät turvaluokkien EU CONFIDENTIAL, EU SECRET ja EU TOP SECRET tietoja sovellukset, joilla ei ole merkitystä komission työssä Yhteystiedot Euroopan komission turvallisuusyksikkö hallinnoi tätä varmennekäytäntölausumaa. Yhteyshenkilö on: Mr Gérard BREMAUD CommisSign CA Operations Authority Protocol and Security Service Jean-Monnet Building B2/072 L-2920 LUXEMBOURG 13

14 2. YLEISET MÄÄRÄYKSET 2.1. Velvoitteet Varmentajan velvoitteet CommisSignin varmentaja noudattaa tietoturvallisuuspolitiikan määräyksiä, kaikkia tämän varmennekäytäntölausuman määräyksiä sekä asiaa koskevia yhteisön ja jäsenvaltioiden säädöksiä. CommisSignin varmentaja laatii varmennekäytäntölausuman, ylläpitää sitä ja julkaisee sen tarjoaa varmentajan palveluja tässä varmennekäytäntölausumassa kuvattujen käytäntöjen mukaisesti tarjoaa varmentajan palvelimen palveluja 24 tuntia vuorokaudessa seitsemänä päivänä viikossa, mutta tämä ei merkitse takuuta sataprosenttisesta käytettävyydestä (käytettävyyteen voivat vaikuttaa järjestelmän huolto, järjestelmän korjaus tai varmentajasta riippumattomat tekijät) myöntää varmenteet Euroopan komission henkilöstölle [ja muille varmentajille] tässä varmennekäytäntölausumassa kuvattujen käytäntöjen ja Euroopan komission PKI-järjestelmän X.509-varmennepolitiikan mukaisesti sulkee varmenteet, kun se saa tätä tarkoittavan pätevän pyynnön, tässä varmennekäytäntölausumassa kuvattujen käytäntöjen ja Euroopan komission PKI-järjestelmän X.509-varmennepolitiikan mukaisesti tarjoaa salausavaimen palautuspalveluja tässä varmennekäytäntölausumassa kuvattujen käytäntöjen ja Euroopan komission PKI-järjestelmän X.509-varmennepolitiikan mukaisesti antaa ja julkaisee säännöllisesti sulkulistat [ja varmentajien sulkulistat] tässä varmennekäytäntölausumassa kuvattujen käytäntöjen ja Euroopan komission PKI-järjestelmän X.509-varmennepolitiikan mukaisesti ilmoittaa varmenteen myöntämisestä tai sulkemisesta muille (esimerkiksi luottaville osapuolille) tarjoamalla pääsyn varmenteisiin, sulkulistoihin [ja varmentajien sulkulistoihin] CommisSignin varmentajan tietohakemistossa varmistaa tätä varmennekäytäntölausumaa koskevan tietoisuuden ja varmennekäytäntölausuman noudattamisen CommisSignin varmentajan tilaaja- ja rekisteröijäyhteisöissä julkaisemalla varmennekäytäntölausuman ja Euroopan komission PKI-järjestelmän X.509-varmennepolitiikan sekä tarkastamalla rekisteröijät CommisSignin varmentajan verkkoalueella 14

15 varmistaa tarkastuksessa havaittujen varmentajan tai rekisteröijän puutteiden korjaustoimenpiteet yhdessä Euroopan komission varmennepolitiikkaviranomaisen kanssa ilmoittaa korjaustoimenpiteiden tilasta varmennepolitiikkaviranomaiselle. Kun tilaajan varmenne luodaan, se julkaistaan Euroopan komission hakemistossa. Kun tilaajan varmenne suljetaan, se julkaistaan kirjallisesti sulkulistalla ja julkaistaan Euroopan komission hakemistossa. Julkaisemalla varmenteen Euroopan komission hakemistossa CommisSignin varmentaja vahvistaa, että se on myöntänyt varmenteen nimetylle tilaajalle, että varmenteessa olevat tiedot on todennettu tämän varmennekäytäntölausuman mukaisesti ja että tilaaja on hyväksynyt varmenteen. CommisSignin varmentaja ilmoittaa tästä varmennekäytäntölausumasta johtuvista tilaajan ja luottavan osapuolen oikeuksista ja velvoitteista julkaisemalla tämän varmennekäytäntölausuman ja Euroopan komission PKI-järjestelmän X.509-varmennepolitiikan. CommisSignin varmentaja suojaa yksityisiä avaimiaan tämän varmennekäytäntölausuman 6 luvun määräysten mukaisesti. [CommisSignin varmentaja suojaa hallussaan olevia tai säilyttämiään yksityisiä avaimia tämän varmennekäytäntölausuman 4 ja 6 luvun määräysten mukaisesti.] CommisSignin varmentajan allekirjoitusavainta käytetään varmenteiden ja sulkulistojen allekirjoittamiseen. [CommisSignin varmentaja voi myöntää ja allekirjoittaa ristiinvarmenteita muiden varmentajien kanssa ainoastaan Euroopan komission varmennepolitiikkaviranomaisen nimenomaisesti valtuuttamana.] Rekisteröijän ja paikallisen rekisteröijän velvoitteet Euroopan komission rekisteröijä ja paikalliset rekisteröijät CommisSignin varmentajan verkkoalueella noudattavat tämän varmennekäytäntölausuman ja Euroopan komission PKI-järjestelmän X.509-varmennepolitiikan määräyksiä. Rekisteröijä tarjoaa rekisteröijän palveluja paikallisille rekisteröijilleen; rekisteröijän toiminta-aika on komission tavanomainen työaika varmistaa, että rekisteröijän palvelut ovat tämän asiakirjan asianomaisten käytäntöjen ja Euroopan komission PKI-järjestelmän X.509- varmennepolitiikan määräysten mukaisia on tilivelvollinen varmentajan puolesta suoritetuista liiketoimista 15

16 tuo tilaajiensa tietoon kaikki olennaiset tiedot tässä varmennekäytäntölausumassa, tilaajasopimuksessa ja muissa käyttöehdot sisältävissä asiakirjoissa tarkoitetuista varmentajan, rekisteröijän ja tilaajan oikeuksista ja velvoitteista. Kun rekisteröijä kirjautuu sisään varmentajan palvelimelle käsittelemään varmennepyyntöä, rekisteröijä vahvistaa, että se on todentanut kyseisen tilaajan henkilöllisyyden tämän varmennekäytäntölausuman 3 ja 4 luvussa kuvattujen käytäntöjen mukaisesti. Paikallinen rekisteröijä todentaa varmenteen tilaajien antamien tietojen oikeellisuuden ja aitouden (paikallinen rekisteröijä tarjoaa todentamisen CommisSignin varmentajan puolesta) pyytää tilaajan varmenteiden sulkemista tämän asiakirjan määräysten mukaisesti] varmistaa, että paikallisen rekisteröijän palvelut ovat tämän asiakirjan asianomaisten käytäntöjen ja Euroopan komission PKI-järjestelmän X.509-varmennepolitiikan määräysten mukaisia on tilivelvollinen varmentajan puolesta suoritetuista liiketoimista vastaa varmenteen myöntämistä [ja sulkemista] koskevien pyyntöjen käsittelystä ilmoittaa tilaajalle, kun pyyntö on hyväksytty ja jos tilaajalta edellytetään jatkotoimenpiteitä. Kunkin rekisteröijän ja paikallisen rekisteröijän on varmistettava yksityisten avaintensa suojaaminen tämän varmennekäytäntölausuman 6 luvussa kuvattujen tarkastusten mukaisesti. Rekisteröijän ja paikallisen rekisteröijän yksityisiä avaimia käytetään vain Euroopan komission työssä sekä yksinomaan Euroopan komission PKIjärjestelmän X.509-varmennepolitiikassa ja tämän varmennekäytäntölausuman mukaisesti valtuutettuihin tarkoituksiin Tilaajan velvoitteet CommisSignin varmentajan verkkoalueella loppukäyttäjät ovat sekä tilaajia että luottavia osapuolia. Tilaajana loppukäyttäjä antaa CommisSignin varmentajalle ja rekisteröijälle aina totuudenmukaisia lausumia varmenteissaan olevista tiedoista sekä muista tunnistus- ja todennustiedoista käyttää varmenteita yksinomaan Euroopan komission lailliseen ja valtuutettuun työhön sovellettavan varmennepolitiikan ja tämän varmennekäytäntölausuman mukaisesti 16

17 suojaa yksityisiä avaimia tallentamalla ne joko kiintolevylle[, toimikortille] tai levykkeelle PO:n toimintatavan mukaan poistaa yksityisen avaimen tuen tietokoneesta, kun se ei ole käytössä, jos yksityiset avaimet on tallennettu levykkeelle[ tai toimikortille] pitää yksityisen avaimen tuen itsellään tai tallentaa sen suojattuun, lukittuun säilöön, jos yksityiset avaimet on tallennettu levykkeelle[ tai toimikortille] suojaa tilaajan salasanansa tietoturvallisuusmääräysten mukaisesti ilmoittaa paikalliselle rekisteröijälleen 48 tunnin kuluessa varmenteessaan tai varmennehakemuspyynnössään olevien tietojen muuttumisesta ilmoittaa paikalliselle rekisteröijälleen 8 tunnin kuluessa toisen tai kummankin yksityisen avaimensa epäillystä vaarantumisesta toteuttaa kohtuullisia varotoimenpiteitä yksityisten avaintensa katoamisen, paljastumisen, muuttamisen tai luvattoman käytön estämiseksi. Noudattamalla tässä varmennekäytäntölausumassa kuvattuja käytäntöjä tilaajat täyttävät näille varmenteiden myöntämistä koskevassa politiikassa asetetut velvoitteet. [Allekirjoittamalla varmennepyynnön (joka koskee esimerkiksi varmenteen myöntämistä, sulkemista tai palauttamista) tilaaja vahvistaa CommisSignin varmentajalle ja rekisteröijälle, että varmentajalle tai rekisteröijälle annetut tiedot ovat täydellisiä ja oikeellisia.] Tilaajien yksityisiä avaimia käytetään vain Euroopan komission työssä sekä yksinomaan Euroopan komission PKI-järjestelmän X.509- varmennepolitiikassa ja tämän varmennekäytäntölausuman mukaisesti valtuutettuihin tarkoituksiin Luottavan osapuolen velvoitteet CommisSignin varmentajan verkkoalueella loppukäyttäjät ovat sekä tilaajia että luottavia osapuolia. Luottavana osapuolena loppukäyttäjä rajaa luottamuksen CommisSignin varmentajan myöntämiin varmenteisiin näiden varmenteiden asianmukaisiin käyttötarkoituksiin Euroopan komission PKI-järjestelmän X.509-varmennepolitiikan ja tämän varmennekäytäntölausuman mukaisesti todentaa varmenteet, mukaan luettuna sulkulistojen [ja varmentajien sulkulistojen] käyttö[, ottaen huomioon mahdolliset kriittiset laajennukset] [(varmenteet todennetaan ITU-T:n suosituksessa X.509 Information Technology Open Systems Interconnection The Directory: Authentication Framework ISO/IEC (1997) määritetyn varmennepolun validointimenettelyn mukaisesti)] 17

18 luottaa varmenteisiin ja käyttää niitä ainoastaan, jos luottavan osapuolen ja varmenteen kohteen välillä osoitetaan pätevä varmenneketju. Ennen tilaajan varmenteen käyttämistä luottavan osapuolen on varmistettava, että se soveltuu aiottuun käyttötarkoitukseen, perehtymällä varmenteen myöntämistä koskevaan politiikkaan ja varmennekäytäntölausumaan. Luottava osapuoli vastaa CommisSignin varmentajan allekirjoituksen ja varmenteen viimeisen voimassaolopäivän validoinnista ennen siihen liittyvän julkisen avaimen käyttämistä. Lisäksi luottava osapuoli vastaa tilaajan digitaalisen allekirjoituksen todentamisesta ennen digitaalisesti allekirjoitettujen tietojen hyväksymistä. Jos todennus tapahtuu automaattisesti salausprosessissa ja sitä tukevassa luottavan osapuolen työasemaan asennetussa laitteistossa tai ohjelmistossa, luottavan osapuolen on varmistettava ohjelmistojensa yhteensopivuus. Ennen varmenteen käyttämistä luottavan osapuolen on tarkistettava varmenteen tila ajantasaisesta sulkulistasta. Luottavan osapuolen on todennettava sulkulistan digitaalinen allekirjoitus varmistaakseen, että sulkulista on CommisSignin varmentajan allekirjoittama Tietohakemiston velvoitteet [CommisSignin juurivarmenteet, varmennekäytäntölausuma, sulkulistat [ja tilaajien varmenteet] ovat luottavien osapuolten käytössä tämän varmennekäytäntölausuman 4.4. kohdassa ("Sulkulistojen antotiheys") kuvattujen käytäntöjen mukaisesti.] 2.2. Vastuu [oikeudellinen yksikkö tarkistaa] [Koska Euroopan komissio tarjoaa CommisSignin varmentajan ja rekisteröijän tehtävät, kumpaankin tehtävään liittyvät vastuut yhdistetään tässä varmennekäytäntölausumassa. CommisSignin varmentaja, rekisteröijä ja paikallinen rekisteröijä sekä Euroopan komissio eivät ole millään tavalla vastuussa Euroopan komission PKI-järjestelmän varmenteiden tai niihin liittyvien julkisen ja yksityisen avaimen muodostamien avainparien käytöstä muihin kuin Euroopan komission PKI-järjestelmän varmennepolitiikassa ja tässä varmennekäytäntölausumassa kuvattuihin käyttötarkoituksiin Takuut ja rajoitus takuisiin CommisSignin varmentaja ja rekisteröijä takaavat Euroopan komission PKI-järjestelmän X.509-varmennepolitiikan ja tämän varmennekäytäntölausuman mukaisten varmennuspalvelujen tarjoamisen tämän varmennekäytäntölausuman 3 luvussa tarkoitettujen tunnistus- ja todennusmenettelyjen suorittamisen 18

19 avainten ylläpitopalvelujen tarjoamisen, mukaan luettuina varmenteiden myöntäminen, julkaiseminen ja sulkeminen, avainten palauttaminen ja päivittäminen, Euroopan komission PKI-järjestelmän X.509- varmennepolitiikan ja tämän varmennekäytäntölausuman mukaisesti. Euroopan komissio ja sen henkilöstö eivät nimenomaisesti tai konkludenttisesti anna lausumia, myönnä takuita tai sovella ehtoja Euroopan komission PKI-järjestelmän varmennepolitiikassa ja tässä varmennekäytäntölausumassa nimenomaisesti mainittujen lausumien, takuiden ja ehtojen lisäksi Vastuuvapauslausekkeet ja vastuun rajoittaminen Euroopan komissio, CommisSignin varmentaja ja rekisteröijät eivät ole vastuussa seuraavista: sodan, luonnonmullistusten tai muiden ylivoimaisten esteiden varmentajan tai rekisteröijän palvelulle aiheuttamat vahingot varmenteen sulkemisen ja seuraavan sulkulistan antamisen välisenä aikana tapahtuvat vahingot CommisSignin varmentajan myöntämien varmenteiden luvattomasta käytöstä sekä varmenteiden käytöstä muihin kuin Euroopan komission PKI-järjestelmän X.509-varmennepolitiikassa ja tässä varmennekäytäntölausumassa kuvattuihin käyttötarkoituksiin aiheutuvat vahingot CommisSignin varmentajan myöntämien varmenteiden ja/tai sen antamien sulkulistojen [ja/tai varmentajien sulkulistojen] vilpillisestä tai huolimattomasta käytöstä aiheutuvat vahingot varmenteisiin ja sulkulistoihin sisältyvien henkilötietojen paljastumisesta aiheutuvat vahingot. CommisSignin varmentaja ja rekisteröijät eivät myönnä minkäänlaisia takuita tai velvoitteita, mukaan luettuina takuut soveltuvuudesta kaupankäynnin kohteeksi, sopivuudesta johonkin tiettyyn tarkoitukseen ja annettujen tietojen oikeellisuudesta (paitsi että tiedot olivat peräisin valtuutetusta lähteestä), eivätkä ne ole millään tavalla vastuussa tilaajien ja luottavien osapuolten huolimattomuudesta ja kohtuullisen huolellisuuden laiminlyömisestä. Euroopan komissio, CommisSignin varmentaja, rekisteröijä ja paikalliset rekisteröijät eivät ole millään tavalla vastuussa maksuista, vahingonkorvauksista tai muista sopimusperusteisista, sopimukseen perustumattomista tai muista syistä johtuvista vaateista tai velvoitteista, jotka koskevat mitä tahansa Euroopan komission PKI-järjestelmän varmenteen tai siihen liittyvän, tilaajan tai luottavan osapuolen käyttämän julkisen ja yksityisen avaimen muodostaman avainparin myöntämiseen, sen käyttämiseen tai siihen luottamiseen liittyvää palvelua. 19

20 Muut ehdot Tilaajilla ja luottavilla osapuolilla ei ole oikeutta saada korvausta tämän PKI-järjestelmän epäasianmukaisesta tai vilpillisestä käytöstä aiheutuvista vahingoista. CommisSignin varmentaja ja rekisteröijät eivät myöskään ole välittäjänä tilaajien ja luottavien osapuolten välisissä liiketoimissa. Vaateissa CommisSignin varmentajaa ja/tai rekisteröijää vastaan on osoitettava, että varmentaja tai rekisteröijä toimi Euroopan komission PKI-järjestelmän X.509-varmennepolitiikan ja tämän varmennekäytäntölausuman vastaisesti.] Ei määräyksiä.] 2.3. Taloudellinen vastuu Luottavien osapuolten maksamat vahingonkorvaukset Ei määräyksiä Luottamussuhteet Se, että CommisSignin varmentaja myöntää varmenteita ja että Euroopan komission rekisteröijä avustaa varmenteiden myöntämisessä, ei tee Euroopan komissiosta tai sen varmentajasta tai rekisteröijästä asiamiestä, luottamushenkilöä, edunvalvojaa tai muuta tilaajien tai luottavien osapuolten tai muiden Euroopan komission PKI-järjestelmän käyttäjien edustajaa Tulkinta ja täytäntöönpano Sovellettava laki Tämän varmennekäytäntölausuman täytäntöönpanoon, laatimiseen, tulkintaan ja voimassaoloon sovelletaan yhteisön ja jäsenvaltioiden säädöksiä Eriyttäminen, oikeuksien säilyminen, fuusio, ilmoitusmenettely Toimintojen eriyttäminen tai fuusio voi aiheuttaa muutoksia CommisSignin varmentajan ulottuvuudessa, johtamisessa ja/tai toiminnassa. Tällöin myös Euroopan komission PKI-järjestelmän X.509-varmennepolitiikkaa ja tätä varmennekäytäntölausumaa voidaan joutua muuttamaan. Toimien muutokset toteutetaan tämän varmennekäytäntölausuman 8 luvussa tarkoitettujen hallinnollisten vaatimusten mukaisesti Riidanratkaisumenettelyt Kaikki avainten ja varmenteiden ylläpitoon liittyvät riidat Euroopan komission ja Euroopan komission ulkopuolisen organisaation tai henkilön välillä ratkaistaan soveltamalla asianmukaista riidanratkaisumenettelyä. Riita ratkaistaan neuvotteluteitse, jos se on mahdollista. Riita, jota ei pystytä ratkaisemaan neuvotteluteitse, ratkaistaan Euroopan komission varmennepolitiikkaviranomaisen toimiessa välimiehenä. 20

21 CommisSignin varmentajan verkkoalueella riidoista sellaisten Euroopan komission käyttäjien välillä, joista toinen toimii tilaajana ja toinen luottavana osapuolena, tai Euroopan komission käyttäjien ja varmentajan tai rekisteröijän välillä ilmoitetaan ensin CommisSignin varmentajan toiminnasta vastaavalle viranomaiselle riidanratkaisua varten Maksut Ei määräyksiä Julkaiseminen ja tietohakemisto Varmentajan tietojen julkaiseminen Julkaisutiheys Pääsynvalvonta CommisSignin varmentaja julkaisee seuraavat: CommisSignin juurivarmenteet www-sivustolla [Euroopan komission tietoturvallisuuspolitiikan ja ]tämän varmennekäytäntölausuman jäljennökset www-sivustolla kaikki CommisSignin varmentajan myöntämät julkisen avaimen varmenteet Euroopan komission hakemistossa uusin sulkulista CommisSignin varmentajan sulkemista käyttäjien julkisen avaimen varmenteista Euroopan komission hakemistossa ja wwwsivustolla [uusin varmentajien sulkulista komission varmennepolitiikkaviranomaisen sulkemista ulkopuolisista varmentajista Euroopan komission hakemistossa] Kun CommisSignin varmentajan myöntämät varmenteet on aktivoitu, ne lähetetään kerran päivässä Euroopan komission hakemistoon. Kun varmenteet suljetaan, ne lisätään sulkulistoille, jotka julkaistaan tämän varmennekäytäntölausuman 4.4. kohdan ("Sulkulistojen antotiheys") mukaisesti. [Kun ristiinvarmenteet suljetaan, ne lisätään varmentajien sulkulistoille, jotka julkaistaan tämän varmennekäytäntölausuman 4.4. kohdan ("Sulkulistojen antotiheys") mukaisesti.] CommisSignin varmentajan varmennekäytäntölausumaan ja Euroopan komission varmennepolitiikkaan annetaan lukuoikeus, ja ne ovat saatavilla www-sivustolla. Ainoastaan CommisSignin varmentajan henkilöstöllä on kirjoitus- tai muutosoikeus näihin asiakirjoihin. [Varmenteet ja sulkulistat ovat saatavilla Euroopan komission hakemistossa, ja niihin annetaan lukuoikeus. Ainoastaan CommisSignin varmentajalla on luku- tai kirjoitus- sekä poisto-oikeus.] 21

22 Tietohakemistot CommisSignin varmentajan myöntämien varmenteiden, sulkulistojen [ja varmentajien sulkulistojen] tietohakemisto on Euroopan komission hakemistojärjestelmässä. [Hakemistoon pääsyssä käytettävä protokolla on LDAP-protokollan (Lightweight Directory Access Protocol) versio 2, jota käsitellään asiakirjassa RFC (Request for Comment) 1777: Lightweight Directory Access Protocol (1995). LDAP-protokollan versiota 2 käytetään RFC 1777:n kohdassa 3.1 määritetyn TCP-siirtokerroksen päällä.] [Kun X.500:ssa määritetyt attribuutit välitetään LDAP-pyynnöissä ja LDAPpyyntöjen tuloksissa, ne koodataan käyttämällä merkkijonokuvauksia, jotka määritetään asiakirjassa RFC 1778: String Representation of Standard Attribute Syntaxes (1995). Merkkijonokoodaus perustuu X.500:ssa (1988) annettuihin attribuuttien määrityksiin. Seuraavat merkkijonokuvaukset koskevat siis version 1 mukaisia varmenteita ja version 1 mukaisia sulkulistoja: usercertificate (RFC 1778, 2.25 kohta) CACertificate (RFC 1778, 2.26 kohta) authorityrevocationlist (RFC 1778, 2.27 kohta) certificaterevocationlist (RFC 1778, 2.28 kohta) crosscertificatepair (RFC 1778, 2.29 kohta) Koska tässä varmennekäytäntölausumassa käytetään version 3 mukaisia varmenteita ja version 2 mukaisia sulkulistoja, jotka määritetään X.509:ssä, RFC 1778:n mukainen attribuuttien merkkijonokoodaus ei sovellu siihen. Tästä syystä nämä attribuutit koodataan käyttämällä samantapaista syntaksia kuin syntaksi Undefined (Määrittämätön) RFC 1778:n 2.1 kohdassa: näiden attribuuttien arvot koodataan ikään kuin ne olisivat tyypin OCTET STRING arvoja, jolloin koodauksen merkkijonoarvo on arvon itsensä DER-koodaus.] Tämän varmennekäytäntölausuman ja Euroopan komission varmennepolitiikan tietohakemisto on www-sivusto, johon pääsee [TBD URL annetaan myöhemmin] Vaatimustenmukaisuustarkastus [ei vielä toteutettu] [tarkistetaan, kun toteutetaan] Vaatimustenmukaisuustarkastusten tiheys CommisSignin varmentajan toiminnan täysimääräinen ja muodollinen tarkastus suoritetaan vuosittain. Varmennepolitiikkaviranomainen voi harkintansa mukaan milloin tahansa tilata tarkastajan suorittaman vaatimustenmukaisuustarkastuksen. CommisSignin varmentaja pidättää oikeuden vaatia minkä tahansa CommisSignin varmentajan verkkoalueella olevan rekisteröijän toiminnon 22

23 säännöllisiä ja epäsäännöllisiä tarkastuksia vahvistaakseen, että rekisteröijä toimii tässä varmennekäytäntölausumassa kuvattujen turvallisuuskäytäntöjen ja -menettelyjen mukaisesti Varmentajan tarkastajan henkilöllisyys/pätevyys Varmennepolitiikkaviranomaisen on hyväksyttävä kaikki henkilöt tai tahot, jotka haluavat suorittaa vaatimustenmukaisuustarkastuksen. Tarkastajan on ensisijaisena tehtävänään suoritettava varmentajan tai tietojärjestelmän turvatarkastuksia, hänellä on oltava riittävä kokemus PKI-järjestelmästä ja salaustekniikoista sekä asianmukaisten PKI-ohjelmistojen toiminnasta, ja hänen on oltava perehtynyt Euroopan komission politiikkaan ja määräyksiin Tarkastajan suhde tarkastettavaan varmentajaan Varmennepolitiikkaviranomaisen hyväksymä tarkastaja ja CommisSignin varmentaja ovat erillisiä tahoja Euroopan komission organisaatiorakenteessa Tarkastuksen kohde Vaatimustenmukaisuustarkastuksessa selvitetään, miten CommisSignin varmentaja ja rekisteröijä ovat toteuttaneet tässä varmennekäytäntölausumassa kuvatut tekniset sekä menettelyjä ja henkilöstöä koskevat käytännöt. Tarkastuksen painopistealueita ovat: tunnistus ja todennus toiminnalliset tehtävät/palvelut fyysiset sekä menettelyjä ja henkilöstöä koskevat turvatarkastukset tekniset turvatarkastukset Tarkastuksen johdosta toteutettavat toimenpiteet Jos havaitaan puute, voidaan toteuttaa kolmenlaisia toimenpiteitä: (1) Toimintaa jatketaan tavalliseen tapaan. (2) Toimintaa jatketaan alemmalla varmuustasolla. (3) Toiminta keskeytetään. Jos havaitaan puute, tarkastaja päättää Euroopan komission varmennepolitiikkaviranomaisen kanssa, mikä toimenpide toteutetaan. Päätös perustuu sääntöjenvastaisuuksien vakavuuteen, mahdollisiin riskeihin ja varmenteita käyttävälle yhteisölle aiheutuvaan häiriöön. Jos toteutetaan toimenpide 1 tai toimenpide 2, Euroopan komission varmennepolitiikkaviranomaisen ja toiminnasta vastaavan viranomaisen on varmistettava, että korjaustoimenpiteet toteutetaan 30 päivän kuluessa. Tarkastusryhmä arvioi tilanteen uudelleen tuolloin tai aiemmin, jos varmennepolitiikkaviranomainen ja tarkastaja hyväksyvät tämän. Jos 23

24 uudelleenarvioinnin yhteydessä havaitaan, ettei korjaustoimenpiteitä ole toteutettu, tarkastaja päättää, tarvitaanko ankarampia toimenpiteitä (esimerkiksi toimenpidettä 3). Jos toteutetaan toimenpide 3, kaikki CommisSignin varmentajan myöntämät varmenteet, mukaan luettuina loppukäyttäjien varmenteet ja varmentajan ristiinvarmenteet, suljetaan ennen palvelun keskeyttämistä. Euroopan komission varmennepolitiikkaviranomaisen ja Euroopan komission varmentajan toiminnasta vastaavan viranomaisen on ilmoitettava tarkastajalle viikoittain korjaustoimenpiteiden tilasta. Varmennepolitiikkaviranomainen ja tarkastaja päättävät yhdessä uudelleenarvioinnin ajankohdasta. Jos uudelleenarvioinnin yhteydessä todetaan, että puutteet on korjattu, CommisSignin varmentaja aloittaa uudelleen palvelun ja loppukäyttäjille ja muille ulkopuolisille varmentajille myönnetään uusia varmenteita yksittäisissä ristiinvarmennussopimuksissa vahvistettujen ehtojen mukaisesti.] Tulosten ilmoittaminen Vuositarkastuksen tulokset toimitetaan Euroopan komission varmennepolitiikkaviranomaiselle, CommisSignin varmentajalle ja kullekin Euroopan komission paikallisen rekisteröijän tietoturvapäällikölle. Toimenpiteen 2 kohdalla Euroopan komission varmennepolitiikkaviranomainen päättää tarkastajan avulla, onko tilaajille tiedotettava toimenpiteestä. Toimenpiteen 3 kohdalla Euroopan komission varmennepolitiikkaviranomainen varmistaa, että kaikille käyttäjille tiedotetaan toimenpiteestä. Tilaajille ilmoitetaan puutteista ja toimenpiteistä sähköpostitse, jos se on mahdollista. Jos tilaajalla ei ole sähköpostiyhteyttä, tilaajalle toimitetaan muistio Euroopan komission postipalvelun kautta. Se, miten CommisSignin varmentajan kanssa ristiinvarmennetuille varmentajille ilmoitetaan tarkastustuloksista ja mitä tietoja ilmoituksessa annetaan, määritellään osapuolten välisessä ristiinvarmennussopimuksessa. Ellei ristiinvarmennussopimuksessa toisin todeta, tarkastustuloksista ei ilmoiteta Euroopan komission ulkopuolelle Luottamuksellisuuspolitiikka Luottamuksellisina pidetään kaikkia tietoja, joita Euroopan komission varmennepolitiikkaviranomainen ei pidä julkisina Tiedot, joita ei saa luovuttaa Kunkin tilaajan yksityistä allekirjoitusavainta pidetään rajoitettuna kyseiselle tilaajalle. CommisSignin varmentajalla ja keskitetyllä rekisteröijällä ei ole pääsyä näihin avaimiin. Kunkin tilaajan yksityistä luottamuksellisuusavainta pidetään rajoitettuna kyseiselle tilaajalle. Väliaikaisesti on saatavilla ainoastaan yksi julkisen ja yksityisen avaimen muodostama avainpari, ja se liittyy yksityiseen luottamuksellisuusavaimeen. 24

25 Tätä ei sovelleta allekirjoitusavaimeen. Paikallinen rekisteröijä kuitenkin varmistaa yksityiset luottamuksellisuusavaimet, ja niitä suojataan tämän varmennekäytäntölausuman 6 luvun mukaisesti. Jäljitysketjuissa olevia tietoja pidetään rajoitettuina Euroopan komissiolle, eikä niitä saa luovuttaa toimielimen ulkopuolelle, ellei laeissa tai asetuksissa toisin vaadita. Henkilötietojen keräämiseen voidaan soveltaa 18 päivänä joulukuuta 2000 annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 tietojen keräämistä, ylläpitämistä, säilyttämistä ja suojaamista koskevia vaatimuksia. CommisSignin varmentajan tai rekisteröijän paikallisesti säilyttämiä henkilötietoja käsitellään rajoitettuina, ja pääsy näihin tietoihin myönnetään ainoastaan niille, jotka tarvitsevat tietoja virallisten tehtäviensä suorittamiseen. Euroopan komission varmennepolitiikkaviranomaisen, varmentajan ja rekisteröijän hallussa olevia muita kuin varmenteen, sulkulistan [tai varmentajien sulkulistan] osana nimenomaisesti julkaistavia henkilö- ja yritystietoja pidetään rajoitettuina, eikä niitä saa luovuttaa, ellei laeissa tai asetuksissa toisin vaadita. Yleensä vuositarkastusten tuloksia pidetään rajoitettuina lukuun ottamatta tämän varmennekäytäntölausuman 2.7 kohdassa ("Tulosten ilmoittaminen") mainittuja poikkeuksia. Jäljityslokit eivät yleensä ole julkisesti saatavilla. Kaikkia CommisSignin varmentajan hallussa olevia avaimia pidetään rajoitettuina, ja niitä saa luovuttaa ainoastaan valtuutetulle Euroopan komission organisaatioviranomaiselle tämän varmennekäytäntölausuman ja Euroopan komission PKI-järjestelmän turvallisuuspolitiikan mukaisesti tai lainvalvontaviranomaiselle Euroopan komission määräysten, yhteisön ja jäsenvaltioiden säädösten sekä tämän varmennekäytäntölausuman mukaisesti Tiedot, joita pidetään julkisina CommisSignin varmentajan myöntämissä julkisissa varmenteissa ja sen antamilla sulkulistoilla [ja varmentajien sulkulistoilla] olevia tietoja pidetään julkisina. Euroopan komission PKI-järjestelmän varmennepolitiikassa ja tässä varmennekäytäntölausumassa olevia tietoja pidetään julkisina Varmenteen sulkemista koskevien tietojen luovuttaminen Kun CommisSignin varmentaja sulkee varmenteen, sulkulistan toimenpidetietueeseen lisätään syykoodi. Tätä syykoodia pidetään julkisena, ja se voidaan ilmoittaa kaikille muille tilaajille ja luottaville osapuolille. Muita sulkemista koskevia tietoja ei kuitenkaan luovuteta. 25

26 Tietojen luovuttaminen lainvalvontaviranomaisille CommisSignin varmentaja ja rekisteröijät eivät luovuta varmennetta tai varmenteeseen liittyviä tietoja kolmannelle osapuolelle, paitsi jos: siihen annetaan valtuudet Euroopan komission PKI-järjestelmän turvallisuuspolitiikassa ja tässä varmennekäytäntölausumassa tiedot on luovutettava lakien, Euroopan komission määräysten, yhteisön ja jäsenvaltioiden säädösten tai tuomioistuinpäätöksen nojalla tilaaja antaa tarvittaessa valtuudet varmenteen asianmukaiseen käyttöön. Tietojen luovuttamista koskevat pyynnöt on allekirjoitettava ja toimitettava Euroopan komission paikalliselle rekisteröijälle tai CommisSignin varmentajalle Muut tietojen antamista koskevat seikat Ei määräyksiä Immateriaalioikeudet CommisSignin varmentajan myöntämät varmenteet ja sen antamat sulkulistat [ja varmentajien sulkulistat], Euroopan komission PKIjärjestelmän varmennepolitiikka ja tämä varmennekäytäntölausuma ovat Euroopan komission omaisuutta. 3. TUNNISTUS JA TODENNUS 3.1. Rekisteröinti Nimityypit Rekisteröijä noutaa komission hakemistojärjestelmästä seuraavat tiedot: tilaajan sukunimi (LASTNAME) tilaajan etunimi (FIRSTNAME) tilaajan käyttäjätunnus (CUID, yksilöivä ja yhdenmukaistettu sisäinen käyttäjätunnus) tilaajan komission sähköpostin SMTP-osoite (SMTP). Rekisteröijä olettaa, että: tilaajan käyttäjätunnus (CUID) ja tilaajan komission sähköpostin SMTPosoite yksilöivät tilaajan komission henkilöstössä tilaajan käyttäjätunnuksen (CUID) ja tilaajan komission sähköpostin SMTP-osoitteen välillä on yksi yhteen -suhde. 26

27 Rekisteröijä rakentaa varmenteen kohdenimen (SubjectName) seuraavaan muotoon:/cn=lastname FIRSTNAME (CUID) /E=SMTP. Rekisteröijä rekisteröi tilaajan kohdenimen (SubjectName) varmentajan tietokantaan Nimien merkitsevyys Jos tilaaja on henkilö, attribuutille Common Name osoitettu nimi on tilaajan nimi. Jos tilaaja on organisaatio, attribuutille Common Name osoitettu nimi on tehtäväkohtaisen postilaatikon nimi Eri nimimuotojen tulkintaa koskevat säännöt Ei määräyksiä Nimien yksilöivyys Varmenteen kohdenimi (SubjectName) yksilöi kunkin loppukäyttäjän CommisSignin varmentajan verkkoalueella. Komission käyttäjävastaavan on varmistettava tilaajan käyttäjätunnuksen (CUID) ja tilaajan komission sähköpostin SMTP-osoitteen yksilöivyys Nimiä koskeva riidanratkaisumenettely Riidat ratkaistaan komission käyttäjävastaavan harkinnan mukaan Tavaramerkkien tunnistus, todennus ja roolit Ei määräyksiä Yksityisen avaimen hallussapidon todistaminen Yksityisen avaimen hallussapitoa koskevat todisteet käsitellään suojatun yhteyskäytännön toimien avulla automaattisesti Organisaation henkilöllisyyden todentaminen Julkisen avaimen varmenteita myönnetään henkilöille aina, kun se on mahdollista. Jos useat henkilöt toimivat samassa ominaisuudessa, myönnetään ainoastaan salausvarmenne, joka sisältää tehtäväkohtaisen postilaatikon nimen. Tehtäväkohtaiseen postilaatikkoon ei myönnetä allekirjoitusvarmennetta. Tehtäväkohtaisen postilaatikon puolesta toimivat henkilöt käyttävät omaa henkilökohtaista allekirjoitusvarmennettaan. Organisaation tehtäväkohtaisen postilaatikon on oltava tilaajaksi haluavan puolesta toimimaan valtuutetun henkilön tekemä. Tämän valtuutetun henkilön on oltava organisaatiossa se henkilö, joka vastaa varmenteiden ja niihin liittyvien yksityisten avainten valvonnan varmistamisesta, mukaan luettuna siitä, minkä käyttäjän hallussa avaimet milloinkin ovat. 27

28 Tilaajaksi haluava tunnistetaan ja todennetaan seuraavasti: rekisteröijä todentaa tilaajaksi haluavan puolesta toimivan henkilön henkilöllisyyden ja valtuudet sekä valtuudet vastaanottaa avaimet organisaation puolesta rekisteröijä tai varmentaja pitää kirjaa käytetyn tunnistuksen tyypistä ja yksityiskohdista, ja rekisteröijä tai varmentaja säilyttää siitä postilaatikosta vastaavan henkilön nimen, jolle organisaatiovarmenne myönnetään. Organisaatiovarmenteen myöntämistä koskevat menettelyt eivät ole ristiriidassa tämän varmennekäytäntölausuman muiden määräysten (esimerkiksi avainten generoimista, yksityisen avaimen suojaamista ja käyttäjien velvoitteita koskevien määräysten) kanssa. [Kun myönnetään ristiinvarmenteita muille varmentajille, CommisSignin varmentaja myöntää ristiinvarmenteita muille varmentajille Euroopan komission varmennepolitiikkaviranomaisen suostumuksella. Euroopan komission varmennepolitiikkaviranomainen tarkastaa toisen varmentajan politiikan ja menettelyt ennen ristiinvarmennuksen hyväksymistä. CommisSignin varmentajan varmennekäytäntölausuma ja Euroopan komission PKI-järjestelmän X.509-varmennepolitiikka annetaan vastaavasti toisen varmentajan käyttöön tarkastusta varten.] Henkilön henkilöllisyyden todentaminen Tilaajaksi haluavan henkilön hakemuksen on oltava henkilön itse tekemä tai henkilön organisaation on tehtävä se henkilön puolesta. Ensiksi mainitussa tapauksessa tilaajan on oltava tietoinen. Jäljempänä kuvatun tunnistuksen ja todennuksen lisäksi tilaajaksi haluavan on henkilökohtaisesti käytävä paikallisen rekisteröijän luona todennusta varten ennen varmenteen myöntämistä. Rekisteröijän on hankittava vahvistus tilaajan yhteyksistä. Paikallisen rekisteröijän on hankittava vahvistus varmennetta hakevan tilaajan henkilöllisyydestä. Todennusmenettely sisältää jäljempänä kuvatut prosessit Tilaajan yhteyksien todentaminen Rekisteröijälle on annettava vahvistus tilaajan yhteyksistä Euroopan komissioon, ennen kuin tilaajalle voidaan myöntää varmenne. Todisteet tilaajan yhteyksistä annetaan Euroopan komission hakemiston kautta. Tilaajan läsnäoloa Euroopan komission hakemistossa valvotaan hallinnollisessa menettelyssä Tilaajan henkilöllisyyden todentaminen Paikallinen rekisteröijä todentaa henkilöllisyyden joko varmennepyynnön esittämishetkellä tai ennen pyyntöä rekisteröijän tiedostojen ja arkistojen todennusasiakirjoista. 28

29 Paikallisen rekisteröijän on todennettava vahvistus tilaajan henkilöllisyydestä virkakortin avulla Laitteiden tai sovellusten todentaminen Ei määräyksiä Varmenteen automaattinen uusiminen Varmenteen uusiminen tarkoittaa, että luodaan uusi varmenne, jossa on sama kohdenimi (SubjectName) uusi sarjanumero uusi julkinen avain mahdollisesti eri voimassaoloaika. Varmenteen automaattista uusimismenettelyä sovelletaan aina, kun käyttäjän varmenne ei ole enää voimassa. Tämä menettely on samanlainen kuin rekisteröintimenettely Varmenteen uusiminen sulkemisen jälkeen Tilaajiin, joiden varmenne on suljettu, on sovellettava samaa menettelyä kuin varmenteen automaattisessa uusimisessa Sulkemista koskeva pyyntö Sulkemista kuvataan tämän varmennekäytäntölausuman 4.4 kohdassa ("Varmenteen sulkeminen ja määräaikainen sulkeminen"). 4. TOIMINNALLISET VAATIMUKSET 4.1. Varmenteen hakeminen Ennen varmenteen myöntämistä tilaajan on esitettävä pyyntö. Pyyntö sisältää seuraavat tiedot: tilaajan täydellinen nimi tilaajan yhteydet Euroopan komissioon todisteet tilaajan yhteyksistä tilaajan komission sähköpostin SMTP-osoite tilaajan käyttäjätunnus (CUID) maininta siitä, että tilaaja hyväksyy tässä varmennekäytäntölausumassa vahvistetut ehdot. 29

30 Rekisteröijän todennusprosessin mukaan rekisteröijä voi halutessaan sisällyttää varmennepyyntöön lisätietoja, joista on apua henkilöllisyyden vahvistamisessa. Varmennepyynnön allekirjoittavat tilaaja (jos kyseessä on henkilön esittämä pyyntö) ja paikallinen rekisteröijä (allekirjoitetussa sähköpostiviestissä). Paikallinen rekisteröijä lähettää pyynnön rekisteröijälle. Rekisteröijä ja paikallinen rekisteröijä todentavat henkilöllisyyden varmennepyynnön esittäjän antamien tietojen avulla 3.1 kohdassa ("Organisaation henkilöllisyyden todentaminen" ja "Henkilön henkilöllisyyden todentaminen") kuvattujen vaatimusten mukaisesti. Todennuksen perusteella rekisteröijä joko hyväksyy tai hylkää varmennepyynnön. Rekisteröijä ilmoittaa tilaajalle hyväksymisestä tai hylkäämisestä. Rekisteröijä kirjaa varmennepyynnön johdosta toteutetut toimenpiteet ja todennustoimenpiteet sekä allekirjoittaa ja päivää pyynnön. Rekisteröijä säilyttää varmennepyynnön Varmenteen myöntäminen Jäljempänä kuvattu menettely on vakiomenettely: (1) Tilaaja lähettää varmennepyynnön PO:nsa paikalliselle rekisteröijälle (suora pyyntö) tai paikallinen rekisteröijä saa organisaatioltaan luettelon mahdollisista tilaajista (epäsuora pyyntö). (2) Paikallinen rekisteröijä välittää pyynnön rekisteröijälle allekirjoitetussa sähköpostiviestissä. (3) Paikallinen rekisteröijä ilmoittaa asiasta mahdollisille tilaajille ja varoittaa, että he saavat rekisteröijältä tunnistuskoodin ja paikalliselta rekisteröijältä toisen tunnistuskoodin. (4) Rekisteröijä suorittaa tilaajan hallinnollisen tarkastuksen ja lisää tilaajan kohdenimen (SubjectName) varmentajan tietokantaan. (5) Varmentaja lähettää rekisteröijälle suojatusti rekisteröintitiedoston, joka sisältää tilaajan kohdenimen (SubjectName) ja tunnistuskoodin C1. (6) Rekisteröijä lähettää suojatussa sähköpostiviestissä rekisteröintitiedoston sitä pyytäneelle paikalliselle rekisteröijälle. (7) Rekisteröijä lähettää tilaajalle luottamuksellisessa kirjeessä paperiasiakirjan, joka sisältää tilaajan tunnistuskoodin C1. (8) Paikallinen rekisteröijä todentaa tilaajan fyysisen olemassaolon saatuaan rekisteröijältä rekisteröintitiedoston. (9) Paikallinen rekisteröijä ottaa yhteyttä varmentajaan tilaajan olemassaolon vahvistamiseksi. (10) Varmentaja päivittää rekisteröintitiedoston ja lähettää paikalliselle rekisteröijälle toisen tunnistuskoodin C2. 30

31 (11) Paikallinen rekisteröijä lähettää tilaajalle rekisteröintitiedoston (levykkeellä, sähköpostitse) ja paperin, joka sisältää tunnistuskoodin C2. (12) Paikallinen rekisteröijä auttaa rekisteröityjä tilaajia, joilla on hallussaan rekisteröintitiedosto ja koodit C1 ja C2, generoimaan avaimensa ja hankkimaan varmenteen varmentajalta. Avainten generointiprosessin aikana rekisteröidyn tilaajan on oltava paikalla syöttämässä rekisteröijän ja paikallisen rekisteröijän tunnistuskoodit ja yksityisen avaimen alkuperäinen salasana. (13) Rekisteröity tilaaja tallentaa yksityisen avaimensa kiintolevylle, levykkeelle [tai toimikortille] PO:n tallennustavan mukaisesti. Varmenne julkaistaan päivittäin seuraavasti: (1) Varmentajan virkamiehet generoivat kaikki varmenteet sisältävän tiedoston ja toimittavat sen komission hakemiston ylläpitäjälle klo (2) Komission hakemiston ylläpitäjä päivittää varmenteet komission hakemistoon klo Jäljempänä kuvattu menettely on muutettu ja väliaikainen menettely "avaimen palautusta" varten PO:n tasolla. Tästä menettelystä luovutaan ja tavanomaista menettelyä sovelletaan, kun avainparit allekirjoitusta ja salausta varten sekä keskitetty avaimen palautuspalvelu viimeksi mainittua varten ovat saatavilla. Varmennepyyntöön sovelletaan seuraavaa väliaikaista menettelyä (merkki (*) osoittaa, ettei tavanomaista menettelyä ole muutettu): (1) Tilaaja lähettää varmennepyynnön PO:nsa paikalliselle rekisteröijälle (suora pyyntö) tai paikallinen rekisteröijä saa organisaatioltaan luettelon mahdollisista tilaajista (epäsuora pyyntö). (*) (2) Paikallinen rekisteröijä välittää pyynnön rekisteröijälle allekirjoitetussa sähköpostiviestissä. (*) (3) Paikallinen rekisteröijä ilmoittaa asiasta mahdollisille tilaajille ja varoittaa, että he saavat rekisteröijältä tunnistuskoodin ja paikalliselta rekisteröijältä toisen tunnistuskoodin. (*) (4) Rekisteröijä suorittaa tilaajan hallinnollisen tarkastuksen ja lisää tilaajan kohdenimen (SubjectName) varmentajan tietokantaan. (*) (5) Varmentaja lähettää rekisteröijälle suojatusti rekisteröintitiedoston, joka sisältää tilaajan kohdenimen (SubjectName) ja tunnistuskoodin C1. (*) (6) Rekisteröijä lähettää suojatussa sähköpostiviestissä rekisteröintitiedoston ja tunnistuskoodin C1 sitä pyytäneelle paikalliselle rekisteröijälle. 31

32 (7) Rekisteröijä lähettää tilaajalle (sähköpostitse) viestin, joka sisältää varmennepyynnön. (8) Paikallinen rekisteröijä todentaa tilaajan fyysisen olemassaolon saatuaan rekisteröijältä rekisteröintitiedoston. (*) (9) Paikallinen rekisteröijä ottaa yhteyttä varmentajaan tilaajan olemassaolon vahvistamiseksi. (*) (10) Varmentaja päivittää rekisteröintitiedoston ja lähettää paikalliselle rekisteröijälle toisen tunnistuskoodin C2. (*) (11) Paikallinen rekisteröijä, jolla on hallussaan rekisteröintitiedosto ja tilaajan kaksi tunnistuskoodia, luo avainparin. (12) Paikallinen rekisteröijä ottaa yhteyttä varmentajaan ja pyytää varmennetta (paikallinen rekisteröijä todistaa henkilöllisyytensä varmentajalle tilaajan kahdella tunnistuskoodilla). (13) Paikallinen rekisteröijä ottaa kopion avaintiedostosta, joka sisältää tilaajan yksityisen avaimen ja julkisen avaimen varmenteen, ja alkuperäisestä salasanasta. (14) Paikallinen rekisteröijä tallettaa avaintiedoston ja alkuperäisen salasanan suojattuun paikkaan tietoturvavastaavan valvontaan. (15) Paikallinen rekisteröijä luovuttaa tilaajalle avaintiedoston ja alkuperäisen salasanan. (16) Paikallinen rekisteröijä auttaa rekisteröityjä tilaajia tallentamaan avaintiedoston kiintolevylle tai levykkeelle PO:n tallennustavan mukaisesti Varmenteen hyväksyminen Tilaaja hyväksyy varmenteen käyttöä koskevan vastuunsa tämän varmennekäytäntölausuman 4.1 kohdassa kuvatussa varmenteen pyytämisprosessissa. Tilaaja allekirjoittaa asiakirjan, jossa hän hyväksyy tämän varmennekäytäntölausuman ehdot ja tilaajasopimuksen ehdot. Varmenne hyväksytään tämän varmennekäytäntölausuman 4.2 kohdassa kuvatussa varmenteen myöntämisprosessissa. Suojattuun yhteyskäytäntöön tilaajan ja CommisSignin varmentajan välillä kuuluvat osapuolten vastavuoroinen todentaminen sekä pyyntö- ja vastaustoimet, joissa tilaaja hyväksyy prosessista saatavat julkisen avaimen varmenteet Varmenteen sulkeminen ja määräaikainen sulkeminen Sulkemisen syyt Salausvarmenteet ja/tai allekirjoituksen todennusvarmenteet suljetaan, kun varmenteisiin ei jostakin syystä enää luoteta. Tämä koskee tilaajien, rekisteröijien ja varmentajan virkamiesten varmenteita. Luottamus varmenteisiin voidaan menettää muun muassa seuraavista syistä: 32

33 työsuhteen purkaminen tai erottaminen yksityisten avainten ja/tai käyttäjien salasanojen ja profiilin vaarantuminen tai epäilty vaarantuminen työsuhteen päättyminen tästä asiakirjasta ja asianomaisesta varmennepolitiikasta johtuvien velvoitteiden laiminlyönti Oikeus pyytää sulkemista Varmenteen sulkemista voivat pyytää ainoastaan seuraavat tahot: tilaaja, jonka nimissä varmenne on myönnetty varmennepyynnön tehtäväkohtaisen postilaatikon puolesta esittänyt henkilö tilaajan esimies, jos tilaaja kuuluu Euroopan komission henkilöstöön CommisSignin varmentajan henkilöstö CommisSignin varmentajaan liittyvän rekisteröijän henkilöstö turvallisuusyksikön johtaja nimittävä viranomainen (AIPN) Euroopan komission varmennepolitiikkaviranomainen Sulkupyyntömenettely [ei vielä toteutettu] [tarkistetaan, kun toteutetaan] Varmenteen sulkemista pyytävän tahon on ilmoitettava asiasta paikalliselle rekisteröijälle, täytettävä ja allekirjoitettava sulkemista koskeva kirjallinen suostumus sekä käytävä paikalla henkilökohtaisesti tunnisteensa kanssa. Paikallinen rekisteröijä vastaa varmenteen sulkemisten ja uusimisten käsittelystä. Varmenteen sulkemista on pyydettävä paikalliselta rekisteröijältä kirjallisesti. CommisSignin varmentaja päivittää sulkulistan välittömästi, kun rekisteröijä kirjautuu sisään varmentajan palvelimelle käsittelemään sulkemista. Paikallinen rekisteröijä ilmoittaa asiasta mahdollisimman pian sulkemista pyytäneelle taholle. Suljetut varmenteet julkaistaan sulkulistoilla ja lähetetään Euroopan komission hakemistoon tämän varmennekäytäntölausuman 4.4 kohdan ("Sulkulistojen antotiheys") mukaisesti. Rekisteröijät voivat välittömästi lähettää sulkulistan, jos se katsotaan tarpeelliseksi. Tarkastusta varten on saatava kirjallinen suostumus, jossa on oltava seuraavat tiedot: sulkupyynnön päiväys 33

34 varmenteen haltijan (eli tilaajan) nimi täsmällinen syy sulkupyyntöön sulkemista pyytävän henkilön nimi ja ammattinimike sulkemista pyytävän henkilön yhteystiedot sulkemista pyytävän henkilön allekirjoitus. Kirjalliset suostumukset lähetetään rekisteröijälle. Kun pyydetään tilaajan varmenteen välitöntä sulkemista, pyyntö on lähetettävä rekisteröijälle sähköpostitse tai puhelimitse ja vahvistettava kirjallisella suostumuksella. Saatuaan ja vahvistettuaan kirjallisen suostumuksen rekisteröijä sulkee tilaajan varmenteen kirjautumalla sisään varmentajan palvelimelle ja sulkemalla varmenteen. Rekisteröijä kirjaa tapahtuman rekisteröijän hallinnon lokiin. Rekisteröijä kirjaa kirjallisen suostumuksen johdosta toteutetut toimenpiteet sekä allekirjoittaa ja päivää suostumuksen. Rekisteröijä säilyttää sulkemista koskevan kirjallisen suostumuksen Sulkupyynnön armonaika Ei määräyksiä Määräaikaisen sulkemisen syyt Ei määräyksiä Oikeus pyytää määräaikaista sulkemista Ei määräyksiä Määräaikainen sulkupyyntömenettely Ei määräyksiä Määräaikaisen sulkemisen kesto Ei määräyksiä Sulkulistojen antotiheys CommisSignin varmentaja antaa sulkulistat [ja varmentajien sulkulistat] Euroopan komission hakemistoon 24 tunnin välein. Sulkulistat [ja varmentajien sulkulistat] annetaan seitsemänä päivänä viikossa. Sulkulistat [ja varmentajien sulkulistat] voidaan poikkeuksellisesti antaa myös muulloin (esimerkiksi jos havaitaan vakava vaarantumistilanne) Sulkulistan tarkistusvaatimukset [Kussakin CommisSignin varmentajan myöntämässä varmenteessa on oltava sulkulistan jakelupisteen (Distribution Point) täydellinen hakemistonimi (DN), joka tarkistetaan varmenteen todennuksen aikana.] 34

35 Ennen varmenteen käyttöä luottavien osapuolten on tarkistettava sen tila ajantasaisesta sulkulistasta. Jos sulkutietojen saaminen on väliaikaisesti mahdotonta, luottavan osapuolen on joko estettävä varmenteen käyttö tai hyväksyttävä tietoisesti riskit, vastuu ja seuraukset sellaisen varmenteen käyttämisestä, jonka aitoutta ei pystytä takaamaan tämän varmennekäytäntölausuman vaatimusten mukaisesti Mahdollisuus varmenteen sulkemiseen tai sen tilan tarkistamiseen verkossa Euroopan komission PKI-järjestelmä ei toistaiseksi tue varmenteen sulkemista tai sen tilan tarkistamista verkossa Verkossa tapahtuvan varmenteen sulkemisen tarkistusvaatimukset Ei määräyksiä Muut saatavilla olevat sulkuilmoitukset Ei määräyksiä Muiden sulkuilmoitusten tarkistusvaatimukset Ei määräyksiä Avaimen vaarantumista koskevat erityisvaatimukset Avaimen vaarantuminen on turvallisuuteen liittyvä välikohtaus, joka on käsiteltävä. Avaimen vaarantumistilanteessa, joka koskee loppukäyttäjän avainta, paikalliselle rekisteröijälle annetaan raportti, jossa selvitetään vaarantumisen olosuhteet. Jos kyseessä oli pyytäjän vahinko, lisätoimenpiteitä ei tarvita. Muulloin paikallinen rekisteröijä ilmoittaa vaarantumisesta turvallisuusyksikölle mahdollista jatkotutkimusta ja mahdollisia toimenpiteitä varten tietoturvallisuuspolitiikassa kuvattujen menettelyjen mukaisesti. Vaarantumistilanteessa tai epäillyssä vaarantumistilanteessa, joka koskee CommisSignin varmentajan allekirjoitusavainta, CommisSignin varmentaja ilmoittaa asiasta välittömästi varmennepolitiikkaviranomaiselle. CommisSignin varmentaja ilmoittaa asiasta yhteistyössä Euroopan komission varmennepolitiikkaviranomaisen kanssa kaikille varmentajille, joille se on myöntänyt ristiinvarmenteita Turvajäljitysmenettelyt [ei vielä toteutettu] [tarkistetaan, kun toteutetaan] Kirjattavat tapahtumat [Kaikki merkittävät turvallisuuteen liittyvät tapahtumat CommisSignin varmentajan ohjelmistoissa aikaleimataan automaattisesti ja kirjataan jäljityslokitiedostoihin. Näihin kuuluvat seuraavat tapahtumat: 35

36 onnistuneet ja epäonnistuneet yritykset alustaa, poistaa, valtuuttaa, mitätöidä, päivittää ja palauttaa tilaajia, heidän avaimiaan ja varmenteita onnistuneet ja epäonnistuneet yritykset luoda avainten ja varmenteiden salasanoja, poistaa niitä, kirjautua sisään niitä käyttämällä, asettaa niitä, asettaa niitä uudelleen ja muuttaa niitä, peruuttaa käyttöoikeuksia sekä luoda, päivittää ja palauttaa avaimia ja varmenteita varmentajan virkamiehille, rekisteröijille ja tilaajille epäonnistunut vuorovaikutus hakemiston kanssa, mukaan luettuina varmentajan järjestelmän onnistuneet ja epäonnistuneet yhteysyritykset sekä luku- ja kirjoitustoimet kaikki tapahtumat, jotka liittyvät varmenteen sulkemiseen, turvallisuuspolitiikan muuttamiseen ja validointiin, varmentajan ohjelmistojen käynnistykseen ja sulkemiseen, tietokannan varmistukseen, ristiinvarmennukseen, varmenteen ja varmenneketjun validointiin, attribuuttivarmenteiden hallintaan, käyttäjien päivitykseen, DN-tietueen muuttamiseen ja tietokannan jäljitysketjuun ylläpitämistä koskevat, varmenteen elinkaaren hallintaa koskevat ja muut sekalaiset tapahtumat järjestelmän käynnistys ja sulkeminen. Varmentajan järjestelmän ylläpitäjä ylläpitää tietoja seuraavista: järjestelmän kokoonpanon muutokset ja ylläpito ylläpitäjän käyttöoikeudet poikkeavuuksia ja vaarantumisia koskevat raportit luvattomat verkkoyhteysyritykset varmentajan järjestelmään. Varmentajan tiloissa on sähköinen seurantajärjestelmä, josta saa tietoja pääsystä CommisSignin varmentajan tiloihin.] Jäljityslokin käsittelytiheys [Euroopan komission varmentajan virkamiehet käsittelevät jäljityslokit viikoittain ja tutkivat niistä kaikki hälytykset tai sääntöjenvastaisuudet.] Jäljityslokin säilytysaika [Jäljitysketjut säilytetään sähköisesti pysyvästi osana CommisSignin varmentajan kokoonpanoa. Jäljityslokien arkistomenettelyjä kuvataan tämän varmennekäytäntölausuman 4.5 kohdassa ("Jäljityslokin varmistusmenettelyt").] 36

37 Jäljityslokin suojaaminen [Jäljitysketju tallennetaan tavallisiin käyttöjärjestelmän erillistiedostoihin. Kussakin jäljitysketjutiedostossa on jäljitysotsikko, jossa on tietoa tiedostossa olevista jäljityksistä, ja luettelo tapahtumista. Kullekin jäljitystapahtumalle ja jäljitysotsikolle luodaan MAC-koodi (Message Authentication Code). Kullakin jäljitysketjutiedostolla on erilainen jäljitysavain, jota käytetään MAC-koodin luomiseen. Euroopan komission varmentajan pääkäyttäjä CommisSignin varmentajassa suojaa jäljitysavainta, joka tallennetaan jäljitysotsikkoon. Jäljitysketju voidaan jakaa moniin tiedostoihin. Uusi jäljitysketjutiedosto luodaan aina, kun käytössä oleva jäljitysketjutiedosto saavuttaa ennalta asetetun 100 kilotavun koon tai kun varmentajan yleisavain päivitetään.] Jäljityslokin varmistusmenettelyt [Jäljitysketjut varmistetaan joka yö osana säännöllistä varmentajan järjestelmän varmistusta. Varmentajan järjestelmän ylläpitäjä arkistoi jäljitysketjutiedostot viikoittain. Kaikki tiedostot, mukaan luettuna uusin jäljitysketjutiedosto, siirretään magneettinauhoille ja varastoidaan suojattuihin arkistotiloihin.] Jäljitysketjun keräysjärjestelmä [Jäljitysketjun keräysjärjestelmä toteutetaan CommisSignin varmentajan ohjelmistojärjestelmän osana.] Ilmoitus tapahtuman aiheuttajalle [Kun jäljitysketjun keräysjärjestelmä kirjaa tapahtuman, ilmoitusta ei lähetetä jäljitystapahtuman aiheuttaneelle henkilölle. Aiheuttajalle voidaan ilmoittaa toimenpiteen onnistumisesta tai epäonnistumisesta mutta ei toimenpiteen tarkastamisesta.] Haavoittuvuuden arviointi [CommisSignin varmentajan järjestelmän ylläpitäjä ja varmentajan virkamiehet käyttävät järjestelmien turvatarkastusmenettelyjä koskevassa tämän varmennekäytäntölausuman kohdassa kuvattuja prosesseja järjestelmän haavoittuvuuden seurantaan, arviointiin ja tarvittaessa ratkaisemiseen.] 4.6. Tietojen arkistointi [ei vielä toteutettu] [tarkistetaan, kun toteutetaan] Arkistoitavat tiedot [Rekisteröijän ja paikallisen rekisteröijän tehtävien yhteydessä rekisteröijälle ja paikallisille rekisteröijille toimitetaan monenlaisia asiakirjoja. Näihin kuuluvat seuraavat asiakirjat: tunnistustiedot varmennepyynnöt 37

38 varmenteen sulkemista koskevat suostumukset avaimen palautusta koskevat suostumukset. Osa tiedoista on henkilötietoja ja kuuluu 18 päivänä joulukuuta 2000 annetun Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 45/2001 soveltamisalaan. Nämä tiedot on säilytettävä suojatusti asetuksen vaatimusten mukaisesti. Ainoastaan rekisteröijän henkilöstöllä on pääsy näihin tietoihin. Varmentajan järjestelmätietokantaan kirjattavia tapahtumia ovat seuraavat: varmentajan allekirjoitusavainparin luominen loppukäyttäjien lisääminen järjestelmään ja poistaminen sieltä muutokset salausavainparin historiassa ja julkisen todennusavaimen historiassa kaikkien käyttäjien osalta, mukaan luettuina varmenteen myöntämis- ja sulkemistapahtumat muutokset loppukäyttäjien DN-tietueessa rekisteröijän ja varmentajan virkamiesten käyttöoikeuksien lisääminen tai poistaminen muutokset rekisteröijän ja varmentajan virkamiesten käyttöoikeuksissa muutokset joissakin politiikan osissa, kuten varmenteen voimassaoloajassa ristiinvarmenteiden luominen ja sulkeminen. Lisäksi CommisSignin varmentajan järjestelmä antaa tämän varmennekäytäntölausuman 4.5 kohdassa kuvattuja jäljityslokitietoja.] Arkiston säilytysaika [Jäljitystiedot (ks. tämän varmennekäytäntölausuman 4.5 kohta), tilaajien avaimia ja varmenteita koskevat pyynnöt tai suostumukset sekä tunnistus- ja todennustiedot arkistoidaan viiden vuoden ajaksi.] [Digitaaliset allekirjoitusvarmenteet, varmentajan säilyttämät yksityiset luottamuksellisuusavaimet, varmentajan generoimat [varmentajien sulkulistat ja] sulkulistat arkistoidaan Euroopan komission sääntöjen ja asianomaisten jäsenvaltioiden säädösten mukaisesti.] Arkiston suojaaminen [CommisSignin varmentajan järjestelmä suojaa varmentajan järjestelmätietokantaa [ja salaa sen]. Jäljitysketjun suojaamista kuvataan tämän varmennekäytäntölausuman 4.5 kohdassa ("Jäljityslokin suojaaminen"). 38

39 Arkiston tietovälineitä suojataan fyysisin turvatoimin siten, että ne säilytetään tiloissa, jonne ainoastaan CommisSignin varmentajan järjestelmän ylläpitäjillä ja varmentajan pääkäyttäjillä on pääsy.] Arkiston varmistusmenettelyt [Arkistotiedostot varmistetaan, kun ne luodaan. Alkuperäisiä tiedostoja säilytetään paikan päällä ja ne talletetaan CommisSignin varmentajan järjestelmään. Varmistustiedostot varastoidaan suojattuun ja erilliseen maantieteelliseen paikkaan.] Arkiston keräysjärjestelmä [CommisSignin varmentajan järjestelmätietokannan arkiston keräysjärjestelmä (varmistustoiminto) on CommisSignin varmentajan järjestelmän sisäinen. Jäljitysketjutiedostojen arkiston keräysjärjestelmää (varmistustoimintoa) kuvataan tämän varmennekäytäntölausuman 4.5 kohdassa ("Jäljityslokin varmistusmenettelyt" ja "Jäljitysketjun keräysjärjestelmä"). Sekä tiedostojen arkistointi erillisille tietovälineille että näiden tietovälineiden suojattu säilytys toteutetaan CommisSignin varmentajan järjestelmän ulkopuolella.] Arkistotietojen saamista ja tarkistamista koskevat menettelyt [CommisSignin varmentajan virkamies noutaa arkistonauhat kaksi kertaa vuodessa ja tarkistaa, etteivät tiedot ole vahingoittuneet tai kadonneet. Jos tietoja on vahingoittunut tai kadonnut, noudetaan varmistusarkisto, josta tulee uusi pääarkisto, ja otetaan uusi varmuuskopio. Kustakin arkistosta otetaan uusi varmuuskopio joka viides vuosi, vaikka pää- tai varmistusarkiston tietojen vahingoittumisesta tai katoamisesta ei olisi todisteita. Kussakin nauhassa uudesta varmuuskopiosta tulee pääarkisto, entisestä pääarkistosta tulee varmistusarkisto ja entinen varmistusarkistonauha kierrätetään suojatusti.] 4.7. Avaimen vaihto Ks. tämän varmennekäytäntölausuman 3.2 ja 3.3 kohta Vaarantumis- ja katastrofitilanteita koskeva palautusmenettely [ei vielä toteutettu] [tarkistetaan, kun toteutetaan] Tietokoneresurssien, ohjelmistojen ja/tai tietojen turmeltuminen Katastrofi- tai vakavissa vaarantumistilanteissa seuraavia toimenpiteitä sovelletaan CommisSignin varmentajaan ja rekisteröijiin. Suojatun ympäristön palauttaminen sisältää seuraavat vaiheet: (1) Kaikki CommisSignin varmentajan järjestelmän salasanat vaihdetaan varmentajan pääkäyttäjille, varmentajan virkamiehille ja rekisteröijille (kun varmentaja vaarantuu). 39

40 (2) Katastrofin luonteen mukaan jotkin tai kaikki käyttäjävarmenteet suljetaan. (3) Jos hakemistosta tulee epävakaa tai jos hakemistoa epäillään turmeltuneeksi, hakemistotiedot, salausvarmenteet ja sulkulistat on palautettava. Kun hakemiston ylläpitäjä on palauttanut hakemiston varmuuskopiosta, varmentajan pääkäyttäjä päivittää PKI-tiedot hakemistoon. PKI-tietoihin kuuluvat sulkulistat ja varmenteet, jotka ovat muuttuneet hakemiston edellisen varmistuksen jälkeen. (4) Jos on palautettava varmentajan virkamiehen tai rekisteröijän profiileja, toinen varmentajan virkamies tai rekisteröijä voi palauttaa ne. Varmentajan avaimen vaarantuminen, ks. 4.4 kohta ("Avaimen vaarantumista koskevat erityisvaatimukset") Käyttäjän avaimen palautus Vakiomenettelyä on muutettu, jotta avaimen palautusmenettelyä voidaan soveltaa PO:n tasolla. PO:n tietoturvavastaava säilyttää yksityisen avaimen kopion ja siihen liittyvän alkuperäisen salasanan suojatulla ja pääsyvalvotulla alueella. Ainoastaan tietoturvavastaavalla tai asianmukaisesti valtuutetulla virallisella edustajalla on pääsy avaimiin ja salasanoihin. Ainoastaan paikalliset rekisteröijät voivat suorittaa avaimen palautuksia. Paikallinen rekisteröijä ja tietoturvavastaava ovat läsnä valtuuttamassa ja suorittamassa avaimen palautustoimia. Elleivät paikallinen rekisteröijä ja tietoturvavastaava ole saatavilla, varmentajan virkamiehet toimivat hätätapauksissa ylläpitäjän sijaisena. Avain voidaan noutaa kolmessa tapauksessa: käyttäjän pyynnöstä kurinpitovastaavan tai vastaavan sisäisen tahon pyynnöstä pääjohtajan pyynnöstä, jos käyttäjän pysyvä tai merkittävä käytettävyyden estyminen haittaa vakavasti palvelun etuja. [Avaimen palautuspyynnöt muissa kuin hätätilanteissa on toteutettava 48 tunnin kuluessa. Hätätilanteissa otetaan yhteyttä paikalliseen rekisteröijään.] Avaimen palautus käyttäjän pyynnöstä Tilaaja voi pyytää avaimen palautusta esimerkiksi seuraavista syistä: tilaaja unohtaa salasanan tilaaja kadottaa yksityisen avaimen tiedoston tai vahingoittaa sitä. Tilaajan suojaamiseksi luvattomilta pyynnöiltä tilaajan on järjestettävä, että hän voi olla henkilökohtaisesti paikalla 40

41 annettava paikalliselle rekisteröijälle kirjallinen suostumus, jossa ilmoitetaan palautuksen syy. Kirjallisen suostumuksen saatuaan paikalliset rekisteröijät todentavat silmämääräisesti työntekijän virkakorttia käyttävän tilaajan henkilöllisyyden sekä palauttavat avaimen. Paikallinen rekisteröijä kirjaa palautustapahtuman tarkastusta varten. Paikallinen rekisteröijä kirjaa kirjallisen suostumuksen johdosta toteutetut toimenpiteet sekä allekirjoittaa ja päivää suostumuksen. Paikallinen rekisteröijä säilyttää palautusta koskevan kirjallisen suostumuksen. Tämän jälkeen paikallinen rekisteröijä antaa tilaajalle ohjeita uusien valtuutustietojen saamiseksi Avaimen palautus kolmannen osapuolen pyynnöstä Avain voidaan palauttaa ilman tilaajan suostumusta esimerkiksi seuraavista syistä: tilaaja on lähtenyt organisaatiosta ja tilaajan esimiehen tai osaston johdon on voitava avata tiedostot toiminnan jatkuvuuden takia Euroopan komissio kyseenalaistaa tilaajan toimet, ja tilaajan tiedostot on tutkittava ulkopuolinen lainvalvontaviranomainen kyseenalaistaa tilaajan toimet, ja tilaajan tiedostot on tutkittava. Avaimen palautusta pyytävän tahon on otettava yhteyttä omaan tietoturvavastaavaansa. Sekä tilaajan pääjohtajan että avaimen palautusta pyytävän tahon antama kirjallinen suostumus toimitetaan paikallisille rekisteröijille ennen toimenpiteen suorittamista. Pyynnössä on oltava seuraavat tiedot: palautuspyynnön päiväys avainten haltijan (eli tilaajan) nimi palautusta pyytävän tahon nimi ja Euroopan komission organisaatio yksityiskohtainen syy tilaajan tiedostojen käyttöoikeuden pyytämiseen sellaisen (yhden tai useamman) henkilön nimi, joka saa nähdä tilaajan tiedostot ja joka vastaa siitä, jos nimeämättömät henkilöt katsovat myöhemmin tiedostoja kuvaus katsottavista tilaajan tiedostoista (ja/tai niiden nimet) tai ilmoitus suostumuksesta kaikkien tiedostojen käyttöön kuvaus paikallisen rekisteröijän roolista avaimen palautustoimien ohella, mukaan luettuna siitä, mitä tietoja on annettava, jos tilaaja kysyy muutoksesta CommisSignin varmentajan käytettävyydessä. 41

42 Saatuaan kirjallisen suostumuksen paikalliset rekisteröijät ottavat yhteyttä asianomaisiin osapuoliin ja sopivat avaimen palautustoimien aikataulun. [Huomautus: Tietyissä tilanteissa paikalliselle rekisteröijälle voidaan antaa avaimen palautusta koskeva tuomioistuinpäätös. Näissä tilanteissa tuomioistuinpäätös vastaa kirjallista suostumusta.] Palautusta pyytävän tahon olisi mahdollisuuksien mukaan tuotava levyke, joka sisältää suunnitellussa palautusprosessissa katsottavat tilaajan tiedostot. Paikalliset rekisteröijät voivat (tietoturvavastaavan valvonnassa) ladata tiedostoja paikalliselle koneelle avaamista tai katsomista vasten ja poistaa avatut tiedostot prosessin päätteeksi, jotta luvattomat henkilöt eivät pääse katsomaan tiedostoja. Palautusta pyytävän tahon olisi ensin vahvistettava, että paikallisten rekisteröijien koneissa on tiedostojen katsomiseen tarvittavat ohjelmistot. Ellei näin ole, paikalliset rekisteröijät voivat tulla palautusta pyytävän tahon luokse Euroopan komission tiloihin. Saatuaan kirjallisen suostumuksen paikalliset rekisteröijät todentavat silmämääräisesti työntekijän tunnistetta käyttävän (yhden tai useamman) valtuutetun henkilön henkilöllisyyden, palauttavat avaimen ja kirjaavat palautustapahtuman. Paikalliset rekisteröijät kirjaavat kirjallisen suostumuksen johdosta toteutetut toimenpiteet sekä allekirjoittavat ja päiväävät suostumuksen. Paikalliset rekisteröijät säilyttävät kirjallisen suostumuksen tarkastusta varten. Jos tilaaja säilyttää käytettävyyttä koskevat käyttöoikeudet CommisSignin varmentajaan sen jälkeen, kun pyydetty avain on palautettu, rekisteröijät palauttavat uudelleen avaimen, jotta tilaaja voi varmistua siitä, ettei kellään ole enää pääsyä tämän avaintietoihin. Paikallinen rekisteröijä voi tarvittaessa mitätöidä palautetun tilaajan CommisSignin varmentajan käyttäjätunnuksen suunnitellun prosessin jälkeen, jos on pyydetty lyhyttä etäkatselua. Käyttäjätunnus aktivoidaan uudelleen palautusta pyytävän tahon antamien ohjeiden mukaan. Ulkopuolisella taholla tarkoitetaan mitä tahansa lainvalvontaviranomaista. Ulkopuolisen tahon pyynnöt on käsiteltävä turvallisuusyksikön kautta. Ulkopuolisen tahon pyyntöihin sovelletaan samoja vaiheita kuin avaimen palautukseen ilman tilaajan suostumusta Palautumissuunnitelma [CommisSignin varmentajalla on palautumissuunnitelma, jossa kuvataan palautusmenettelyjä katastrofin tai vakavan vaarantumisen jälkeen. Varavarmentaja on määritetty toimimaan palautumista varten perustettuun varatoimipisteeseen vaihtoehtoisessa Euroopan komission keskuksessa.] 42

43 4.9. Varmentajan lakkauttaminen Jos CommisSignin varmentaja lakkautetaan, Euroopan komission varmennepolitiikkaviranomainen valvoo lakkauttamisprosessia. Rekisteröijä ja paikalliset rekisteröijät ilmoittavat yhteistyössä varmentajan kanssa kaikille tilaajille CommisSignin varmentajan toiminnan lakkauttamisesta. Kaikki CommisSignin varmentajan myöntämät varmenteet suljetaan. Euroopan komissio säilyttää CommisSignin varmentajan tietokannan arkiston tietoturvallisuuspolitiikan sekä Euroopan komission sääntöjen ja jäsenvaltioiden säädösten mukaisesti. 5. FYYSISET SEKÄ MENETTELYJÄ JA HENKILÖSTÖÄ KOSKEVAT TURVATARKASTUKSET 5.1. Fyysiset turvatarkastukset Tilojen sijainti ja rakenne Fyysinen pääsy CommisSignin varmentaja on sijoitettu alueelle, jolle pääsyä valvotaan tulokohdan kautta ja jolle pääsy rajataan valtuutetulle henkilöstölle. Siellä sijaitsevat tilat lukitaan ja niitä seurataan sähköisesti 24 tuntia vuorokaudessa seitsemänä päivänä viikossa. [Fyysisestä pääsystä turvallisuusyksikön tiloihin pidetään sähköisiä lokeja.] CommisSignin varmentajan tilat on lukittu, ja niihin pääsee ainoastaan valtuutettu ja asianmukaisesti seulottu henkilöstö. Henkilöstöön, jolla on pääsy CommisSignin varmentajan tiloihin, kuuluvat ainoastaan CommisSignin varmentajan pääkäyttäjät, varmentajan virkamiehet ja varmentajan järjestelmän ylläpitäjä. [Rekisteröijän järjestelmät on sijoitettu tiloihin, joihin pääsy on rajoitettu.] Keskitetyt rekisteröijät suojataan loogisesti toimikortilla. Tilaajien on noudatettava tätä varmennekäytäntölausumaa ja Euroopan komission varmennepolitiikkaa avaintensa suojaamisessa ja käytössä. Tilaajille kerrotaan näistä vaatimuksista, mutta tilaajia ei tarkasteta tai seurata säännöllisesti Sähkö ja ilmastointi Vesivahingot Euroopan komission varmentajan tiloissa on riittävä sähkö ja ilmastointi luotettavan käyttöympäristön luomiseen. Tiloissa olevilla henkilöstön alueilla on riittävät palvelut käyttöä, terveyttä ja turvallisuutta koskevien tarpeiden täyttämiseen. CommisSignin varmentajan työasema ei ole alttiina vesivahingoille. 43

44 Palontorjunta [CommisSignin varmentajan tiloissa on Euroopan komission HST Service policy and code -asiakirjassa tarkoitettu palonsammutusjärjestelmä.] Tietovälineiden säilytys Jätehuolto [CommisSignin varmentajan käyttämät muistivälineet on suojattu lämmön, kosteuden ja magneettisuuden aiheuttamilta ympäristöuhkilta.] CommisSignin varmentajan tiedostojen tietojen säilyttämiseen tarkoitetut välineet puhdistetaan tai tuhotaan, ennen kuin ne annetaan hävitettäviksi. Tavanomainen toimistojäte poistetaan tai tuhotaan paikallisten Euroopan komission määräysten mukaisesti Varmistus tilojen ulkopuolella [ei sovelleta] [Varavarmentajan tiloissa on vastaava turvallisuus ja tarkastukset kuin varsinaisen CommisSignin varmentajan tiloissa.] 5.2. Menettelyjä koskevat tarkastukset Luotetut roolit [Näissä rooleissa toimivan henkilöstön on läpäistävä kriittis-arkaluonteisten tointen taustatutkimukset. Taustatutkimusten perusteita ja muita henkilöstön turvatarkastuksia käsitellään jäljempänä.] Varmentajan luotetut roolit Turvallisuusyksikkö vastaa CommisSignin varmentajan toiminnasta. Sillä on jäljempänä kuvatut varmentajan toiminnasta vastaavan viranomaisen, varmentajan virkamiesten ja varmentajan järjestelmän ylläpitäjien roolit. Jotta yksi henkilö ei yksin pysty kiertämään varotoimenpiteitä, monet roolit ja henkilöt jakavat CommisSignin varmentajan tehtävät. Kullakin käyttäjätunnuksella on CommisSignin varmentajan järjestelmässä henkilön rooliin suhteutetut rajalliset valtuudet. CommisSignin varmentajalla on seuraavat roolit: Varmentajan pääkäyttäjät [Kolme henkilöä nimetään varmentajan pääkäyttäjiksi.] Varmentajan toiminnasta vastaava viranomainen nimeää pääkäyttäjät. Pääkäyttäjillä on seuraavat valtuudet: CommisSignin varmentajan yleisavaimen luominen ja ylläpitäminen varmentajan palvelimen salasanojen muuttaminen 44

45 toimiminen varmistuksena varmentajan virkamiehille, jos nämä ovat unohtaneet salasanansa. Varmentajan virkamiehet [Kolme henkilöä nimetään varmentajan virkamiehiksi.] Varmentajan toiminnasta vastaava viranomainen nimeää varmentajan virkamiehet. Varmentajan virkamiehillä on seuraavat valtuudet: CommisSignin varmentajan turvallisuuspolitiikan laatiminen ja muuttaminen tämän varmennekäytäntölausuman ja Euroopan komission varmennepolitiikan mukaisesti tarvittavien valtuuksien määrän vahvistaminen arkaluonteisia toimia varten rekisteröijän ja paikallisten rekisteröijien lisääminen ja poistaminen [ristiinvarmennussopimusten myöntäminen, päivittäminen ja peruuttaminen Euroopan komission varmennepolitiikkaviranomaisen ohjeiden mukaan] rekisteröijän ja paikallisten rekisteröijien toimikortin PIN-koodin muuttaminen varmenteen profiilin oletusarvojen asettaminen (voimassaoloajat ja niin edelleen) jäljityslokien käsitteleminen ja PKI-järjestelmätietokannan varmistuksen takaaminen. Varmentajan järjestelmän ylläpitäjät [Kaksi henkilöä nimetään varmentajan järjestelmän ylläpitäjiksi, ja näistä toinen toimii varalla.] Varmentajan toiminnasta vastaava viranomainen nimeää varmentajan järjestelmän ylläpitäjät. Varmentajan järjestelmän ylläpitäjillä on seuraavat tehtävät: CommisSignin varmentajan laitteistojen ja ohjelmistojen asianmukaisen toiminnan ja kokoonpanon ylläpitäminen CommisSignin varmentajan järjestelmän varmistuksen suorittaminen Rekisteröijän luotetut roolit Vähintään kaksi henkilöä nimetään rekisteröijiksi. Rekisteröijillä on seuraavat valtuudet: varmennepyyntöjen[, varmenteen sulkemista ja määräaikaista sulkemista koskevien pyyntöjen][ ja avaimen palautusta koskevien pyyntöjen] hyväksyminen ja käsitteleminen hakijan henkilöllisyyden todentaminen 45

46 hakijan tietojen siirtäminen varmentajalle tilaajan valtuustietojen saaminen ja jakaminen Paikallisen rekisteröijän luotetut roolit Vähintään kaksi henkilöä kustakin pääosastosta tai itsenäisestä yksiköstä (edustustot,...) nimetään paikallisiksi rekisteröijiksi. Paikallisilla rekisteröijillä on seuraavat valtuudet: varmennepyyntöjen hyväksyminen ja käsitteleminen hakijan tietojen siirtäminen varmentajalle tilaajan valtuustietojen vastaanottaminen rekisteröijältä hakijan henkilöllisyyden ja fyysisen läsnäolon todentaminen valtuustietojen jakaminen tilaajalle tilaajan avustaminen avaimen ja varmenteen luomisprosessin aikana Kuhunkin tehtävään tarvittavien henkilöiden määrä Seuraavat tehtävät määritellään arkaluonteisiksi, ja niiden suorittamiseen tarvitaan vähintään kaksi henkilöä. Kahdella varmentajan virkamiehellä on seuraavat tehtävät: muiden varmentajan virkamiesten ja rekisteröijien lisääminen ja poistaminen varmenteen profiilien oletusarvojen asettaminen. Paikallisella rekisteröijällä ja tietoturvavastaavalla on seuraavat tehtävät: avaimen palautuksen suorittaminen Tunnistus ja todennus kutakin roolia varten Tunnistuksessa ja todennuksessa rekisteröijän ja paikallisen rekisteröijän henkilöstöä varten noudatetaan 5.3 kohdassa kuvattuja vaatimuksia. Kun kyseinen henkilöstö on valtuutettu, henkilöille myönnetään varmenne ja toimikortti, jolla heidät tunnistetaan ja todennetaan CommisSignin varmentajan järjestelmään. CommisSignin varmentajan tietokantaan myös lisätään heidän roolinsa ja valtuutensa. Arkaluonteisissa toimissa rekisteröijän ja paikallisen rekisteröijän henkilöstö todistaa henkilöllisyytensä toimikortin avulla. 46

47 5.3. Henkilöstöä koskevat turvatarkastukset Tausta-, pätevyys-, kokemus- ja selvitysvaatimukset [Näissä rooleissa toimivan henkilöstön on läpäistävä kriittis-arkaluonteisten tointen taustatutkimukset. Varmentajan pääkäyttäjiä, varmentajan virkamiehiä ja rekisteröijää pidetään kriittis-arkaluonteisina toimina, joissa on korkea riskiluokitus. Paikallisia rekisteröijiä pidetään kriittisarkaluonteisina toimina, joissa on keskitason riskiluokitus.] Taustojen tarkistusmenettelyt Kaikki taustojen tarkistukset suoritetaan Euroopan komission ja jäsenvaltioiden hallitusten henkilöstöä koskevien turvallisuuspolitiikkojen mukaisesti Koulutusvaatimukset Varmentajan, rekisteröijän tai paikallisen rekisteröijän toimintaan liittyviä tehtäviä suorittava henkilöstö saa seuraavan koulutuksen: CommisSignin varmentajan järjestelmässä käytettävien ohjelmistojen ja/tai laitteistojen käyttöön liittyvä koulutus koulutus tehtäviin, joita henkilöstön on tarkoitus suorittaa opastus tämän varmennekäytäntölausuman ja Euroopan komission PKIjärjestelmän varmennepolitiikan määräyksiin Uudelleenkoulutuksen tiheys ja vaatimukset Työnkierto Edellisen kohdan vaatimukset pidetään CommisSignin varmentajan järjestelmän muutosten tasalla. Kertauskoulutusta annetaan näiden muutosten mukaisesti. Ei määräyksiä Seuraamukset luvattomista toimista Mikäli henkilö on suorittanut tai henkilön epäillään suorittaneen luvattoman toimen hoitaessaan CommisSignin varmentajan tai rekisteröijien toimintaan liittyviä tehtäviä, voidaan toteuttaa kurinpitotoimia (Euroopan komission aseman mukaisesti). Tämän varmennekäytäntölausuman tai Euroopan komission varmennepolitiikan rikkominen joko huolimattomuuden takia tai vahingontekotarkoituksessa johtaa käyttöoikeuksien peruuttamiseen ja/tai hallinnollisiin kurinpitotoimiin. 47

48 Alihankkijan henkilöstö Alihankkijan henkilöstöön, joka palkataan suorittamaan mikä tahansa osa CommisSignin varmentajan tai rekisteröijien toiminnasta, sovelletaan samoja perusteita kuin Euroopan komission työntekijöihin, ja se hyväksytään suoritettavan roolin tasolle 5.3 kohdan mukaisesti Henkilöstölle toimitettavat asiakirjat Tämä varmennekäytäntölausuma annetaan CommisSignin varmentajan ja rekisteröijän henkilöstön sekä tilaajien saataville. Käyttöoppaat annetaan varmentajan ja rekisteröijän henkilöstön saataville, jotta se pystyy käyttämään ja ylläpitämään laitteistoja ja PKI-ohjelmistoja. Varmennekäytäntölausuman lisäksi tilaajille annetaan tietoja Euroopan komission verkkoalueella käytettävien ohjelmistojen käytöstä ja suojauksesta, ja CommisSignin varmentaja antaa teknistä käyttötukea kaikille verkkoalueen käyttäjille. 6. TEKNISET TURVATARKASTUKSET 6.1. Avainparin generointi ja käyttöönotto Avainparin generointi CommisSignin varmentajan allekirjoitusavainpari luodaan varmentajan päävalvontasovelluksen alkukäynnistyksen aikana, ja se suojataan varmentajan yleisavaimella. PKI-asiakasohjelmisto generoi käyttäjille digitaalisen allekirjoitusavainparin. Ohjelmiston generoimat avaimet voidaan tallentaa levyllä tai poistettavalla levykkeellä olevaan tiedostoon Yksityisen avaimen toimitus loppukäyttäjälle Digitaalisen allekirjoituksen avainparissa yksityistä avainta ei tarvitse toimittaa, koska tilaajan käyttäjäohjelmisto generoi avainparin Julkisen avaimen toimitus varmenteen myöntäjälle Julkinen allekirjoituksen todennusavain toimitetaan suojatusti CommisSignin varmentajan järjestelmään käyttämällä suojattua yhteyskäytäntöä Varmentajan julkisen avaimen toimitus käyttäjille CommisSignin varmentajan julkinen todennusavain toimitetaan tilaajille varmentajan varmenteessa käyttämällä suojattua yhteyskäytäntöä. CommisSignin varmentaja varmistaa, että julkinen avain toimitetaan ulkopuoliselle luottavalle osapuolelle Euroopan komission verkkopalvelimella olevassa varmentajan varmenteessa käyttämällä suojattua yhteyskäytäntöä. 48

49 Avainten pituus Käyttäjän allekirjoitusavainpari on 1024 bitin pituinen RSA-avain. CommisSignin varmentajan allekirjoitusavainpari on 1024 bitin pituinen RSA-avain. Suojatun yhteyskäytännön istuntoavaimet ovat 3DES-avaimia Julkisen avaimen parametrien luominen Ei määräyksiä Parametrien laadunvarmistus Ei määräyksiä Laitteiston/ohjelmiston avaimen luominen CommisSignin varmentajan yleisavainta säilytetään laitteistossa. Kaikkien muiden tahojen avaimet generoidaan PKI-asiakasohjelmistossa Avaimen käyttötarkoitus (X.509v3-kentässä) Digitaalista allekirjoitusavainparia käytetään kiistämättömyyspalvelujen todennukseen, eheyteen ja tukemiseen. Salausavainparia käytetään tietojen salaukseen käytettävän symmetrisen avaimen suojaamiseen, joten sillä tarjotaan luottamuksellisuuspalveluja. CommisSignin varmentajan allekirjoitusavainta käytetään varmentajan myöntämien varmenteiden ja sen antamien sulkulistojen [ja varmentajien sulkulistojen] allekirjoittamiseen. Suojatun yhteyskäytännön istuntoavaimia käytetään suojattuun viestintään avainten ylläpitotoimia varten. Väliaikaisesti on olemassa ainoastaan yksi avainpari Yksityisen avaimen suojaaminen Seuraavissa kohdissa kuvataan teknisiä ja menettelyihin liittyviä yksityisen avaimen suojaamistekniikoita. Jäljempänä kuvatut suojaustoimet eivät poista tilaajalta vastuuta suojata yksityisiä avaimiaan paljastumiselta Salausmoduuleja koskevat vaatimukset CommisSignin varmentajan verkkoalueella käytettävien ohjelmistojen salausmoduuli on [...] mukainen Yksityisen avaimen monihenkilövalvonta Monihenkilövalvontaa edellytetään yksityisen avaimen palautuksessa, ks. 5.2 kohta ("Kuhunkin tehtävään tarvittavien henkilöiden määrä") Yksityisen avaimen vara-avainjärjestelmä (Key Escrow) Ulkopuolisella kolmannella osapuolella ei ole yksityisten avainten varaavaimia. 49

50 Yksityisen avaimen varmistus CommisSignin varmentajan yksityiset avaimet varmistetaan CommisSignin varmentajan järjestelmätietokannassa. Tilaajan yksityistä allekirjoitusavainta ei koskaan varmisteta CommisSignin varmentajan järjestelmässä, jotta voidaan tukea kiistämättömyyspalveluja. [CommisSignin varmentajan järjestelmätietokanta salataan.] [CommisSignin varmentajan järjestelmätietokanta varmistetaan joka yö.] Yksityisen avaimen arkistointi Avaimen arkistointi, ks. tämän varmennekäytäntölausuman 4.6 kohta Yksityisen avaimen syöttäminen salausmoduuliin CommisSignin varmentajan allekirjoitusavain ja tilaajan yksityinen allekirjoitusavain generoidaan ohjelmistossa, salausmoduulissa, eivätkä muut tahot syötä niitä kyseiseen moduuliin. Yksityiset avaimet tallennetaan salattuina salausmoduuliin, ja niiden salaus poistetaan vasta sitten, kun niitä käytetään Yksityisen avaimen aktivointimenetelmä Yksityiset avaimet aktivoituvat, kun tilaaja kirjautuu sisään salausasiakasohjelmistoon. Sisäänkirjauksessa käytetään salasanaa, joka suojataan paljastumiselta, kun sitä syötetään Yksityisen avaimen deaktivointimenetelmä Yksityiset avaimet ovat aktiivisia sisäänkirjauksen ajan. Sisäänkirjausaika päättyy joko tilaajan uloskirjaukseen tai tilaajan avaimen deaktivointiin Yksityisen avaimen hävittämismenetelmä Yksityiset avaimet hävitetään lopullisesti suojattujen poistotoimien avulla Muita avainparin ylläpitoon liittyviä seikkoja Julkisen avaimen arkistointi Avaimen varmistus ja arkistointi, ks. 6.2 kohta Julkisten ja yksityisten avainten käyttöajat CommisSignin varmentajan julkinen avain ja varmenne [10 vuotta] CommisSignin varmentajan yksityinen allekirjoitusavain [10 vuotta] Tilaajan julkinen todennusavain ja varmenne kaksi vuotta 50

51 6.4. Aktivointitiedot Aktivointitietojen generointi ja asennus Kaikilla PKI-ohjelmistoon sisään kirjautuvilla tahoilla on oltava salasana tai toimikortti. Ohjelmistossa sovelletaan kuhunkin salasanaan ankaria sääntöjä, jotta sen turvallisuus voidaan varmistaa. Salasanat ovat pakollisia varmentajalle. Rekisteröijää ja paikallisia rekisteröijiä suojataan toimikortilla. Salasanan valintaan sovelletaan seuraavia sääntöjä: salasanassa on oltava vähintään 12 merkkiä salasanassa on oltava vähintään yksi iso kirjain, erikoismerkkejä ja numero salasanassa on oltava vähintään yksi pieni kirjain salasana ei saa sisältää monta samanlaista merkkiä salasana ei saa olla sama kuin käyttäjän profiilin nimi salasana ei saa sisältää pitkää osamerkkijonoa käyttäjän profiilin nimestä. Tilaajien alustamiseen käytettäviä tietoja kuvataan tämän varmennekäytäntölausuman 4.2 kohdassa Aktivointitietojen suojaaminen CommisSignin varmentajan palvelimen järjestelmän ylläpidon, varmentajan virkamiesten ja rekisteröijien käyttäjätunnusten ja salasanojen tarkistusarvot tallennetaan CommisSignin varmentajan järjestelmätietokantaan Muut aktivointitietoihin liittyvät seikat Ei määräyksiä Tietokoneiden turvatarkastukset Erityiset tietokoneiden turvallisuutta koskevat tekniset vaatimukset [CommisSignin varmentajan järjestelmä tarjoaa seuraavat toiminnot käyttöjärjestelmän sekä käyttöjärjestelmän, CommisSignin varmentajan ohjelmistojen ja fyysisten tarkastusten yhdistelmän avulla: pääsynvalvonta varmentajan palveluihin ja PKI-järjestelmän rooleihin pakollinen tehtävien eriyttäminen PKI-järjestelmän rooleissa PKI-järjestelmän roolien ja niihin liittyvien henkilöllisyyksien tunnistus ja todennus salaustekniikan käyttö istuntoviestinnässä ja tietokantaturvallisuudessa 51

52 varmentajan ja loppukäyttäjien historia- ja jäljitystietojen arkistointi turvallisuuteen liittyvien tapahtumien tarkastus avainten ja varmentajan järjestelmän palautusmekanismit. Tietoja näistä toiminnoista annetaan tämän varmennekäytäntölausuman asianomaisissa kohdissa Tietoturvallisuusluokitus Ei määräyksiä Elinkaaren turvatarkastukset Järjestelmäkehityksen valvonta Ei määräyksiä Turvallisuusjohtamisen valvonta CommisSignin varmentajan turvallisuusjohtamisen valvonta sisältää seuraavaa: on olemassa mekanismi ja/tai toimintatapoja varmentajan järjestelmän kokoonpanon valvontaan ja seurantaan CommisSignin varmentajan laitteet varataan avainten ylläpitoinfrastruktuurin hallinnointiin CommisSignin varmentajan laitteissa ei ole asennettuna sovelluksia tai komponenttiohjelmistoja, jotka eivät ole osa varmentajan kokoonpanoa, lukuun ottamatta viruksentorjuntaohjelmia luotettu ja koulutettu henkilöstö asentaa CommisSignin varmentajan laitteet määritysten mukaisesti Verkon turvatarkastukset [CommisSignin varmentajan järjestelmän etäkäyttö suojataan käyttämällä suojattua yhteyskäytäntöä. Muuta etäkäyttöä ei sallita, ja toiminnot, kuten saapuvat FTP-yhteydet, poistetaan käytöstä. Kaikki TCP/IP-portit on suljettava lukuun ottamatta niitä, joita tarvitaan PKI-järjestelmän tapahtumajäljityksessä sekä kaikkien epäonnistuneiden ja usein epäonnistuneiden toimien tarkastuksessa.] 6.8. Salausmoduulien tekninen valvonta PKI-ohjelmiston salausmoduuli suunnitellaan [...] mukaiseksi. CommisSignin varmentajan yleisavain tallennetaan [...] mukaiseen laitteistoon. PKI-ohjelmiston avainten generointiin käyttämä salausmoduuli suunnitellaan [...] mukaiseksi. 52

53 7. VARMENTEEN JA SULKULISTAN PROFIILI 7.1. Varmenteen profiili Version numero CommisSignin varmentaja myöntää suosituksen X.509 version 3 mukaisia varmenteita PKIX:n varmenteen ja sulkulistan profiilin mukaisesti. Seuraavia X.509-kenttiä tuetaan: Kentät version: Kuvaus tämän kentän arvoksi asetetaan v3 serial number: kun luodaan uusi käyttäjävarmenne, CommisSignin varmentajan järjestelmä generoi yksilöivän sarjanumeron CommisSignin varmentajan suojatulla verkkoalueella signature Algorithm: CommisSignin varmentajan varmenteen allekirjoittamiseen käyttämän algoritmin tunniste issuer: varmenteen myöntävän CommisSignin varmentajan hakemistonimi (Distinguished Name) validity: varmenteen voimassaoloaika määritetään alkamispäivä (notbefore) ja päättymispäivä (notafter) subject: varmenteen kohteen hakemistonimi (Distinguished Name) public key information: algoritmin tunniste julkinen avain Thumbprint Algorithm: algoritmin tunniste Thumbprint Varmenteen laajennukset Tuettuja laajennuksia ei ole Algoritmin oliotunnisteet CommisSignin varmentaja tukee seuraavia algoritmeja: 53

54 Nimimuodot Nimirajoitukset Algoritmi Oliotunniste Myöntävä viranomainen SHA1WithRSAEncryption UTIMACO DES-EDE3-CBC UTIMACO Varmenteessa varmenteen myöntäjän DN-tietueen ja kohteen DN-tietueen kentät sisältävät varmenteen myöntäjän tai kohteen suosituksen X.500 mukaisen täydellisen hakemistonimen (Distinguished Name). CommisSignin varmentaja ei käytä nimirajoituksia Varmennepolitiikan oliotunniste Ei määräyksiä Politiikkarajoitusten laajennuksen käyttö CommisSignin varmentaja ei käytä politiikkarajoituksia Politiikkatarkenteiden syntaksi ja semantiikka Ei määräyksiä Kriittisen varmennepolitiikan semantiikan käsittely [Ainoa varmenteen laajennus, jota voidaan pitää kriittisenä CommisSignin varmentajan myöntämissä varmenteissa, on crldistributionpointslaajennus. Sulkulista tai varmentajien sulkulista noudetaan varmenteessa mainitusta sulkulistan jakelupisteen hakemistotietueesta, ellei tilaajan asiakasohjelmiston välimuistissa ole kyseisen sulkulistan tai varmentajien sulkulistan ajantasaista kopiota.] 7.2. Sulkulistan profiili [tarkistetaan, kun toteutetaan] Version numero CommisSignin varmentajan antamat sulkulistat ovat suosituksen X.509 version 2 mukaisia sulkulistoja PKIX:n varmenteen ja sulkulistan profiilin mukaisesti. Seuraavassa on luettelo CommisSignin varmentajan käyttämistä suosituksen X.509 version 2 mukaisen sulkulistaformaatin kentistä: Kentät Version Kuvaus tämän kentän arvoksi asetetaan v2 54

55 Kentät Signature Issuer this update next update revoked certificates Kuvaus sulkulistan allekirjoittamiseen käytettävän algoritmin tunniste CommisSignin varmentajan täydellinen hakemistonimi (Distinguished Name) sulkulistan antoaika sulkulistan seuraava päivitysaika luettelo suljettujen varmenteiden tiedoista Sulkulistojen ja sulkulistojen tietueiden laajennukset Seuraavassa kuvataan CommisSignin varmentajan tukemia suosituksen X.509 version 2 mukaisten sulkulistojen ja sulkulistojen tietueiden laajennuksia sekä niitä suosituksen X.509 version 2 mukaisten sulkulistojen ja sulkulistojen tietueiden laajennuksia, joita ei tueta CommisSignin varmentajan antamilla sulkulistoilla Tuetut laajennukset Seuraavassa taulukossa ovat CommisSignin varmentajan tukemat sulkulistojen ja sulkulistojen tietueiden laajennukset: LAAJENNUS KRIITTINEN / EI- KRIITTINEN VAPAA- EHTOINEN HUOMAUTUKSIA AuthorityKeyI dentifier CRLNumber particular Ei-kriittinen Ei vapaaehtoinen Ei-kriittinen Ei vapaaehtoinen Täytetään ainoastaan elementti [0] (authoritykeyidentifier) Sisältää 20 tavun tiivisteen varmentajan varmenteen kentästä subjectpublickeyinfo Lisätään yhdellä aina, kun sulkulistaa tai varmentajien sulkulistaa muutetaan ReasonCode Ei-kriittinen Ei vapaaehtoinen Sulkulistan tietueen laajennus toistaiseksi tuetaan ainoastaan syykoodeja (0), (1), (3), (4) ja (5) 55

56 LAAJENNUS KRIITTINEN / EI- KRIITTINEN VAPAA- EHTOINEN HUOMAUTUKSIA IssuingDistribu tionpoint Kriittinen Ei vapaaehtoinen Elementti [0] (distributionpoint) sisältää jakelupisteen täydellisen DN-tietueen Elementti [1] (onlycontainsusercerts ) lisätään sulkulistojen osalta Elementti [2] (onlycontainscacerts) lisätään varmentajien sulkulistojen osalta Elementit [1] ja [2] eivät koskaan esiinny yhdessä samalla sulkulistalla Elementtejä [3] ja [4] ei käytetä Ei-tuetut laajennukset CommisSignin varmentaja ei tue seuraavia suosituksen X.509 version 2 mukaisten sulkulistojen laajennuksia: issuer alternative name hold instruction code invalidity date certificate issuer delta CRL indicator. 8. ERITELMÄN HALLINNOINTI 8.1. Eritelmän muuttamismenettelyt Tämä varmennekäytäntölausuma tarkistetaan kokonaisuudessaan joka vuosi. Virheistä, päivityksistä tai tähän asiakirjaan ehdotetuista muutoksista ilmoitetaan 1.4 kohdassa mainitulle yhteyshenkilölle. 56

57 Kohdat, joita voidaan muuttaa ilmoittamatta Tämän varmennekäytäntölausuman kohtiin voidaan tehdä muutoksia, jotka varmennepolitiikkaviranomaisen arvion mukaan eivät vaikuta tai vaikuttavat vain vähän tämän varmennekäytäntölausuman mukaisesti myönnettyjä varmenteita ja annettuja sulkulistoja käyttäviin käyttäjiin ja ristiinvarmennettujen varmentajien verkkoalueisiin, muuttamatta asiakirjan version numeroa ja ilmoittamatta muutoksista käyttäjille Muutokset, joista on ilmoitettava Tämän varmennekäytäntölausuman tukemaan varmennepolitiikkaan ja tämän varmennekäytäntölausuman kohtiin voidaan tehdä muutoksia, jotka varmennepolitiikkaviranomaisen arvion mukaan voivat vaikuttaa merkittävästi tämän varmennekäytäntölausuman mukaisesti myönnettyjä varmenteita ja sulkulistoja käyttäviin käyttäjiin ja ristiinvarmennettujen varmentajien verkkoalueisiin, ilmoittamalla muutoksista käyttäjäyhteisölle 30 päivää etukäteen ja muuttamalla vastaavasti tämän asiakirjan version numeroa Kohtien luettelo Kaikkiin tämän varmennekäytäntölausuman kohtiin voidaan soveltaa 8.1 kohdassa ("Kohdat, joita voidaan muuttaa ilmoittamatta" ja "Muutokset, joista on ilmoitettava") tarkoitettua ilmoitusvaatimusta Ilmoitusmekanismi Ilmoitus tähän varmennekäytäntölausumaan tehtävistä merkittävistä muutoksista lähetetään CommisSignin varmentajan www-sivustolle ja se välitetään ristiinvarmennettujen varmentajien organisaatioille suojatussa sähköpostiviestissä 30 päivää ennen muutosten tekemistä. Ilmoitus sisältää selvityksen ehdotetuista muutoksista, huomautusten viimeisen esittämispäivän ja ehdotettujen muutosten voimaantulopäivän. Varmennepolitiikkaviranomainen voi pyytää varmentajia ilmoittamaan tilaajilleen ehdotetuista muutoksista Huomautusaika Huomautusaika on 30 päivää, ellei toisin määrätä. Huomautusaika määritetään ilmoituksessa Huomautusten käsittelymekanismi Ehdotettuja muutoksia koskevat huomautukset on esitettävä varmentajan toiminnasta vastaavalle viranomaiselle. Tällaisessa viestissä on oltava muutoksen kuvaus, muutoksen perustelu, muutosta pyytävän henkilön yhteystiedot sekä muutosta pyytävän henkilön allekirjoitus. Toiminnasta vastaava viranomainen hyväksyy, hyväksyy tietyin tarkistuksin tai hylkää ehdotetun muutoksen huomautusajan päätyttyä. Euroopan komission varmennepolitiikkaviranomainen tarkistaa toiminnasta vastaavan viranomaisen yhteenvedon ehdotetuista muutoksista. Toiminnasta vastaava 57

58 viranomainen ja varmennepolitiikkaviranomainen voivat harkintansa mukaan päättää ehdotetuista muutoksista Lopullisen muutoksen ilmoitusaika Toiminnasta vastaava viranomainen päättää lopullisen muutoksen ilmoitusajan Kohdat, joiden muuttaminen edellyttää uutta politiikkaa Jos varmennepolitiikkaviranomainen katsoo, että politiikan muutos edellyttää uuden politiikan antamista, varmennepolitiikkaviranomainen voi antaa muutetulle politiikalle uuden oliotunnisteen (Object Identifier, OID) Julkaiseminen ja ilmoittaminen Toiminnasta vastaava viranomainen julkaisee tämän varmennekäytäntölausuman ja Euroopan komission PKI-järjestelmän varmennepolitiikan CommisSignin varmentajan www-sivustolla. Se myös jakaa tietoja sähköpostitse sitä pyytäneille Varmennekäytäntölausuman hyväksymismenettelyt Euroopan komission varmennepolitiikkaviranomainen päättää, onko CommisSignin varmentajan varmennekäytäntölausuma Euroopan komission PKI-järjestelmän varmennepolitiikan mukainen. 9. LIITTEET 9.1. Lyhenteet ARL CA CP CPS CRL CUG HVT (IDA) LRA PA PKI PO Varmentajien sulkulista (Authority Revocation List) Varmentaja (Certification Authority) Varmennepolitiikka (Certificate Policy) Varmennekäytäntölausuma (Certificate Practice Statement) Sulkulista (Certificate Revocation List) Suljettu käyttäjäryhmä (Closed User Group) Hallintojen välinen telemaattinen tietojenvaihto (Interchange of Data between Administrations) Paikallinen rekisteröijä (Local Registration Authority) Varmennepolitiikkaviranomainen (Policy Authority) Julkisen avaimen infrastruktuuri (Public Key Infrastructure) Pääosasto 58

59 RA SPS Rekisteröijä (Registration Authority) Turvallisuusyksikkö TCP/IP TCP/IP-yhteyskäytäntö (Transmission Control Protocol/Internet Protocol) URL Lähdetietopaikannin (Unified Resource Locator) 9.2. Määritelmät Aktivointitiedot Muut salausmoduulien käytössä tarvittavat yksityiset tiedot kuin avaimet. Digitaalinen allekirjoitus Avaimia käyttävän salausjärjestelmän avulla tapahtuneen viestin muunnoksen tulos, jolloin henkilö, jolla on alkuperäinen viesti, voi määrittää (1) käytettiinkö muunnoksessa allekirjoittajan avainta vastaavaa avainta (2) onko viestiä muutettu muunnoksen jälkeen. Hakemisto ITU-T:n X.500-suositussarjan mukainen hakemistojärjestelmä. Julkisen avaimen infrastruktuuri (Public Key Infrastructure) Laitteistoista, ohjelmistoista, henkilöistä, prosesseista ja toimintatavoista koostuva rakenne, jossa käytetään digitaalisen allekirjoituksen tekniikkaa ja yhdistetään luottavia osapuolia varten todennettavasti epäsymmetrisen avainparin julkinen osa tietyyn tilaajaan. Komission henkilöstö Komission henkilöstöön kuuluvat Euroopan komission palveluksessa olevat henkilöt. He ovat säännöllisissä palkatuissa toimissa ja suorittavat tehtäviä Euroopan komissiossa. Käyttäjä (Entity) Mikä tahansa itsenäinen elementti julkisen avaimen infrastruktuurissa. Tämä voi olla varmentaja, rekisteröijä tai loppukäyttäjä. Loppukäyttäjä (End Entity) Käyttäjä, joka käyttää PKI-järjestelmässä luotuja avaimia ja varmenteita muuhun tarkoitukseen kuin edellä mainittujen avainten ja varmenteiden ylläpitoon. Loppukäyttäjä voi olla tilaaja tai luottava osapuoli. Luottava osapuoli (Relying Party) Henkilö, joka käyttää Euroopan komission PKI-järjestelmän varmentajan allekirjoittamaa varmennetta digitaalisen allekirjoituksen todentamiseen tai viestien salaamiseen varmenteen kohteelle ja joka on Euroopan komission PKI-järjestelmän varmentajan tilaaja tai Euroopan komission PKI-järjestelmän kanssa ristiinvarmennettu PKI-järjestelmä. MD5 Yksi RSA Data Security Inc:n kehittämistä sanomatiivistealgoritmeista. Oliotunniste (Object Identifier, OID) Yksilöivä aakkosnumeerinen/numeerinen tunniste, joka rekisteröidään ISO:n 59

60 rekisteröintistandardin mukaisesti ja joka viittaa tiettyyn olioon tai olioluokkaan. Organisaatio Osasto, virasto, yhteisö, yhtiö, säätiö, yhteisyritys tai muu yhdistys. PKI-virkamiehet Henkilöt, jotka on valtuutettu suorittamaan PKIjärjestelmän toimintaa varten määritellyt tehtävät. Rekisteröijä (Registration Authority, RA) Taho, joka vastaa varmenteen tilaajien tunnistuksesta ja todennuksesta ennen varmenteen myöntämistä mutta ei allekirjoita tai myönnä varmenteita (rekisteröijälle toisin sanoen siirretään tiettyjä tehtäviä varmentajan puolesta). Sulkulista (Certificate Revocation List, CRL) Varmenteet antaneen varmentajan luoma ja allekirjoittama luettelo suljetuista varmenteista. Varmenne lisätään luetteloon, jos se suljetaan (esimerkiksi siksi, että epäillään avaimen vaarantumista). Varmentaja voi tietyissä tilanteissa jakaa sulkulistan pienemmiksi sulkulistoiksi. Suosittelija Suosittelija Euroopan komission PKI-järjestelmässä on Euroopan komission yksikkö tai virkamies, joka on ehdottanut, että tietylle henkilölle tai organisaatiolle myönnetään varmenne. (Esimerkiksi työntekijän kohdalla tämä voi olla työntekijän esimies.) Suosittelija ilmoittaa varmentajalle tai rekisteröijälle, jos suhde tilaajaan päättyy tai on muuttunut siten, että varmenne on suljettava tai sitä on päivitettävä. Tilaaja (Subscriber) Henkilö tai organisaatio, jonka julkinen avain varmennetaan julkisen avaimen varmenteessa. Euroopan komission PKIjärjestelmässä tilaaja voi olla virkamies tai Euroopan komission alihankkija. Tilaajilla voi olla yksi tai useampia varmenteita tietyltä niihin yhteydessä olevalta varmentajalta; useimmilla tilaajilla on vähintään kaksi aktiivista varmennetta, joista toinen sisältää digitaalisen allekirjoituksen todennusavaimen ja toinen luottamuksellisuuden salausavaimen. Toiminnasta vastaava viranomainen (Operational Authority) Henkilöstö, joka vastaa Euroopan komission PKI-järjestelmän varmentajan yleisestä toiminnasta. Sen vastuualueisiin kuuluvat henkilöstöasiat, rahaasiat ja riitojen ratkaiseminen. Toiminnasta vastaavan viranomaisen rooli ei edellytä käyttäjätunnusta varmentajan työasemassa. Turva-alue (High-security Zone) Alue, jolle pääsyä valvotaan tulokohdan kautta ja jolle pääsy rajataan valtuutetulle, asiaankuuluvasti seulotulle henkilöstölle ja asianmukaisesti saatetuille vierailijoille. Turva-alueiden ympärillä on oltava raja-alue. Turva-alueita tarkkaillaan 24 tuntia vuorokaudessa seitsemänä päivänä viikossa turvallisuushenkilöstön tai muun henkilöstön toimesta tai sähköisesti. Työntekijä Työntekijä on kuka tahansa Euroopan komission palveluksessa oleva henkilö. Varmenne Käyttäjän julkinen avain sekä tietyt muut tiedot, joiden väärentäminen estetään allekirjoittamalla avain digitaalisesti varmenteen 60

61 antaneen varmentajan yksityisellä avaimella. Varmenteen muoto on ITU-T:n suosituksen X.509 mukainen. Varmennepolitiikkaviranomainen (Policy Authority, PA) Euroopan komission elin, joka vastaa varmennekäytäntöjä ja varmennekäytäntölausumia koskevien politiikkapäätösten tekemisestä, toteutuksesta ja hallinnoinnista Euroopan komission PKI-järjestelmässä. Varmentaja (Certification Authority, CA) Viranomainen, johon yksi tai useampi käyttäjä luottaa ja joka myöntää ja ylläpitää suosituksen X.509 mukaisia julkisen avaimen varmenteita ja sulkulistoja. Varmentajan pääkäyttäjät (CA Master users) Varmentajan pääkäyttäjät ovat henkilöitä, joilla on valtuudet luoda CommisSignin varmentajan yleisavain ja ylläpitää sitä, muuttaa varmentajan palvelimen salasanoja sekä toimia varmistuksena varmentajan virkamiehille, jos nämä ovat unohtaneet salasanansa. Varmentajan toiminnasta vastaava viranomainen (CA Operation Authority, OA) Varmentajan toiminnasta vastaava viranomainen vastaa varmentajan käytäntölausuman laatimisesta ja hallinnoinnista sekä yleisavaimen ylläpidosta. Varmentajan virkamiehet (CA Officers) Varmentajan virkamiehet ovat henkilöitä, jotka vastaavat varmentajan palvelimen ja varmentajan ohjelmistojen toiminnasta ja ylläpidosta. Varmentajan ylläpitäjät (CA Administrators) Varmentajan järjestelmän ylläpitäjät ovat henkilöitä, jotka vastaavat CommisSignin varmentajan laitteistojen ja ohjelmistojen asianmukaisen toiminnan ja asetusten ylläpitämisestä sekä CommisSignin varmentajan järjestelmän varmuuskopioiden ottamisesta. Varmentajien sulkulista (Authority Revocation List, ARL) Luettelo suljettujen varmentajien varmenteista. ARL on varmentajien ristiinvarmenteiden sulkulista. Varmenteen myöntävä varmentaja (Issuing CA) Tietyn varmenteen yhteydessä varmenteen myöntävä varmentaja on varmenteen allekirjoittanut ja myöntänyt varmentaja Viiteasiakirjat [RD1] Tietoturvallisuuspolitiikka [RD2] Asiakirja RFC 2527 [RD3] 18 päivänä joulukuuta 2000 annettu Euroopan parlamentin ja neuvoston asetus (EY) N:o 45/