Profili kvalificiranih digitalnih potrdil in registra preklicanih potrdil

Priporočilo vključuje natančen opis digitalnih potrdil izdajateljev SIGEN-CA in SIGOV-CA. Opisuje profile vseh potrdil, s katerimi upravljata SIGEN-CA in SIGOV-CA v skladu z novimi kot tudi predhodnimi verzijami politik delovanja. Dokument je v prvi vrsti namenjen razvijalcem aplikacij, njihovim snovalcem in samim lastnikom aplikacij oz. tretjim osebam, ki se zanašajo na digitalna potrdila izdajateljev SIGEN-CA in SIGOV-CA. Priporočilo temelji na objavljenih Politikah delovanja izdajatelja na Državnem centru za storitve zaupanja in predstavlja del priporočil izdajatelja na Državnem centru za storitve zaupanja za aplikacije e-storitev z uporabo kvalificiranih digitalnih potrdil.

Varnostni vidiki aplikacij z uporabo digitalnih potrdil SIGEN-CA in SIGOV-CA

Pričujoča priporočila povzemajo evropska priporočila za izvedbo aplikacij e-storitev, ki zahtevajo najvišji nivo varnosti, ki ga lahko zagotovimo z uporabo kvalificiranih digitalnih potrdil. Priporočila temeljijo na uporabi kvalificiranih digitalnih potrdilih SIGEN-CA in SIGOV-CA, katerega delovanje določa Politika delovanja izdajatelja na Državnem centru za storitve zaupanja.

Preverjanje identifikacijskih podatkov, vezanih na digitalno potrdilo

Digitalna potrdila izdajateljev SIGOV-CA in SIGEN-CA zaradi varstva osebnih podatkov ne vsebujejo ključnih identifikacijskih podatkov (EMŠO, davčna številka, ...). Ker pa samo na osnovi imena oziroma naziva lastnika digitalnega potrdila ni mogoča zanesljiva overitev, je na voljo možnost, da ugotovimo, ali nek identifikacijski podatek določa imetnika potrdila z določeno serijsko številko potrdila.

Uporabnik oziroma aplikacija vnese serijsko številko potrdila in identifikacijski podatek, za katerega želi preveriti, ali ustreza imetniku digitalnega potrdila. Tako vnese n.pr. davčno številko, sistem bo preveril, ali je na digitalno potrdilo s poslano serijsko številko vezana poslana davčna številka ali ne. Odgovor je torej lahko pritrdilen ali negativen.

Preverjanje (z digitalnim potrdilom) je možno na dva načina:

  • kot spletna storitev (WebService) za uporabo v aplikacijah
  • kot spletni obrazec, ki omogoča vnos podatkov

Storitev omogoča preverjanje podatkov (EMŠO, davčna številka, davčna številka organizacije in matična številka organizacije) za imetnike digitalnih potrdil, ki so potrdilo pridobili pri enem izmed dveh izdajateljev kvalificiranih digitalnih potrdil v okviru overitelju na Državnem centru za storitve zaupanja (izdajatelja SIGOV-CA in SIGEN-CA).

Podpisna programska oprema proXsign

Podpisna programska oprema proXsign je namenjena za potrebe integracije funkcionalnosti elektronskega podpisa v informacijske rešitve v okviru javnega sektorja. Podpisno opremo sestavljajo zbirka podpisnih komponent, strežnik za spletno storitev in strežnik za podporo distribuiranemu podpisovanju, ki skupaj omogočajo uporabo elektronskega podpisa iz različnih platform in preko različnih vmesnikov.

Podprti scenariji uporabe

  • izdelava oz. preverjanje podpisa dokumenta XML na strežniku: obstoječ informacijski sistem izdela dokument XML in ga s pomočjo podpisne programske opreme podpiše z digitalnim potrdilom informacijskega sistema, ki se nahaja na strežniku oz. preveri veljavnost dig. podpisa na že izdelanem dokumentu XML,
  • celotna izdelava oz. preverjanje podpisa dokumenta XML v spletnem brskalniku: uporabnik z digitalnim potrdilom na pametni kartici ali v shrambi brskalnika podpiše dokument XML, ki ga je izdelal informacijski sistem oz. preveri veljavnost dig. podpisa na že izdelanem dokumentu XMLi,
  • distribuirana izdelava oz. preverjanje podpisa dokumenta XML v spletnem brskalniku: uporabnik v spletnem brskalniku s svojim digitalnim potrdilom na pametni kartici ali v shrambi brskalnika podpiše povzetek dokumenta, ki ga je na osnovi izvornega dokumenta XML pripravil strežnik za distribuirano dig. podpisovanje oz. preveri veljavnost dig. podpisa na že izdelanem dokumentu XML; rešitev je uporabna v primerih, ko se dig. podpisujejo veliki dokumenti, ki jih je nerodno v celoti prenašati k uporabniku,
  • izdelava oz. preverjanje podpisa dokumenta PDF v spletnem brskalniku: uporabnik v spletnem brskalniku ali drugem odjemalcu (npr. Lotus Notes) s svojim digitalnim potrdilom na pametni kartici ali v shrambi brskalnika podpiše dokument PDF, ki ga je izdelal informacijski sistem oz. preveri veljavnost dig. podpisa na že izdelanem dokumentu PDF.

Značilnosti strežniškega dela podpisne programske opreme

  • dostopen je iz široke palete obstoječih aplikacij, pripadajočih razvojnih tehnologij in operacijskih sistemov (Java, COM, Windows, Linux, Solaris, HP-UX.) ter podpira naslednje tipe vmesnikov:
  • spletne storitve z ovojnico SOAP . za integracijo med raznorodnimi sistemi,
  • vmesnik COM . za integracijo neposredno v strežniški del informacijskega sistema, ki temelji na operacijskem sistemu Windows,
  • omogoča centraliziran revizijski nadzor tako, da beleži pomembne dogodke kot so ustvarjanje podpisa, preverjanje podpisa, izpis razloga za neveljavnost podpisa ipd.,
  • omogoča centralizirano uporabo varnostnih elementov (varnostna strojna oprema, osrednje nahajališče strežniških digitalnih potrdil),
  • podpira uporabo zasebnega ključa, ki je shranjen na strojnem kriptografskem modulu (HSM).

Značilnosti odjemalskega dela podpisne programske opreme

  • podpira podpisovanje v brskalniku v okoljih Windows, Linux in Mac OS X,
  • podpisovanje dokumentov je podprto v naslednjih spletnih brskalnikih: Internet Explorer, FireFox (na operacijskih sistemih Windows, Linux in Mac OS X), Opera (na operacijskem sistemu Windows), Safari (na operacijskih sistemih Windows in Mac OS X) in Chrome (na operacijskem sistemu Windows),
  • zaradi obsežnih možnosti konfiguriranja omogoča prilagoditev različnim zahtevam (npr. omejevanje dig. potrdil, s katerimi se lahko izvede dig. podpis; izdelava podpisa z digitalnim potrdilom, ki ga je uporabnik izbral ob vzpostavitvi SSL povezave s spletnim strežnikom.),
  • omogoča preverjanje veljavnosti digitalnega podpisa (celovitost podpisa, izpis podpisnika, preverjanje časovne veljavnost dig. potrdila, preverjanje preklica s seznamom CRL, omejevanje dovoljenih izdajateljev.),
  • nabavljena licenca omogoča neomejeno uporabo komponent v vseh informacijskih rešitvah, ki jih institucije javnega sektorja bodisi uporabljajo za svoje interne potrebe bodisi ponujajo javnosti kot e-storitve javne uprave,
  • sklenjeno vzdrževanje podpisnih komponent zagotavlja njihovo ažurno prilagoditev za podporo novim verzijam brskalnikov,
  • namestitev komponente preko brskalnika je hitra in enostavna ter primerna tudi za uporabnike s počasnejšimi internetnimi povezavami,
  • komponente za brskalnike so dostopne na spletnih straneh SI-TRUST.

Format podpisa

  • komponenta omogoča izvedbo dig. podpisa skladno z evropskimi priporočili za varno izvedbo elektronskega podpisa (CWA, ETSI),
  • podprta je hierarhija podpisov: mogoča je poljubna kombinacija vzporednih in večkratnih zaporednih podpisov, pri čemer komponenta pri preverjanju vrača tudi podatke o hierarhiji podpisov (vrstni red zaporednih podpisov),
  • v skladu z evropskimi priporočili komponenta omogoča oblikovanje dig. podpisa v obliki PDF, XML-DSIG in XAdES,
  • v skladu s standardom XML-DSIG komponenta podpira dig. podpise tipa enveloping, enveloped in detached,
  • omogoča dodajanje časovnega žiga podpisa v obliki XML in njegovo vključitev v podpisani dokument v skladu s standardom XADES-T.

Vgradnja komponente

  • razvijalcem je na voljo tehnična dokumentacija z opisom programskega vmesnika, v kateri so opisani primeri uporabe programske opreme vključno z ustrezno izvorno kodo,
  • v dogovoru z Državnim centrom za storitve zaupanja se za potrebe ene ali več institucij lahko izvede delavnica, na kateri se razvijalci seznanijo s podpisno programsko opremo in njeno uporabo v praksi.

e-SLOG

Sodelavci Ministrstva za javno upravo so sodelovali tudi pri projektu e-SLOG pri Gospodarski zbornici Slovenije.