سیاستهای گواهی الکترونیکی کشور | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
1 مقدمه
سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشوردربردارنده مجموعهای از ضوابط و الزامات عملیاتی و امنیتی حاکم بر زیرساخت کلید عمومی کشور میباشد. زیرساخت کلید عمومی یا PKI[1] به مجموعهای از خدمات، محصولات، سیاستها، فرایندها و سیستمهای نرمافزاری و سختافزاری گفته میشود که جهت مدیریت و بکارگیری گواهیهای الکترونیکی X.509 و به منظور ارائه سرویسهای امنیتی مختلف مبتنی بر رمزنگاری کلید عمومی[2] مورد استفاده قرار میگیرد.
تعاملات الکترونیکی امن در ایران تحت نظارت قانون تجارت الکترونیکی مصوب 24/10/1382 مجلس شورای اسلامی و آیین نامه اجرایی ماده 32 آن، مصوب 11/06/1386 هیئت دولت صورت میپذیرد. بر اساس آییننامه اجرایی ماده 32 قانون تجارت الکترونیک، به منظور رسمیت بخشیدن به امضای الکترونیکی در کشور، مدل سلسله مراتبی[3] متشکل از شورای سیاستگذاری گواهی الکترونیکی کشور، مرکز دولتی صدور گواهی الکترونیکی ریشه به عنوان نقطه اعتماد[4] و مراکز صدور گواهی الکترونیکی میانی زیرین، به عنوان معماری زیرساخت کلید عمومی کشور به تصویب رسیده است. مراکز صدور گواهی الکترونیکی میانی میتوانند مجموعهای از سازمانها یا شرکتهای دولتی یا خصوصی باشند که پس از طی مراحل لازم و تأیید مرکز دولتی صدور گواهی الکترونیکی ریشه و همچنین کسب مجوز از شورای سیاستگذاری گواهی الکترونیکی کشور، شروع به ارائه خدمات گواهی الکترونیکی در ساختار سلسله مراتبی زیرساخت کلید عمومی کشور مینمایند. در یک ساختار سلسله مراتبی PKI، مرکز دولتی صدور گواهی الکترونیکی ریشه، ملزم به تعیین سیاستهای گواهی الکترونیکی منطبق با نیازمندیهای عملیاتی و امنیتی کشور در حوزههای مختلف میباشد؛ بر این اساس، سند پیش رو دربردارنده سیاستهای گواهی الکترونیکی در زیرساخت کلید عمومی کشور مشتمل بر الزامات و فرآیندهای مرکز دولتی صدور گواهی الکترونیکی ریشه و همچنین سیاستها و الزامات مورد نیاز برای اعتمادسازی و ایجاد یکپارچگی و تعامل در اجزای مختلف زیرساخت کلید عمومی کشور میباشد. سند سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشور، سند یکپارچهای است که مراکز صدور گواهی الکترونیکی مورد تأیید، در چارچوب آن تأسیس شده و آغاز به کار میکنند. تمام شرایط مذکور در این سند برای انواع مراکز صدور گواهی الکترونیکی موضوع این سند صدق مینماید، مگر اینکه خلاف آن صریحاً بیان شود. برنامههایی که قابلیت ارائه خدمات امنیتی مبتنی بر زیرساخت کلید عمومی را دارا میباشند، سرویسهایی مانند احراز هویت، محرمانگی[5]، تمامیت[6] و انکارناپذیری[7] را با استفاده از رمزنگاری کلید عمومی فراهم میکنند. قابلیت اطمینان رمزنگاری کلید عمومی نتیجه مستقیم عملکرد مطمئن زیرساخت کلید عمومی است که با طراحی و پیادهسازی مطمئن مراکز صدور گواهی الکترونیکی شامل تجهیزات، تأسیسات، کارکنان و فرایندها، حاصل میشود. عملکرد مطمئن یک مرکز صدور گواهی الکترونیکی نیز تنها در صورت وجود و اعمال سیاستهای گواهی الکترونیکی نقطه اعتماد در ساختار سلسله مراتبی - که همان مرکز دولتی صدور گواهی الکترونیکی ریشه - میباشد، محقق خواهد شد. بنابراین طراحی یک زیرساخت کلید عمومی با امنیت مناسب بسیار حیاتی است تا طرفهای اعتماد کننده بتوانند به گواهیهای الکترونیکی اعتماد نمایند. این اعتماد به معنی اعتماد به پیوند میان مالک گواهی و کلید عمومی او میباشد. سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشوربر اساس استاندارد X.509 و منطبق با RFC3647[8] تهیه و تنظیم شده است. 1-1 خلاصه
مستند پیشرو دربردارنده سیاستها و فرایندهای مرکز دولتی صدور گواهی الکترونیکی ریشه و همچنین سیاستها و الزامات کلیه مراکز صدور گواهی میانی موجود در ساختار سلسله مراتبی زیر ساخت کلید عمومی کشور است؛ ضمن اینکه توسط کلیه موجودیتهای نهایی شامل مالکان گواهی، طرفهای اعتماد کننده و دفاتر ثبت نام نیز قابل استفاده میباشد.
این مستند چهار سیاست گواهی را برای صدور گواهیهای الکترونیکی که در زیرساخت کلید عمومی کشور مورد استفاده قرار خواهند گرفت، تعریف مینماید. این سیاستها در سطوح اطمینان[9] زیر تعریف شدهاند: · سطح 1 یا برنز · سطح 2 یا نقره · سطح 3 یا طلا · سطح 4 یا پلاتین در جدول زیر برای هر سطح اطمینان، گواهیهایی که تحت این سیاستها صادر میشوند و موارد کاربرد هر سطح تعریف شده است. جدول 1انواع گواهی با توجه به سطوح اطمینان
افراد یا سازمانهای درخواستکننده گواهی مسئول انتخاب سطح اطمینان مورد نیاز خود میباشند و میبایست با توجه به طبقهبندی اطلاعات و میزان حساسیت و اهمیت سیستمهای استفاده کننده از گواهی الکترونیکی، درخواست گواهی الکترونیکی در سطح اطمینان مناسب و مطلوب نمایند. مراکز صدور گواهی الکترونیکی مختلف با توجه به سطح گواهی قابل ارائه، به چهار کلاس مختلف تقسیمبندی میشوند. یک مرکز صدور گواهی الکترونیکی میتواند سیاستهای گواهی را برای بیش از یک سطح اطمینان پیادهسازی نماید؛ به عنوان مثال یک مرکز صدور گواهی کلاس 3 میتواند برای سه سطح اطمینان 1، 2 و 3 گواهی صادر نماید. در جدول زیر سطوح گواهی قابل ارائه برای کلاسهای مختلف مراکز صدور گواهی آورده شده است. جدول 2سطوح مراکز میانی و سطوح گواهیهای قابل ارائه آنها
1-2 نام و شناسه سند
این سند به نام «سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشور» نامگذاری شده و در جلسه شورای سیاستگذاری گواهی الکترونیکی کشور مورخ 27/4/91 به تصویب رسید. تاریخ انتشار سند 31/4/91 و آخرین نسخه این سند در سایت مرکز دولتی صدور گواهی الکترونیکی ریشه به نشانی http://www.rca.gov.ir قابل دسترسی است.
شناسه ([14]OID) سیاستهای گواهی الکترونیکی مرکز دولتی صدور گواهی الکترونیکی ریشه بر اساس چهار سطح امنیتی در جدول زیر آورده شده است. جدول 3شناسه سیاستهای سطوح اطمینان
1-3 اجزای زیرساخت کلید عمومی1-3-1 مراکز صدور گواهی الکترونیکی[15]
مراکز صدور گواهی الکترونیکی در زیرساخت کلید عمومی کشور از مرکز دولتی صدور گواهی الکترونیکی ریشه و مراکز صدور گواهی الکترونیکی میانی تشکیل شده است که در این بخش به تشریح انواع مراکز صدور گواهی و معماری سلسله مراتبی زیرساخت کلید عمومی کشور پرداخته شده است.
مرکز دولتی صدور گواهی الکترونیکی ریشه: مرکز دولتی صدور گواهی الکترونیکی ریشه که از این پس در این سند به اختصار به آن «مرکز دولتی ریشه» نامیده میشود، نقطه اطمینان در زیرساخت کلید عمومی کشور میباشد. این مرکز بر اساس مفاد بند الف از ماده 4 آییننامه اجرایی ماده 32 قانون تجارت الکترونیکی و طی اولین جلسه شورای سیاستگذاری گواهی الکترونیکی کشور مورخ 30/07/1386 مجوز ایجاد، امضا، صدور و ابطال گواهی الکترونیکی مراکز صدور گواهی الکترونیکی میانی را دریافت کرده است. مرکز دولتی ریشه مسئول تمام ابعاد صدور و مدیریت مراکز صدور گواهی الکترونیکی میانی، شامل نظارت بر فرایندهای ثبت نام، احراز هویت، صدور گواهیهای میانی، انتشار و ابطال گواهیها و تجدید کلید[16] میباشد. ساختار معماری سلسله مراتبی زیر ساخت کلید عمومی کشور بدون در نظر گرفتن سطوح اطمینان، به صورت اجمالی در شکل زیر نشان داده شده است. شکل 1ساختار سلسله مراتبی زیرساخت کلید عمومی کشور همانطور که در شکل بالا نشان داده شده است، مرکز دولتی ریشه تحت نظر شورای سیاستگذاری گواهی الکترونیکی کشور (توضیحات مربوط به شورای سیاستگذاری در بخش 1-3-5آورده شده است)، در سطح اول زیرساخت قرار دارد و در سطح بعدی مراکز صدور گواهی میانی وجود دارند. مراکزی که مجوز فعالیتها و همچنین گواهی خود را از مرکز دولتی ریشه دریافت نموده باشند، مراکز صدور گواهی الکترونیکی میانی گفته میشوند که از این پس در این سند به اختصار «مرکز میانی» نامیده میشوند. این مراکز، صلاحیت صدور و ابطال گواهی الکترونیکی مالکان گواهی را دارا هستند. مراکز میانی میبایست به منظور دریافت گواهی خود مطابق با شرایط این سند عمل نمایند. انواع مراکز میانی بر اساس مصوبه مورخ 19/2/1388 شورای سیاستگذاری، عبارتند از: · مرکز میانی دولتی عام مرکز منحصر به فردی است که به طور عام مبادرت به ارائه خدمات گواهی الکترونیکی برای تمامی کاربردهای مختلف به متقاضیان مینماید. تبصره- تا زمان راهاندازی مرکز میانی خصوصی، این مرکز مجاز است به مشتریان بخش خصوصی برای کاربردهای غیر دولتی، خدمات گواهی الکترونیکی ارائه نماید. · مراکز میانی دولتی هر یک از دستگاههای اجرایی میتوانند با کسب مجوز و اخذ گواهی از مرکز دولتی ریشه، در حوزه فعالیت خود، مبادرت به تاسیس مرکز میانی دولتی نمایند. تبصره – مرکز میانی دولتی میتواند، با ائتلاف چند دستگاه اجرایی جهت ارائه خدمات گواهی الکترونیکی در حوزههای مشترک با مسئولیت یکی از دستگاههای موتلفه مزبور و ارائه سند دستورالعمل گواهی واحد، تاسیس شود. · مراکز میانی تابعه مراکز میانی دولتی تا یک سطح بعدی دستگاه یا دستگاههای متبوع خود در صورت داشتن شرایط مربوط، میتوانند صرفاً در حوزه فعالیت خود اقدام به ایجاد مراکز میانی تابعه و صدور گواهی برای آنها نمایند. تبصره 1- تا زمانی که دستگاههای بالا دستی متقاضیان تاسیس مرکز میانی تابعه، اقدام به تاسیس مرکز میانی دولتی نکردهاند، این مراکز میتواند زیر مرکز میانی عام تاسیس شوند. تبصره 2- در صورت عدم تطابق دستورالعمل گواهی متقاضی تاسیس مرکز میانی تابعه با دستورالعمل گواهی دستگاه بالادستی و احراز وجود شرایط ویژه برای متقاضی میتواند در حوزه فعالیت خود در مرتبه اول مجوز تاسیس مرکز میانی تابعه زیر مرکز میانی عام و در مرتبه بعدی مجوز تاسیس مرکز میانی دولتی دریافت نماید. · مراکز میانی خصوصی این مراکز برای صدور گواهی الکترونیکی مورد استفاده در بخش خصوصی برای کاربردهای تعریف شده آنها پس از احراز صلاحیتهای کیفی، کمی و حقوقی، مجوز تاسیس از مرکز دولتی ریشه خواهند گرفت. آییننامه شرایط احراز صلاحیت مراکز میانی خصوصی توسط مرکز دولتی ریشه تهیه و به تصویب شورا خواهد رسید. · مراکز میانی بیرونی مراکز میانی خصوصی با احراز شرایط لازم کسب گواهی تحت عنوان «مرکز میانی بیرونی» از مرکز دولتی ریشه میتوانند، پس از انعقاد قرارداد با دستگاه دولتی مورد نظر اقدام به صدور گواهی الکترونیکی صرفاً برای کاربردهای دولت با بنگاه (G2B) و دولت با مشتری (G2C) (گواهیهای الکترونیکی اشخاص خصوصی طرف ارتباط با دستگاه حاکمیتی) نمایند. مجوز تاسیس مراکز میانی اعم از دولتی، عام، خصوصی و تابعه، پس از تایید دستورالعملهای مربوطه توسط مرکز دولتی ریشه و تصویب شورا صادر میشود. ضمن اینکه بازرسیهای دورهای از تمامی مراکز میانی نامبرده، بر عهده مرکز دولتی ریشه بوده و مراکز مزبور موظف به ارائه کلیه تمهیدات لازم میباشند. همانطور که در بخش 1-1اشاره شد، مراکز صدور گواهی مختلف با توجه به سطوح گواهی قابل ارائه، به 4 کلاس مختلف تقسیم میشوند و این مراکز میتوانند سیاستهای گواهی را برای یک یا چند سطح اطمینان پیادهسازی نمایند. تقسیمبندی مرکز دولتی ریشه و مراکز میانی به شرح زیر میباشد: جدول 4سطوح مختلف مراکز صدور گواهی الکترونیکی
همان طور که در شکل 1مشهود است، ساختار سلسله مراتبی زیرساخت کلید عمومی کشور حداکثر از 3 لایه تشکیل شده است که میتواند متناظر با زنجیرهای متشکل از سه گواهی باشد (به عنوان مثال گواهی مرکز دولتی ریشه، گواهی مرکز میانی عام و گواهی مرکز میانی تابعه).
لازم به ذکر است که مرکز میانی عام و مراکز میانی دولتی تنها در صورت تایید مرکز دولتی ریشه و تصویب در شورا مجاز به ایجاد لایه سوم (مرکز تابعه)، میباشند؛ ضمن اینکه مراکز میانی خصوصی یا بیرونی مجاز به ایجاد این لایه نیستند. بر اساس جدول 4 مرکز دولتی ریشه امکان صدور گواهی در چهار سطح امنیتی پلاتین، طلا، نقره و برنز را دارد. این گواهیها بسته به کلاس مرکز میانی در اختیار آنها قرار میگیرد. به عنوان مثال برای یک مرکز میانی دولتی از کلاس 3، گواهیهایی در 3 سطح برنز، نقره و طلا صادر شده تا این مرکز امکان ارائه خدمات گواهی الکترونیکی در سطوح امنیتی 1، 2 و 3 را متناسب با سیاستهای هر سطح داشته باشد. 1-3-2 دفاتر ثبت نام[17]
دفتر ثبت نام موجودیتی است اختیاری که وظیفه شناسایی و بررسی صحت اطلاعات دریافت شده از سوی درخواستکنندگان گواهی الکترونیکی را بر عهده دارد. در واقع دفتر ثبت نام با بررسی هویت درخواست کننده، وظیفه تنظیم درخواست صدور، ابطال و بهروزرسانی گواهی و همچنین درخواست تجدید کلید را بر عهده دارد. دفتر ثبت نام میبایست مورد تایید مرکز صدور گواهی باشد و توافقنامه یا قراردادی بین این دو جهت متعهد شدن دفتر ثبت نام بر ارائه خدمات منطبق با دستورالعمل اجرایی مرکز میانی، منعقد گردد. دفتر ثبت نام میبایست فعالیتهای خود را با دستورالعمل اجرایی مرکز میانی مربوطه، تطابق دهد.
1-3-3 مالکان گواهی[18]
مالک گواهی به موجودیتی گفته میشود که از مرکز صدور گواهی، گواهی دریافت کرده و نام او به عنوان نام مالک گواهی[19] در گواهی الکترونیکی، ثبت میشود. هویت مالک گواهی قبل از صدور گواهی، توسط مرکز صدور گواهی یا دفتر ثبت نام بررسی و احراز میشود.
مالک گواهی ممکن است یک مرکز صدور گواهی، شخص، یک سازمان، کارمندان یک سازمان و یا سایر موجودیتهای مثل دیواره آتش[20]، سرویسدهنده مورد اعتماد[21] و ... باشد که در یک سازمان جهت برقراری ارتباط امن مورد استفاده قرار میگیرند. 1-3-4 طرفهای اعتماد کننده[22]
طرف اعتماد کننده موجودیتی است که به صحت تطابق میان مشخصات و کلید عمومی مالک گواهی الکترونیکی اعتماد کرده و گواهی الکترونیکی او را مورد استناد قرار میدهد.
1-3-5 اجزای دیگر1-3-5-1 شورای سیاستگذاری گواهی الکترونیکی کشور
به منظور حفظ یکپارچگی و جلوگیری از تفکیک راهکارها و استانداردهای بهکار گرفته شده در مراکز صدور گواهی، سیاستگذاری در زمینه فعالیتهای مرکز دولتی ریشه و بهروزرسانی سیاستهای گواهی این مرکز و تأیید تطابق دستورالعمل اجرایی[23] تمام مراکز میانی با این سند، شورایی به نام شورای سیاستگذاری گواهی الکترونیکی تشکیل شده است که از این پس در این سند به اختصار «شورا» نامیده میشود. شورا متشکل از افراد زیر میباشد:
· وزیر صنعت، معدن و تجارت یا معاون ذیربط وی (رییس) · معاون ذیربط وزیر دادگستری · معاون ذیربط وزیر اطلاعات · معاون ذیربط وزیر ارتباطات و فناوری اطلاعات · معاون ذیربط وزیر امور اقتصاد و دارایی · معاون ذیربط وزیر بهداشت، درمان و آموزش پزشکی · معاون ذیربط معاونت برنامهریزی و نظارت راهبردی رییس جمهور · معاون ذیربط رییس کل بانک مرکزی جمهوری اسلامی ایران · رییس اتاق بازرگانی و صنایع و معادن ایران · رییس سازمان ثبت اسناد و املاک کشور · رییس سازمان نظام صنفی رایانهای · دبیر شورای عالی انفورماتیک · دبیر شورای عالی فناوری اطلاعات · رییس مرکز توسعه تجارت الکترونیکی وزارت صنعت، معدن و تجارت به عنوان دبیر شورا (بدون حق رأی) · یک تا سه نفر مشاور خبره با پیشنهاد رییس و تأیید اکثریت سایر اعضای شورا. 1-3-5-2 کمیته نظارتی شورا
به منظور انجام فعالیتهای نظارتی، شورا کمیتهای با نام کمیته نظارتی را با عضویت 5 نفر (ترجیحاً از اعضای شورا) به مدت یک سال انتخاب مینماید. حضور 3 نفر از اعضا برای فعال کردن ماژول امنیتی سختافزاری[24] مرکز دولتی ریشه ضروری است.
1-4 کاربردهای گواهی[25]1-4-1 مصارف مناسب گواهی
زیرساخت کلید عمومی کشور به منظور تأمین سرویسهای امنیتی تمامیت، احراز هویت، انکارناپذیری و محرمانگی طراحی شده است. مراکز میانی در صورت استفاده از سطوح اطمینان مختلف، میبایست تعریف این سطوح اطمینان و کاربرد پذیری و شناسه هر سطح اطمینان را در دستورالعمل اجرایی گواهی خود قید کنند. جدول زیر کاربردها/انواع گواهی تعریف شده و مورد استفاده در زیرساخت کلید عمومی کشور را نمایش میدهد.
جدول 5انواع مقاصد مورد استفاده گواهی
1-4-2 مصارف غیرمجاز گواهی
مصارف غیر مجاز گواهی به شرح زیر میباشد:
· گواهیها نباید در مصارف غیر قانونی و مخالف با نظم عمومی، مورد استفاده قرار گیرند. · از گواهی الکترونیکی صرفاً میبایست در کاربرد (های) در نظر گرفته شده برای همان گواهی که در بخش 1-4-1قید شده است، استفاده گردد. · گواهیهای صادر شده برای اشخاص و سرویسگیرندگان، جهت استفاده در برنامههای کاربردی سرویسگیرنده بوده و نباید به عنوان گواهی سرویسدهنده و یا گواهی سازمانی مورد استفاده قرار گیرد. · گواهی مرکز صدور گواهی نباید برای کاربردی غیر از حوزه عملیات مرکز صدور گواهی بهکار رود. · گواهی موجودیتهای نهایی نباید به عنوان گواهی مراکز صدور گواهی بهکار روند. 1-5 راهبری سیاستها[32]1-5-1 سازمان راهبری سند
مسئولیت تدوین، اصلاح و بازنگری و انتشار این سند بر عهده مرکز دولتی ریشه بوده و همچنین مسئولیت تأیید و تصویب این سند بر عهده شورا میباشد. تنها مرجع مجاز برای تفسیر این سند مرکز دولتی ریشه بوده و این مرکز پاسخگوی هرگونه سؤال و ابهام در ارتباط با این سند منطبق با بخش 1-5-2خواهد بود.
1-5-2 اطلاعات تماس
سؤالات مربوط به سیاستهای گواهی، توسط مرکز دولتی صدور گواهی الکترونیکی ریشه پاسخ داده میشود:
· نشانی پست الکترونیکی: rca@ecommerce.gov.ir · نشانی پایگاه وب: http://www.rca.gov.ir/ · شماره تلفن: 88955951-021 · شماره فاکس: 88955953-021 · نشانی: تهران، بلوار کشاورز، خیابان شهید نادری، پلاک 11، ساختمان شماره یک وزارت صنعت، معدن و تجارت، مرکز توسعه تجارت الکترونیکی 1-5-3 مسئول تطبیق دستورالعمل اجرایی با سیاستهای مرکز دولتی ریشه
شورا مسئولیت تأیید مطابقت دستورالعملهای اجرایی مراکز میانی با سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشور را بر اساس گزارش ارائه شده توسط مرکز دولتی ریشه بر عهده دارد. تنها در صورت تأیید توسط مرکز دولتی صدور گواهی الکترونیکی ریشه و شورا، دستورالعملهای اجرایی مراکز میانی قابل اجرا میباشد.
1-5-4 فرایند تأیید دستورالعمل اجرایی
لازم است متقاضی تأسیس مرکز میانی، دستورالعمل اجرایی گواهی الکترونیکی (دستورالعمل اجرایی) خود را بر اساس RFC3647 و منطبق با سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشورتدوین نموده و به همراه اسناد و مدارک مرتبط[33] به مرکز دولتی ریشه ارائه نمایند. دستورالعمل ارائه شده به همراه اسناد مرتبط در مرکز دولتی ریشه مورد ارزیابی قرار میگیرد و پس از تأیید مستندات مذکور، جهت تایید و تصویب، به شورا ارائه میشود.
1-6 تعاریف و اختصارات
اختصارات
جدول 6اختصارات
تعاریف جدول 7تعاریف
2 انتشار و وظایف مخزن2-1 مخزن
کلیه مراکز میانی ملزم به ایجاد و نگهداری یک مخزن عمومی جهت انتشار گواهیها، لیست گواهیهای باطله و اطلاعات مرتبط دیگر هستند که به صورت برخط در دسترس کاربران مختلف قرار میگیرد. حداقل اطلاعاتی که میبایست در مخزن منتشر شود در بخش 2-2معرفی شده است. مراکز صدور گواهی میبایست مالکان گواهی را از محل انتشار گواهیها و لیست گواهیهای باطله و یا سرویسدهنده پاسخگوی OCSP مطلع نمایند. سند دستورالعمل اجرایی مراکز میانی میبایست بعد از تأیید توسط شورا، در مخزن قرار گیرد.
مرکز دولتی ریشه، گواهی(های) خودامضا و لیست گواهیهای باطله، گواهیهای صادر شده برای مراکز میانی، این سند و کلیه اسناد مرتبط دیگر را از طریق وبسایت خود به نشانی http://www.rca.gov.ir منتشر مینماید. 2-2 انتشار اطلاعات گواهی
کلیه مراکز صدور گواهی میانی میبایست حداقل اطلاعات زیر را از طریق مخزن منتشر کنند تا در دسترس مالکان گواهی و طرفهای اعتماد کننده قرار گیرد:
· کلیه گواهیهای صادرشده توسط مرکز میانی؛ · آخرین نسخه منتشرشده CRL؛ · گواهیهای صادره برای مرکز میانی؛ · سند دستورالعمل اجرایی گواهی الکترونیکی مرکز صدور گواهی (CPS)؛ · سند سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشور(CP)؛ · سرویس OCSP در صورتی که مرکز میانی از پروتکل OCSP پشتیبانی نماید؛ · توافقنامه با طرف اعتماد کننده؛ · توافقنامه با مالک گواهی؛ مرکز دولتی ریشه اطلاعات زیر را از طریق وبسایت خود منتشر مینماید: · گواهی (های) مرکز دولتی ریشه؛ · گواهیهای صادر شده برای مراکز میانی؛ · لیست گواهیهای باطل شده (CRL)؛ · سند سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشور؛ · سند جامع پروفایلهای زیرساخت کلید عمومی کشور؛ · راهنمای درخواست تأسیس مراکز میانی؛ · سند نرخ خدمات و محصولات مراکز صدور گواهی؛ · استانداردهای زیرساخت کلید عمومی کشور. · فهرست ماژولهای رمزنگاری و نرمافزارهای صدور و مدیریت گواهی مورد تایید مرکز دولتی ریشه؛ · کلیه مصوبات شورا و اسناد مرتبط دیگر که مرکز دولتی ریشه لزوم به انتشار آنها را احراز نماید. 2-3 زمان یا تناوب انتشار
الزامات زمانبندی و تناوب انتشار برای کلیه مراکز صدور گواهی به شرح زیر میباشد:
· گواهیهای صادر شده میبایست پس از پذیرش گواهی توسط مالکان گواهی که منطبق با بخش 4-4صورت میگیرد، منتشر شوند. · زمان یا تناوب انتشار لیست گواهیهای باطله با توجه به سطح اطمینان در بخش 4-9-7تعیین شده است. · در صورت پشتیبانی از پروتکل OCSP توسط مرکز صدور گواهی، سرور پاسخگوی OCSP میبایست به صورت بلادرنگ[39] وضعیت گواهی را به سرویسگیرنده OCSP ارائه نماید. · این سند پس از تأیید و تصویب توسط شورا منتشر میگردد و به صورت سالیانه در صورت نیاز به اعمال تغییر مورد بازنگری قرار میگیرد. 2-4 کنترل دسترسی به مخازن
مراکز صدور گواهی میبایست از کلیه اطلاعات مخزن در برابر تغییرات غیرمجاز محافظت نمایند. هرگونه تغییر و بهروزرسانی در مخزن، تنها میبایست توسط نقشهای مورد اطمینان مندرج در بخش 5-2-1، صورت گیرد. مراکز صدور گواهی میبایست سیستم عامل و مخزن خود را طوری پیکربندی نمایند که تنها نقشهای مجاز مرکز صدور گواهی بتوانند پس از تایید شورا، نسخه برخط اسناد سیاستهای گواهی الکترونیکی و یا دستورالعمل اجرایی را جایگزین نمایند.
تغییر و بهروزرسانی مخزن مرکز دولتی ریشه تنها توسط پرسنل مجاز مرکز دولتی ریشه و پس از اعمال فرایند کنترل دسترسی چند لایه امکانپذیر میباشد؛ همچنین این سند در قالب فایل PDF و پس از امضای الکترونیکی یک نقش مجاز از مرکز دولتی ریشه منتشر خواهد شد و تنها در صورتی معتبر است که شامل این امضای الکترونیکی باشد. 3 شناسایی و احراز هویت3-1 نامگذاری
هر موجودیت مالک گواهی، میبایست مطابق PKIX Part1، یک نام کاملاً متمایز و یکتا به فرم استاندارد X.501 در فیلدهای «نام مالک گواهی[40]» و «نام صادرکننده گواهی[41]» داشته باشد. در این بخش به نحوه نامگذاری و شناسایی مالکان گواهی پرداخته شده است. الزامات نامگذاری برای تمامی انواع/کاربردهای گواهی الکترونیکی به طور کامل در سند جامع پروفایلهای زیرساخت کلید عمومی کشور تشریح شده است.
3-1-1 انواع نامها
جدول 8الزامات نامگذاری
3-1-2 نیاز به نامهای با معنی
جدول 9نیاز به نامهای با معنی
3-1-3 استفاده از نامهای مستعار و غیر واقعی برای مالکان گواهی
در سطح یک هویت مالکان گواهی توسط مرکز صدور گواهی یا دفتر ثبت نام بررسی نمیگردد. بنابراین نامهای ترکیبی[42] در نظر گرفته شده برای گواهی صادر شده در این سطوح، ممکن است واقعی نباشد و از نام مستعار استفاده گردد ولی برای گواهیهای صادرشده در سطحهای 2، 3 و 4 نمیتوان از نامهای مستعار و غیر واقعی استفاده نمود.
3-1-4 قواعد تفسیر قالبهای مختلف نامها
تعریف نشده است.
3-1-5 یکتایی نامها
یکتایی نام در مراکز صدور گواهی میبایست رعایت شود. کلیه مراکز صدور گواهی میبایست از نامهای ترکیبی X.501 مورد تایید شورا، استفاده نمایند. تخصیص نامهای ترکیبی به مالکان گواهی، وظیفه مراکز صدور گواهی میباشد. مراکز صدور گواهی میتوانند از شماره سریال یا اطلاعات دیگری برای حفظ یکتایی نام ترکیبی استفاده کنند. چگونگی اعمال یکتایی در نامگذاری گواهیهای الکترونیکی در سند جامع پروفایلهای زیرساخت کلید عمومی کشور توصیف شده است.
3-1-6 تشخیص، احراز هویت و نقش نامهای تجاری
مراکز صدور گواهی نباید برای نامی که مراجع قانونی آن را سوء استفاده از علامت تجاری سازمان دیگر تشخیص داده است، گواهی صادر نمایند.
3-2 هویتشناسی اولیه3-2-1 روش اثبات مالکیت کلید خصوصی
از آنجایی که در زیرساخت کلید عمومی کشور به طور معمول عملیات تولید کلید توسط درخواستکننده گواهی صورت میگیرد، درخواستکننده میبایست ثابت نماید که آیا کلید خصوصی او متناظر با کلید عمومی ارائه شده برای دفتر ثبت نام و یا مرکز صدور گواهی است یا خیر. چنانچه عملیات تولید کلید توسط دفتر ثبت نام صورت گیرد، در این حالت نیز میبایست تناظر بین کلید عمومی موجود در درخواست با کلید خصوصی تولید شده، برای مرکز صدور گواهی احراز گردد.
جدول 10روش اثبات مالکیت کلید خصوصی
3-2-2 شناسایی سازمانها
سازمانها جهت دریافت گواهی سازمانی که به یک شخص به نیابت از سازمان داده میشود، میبایست درخواست گواهی را از طریق فرد نماینده و به صورت حضوری به دفتر ثبت نام ارائه نمایند. بر اساس بخش 1-4-1و سند جامع پروفایلهای زیرساخت کلید عمومی کشور، گواهیهایی که در حال حاضر میتواند برای سازمانها صادر شود عبارتند از گواهیهای مهر سازمانی، گواهی Code Signing، گواهی سرور و گواهیهای وابسته به مراکز صدور گواهی.
درخواست گواهی بنام یک سازمان میبایست شامل نام، نشانی اقامتگاه و اسناد حقوقی و رسمی سازمان برای اثبات وجود سازمان باشد. دفتر ثبت نام علاوه بر بررسی صحت این موارد، هویت فرد نماینده سازمان، مجاز بودن فرد مذکور به نمایندگی سازمان و مدارک اثبات وابستگی او به سازمان را نیز میبایست بررسی نمایند؛ همچنین احراز هویت شخص نماینده میبایست مطابق بخش 3-2-3و 3-2-5انجام گیرد. دفاتر ثبت نام یا مراکز میانی میبایست نسخهای از نوع و جزئیات شناسایی مورد استفاده در احراز هویت سازمان و تاریخ احراز هویت را مطابق با بخش 5-5-2بایگانی نمایند. 3-2-3 احراز هویت افراد3-2-3-1 فردی شخصاً درخواست گواهی نماید
قبل از ثبت و ارسال درخواست به مرکز میانی، مراکز میانی یا دفاتر ثبت نام میبایست منطبق با نظام شناسایی توصیف شده در جداول زیر، هویت فرد را شناسایی نمایند.
جدول 11نحوه شناسایی افراد
جدول 12نحوه امتیازدهی به افراد
دفاتر ثبت نام یا مراکز میانی میبایست نسخهای از نوع و جزئیات شناسایی مورد استفاده در احراز هویت شخص و تاریخ احراز هویت را حداقل در طول دوره عمر گواهی صادر شده برای او نگهداری نمایند.
کلیه مراکز میانی میبایست به طور دقیق و شفاف فرایند احراز هویت اشخاص و مدارک مورد نیاز جهت شناسایی آنها را به تفکیک سطوح در دستورالعمل اجرایی گواهی الکترونیکی خود، تشریح نمایند. 3-2-3-2 شخصی به نمایندگی از شخص دیگر درخواست گواهی نماید
یک فرد میتواند درخواست گواهی خود را از طریق فرد دیگری با اعطای نمایندگی رسمی ارائه نماید. قبل از ثبت و ارسال درخواست به مرکز میانی، دفتر ثبت نام میبایست مطابق با بخش 3-2-3-1، هویت شخص اصیل و نماینده را شناسایی نماید. علاوه بر این، دفتر ثبت نام میبایست اطمینان حاصل نماید که فرد نماینده از سوی فرد درخواستکننده، مجاز به ارائه درخواست گواهی به نیابت از وی میباشد. برای این منظور، مجوزی که به فرد نماینده از سوی شخص درخواست کننده گواهی اعطا میشود، میبایست بررسی و تصدیق شود.
اطلاعات مربوط به روش و جزئیات شناسایی مورد استفاده در تأیید هویت شخص اصیل و نماینده، میبایست توسط مرکز میانی یا دفتر ثبت نام ثبت و نگهداری شوند. همچنین مراکز میانی میبایست در دستورالعمل اجرایی گواهی الکترونیکی خود به طور دقیق و شفاف، فرایند شناسایی برای حالتی که ارائه درخواست گواهی از سوی نماینده شخص متقاضی صورت میگیرد را شرح و مدارک شناسایی مورد نیاز را تعیین نمایند. 3-2-3-3 شخصی برای نقش سازمانی خود درخواست گواهی نماید
قبل از ثبت و ارسال درخواست به مرکز میانی، دفتر ثبت نام میبایست مطابق با بخش 3-2-3-1، هویت فردی که درخواست صدور گواهی برای نقش سازمانی خود دارد را شناسایی نماید. علاوه بر این، دفتر ثبت نام میبایست از اینکه فرد برای این نقش سازمانی مجاز میباشد، اطمینان حاصل نماید.
مدارک مربوط به احراز نقش سازمانی درخواست کننده گواهی میبایست مطابق با بخش 5-5-2، توسط دفتر ثبت نام یا مرکز صدور گواهی میانی نگهداری گردند. کلیه مراکز میانی میبایست در دستورالعمل اجرایی گواهی الکترونیکی خود به طور دقیق و شفاف مدارک مورد نیاز جهت احراز نقش سازمانی درخواست کننده گواهی را تعیین نمایند. 3-2-4 اطلاعات تصدیق نشده مالکان گواهی
اطلاعاتی که از طرف درخواستکننده گواهی به دفتر ثبت نام ارائه میگردد و احتیاج به بررسی و تصدیق ندارد، عبارتند از:
· واحد سازمانی (OU): سطح اطمینان اول و دوم؛ · نام مالک گواهی برای سطح اطمینان اول؛ · اطلاعات دیگری که به عنوان اطلاعات تصدیق نشده در گواهی تعیین شده باشند. 3-2-5 اعتبارسنجی مرجع ذیصلاح
هرگاه نام درخواستی برای گواهی یک شخص، با یک سازمان خاص مرتبط باشد تا وابستگی شخص درخواست کننده را به سازمان نشان دهد و یا زمانی که شخصی از طرف یک سازمان مأمور ارائه درخواست گواهی برای سازمان باشد، دفتر ثبت نام میبایست:
· موجودیت سازمان را از طریق پایگاهداده یا اسناد و مدارک رسمی و قانونی ارائهشده پیگیری نماید؛ · برای سطح اطمینان 2 حداقل با استعلام تلفنی از سازمان مربوطه صلاحیت شخص درخواست کننده را احراز نماید. · برای سطوح اطمینان 3 و 4 با استعلام کتبی از سازمان مربوطه، صلاحیت شخص درخواست کننده را احراز نماید. 3-2-6 شرایط تعامل با سایر نهادها
در حال حاضر تعریف نشده است.
3-3 شناسایی و احراز هویت برای درخواستهای تجدید کلید[46]
تجدید کلید یک گواهی به معنای تولید یک گواهی جدید همسان با گواهی قبلی است، به جز آن که گواهی جدید دارای یک کلید عمومی، متناظر با کلید خصوصی، شماره سریال و احتمالاً یک مدت اعتبار متفاوت میباشد.
اشخاص و سازمانهایی که قصد تجدید کلید دارند، میبایست درخواست گواهی جدید خود را به دفتر ثبت نام تحویل دهند و دفتر ثبت نام احراز هویت درخواستکننده را مطابق با بخشهای 3-3-1و 3-3-2انجام میدهد. درخواستهای تجدید کلید میبایست ثبت و نگهداری گردند. 3-3-1 فرایند عادی شناسایی و احراز هویت برای تجدید کلید
شناسایی و احراز هویت برای تجدید کلید عبارت است از بررسی و تصدیق اینکه شخص یا سازمانی که درخواست تجدید کلید گواهی را داده، مالک واقعی گواهی و یا یک نماینده مجاز برای مالک گواهی میباشد.
فرایند درخواست تجدید کلید و شناسایی مالک گواهی یا نماینده وی مطابق با بخش 3-2میباشد با این تفاوت که دفتر ثبت نام میبایست اطلاعات و مدارک ارائهشده توسط درخواستکننده را با اطلاعات و مدارک موجود در پایگاهداده و بایگانی خود که هنگام درخواست صدور گواهی برای شخص یا سازمان مربوطه ثبت گردیده، مقایسه نماید. در صورت تطابق، دفتر ثبت نام میبایست درخواست تجدید کلید را تأیید نموده و جهت پردازش، به مرکز میانی ارسال نماید. 3-3-2 شناسایی و احراز هویت برای تجدید کلید پس از ابطال گواهی
تعریف نشده است.
3-4 شناسایی و احراز هویت برای درخواست ابطال
شناسایی و احراز هویت برای درخواست ابطال عبارت است از بررسی و تصدیق اینکه شخص یا سازمانی که درخواست ابطال گواهی را داده، مالک واقعی گواهی و یا یک نماینده مجاز برای مالک گواهی میباشد.
فرایند درخواست ابطال گواهی و شناسایی مالک گواهی یا نماینده وی مطابق با بخشهای 3-2-2و 3-2-3صورت میگیرد با این تفاوت که دفتر ثبت نام میبایست اطلاعات و مدارک ارائهشده توسط درخواستکننده را با اطلاعات و مدارک موجود در پایگاهداده و بایگانی خود که هنگام درخواست صدور گواهی برای شخص یا سازمان مربوطه ثبت گردیده، مقایسه نماید. در صورت تطابق، دفتر ثبت نام میبایست درخواست ابطال گواهی را تأیید نموده و جهت پردازش، به مرکز میانی ارسال نماید. درخواستهای ابطال گواهی میبایست ثبت و نگهداری شوند. 4 الزامات عملیاتی چرخه حیات گواهی4-1 درخواست گواهی
درخواست کننده گواهی و دفتر ثبت نام میبایست مراحل زیر را هنگام ارائه درخواست گواهی، انجام دهند:
· شناسایی مالک گواهی (طبق بخش 3-2) · ثبت اطلاعات اساسی درخواستکننده گواهی مطابق با دستورالعمل اجرایی گواهی الکترونیکی مرکز میانی؛ · تولید زوج کلید و ارائه کلید عمومی به همراه هر درخواست گواهی؛ · حصول اطمینان از ارتباط کلید عمومی ارائه شده با کلید خصوصی نزد مالک گواهی (طبق بخش 3-2-1) مراحل فوق ممکن است با هر ترتیبی که مناسب است و امنیت را مختل نمینماید انجام شود، اما همه آنها میبایست قبل از صدور گواهی الکترونیکی کامل شود. فرایند درخواست گواهی مالکان گواهی در دستورالعمل اجرایی گواهی الکترونیکی مراکز میانی مربوطه میبایست ارائه شود. درخواست مراکز میانی برای گواهی خود میبایست از طریق اطلاعات تماس مندرج در بخش 1-5-2و بر اساس مستند «راهنمای درخواست تأسیس مراکز میانی» منتشر شده در سایت مرکز دولتی ریشه صورت گیرد. متقاضیان تأسیس مراکز میانی میبایست دستورالعمل اجرایی گواهی الکترونیکی خود را بر مبنای سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشورو چارچوب دستورالعمل اجرایی (RFC3647)، به مرکز دولتی ریشه ارائه نمایند. دستورالعمل اجرایی گواهی الکترونیکی پس از بررسی و تأیید مرکز دولتی ریشه، به شورا جهت ارزیابی و تصویب ارائه خواهد شد. در صورت تأیید و تصویب دستورالعمل اجرایی گواهی الکترونیکی مراحل تأسیس مرکز میانی ادامه خواهد یافت. مراکز میانی تنها با اجازهنامه کتبی شورا و بعد از صدور گواهی توسط مرکز صدور گواهی بالادستی، مجاز به صدور گواهیهایی حاوی شناسه سیاستهای گواهی الکترونیکی مرکز دولتی ریشه میباشند. 4-1-1 موجودیتهای مجاز جهت ارائه درخواست گواهی
افرادی که ممکن است یک درخواست گواهی را ارائه نمایند عبارتند از:
· شخصی که میخواهد مالک گواهی شود؛ · نماینده مجاز برای یک سازمان یا موجودیت (جهت ارائه درخواست گواهی برای شخص دیگر، نقش سازمانی، تجهیزات یا برنامه کاربردی و یا ارائه درخواست گواهیهای سازمانی)؛ · نماینده مجاز برای مرکز میانی جهت ارائه درخواست گواهی از مرکز صدور گواهی بالادستی. 4-1-2 فرایند ثبت نام و مسئولیتها
هر شخص یا سازمانی که قصد درخواست صدور یک گواهی از یک مرکز صدور گواهی را دارد، میبایست حداقل مراحل زیر را طی نماید:
· درخواست کننده گواهی میبایست پس از تولید زوج کلید، درخواست گواهی را همراه با اثبات مالکیت کلید خصوصی منطبق با بخش 3-2-1به مرکز صدور گواهی یا دفتر ثبت نام تحویل دهد و یا فرایند تولید کلید را به مرکز صدور گواهی یا دفتر ثبت نام مربوطه واگذار نماید؛ · مدارک و اطلاعات لازم جهت ارائه یک درخواست گواهی را مطابق با بخش 3-2به دفتر ثبت نام ارائه نماید؛ · امضای یک توافقنامه در مورد شرایط حاکم بر استفاده از گواهی. 4-2 بررسی درخواست گواهی
مراکز میانی میبایست در دستورالعمل اجرایی گواهی، فرایندها و الزامات درخواست صدور گواهی را بیان نمایند. همینطور میبایست اطلاعات مورد نیاز برای ثبت درخواست و فرایند درخواست گواهی را به اطلاع درخواست کنندگان برسانند.
4-2-1 اجرای فرایندهای شناسایی و احراز هویت
دفتر ثبت نام یا مرکز صدور گواهی میبایست کلیه اطلاعات مورد نیاز ارائهشده توسط درخواست کننده گواهی جهت صدور یک گواهی توسط مرکز صدور گواهی را مطابق با بخش 3-2، شناسایی و احراز هویت نماید.
4-2-2 تأیید یا رد درخواستهای گواهی
چنانچه احراز هویت درخواستکننده گواهی منطبق با بخش 3-2با موفقیت و به طور کامل انجام گیرد، دفتر ثبت نام میبایست درخواست گواهی را تأیید نماید. ضمناً دفتر ثبت نام میبایست در صورت وقوع حداقل یکی از شرایط ذیل درخواست گواهی را رد نماید:
· هویتشناسی درخواستکننده گواهی بر اساس مدارک تحویل داده شده و اطلاعات احراز هویت دیگر و منطبق با بخش 3-2با موفقیت و به طور کامل صورت نگیرد؛ · عملیات اثبات مالکیت کلید خصوصی با موفقیت صورت نگیرد؛ · درخواست کننده گواهی توافقنامه شرایط حاکم بر استفاده از گواهی را نپذیرد؛ · درخواست کننده گواهی به تذکرات دفتر ثبت نام در زمان تعیینشده پاسخ ندهد؛ کلیه مراکز میانی میبایست فرایند تایید یا عدم تایید درخواستهای گواهی را در دستورالعمل اجرایی گواهی الکترونیکی خود به طور کامل تشریح نمایند. 4-2-3 مدت رسیدگی به درخواست گواهی
حداکثر فاصله زمانی بین دریافت و تأیید درخواست و صدور گواهی مورد نظر میبایست مطابق با فاصله تعیین شده در جدول زیر برای هر سطح اطمینان باشد.
جدول 13مدت رسیدگی به درخواست گواهی
4-3 صدور گواهی4-3-1 اقدامات مرکز در طول صدور گواهی
گواهی پس از تأیید نهایی درخواست گواهی از سوی مرکز صدور گواهی و یا پس از دریافت درخواست صدور گواهی از سوی دفتر ثبت نام و تصدیق امضای درخواست گواهی، صادر میشود.
مرکز صدور گواهی میبایست برای درخواستکننده گواهی بر اساس اطلاعات موجود در درخواست گواهی تصدیق شده، گواهی صادر نماید. 4-3-2 اطلاعرسانی به متقاضی توسط مرکز صدور گواهی
کلیه مراکز صدور گواهی میبایست پس از صدور گواهی به روشی که در دستورالعمل اجرایی آنها قید میگردد، مالک گواهی را از صادر شدن گواهی مطلع نمایند.
مرکز دولتی ریشه پس از صدور گواهی برای یک مرکز میانی، از طریق ارسال نامه اطلاعرسانی، به آن مرکز اطلاع میدهد که گواهی او صادر شده است. 4-4 پذیرش گواهی4-4-1 چگونگی پذیرش گواهی
پذیرش گواهی توسط درخواست کننده گواهی به عنوان یک پیش شرط جهت استفاده از گواهی الکترونیکی است. مراکز میانی میبایست در دستورالعمل اجرایی گواهی الکترونیکی خود و توافق نامه تنظیم شده با درخواست کننده گواهی، فرایند پذیرش گواهی توسط درخواستکننده گواهی را شرح دهند. فرایند صدور، اطلاع رسانی و پذیرش بستگی به عواملی مانند مکانی که زوج کلید ایجاد میشود و چگونگی در دسترس قرار گرفتن گواهی برای موجودیتهای نهایی دارد. با پذیرش یک گواهی، موجودیت نهایی تصدیق مینماید تمام اطلاعاتی که در گواهی الکترونیکی قید شده است، صحت دارد.
اگر گواهی به هر دلیل (مثلاً عدم انطباق اطلاعات موجود در گواهی با اطلاعات درخواستی) پذیرفته نشود، عدم پذیرش گواهی و دلایل آن میبایست از سوی مالک گواهی به روشی که در توافقنامه قید شده است، به مرکز صدور گواهی اطلاع داده شود و گواهی مذکور توسط مرکز صدور گواهی باطل گردد. مرکز دولتی ریشه پس از صدور گواهی برای یک مرکز میانی، گواهی مذکور را به صورت حضوری و از طریق یک CD در اختیار نماینده مجاز مرکز میانی قرار میدهد و پذیرش این گواهی با امضای فرم پذیرش گواهی توسط نماینده مجاز مذکور صورت میگیرد. مرکز دولتی ریشه تنها پس از انجام فرایند پذیرش گواهی، گواهی مرکز میانی را در مخزن خود منتشر خواهد نمود. 4-4-2 انتشار گواهی توسط مرکز صدور گواهی
مرکز صدور گواهی میبایست گواهیهای صادر شده و پذیرفته شده از سوی مالک گواهی را از طریق مخزن منتشر نماید.
4-4-3 اطلاعرسانی صدور گواهی به سایر موجودیتها توسط مرکز
دفتر ثبت نام ممکن است از صدور گواهی که درخواست آن را تأیید و ثبت نموده بود، مطلع شود.
4-5 کاربرد گواهی و زوج کلید4-5-1 کاربرد گواهی و کلید خصوصی مالک گواهی
استفاده از کلید خصوصی متناظر با کلید عمومی موجود در گواهی تنها در صورتی مجاز میباشد که مالک گواهی توافقنامه شرایط حاکم بر استفاده از گواهی و گواهی صادر شده را بپذیرد.
مالک گواهی میبایست گواهی را مطابق با قانون و مفاد توافقنامه بین مالک گواهی و مرکز صدور گواهی، سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشور(CP) و دستورالعمل اجرایی مرکز میانی مربوطه (CPS) مورد استفاده قرار دهد. استفاده از گواهی نباید متناقض با فیلد KeyUsage از الحاقیههای[47] گواهی باشد. مالک گواهی نباید از کلید خصوصی خود در کاربردهای غیرمجاز و به قصد ضرر رساندن به غیر استفاده نماید. همچنین، نباید با منقضی شدن یا باطل شدن گواهی از کلید خصوصی متناظر با آن گواهی استفاده نماید. 4-5-2 کاربرد گواهی و کلید عمومی برای طرف اعتماد کننده
در یک زیرساخت کلید عمومی از طریق گواهیهای X.509، مشخصات یک موجودیت به کلید عمومی او پیوند داده میشود. یکی از مهمترین قابلیتهایی که یک نرمافزار مجهز به زیرساخت کلید عمومی (PKE[48]) میبایست پشتیبانی نماید، فرایند اعتبارسنجی زنجیره گواهی میباشد. از طریق این فرایند میتوان دریافت که به یک گواهی الکترونیکی جهت استفاده در یک نرمافزار خاص میتوان اعتماد نمود یا خیر. به عبارت دیگر در این فرایند درستی پیوند بین مشخصات مالک گواهی و کلید عمومی او بررسی میگردد.
در یک زنجیره گواهی، هر گواهی توسط صادر کننده این گواهی امضا شده است و این زنجیره، از گواهی موجودیت نهایی تا گواهی متعلق به مرکز دولتی ریشه امتداد دارد. به عنوان مثال یک زنجیره گواهی ممکن است شامل گواهی کاربر (User) که توسط صادر کننده این گواهی (CA) امضا شده، گواهی CA که توسط صادر کننده این گواهی (Root CA) امضا شده و گواهی متعلق به مرکز دولتی ریشه صدور گواهی (Root CA) که توسط خودش امضا شده است، باشد. Root CA CA User طرفهای اعتماد کننده میبایست همواره به تناسب استفاده از گواهی با اهداف و کاربردهای تعیینشده و عدم استفاده از گواهی در کاربردهای منع شده توسط سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشورو دستورالعمل اجرایی مرکز میانی توجه داشته باشند و قبل از اعتماد به یک گواهی، جهت اعتبارسنجی زنجیره گواهی میبایست حداقل موارد زیر را در نظر داشته باشند: · وجود یا عدم وجود گواهی متعلق به صادر کننده گواهی مورد نظر در زنجیره گواهی میبایست بررسی گردد[49]؛ · امضای کلیه گواهیهای موجود در زنجیره گواهی میبایست اعتبارسنجی گردد[50]؛ · از گواهی میبایست در کاربردهای متناسب با کاربردهای تعیینشده در الحاقیههای گواهی (مثل الحاقیه KeyUsage) استفاده شود. (به عنوان مثال اگر کاربرد امضای الکترونیکی برای گواهی فعال نشده باشد، از این گواهی نباید برای تصدیق امضای مالک گواهی استفاده نمود)؛ · وضعیت (ابطال یا عدم ابطال) گواهی مالک گواهی و کلیه گواهیهای متعلق به مراکز صدور گواهی موجود در زنجیره گواهی میبایست بررسی گردد. اگر هر یک از گواهیهای موجود در زنجیره گواهی باطل شده باشد، طرف اعتماد کننده منحصراً مسئول اعتماد به گواهی مالک گواهی و امضای تصدیق شده توسط این گواهی میباشد. · اعتبار کلیه لیستهای گواهیهای باطله مرتبط با زنجیره گواهی میبایست بررسی گردد. با فرض اینکه از گواهی در کاربرد مناسب استفاده میشود، طرفهای اعتماد کننده میبایست از نرمافزار و یا سختافزار مناسب جهت انجام عمل تصدیق امضا، اعتبارسنجی زنجیره گواهی و یا دیگر عملیات رمزنگاری وابسته به کلید عمومی استفاده کنند. این عملیات یکی از شرایط اعتماد به گواهی میباشد که شامل شناسایی یک زنجیره گواهی و تصدیق امضای تمام گواهیهای موجود در زنجیره گواهی نیز میباشد. کلیه نرمافزارهای مجهز به زیرساخت کلید عمومی کشور (نرمافزارهای PKE) میبایست مورد تأیید مرکز دولتی ریشه بوده و در آزمایشگاه زیرساخت کلید عمومی مرکز دولتی ریشه آزمون و ارزیابی شده باشند. 4-6 تمدید گواهی[51]
منظور از تمدید گواهی، تولید یک گواهی جدید، همسان با گواهی قبلی است به جز آنکه گواهی جدید دارای یک مدت اعتبار متفاوت و یک شماره سریال متفاوت میباشد.
4-6-1 شرایط تمدید گواهی
تمدید یک گواهی در صورتی امکانپذیر است که زمان انقضای گواهی فرا نرسیده باشد، گواهی باطل نشده باشد و مجموع دوره اعتبار گواهیهای صادر شده (مجموع دوره اعتبار گواهی جدید و قدیم) از الزامات قید شده در بخش 6-3-2پیروی نماید.
4-6-2 متقاضیان تمدید گواهی
در زیرساخت کلید عمومی کشور متقاضیان تمدید گواهی میتواند شامل موارد زیر باشند:
· مالک گواهی و یا نماینده مجاز برای او میتواند درخواست تمدید گواهی نماید. · دفاتر ثبت نام (فرایند تمدید گواهی باید در دستورالعمل اجرایی مراکز میانی قید شود) 4-6-3 بررسی درخواستهای تمدید گواهی
فرایند بررسی درخواست تمدید یک گواهی مطابق با بخش 3-3-1میباشد.
4-6-4 اعلام صدور گواهی جدید به مالک گواهی
اطلاعرسانی صدور یک گواهی تمدید شده به مالک گواهی مطابق با بخش 4-3-2میباشد.
4-6-5 چگونگی پذیرش گواهی تمدید شده
چگونگی پذیرش تمدید یک گواهی مطابق با بخش 4-4-1میباشد.
4-6-6 انتشار گواهی تمدید شده توسط مرکز
گواهیهای جدید صادر شده که مدت اعتبار آنها تمدید شده است و از سوی مالک گواهی پذیرفته شدهاند میبایست از طریق مخزن منتشر شوند.
4-6-7 اطلاعرسانی صدور گواهی توسط مرکز صدور گواهی به سایر موجودیتها
دفتر ثبت نام ممکن است از صدور گواهی که درخواست آن را تأیید و ثبت نموده، مطلع شود.
4-7 تجدید کلید گواهی[52]
تجدید کلید یک گواهی به معنای تولید یک گواهی جدید همسان با گواهی قبلی است، به جز آنکه گواهی جدید دارای یک کلید عمومی جدید و متفاوت (متناظر با یک کلید خصوصی متفاوت) و یک شماره سریال متفاوت و احتمالاً یک مدت اعتبار متفاوت میباشد.
4-7-1 شرایط تجدید کلید گواهی
مالک گواهی میبایست قبل از فرا رسیدن زمان انقضای گواهی اقدام به تجدید کلید گواهی نماید تا استمرار استفاده از کاربردهای گواهی حفظ شود. در صورت وقوع یکی از حالتهای زیر ممکن است یک گواهی تجدید کلید گردد:
· دوره اعتبار گواهی در آستانه به پایان رسیدن باشد و بر اساس شرایط بخش 4-6-1امکان تمدید وجود نداشته باشد؛ · کلید خصوصی متناظر با گواهی الکترونیکی در خطر افشا باشد. ارایه خدمات تجدید کلید در مراکز میانی، وابسته به امکانات مرکز میانی ذیربط بوده و فرایند ارایه آنها میبایست در دستورالعمل اجرایی گواهی الکترونیکی مربوطه درج گردد. در فرایند تجدید کلید یک گواهی الکترونیکی متعلق به موجودیتهای نهایی، اعمال این فرایند میبایست همراه با ابطال گواهی قبلی باشد. فرایند تجدید کلید برای مراکز صدور گواهی نیز در صورتی که دلیل تجدید کلید، در خطر افشا قرار گرفتن کلید باشد، باید همراه با ابطال گواهی قبلی صورت پذیرد. 4-7-2 متقاضیان گواهی با کلید عمومی جدید
فقط مالک گواهی یا نماینده مجاز وی و یا نماینده مجاز برای گواهی سازمانی میتواند درخواست تجدید کلید گواهی نماید.
4-7-3 بررسی درخواستهای تجدید کلید گواهی
فرایند بررسی درخواست تجدید کلید یک گواهی مطابق با بخش 3-3-1میباشد.
4-7-4 اعلام صدور گواهی جدید به مالک گواهی
اطلاعرسانی صدور یک گواهی با کلید عمومی جدید به مالک گواهی مطابق با بخش 4-3-2میباشد.
4-7-5 چگونگی پذیرش گواهی با کلید جدید
چگونگی پذیرش تجدید کلید یک گواهی مطابق با بخش 4-4-1میباشد.
4-7-6 انتشار گواهی تجدید کلید شده توسط مرکز صدور گواهی
گواهیهای جدیدی که کلید عمومی آنها تجدید شده است و از سوی مالک گواهی پذیرفته شدهاند میبایست از طریق مخزن منتشر شوند.
4-7-7 اطلاعرسانی صدور گواهی توسط مرکز صدور گواهی به سایر موجودیتها
دفتر ثبت نام ممکن است از صدور گواهی که درخواست آن را تأیید و ثبت نموده بود، مطلع شود.
4-8 اصلاح گواهی[53]
در حال حاضر قابل اعمال نیست.
4-8-1 شرایط اصلاح گواهی
در حال حاضر قابل اعمال نیست.
4-8-2 متقاضیان اصلاح گواهی
در حال حاضر قابل اعمال نیست.
4-8-3 بررسی درخواستهای اصلاح گواهی
در حال حاضر قابل اعمال نیست.
4-8-4 اعلام صدور گواهی جدید به مالک گواهی
در حال حاضر قابل اعمال نیست.
4-8-5 چگونگی پذیرش گواهی اصلاح شده
در حال حاضر قابل اعمال نیست.
4-8-6 انتشار گواهی اصلاح شده توسط مرکز صدور گواهی
در حال حاضر قابل اعمال نیست.
4-8-7 اطلاعرسانی صدور گواهی توسط مرکز صدور گواهی به سایر موجودیتها
در حال حاضر قابل اعمال نیست.
4-9 ابطال و تعلیق گواهی4-9-1 شرایط ابطال
ابطال گواهی زمانی که پیوند بین مشخصات مالک گواهی و کلید عمومی گواهی اعتباری نداشته باشد، انجام میگردد.
4-9-1-1 شرایط ابطال گواهی الکترونیکی مراکز میانی
در صورت وقوع هر یک از موارد زیر میبایست مرکز میانی، ابطال گواهی خود را از مرکز دولتی ریشه و یا از مرکز صدور گواهی بالادستی خود درخواست نماید:
· کلید خصوصی مرکز میانی احتمالاً یا مطمئناً در خطر افشا باشد؛ · دیگر نیازی به گواهی نباشد. این امر ممکن است به علت خاتمه خدمات ارائهشده توسط مرکز میانی یا انقضای قرارداد بین مرکز میانی و مرکز میانی بالادستی باشد. حداقل در صورت وقوع هر یک از موارد زیر مرکز دولتی ریشه و یا مرکز میانی میبایست اقدام به ابطال گواهی مرکز میانی زیرین خود بدون تأیید او نماید: · در صورت ابطال گواهی مرکز دولتی ریشه و یا مرکز میانی بالادستی، کلیه گواهیهای متعلق به مراکز میانی زیرین میبایست باطل شوند؛ · در صورت محرز تخلف مرکز میانی یا دفاتر ثبت نام وابسته به آن مرکز میانی از مندرجات این سند و تایید این تخلف توسط شورا؛ · محرز شدن صدور گواهی مبتنی بر اظهارات خلاف واقع اعم از عمدی و غیر عمدی مرکز میانی و تأیید آن توسط شورا؛ · درخواست ابطال از سوی مراجع قضائی ذیصلاح؛ · مرکز دولتی ریشه و یا مرکز صدور گواهی بالادستی، به فعالیت خود پایان دهد. مرکز دولتی ریشه به محض قطع عملیات مرکز میانی و زمانی که فعالیت این مرکز به موجب حکم مراجع قضایی و یا دلیل دیگری متوقف شود و همچنین و در صورت لغو مجوز مرکز میانی میبایست به روش مندرج در بند (خ) ماده (5) آییننامه اجرایی ماده 32 قانون تجارت الکترونیکی و درج در روزنامه رسمی جمهوری اسلامی ایران فهرست گواهیهای باطله را منتشر نماید. مسئولیت جبران خسارات ناشی از ابطال گواهی مرکز میانی به مالکان گواهی صادرشده از این مرکز باید در دستورالعمل اجرایی یا در توافقنامه منعقد شده بین طرفین قید شود. 4-9-1-2 شرایط ابطال گواهی الکترونیکی موجودیت نهایی
در صورت وقوع هر یک از موارد زیر مالک گواهی و یا نماینده مجاز وی میبایست ابطال گواهی را از مرکز میانی درخواست نماید:
· کلید خصوصی مالک گواهی احتمالاً یا مطمئناً در خطر افشا باشد؛ · اطلاعات موجود در گواهی (نظیر مشخصات مالک گواهی) به هر دلیلی تغییر نماید؛ · دیگر نیازی به گواهی نباشد؛ این امر ممکن است به علت توقف فعالیت یک سازمان و یا توقف فعالیت یک شخص در یک سازمان و تغییر جایگاه سازمانی مالک گواهی باشد. مرکز صدور گواهی، گواهی مالکان گواهی را میبایست بدون تأیید آنها در صورت بروز هر یک از شرایط زیر باطل نماید: · در صورت استفاده غیرمجاز، جعل و در خطر افشا قرار گرفتن کلید خصوصی مرکز میانی و یا باطل شدن گواهی الکترونیکی مرکز دولتی ریشه، کلیه گواهیهای امضاشده توسط مرکز صدور گواهی میبایست باطل شوند؛ · درخواست ابطال از سوی مراجع قضائی ذیصلاح؛ · تخطی مالک گواهی الکترونیکی از تعهداتش؛ · مرکز صدور گواهی به فعالیت خود پایان دهد؛ · مرکز دولتی ریشه به فعالیت خود پایان دهد. · در صورت فوت مالک گواهی. کلیه مراکز صدور گواهی میبایست در توافقنامه فیمابین خود و مالکان گواهی، مالکان گواهی را ملزم نمایند که در صورت اطلاع یا احتمال به خطر افتادن کلید خصوصی خود در اسرع وقت مرکز مربوطه را مطلع کنند و جهت ابطال گواهی اقدام کنند. 4-9-2 متقاضیان درخواست ابطال4-9-2-1 موجودیتهای نهایی
جدول 14موجودیتهای مجاز به ارائه درخواست ابطال گواهی الکترونیکی
4-9-2-2 مراکز صدور گواهی الکترونیکی میانی
موجودیتهای مجاز جهت ارائه درخواست ابطال گواهی متعلق به مراکز میانی عبارتند از:
· نماینده مجاز مراکز میانی برای ابطال گواهی (های) این مراکز؛ · مراجع قضائی ذیصلاح؛ · شورا؛ · مرکز دولتی ریشه. تمامی درخواستها با تصویب در شورای سیاستگذاری قابل اجرا خواهند بود. 4-9-3 فرایند رسیدگی به درخواست ابطال
هر درخواست ابطال گواهی میبایست منحصراً برای یک گواهی باشد و دلیل ابطال گواهی را شرح دهد ضمن اینکه این درخواست میبایست منطبق با بخش 3-4تعیین هویت شود.
چنانچه درخواست ابطال معتبر باشد، مرکز صدور گواهی میبایست از طریق قرار دادن شماره سریال گواهی مورد نظر در لیست گواهیهای باطله، اقدام به ابطال گواهی نماید. الزامات مربوط به فرایند رسیدگی به درخواست ابطال عبارت است از: · شناسایی و احراز هویت درخواست ابطال گواهی (مطابق با بخش 3-4)؛ · ثبت و نگهداری تمام اطلاعات مربوط به درخواست؛ · بهروز نمودن لیست گواهیهای باطله و سرور پاسخگوی OCSP بعد از ابطال گواهی 4-9-4 مهلت اعلام درخواست ابطال
چنانچه کلید خصوصی مالک گواهی احتمالاً و یا مطمئناً در خطر افشا (به عنوان مثال افشای گذرواژه ماژول رمزنگاری) باشد، درخواست ابطال گواهی میبایست در کمترین زمان ممکن ارائه گردد.
4-9-5 مدت رسیدگی به درخواست ابطال توسط مرکز صدور گواهی
حداکثر زمان مجاز جهت رسیدگی به درخواست ابطال گواهی (مخصوصاً در صورت افشای کلید خصوصی) توسط مراکز صدور گواهی، در جدول زیر تعیین شده است همچنین کلیه مراکز صدور گواهی میانی میبایست در دستورالعمل اجرایی خود الزامات مدت زمان لازم جهت ارائه درخواست تایید شده ابطال از سمت دفتر ثبت نام به مرکز میانی را تعیین نمایند.
جدول 15مدت رسیدگی به درخواست ابطال توسط مرکز صدور گواهی
4-9-6 الزامات بررسی ابطال توسط طرفهای اعتماد کننده
طرف اعتماد کننده قبل از استفاده از گواهی میبایست وضعیت (ابطال یا عدم ابطال) آن را بررسی نماید. چنانچه در شرایط خاص دسترسی به اطلاعات وضعیت گواهی امکانپذیر نباشد، مسئولت اعتماد به گواهی بر عهده طرف اعتماد کننده میباشد. الزامات بررسی ابطال برای طرف اعتماد در ذیل آورده شده است.
· در فرایند اعتبارسنجی زنجیره گواهی میبایست وضعیت ابطال یا عدم ابطال کلیه گواهیهای موجود در زنجیره، از طریق لیست گواهیهای باطله متناظر با گواهی و یا از طریق پروتکل OCSP، بررسی گردد. · صحت و تمامیت لیست (های) گواهیهای باطله را نیز میبایست بررسی نماید. · برای سطح 4 اطلاعات مربوط به ابطال نباید جهت استفاده در دفعات بعدی ذخیره گردد[54]. مراکز صدور گواهی میبایست محل دریافت آخرین CRL منتشر شده ([55]CDP)، و محل دسترسی به سرور پاسخگوی OCSP[56] را (در صورت پشتیبانی) جهت بررسی وضعیت گواهی در اختیار طرف اعتماد کننده قرار دهند. 4-9-7 تناوب صدور لیست گواهیهای باطلشده
لیست (های) گواهیهای باطل شده، حتی اگر هیچ تغییر یا بهروزرسانی در آنها انجام نشده باشد، برای تایید اطلاعات، به صورت دورهای صادر و به مخزن ارسال میشوند. اگر تحت شرایط خاصی، مرکز میانی، بهروزرسانی لیست گواهیهای باطلشده را زودتر انجام دهد، شرایط خاص مذکور میبایست در دستورالعمل اجرایی ذکر شود. مرکز میانی میبایست از این که لیست گواهیهای باطل شده قبلی پس از ارسال آخرین نسخه این لیست از مخزن برداشته شدهاند، مطمئن شود.
مرکز دولتی ریشه هر 6 ماه یکبار، یک لیست گواهیهای باطله صادر و منتشر مینماید. الزامات مربوط به تناوب صدور لیست گواهیهای باطله توسط مراکز میانی در جدول زیر قید شده است: جدول 16تناوب صدور لیست گواهیهای باطلشده
4-9-8 حداکثر تأخیر انتشار لیست گواهیهای باطله
به طور معمول لیست گواهیهای باطله میبایست به صورت خودکار و بلافاصله پس از ابطال گواهی، در مخزن منتشر شود؛ در غیر این صورت حداکثر تأخیر مجاز بین ابطال یک گواهی (صدور لیست گواهیهای باطل شده) و انتشار CRL در مخزن میبایست 2 ساعت باشد.
4-9-9 دسترسی برخط به کنترل وضعیت/ابطال
مراکز صدور گواهی در صورت پشتیبانی از پروتکل OCSP میبایست دسترسی به یک سرور پاسخگوی OCSP مبتنی بر وب را برای طرفهای اعتماد کننده فراهم آورند تا آنها بتوانند برای اطلاع از وضعیت گواهی و یا جزئیات دیگر وضعیت گواهی به صورت برخط به پاسخگوی OCSP مراجعه نمایند. نشانی و نحوه دسترسی به آن نیز میبایست در اختیار طرفهای اعتماد کننده قرار داده شود. چنانچه نرمافزار سرویسگیرندگان از پروتکل OCSP جهت اطلاع از وضعیت ابطال یک گواهی استفاده نماید، این نرمافزار نیازی به دریافت CRL و پردازش آن به منظور کنترل وضعیت ابطال آن گواهی ندارد.
4-9-10 الزامات کنترل برخط وضعیت ابطال
طرف اعتماد کننده میبایست قبل از استفاده از گواهی، وضعیت ابطال یا عدم ابطال آن را بررسی نماید. کلیه مراکز صدور گواهی و نرمافزارهای PKE، در صورت پشتیبانی از پروتکل OCSP، میبایست جهت اطمینان از دسترسپذیری دائمی سرویس اعلام وضعیت گواهی، از CRL نیز پشتیبانی نمایند. چنانچه نرمافزار سرویسگیرندگان از پروتکل OCSP جهت اطلاع از وضعیت ابطال یک گواهی استفاده نماید، این نرمافزار نیازی به دریافت CRL و پردازش آن به منظور کنترل وضعیت ابطال آن گواهی ندارد.
4-9-11 سایر روشهای ممکن اعلان ابطال
چنانچه یک مرکز صدور گواهی از روش دیگری غیر از CRL و OCSP جهت اعلام وضعیت گواهی استفاده نماید، میبایست در دستورالعمل اجرایی خود روش مذکور را توصیف نماید.
4-9-12 الزامات خاص در صورت افشای کلید
در صورت افشای کلید خصوصی، میبایست مرکز صدور گواهی بعد از ابطال گواهی لیست گواهیهای باطله بهروز شده را مطابق با بخش 4-9-7منتشر نماید و سرویسدهنده پاسخگوی OCSP (در صورت پشتیبانی) منطبق با بخش 4-9-9در دسترس قرار گیرد.
4-9-13 شرایط تعلیق
بر اساس سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشوردر حال حاضر امکان تعلیق گواهیهای الکترونیکی در زیرساخت کلید عمومی کشور وجود ندارد.
4-9-14 متقاضیان درخواست تعلیق گواهی
تعریف نشده است.
4-9-15 فرایند رسیدگی به درخواست تعلیق
تعریف نشده است.
4-9-16 محدودیتهای دوره تعلیق
تعریف نشده است.
4-10 خدمات وضعیت گواهی
مراکز صدور گواهی حداقل موظف به اعلام و انتشار وضعیت گواهیها از طریق لیست گواهیهای باطله میباشند.
4-10-1 ویژگیهای عملیاتی
آخرین نسخه بروز شده لیست گواهیهای باطله میبایست از طریق مخزن مراکز صدور گواهی قابل دریافت باشد؛ همچنین طرفهای اعتماد کننده میتوانند از طریق نرمافزارهایی که تولید و ارسال یک درخواست OCSP[57] و همچنین دریافت و اعتبارسنجی یک پاسخ OCSP[58] را مطابق با RFC2560[59] پشتیبانی مینمایند، از خدمات اعلام برخط وضعیت گواهی استفاده نمایند.
ویژگیهای عملیاتی لیست گواهیهای باطله در بخش 7-2قید شده است؛ همچنین ویژگیهای عملیاتی خدمات اعلام برخط وضعیت گواهی در بخش 7-3قید شده است. 4-10-2 دسترسپذیری خدمت
سرویسهای ارائه وضعیت گواهی در طول عمر آن گواهی میبایست همواره در دسترس باشند.
4-10-3 ویژگیهای اختیاری
خدمات اعلام برخط وضعیت گواهی (OCSP) یک مشخصه اختیاری در ارائه خدمات اعلام وضعیت گواهی میباشد که فقط توسط نرمافزارهایی که از OCSP (منطبق با RFC2560) پشتیبانی مینمایند، قابل استفاده است.
4-11 پایان اشتراک
کلیه مراکز صدور گواهی تنها در صورت وقوع یکی از شرایط زیر میتوانند به ارائه خدمات گواهی الکترونیکی برای مالک گواهی پایان دهند:
· با منقضی شدن گواهی بدون اینکه مجدداً درخواست صدور گواهی نماید؛ · با ابطال گواهی بدون اینکه درخواست تجدید کلید و یا درخواست صدور گواهی جدید نماید. 4-12 امانتگذاری و بازیابی کلید[60]
در حال حاضر قابل اعمال نیست.
4-12-1 سیاستها و دستورالعمل اجرایی امانتگذاری و بازیابی کلید
تعریف نشده است.
4-12-2 سیاستها و دستورالعمل اجرایی بازیابی و اطلاعات مورد نیاز دسترسی به کلید
قابل اعمال نیست.
5 کنترلهای امکانات، تجهیزات، مدیریتی و عملیاتی5-1 کنترلهای فیزیکی
تأسیسات مرکز صدور گواهی میبایست دارای تجهیزاتی مختص به فعالیتهای مرکز صدور گواهی باشند و نباید فعالیتهای غیر مرتبط با وظایف مرکز صدور گواهی انجام دهند.
استفاده غیرمجاز از تجهیزات مرکز صدور گواهی و دفتر ثبت نام ممنوع میباشد. کنترلهای امنیت فیزیکی میبایست به منظور حفاظت از نرمافزارها و سختافزارهای این مراکز از دسترسی غیرمجاز، سرقت و خسارت اجرا شوند. 5-1-1 ساختمان و محل سایت
عملیات مرکز صدور گواهی و دفتر ثبت نام میبایست در محیطی انجام شود که از لحاظ فیزیکی محافظتشده باشد، طوری که از هرگونه استفاده، دسترسی، افشای غیرمجاز اطلاعات حساس جلوگیری و در صورت بروز، شناسایی شود. برای این منظور، مکان سایت میبایست بر اساس یک سری ملزومات امنیتی انتخاب شود. چنین ملزوماتی بر پایه تفکیک برقراری لایههای امنیتی فیزیکی میباشد. منظور از لایه امنیتی فیزیکی یک درب یا مدخل قفل شده همراه با کنترل دسترسی میباشد که موجب اعمال کنترل دسترسی اجباری برای اشخاص میشود.
لایههای امنیتی متوالی به ترتیب دسترسی محدودتر و امنیت فیزیکی بیشتری در مقابل ورود و دسترسی غیرمجاز فراهم میآورند. هر لایه امنیتی فیزیکی لایه داخلی بعدی را در خود محصور مینماید و هر لایه امنیتی درونی میبایست به صورت کامل در لایه امنیتی بیرونی خود قرار گیرد و نمیتواند با سطح خارجی لایه امنیتی بیرونی (محیط) دیوار مشترک داشته باشد. بیرونیترین لایه امنیتی، دیوار بیرونی، کف و سقف ساختمان میباشد. حداقل لایههای امنیتی فیزیکی مورد نیاز برای مرکز داده CA، سه تا چهار لایه امنیتی بسته به معماری سایت آن مرکز میباشد. مراکز میانی میبایست در دستورالعمل اجرایی گواهی خود، رویه اعمال شده در ساختمان و مکان سایت خود را جهت برآورده سازی الزامات این بخش، به تفصیل شرح دهند. 5-1-2 دسترسی فیزیکی
دسترسی به لایههای امنیت فیزیکی میبایست قابل ثبت، بازرسی و کنترل بوده تا هر لایه امنیتی تنها توسط پرسنل مجاز قابل دسترس باشد.
تجهیزات دفتر ثبت نام نیز میبایست زمانی که ماژول رمزنگاری نصب و فعال میشود از دسترسی غیرمجاز محافظت شوند. اطلاعات فعالساز که برای دسترسی و فعال کردن تجهیزات و ماژولهای رمزنگاری مورد استفاده در مرکز صدور گواهی و دفاتر ثبت نام، بکار میروند، میبایست زمانی که استفاده نمیشوند، به صورت امن و همراه با کنترل دسترسی نگهداری شود. هر متصدی پیش از خروج از سایت، میبایست یک بازرسی امنیتی شامل موارد زیر در قالب فرم گزارش اقدامات و کنترلها، انجام داده و فرم مذکور را بایگانی نماید. · تجهیزات در وضعیتی متناسب با حالت عملکرد عادی قرار دارند؛ · تمام محفظههای حاوی اطلاعات امنیتی کاملاً در وضعیت ایمن قرار داشته باشند؛ · سیستمهای امنیت فیزیکی (مانند قفل درها و سیستمهای کنترل دسترسی) درست کار میکنند؛ لازم به ذکر است که در فرم مذکور، میبایست شرحی از اقدامات انجام شده آورده شود؛ در ضمن هر تغییر اعمال شده در سیستمها و تجهیزات توسط متصدی میبایست به حالت پایدار باز گردد. سایت تجهیزات مرکز صدور گواهی میبایست با سیستمهای تشخیص نفوذ محافظت شود. علاوه بر این، حداقل هر 24 ساعت میبایست یک بررسی صورت بگیرد تا اطمینان حاصل شود که هیچ تلاشی مبنی بر مقابله با مکانیزمهای امنیتی صورت نگرفته است. 5-1-3 تهویه هوا و منبع تغذیه برق
دستگاههای الکترونیکی تجهیزات امنیتی مراکز صدور گواهی و دفاتر ثبت نام، میبایست به صورت پیوسته تغذیه شوند تا دسترسی مداوم به آنها تضمین شود. همچنین، این تجهیزات امنیتی میبایست به سیستمهای تهویه مطبوع، جهت کنترل دما و رطوبت مجهز باشند.
5-1-4 جلوگیری از آبگرفتگی
تجهیزات مراکز صدور گواهی میبایست طوری نصب شوند که در معرض خطر آبگرفتگی نباشند. برای مثال، این تجهیزات میتوانند روی میزها و یا در مکانهای مرتفع دیگر قرار گیرند. همچنین میبایست در نواحی مشکوک به نشت آب، حسگرهای رطوبتی نصب شود. اشخاصی که در مراکز صدور گواهی مسئولیت وسایل کنترل آتش را دارند نیز میبایست دقت کنند که این وسایل درست عمل کنند و از نفوذ آب به نواحی خارج از محدوده آتش پیشگیری کنند.
5-1-5 پیشگیری و محافظت در مقابل آتش
مراکز صدور گواهی میبایست جهت پیشگیری از آتشسوزی و مقابله با آن، اقدامات لازم را به عمل آورند و تجهیزات لازم فراهم شود.
دستورالعملی در مورد شیوه ترمیم آتشسوزی میبایست به طرح ترمیم خرابی مراکز صدور گواهی الکترونیکی اضافه شود. 5-1-6 حفاظت از رسانههای ذخیرهسازی
رسانههای ذخیرهسازی میبایست در برابر آب، آتش سوزی، الکترومغناطیس و دیگر عوامل محیطی محافظت شوند.
مراکز صدور گواهی و دفاتر ثبت نام میبایست از اقدامات حفاظتی برای کشف و جلوگیری از دسترسی، افشا یا استفاده غیرمجاز از رسانههای ذخیره سازی، استفاده کنند. رسانههای حاوی اطلاعات بازرسی امنیتی، بایگانیها یا اطلاعات پشتیبانی میبایست در مکانی جدا از تجهیزات مرکز صدور گواهی نگهداری شوند. 5-1-7 انهدام ضایعات
مرکز صدور گواهی میبایست مطمئن باشد که کلیه وسایل حاوی اطلاعات حساس در صورت عدم استفاده، میبایست طوری از بین بروند که بازیابی اطلاعات آنها ممکن نباشد. کارکنان مرکز صدور گواهی میبایست دلیل تخریب اطلاعات حساس را ذکر کنند.
5-1-8 نسخه پشتیبان خارج از سایت
نسخههای پشتیبان که برای ترمیم خرابی سیستم تهیه میشوند و شامل اطلاعات حساس میباشند، میبایست طبق برنامه منظمی مطابق با بخش 5-5-2ایجاد شوند و حداقل یک نسخه پشتیبان میبایست در مکانی خارج از سایت (جدا از تجهیزات مرکز صدور گواهی) نگهداری شود. نسخه پشتیبان میبایست در مکانی با کنترلهای فیزیکی و رویهای که در سطح امنیتی سیستم عملیاتی مرکز صدور گواهی میباشد، نگهداری شود.
مراکز صدور گواهی میبایست اطمینان حاصل نمایند که تجهیزات به کار رفته در سایت پشتیبان دارای سطح امنیتی برابر با سایت اصلی هستند. 5-2 کنترلهای فرایندی5-2-1 نقشهای مورد اطمینان
کلیه فعالیتهای مرکز صدور گواهی در قالب وظایف تدوین شده برای نقشهای تعریف شدهای که به کارکنان مرکز منتسب شدهاند، صورت میپذیرند. افرادی که برای این نقشها انتخاب میشوند میبایست همانگونه که در بخش 5-3ذکر شده قابل اطمینان باشند. برای افزایش امنیت، انجام فعالیتهای مرکز صدور گواهی مستلزم حضور بیش از یک نقش مورد اطمینان است. این امر از فعالیتهای مخرب که احتیاج به تبانی دارند، جلوگیری مینماید.
مرکز میانی میبایست در دستورالعمل اجرایی گواهی الکترونیکی خود، نقشهای مورد اطمینانی که مسئول انجام عملیات و روالهای زیر میباشند را، تعریف نموده و شرح وظایف هر نقش را به تفکیک تعیین نماید. عملیات اجرایی در مرکز صدور گواهی: · صدور و مدیریت گواهی؛ · انتشار گواهیها و لیست گواهیهای باطل شده؛ · تهیه نسخه پشتیبان؛ · فعالیتهای راهبری مانند تولید کلید، مدیریت ماژولهای رمزنگاری و عملیات کنترلی و نظارتی · بازرسی تطابق · توسعه نرمافزارها (در صورت لزوم) عملیات اجرایی در دفتر ثبت نام: · هویت شناسی متقاضی و تایید صحت اطلاعات؛ · تنظیم و تایید درخواست نهایی[61] · ارسال درخواستها به مراکز صدور گواهی و دریافت نتیجه به صورت ایمن؛ · تحویل گواهی به مالک گواهی. عملیات اجرایی مشترک در مراکز صدور گواهی و دفاتر ثبت نام: · نصب، راه اندازی و پیکربندی اولیه سیستم · بازرسی داخلی؛ · پشتیبانی فنی تجهیزات و سیستمها؛ · بایگانی مطمئن اطلاعات؛ · بازیابی خرابی در راستای طرح تداوم خدمات (بخش 5-7-4) 5-2-2 تعداد افراد مورد نیاز برای هر نقشجدول 17افراد مورد نیاز برای هر نقش
5-2-3 شناسایی و احراز هویت برای هر نقش
پیش از آنکه هر یک از کارکنان مراکز صدور گواهی در موقعیتهای زیر قرار گیرند، میبایست شناسایی و احراز هویت شوند:
· قرار گرفتن در لیست دسترسی به سایت مرکز صدور گواهی · قرار گرفتن در لیست دسترسی فیزیکی به سیستم مرکز صدور گواهی؛ · دریافت حکم برای بر عهده گرفتن یک نقش مورد اعتماد در مرکز صدور گواهی و یا دفتر ثبت نام؛ · ایجاد حساب کاربری در سیستمهای مرتبط با زیرساخت کلید عمومی، اگر حساب کاربری نیاز باشد. · این حکم یا حساب کاربری: الف) میبایست تنها به یک شخص به طور مستقیم قابل انتساب باشد؛ ب) اشتراکی نباشد؛ پ) میبایست از طریق استفاده از نرمافزار CA، سیستم عامل و کنترلهای رویهای، محدود به فعالیتهای مجاز برای آن نقش باشد. مرکز صدور گواهی میبایست این الزامات را از طریق استفاده از نرمافزار صدور گواهی، سیستم عامل و کنترلهای رویهای اجرا نماید. 5-2-4 نقشهای مستلزم تفکیک وظایف
مرکز صدور گواهی میبایست تفکیک وظایف را برای وظایف بحرانی مرکز مربوطه مطابق با بخش 5-2-1، در دستورالعمل اجرایی خود شرح دهد.
5-3 کنترل کارکنان
کارهایی که مرکز صدور گواهی به کارکنان واگذار مینماید، نباید با وظایف تعریفشده برای آنها و حدود اختیاراتشان تناقضی داشته باشد. علاوه بر آن کارکنان میبایست:
1. تعهد کتبی به منظور رعایت مقررات امضا کنند؛ 2. به وسیله قرارداد یا حکم، به شرایط و ضوابط موقعیتی که در آن قرار میگیرند، پایبند باشند؛ 3. طبق قرارداد یا حکم، ملزم به عدم افشای اطلاعات حساس و امنیتی مرکز صدور گواهی یا اطلاعات کاربر باشند؛ 4. آموزشهای لازم متناظر با وظایفی که بر عهده دارند را دیده باشند؛ 5-3-1 ملزومات مربوط به قابلیتها، سابقه و عدم سوء پیشینه
اشخاصی که برای انجام فعالیتهای مرکز صدور گواهی در نظر گرفته میشوند میبایست بر اساس قابلیت فنی، مورد اطمینان بودن و امانتداری انتخاب شوند. علاوه بر این تمام کارکنان مرکز میبایست دارای تابعیت ایرانی بوده و دارای گواهی عدم سوء پیشینه از نیروی انتظامی جمهوری اسلامی ایران باشند.
افرادی که برای کار با تجهیزات مرکز صدور گواهی انتخاب شدهاند میبایست دارای مشخصات زیر باشند: · با موفقیت یک دوره مناسب آموزش را به پایان رسانده باشند؛ · توانایی خود را برای انجام وظایفی که به ایشان محول شده به اثبات رسانند؛ · مورد اطمینان باشند؛ · دارای هیچگونه شغل یا وظیفه دیگری که روی انجام وظایف محوله به آنها مداخله یا تأثیر داشته باشد، نباشند؛ · ارائه گواهی حسن انجام کار (در صورت داشتن سابقه کاری مرتبط) · دارای سوء پیشینه نبوده و یا گواهی عدم سوء پیشینهشان با اطلاع قبلی باطل نشده باشد؛ · دارای محکومیت کیفری نبوده باشند؛ 5-3-2 رویه بررسی سابقه افراد
این فرایند میبایست تحت قوانین جاری کشور صورت گیرد. فرایند بررسی سوابق افراد میبایست در دستورالعمل اجرایی مرکز صدور گواهی بیان شود.
مرکز دولتی ریشه، رویه بررسی سابقه کارکنان خود را مطابق با قوانین استخدامی دولت اعمال مینماید. 5-3-3 الزامات آموزشی
کلیه کارکنانی که در مرکز صدور گواهی فعالیت میکنند میبایست آموزش متناسب با فعالیتشان را ببینند. همچنین آنها میبایست به طور دورهای این برنامههای آموزشی را مرور کنند. موضوع این آموزشها میبایست شامل موارد آشنایی با اصول امنیتی و ساختار مرکز صدور گواهی، کار با نرمافزارها و سختافزارهای در حال استفاده، گزارش دهی و رسیدگی به حوادث، فرایندهای ترمیم خرابی و تداوم کسب و کار، بهکارگیری و اجرای اقدامات امنیتی و اطلاعات لازم برای اعمال شرایط سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشور باشد. لزوم آموزشهای خاص بستگی به تجهیزات استفاده شده و کارکنان انتخاب شده دارد. یک طرح آموزش برای نصب و برپا سازی مرکز صدور گواهی میبایست تهیه شده و همچنین موارد آموزشی تکمیل شده توسط کارکنان مستندسازی شوند.
5-3-4 الزامات آموزش مکرر و متناوب
مراکز صدور گواهی میبایست حداقل یک بار در سال برنامههای آموزشی جدید را فراهم کنند و کارکنان خود را بهروزرسانی کنند تا مطمئن باشند که این افراد سطح مهارت مورد نیاز برای انجام مسئولیتهای شغلیشان را به خوبی احراز میکنند. همچنین هرگونه تغییر در عملکرد مرکز صدور گواهی مستلزم داشتن یک برنامه آموزشی است و اجرای این برنامه میبایست مستند شود.
5-3-5 دوره زمانی و ترتیب چرخش کار
تعریف نشده است.
5-3-6 جریمههای اقدامات خارج از محدوده اختیارات
در صورت انجام عملی غیرمجاز یا مشکوک به غیرمجاز توسط کارکنان، مدیریت میتواند دسترسی او به سیستم را تعلیق نماید.
5-3-7 الزامات پیمانکاران مستقل
مرکز صدور گواهی میبایست با ایجاد رویههایی مراحل عقد قرارداد و شرایط و ضوابط همکاری را مشخص نماید تا بتوان اطمینان حاصل کرد که کلیه مراکز طرف قرارداد بر طبق مفاد این سیاستها و دستورالعمل اجرایی گواهی الکترونیکی، عمل میکنند.
5-3-8 مستندات فراهمشده برای کارکنان
مرکز صدور گواهی میبایست مستندات کافی و مورد نیاز را برای تعریف خدمات و وظایف هر نقش فراهم نماید تا کارکنان مسئولیتهایشان را به خوبی انجام دهند.
5-4 فرایندهای ثبت رویدادهای بازرسی
این بخش ملزومات بازرسی امنیتی برای مراکز صدور گواهی را تشریح مینماید.
5-4-1 انواع رویدادهای قابل ثبت
مرکز صدور گواهی میبایست مطمئن باشد که ظرفیت ثبت همه رویدادهای مربوط به امنیت سیستم مرکز صدور گواهی - شامل ، فایروالها، دایرکتوری و سرویس دهندههای میزبان نرمافزار CA و RA - را در فایلهای ثبت رویدادهای بازرسی امنیتی دارد. قابلیت ثبت رویدادهای امنیتی در سیستم عاملهای تجهیزات مراکز صدور گواهی میبایست در زمان شروع به کار سیستم، به طور خودکار فعال باشند. مراکز صدور گواهی میبایست از مکانیزمهای مناسب جهت اطمینان از تمامیت و دستنخوردگی رویدادهای ثبت شده بهره گیرند.
حداقل رویدادهای زیر میبایست در سیستمهای مرتبط با مرکز صدور گواهی یا دفتر ثبت نام ثبت گردد: · روشن و خاموش شدن سیستم؛ · ورود و خروج به برنامههای کاربردی مرکز صدور گواهی و دفاتر ثبت نام؛ · تلاش برای تولید، حذف، تعیین گذرواژه یا تغییر مجوزهای ورود به سیستم؛ · تعریف، حذف یا اضافه کردن کاربران و نقشها؛ · هر تغییری در جزئیات مرکز صدور گواهی و یا کلیدها؛ · هر تغییری در تنظیمات مرتبط با صدور گواهی (مثل: دوره اعتبار)؛ · هر تلاش مربوط به ورود و خروج همراه با Login و Logout به/از برنامههای کاربردی مرکز صدور گواهی یا دفاتر ثبت نام؛ · هر تلاش غیر مجاز در دسترسی به سیستم مرکز صدور گواهی یا دفتر ثبت نام ؛ · هر تلاش مربوط به عدم احراز هویت برای دسترسی به فایلهای سیستمی؛ · اعمال تغییر در پیکربندی سیستمها؛ · پشتیبان گیری و بازیابی پایگاه داده؛ · تولید و پشتیبان گیری کلیدهای مرکز صدور گواهی و کلیدهای فرعی؛ · صدور، ابطال، بهروزرسانی و تجدید کلید گواهیها؛ · امضای لیست گواهیهای باطل شده؛ · تولید و ارسال درخواستهای تنظیم و تایید شده در دفاتر ثبت نام؛ · انجام عملیات اثبات مالکیت کلید خصوصی منطبق با بخش 3-2-1؛ · ارسال هر دادهای به مخزن؛ · عملیات خواندن و نوشتن ناموفق در مخزن گواهیها و لیست گواهیهای باطلشده؛ · خطاهای رخ داده شده در سیستم و شرایط رخداد آنها. کلیه موارد ثبتشده، چه الکترونیکی و چه دستی، میبایست دارای تاریخ و زمان رویداد و شناسه موجودیتی که باعث وقوع رویداد شده است، باشند. همچنین مرکز صدور گواهی میبایست به صورت الکترونیکی یا دستی، اطلاعات امنیتی که توسط سیستم مرکز صدور گواهی تولید نشده است را جمعآوری نماید. این اطلاعات میتواند شامل موارد زیر باشد: · رویدادهای مربوط به دسترسیهای فیزیکی؛ · تغییرات مربوط به پیکربندی سیستم، همانطور که در دستورالعمل اجرایی گواهی تعریف شده است؛ · تغییرات مربوط به کارکنان مرکز صدور گواهی؛ · گزارشات مربوط به اختلافات و تفاهمها؛ · گزارشات مربوط به از بین رفتن اطلاعات حساس؛ · نسخههای قبلی و نسخههای جاری سیاستهای گواهی الکترونیکی؛ · نسخههای قبلی و نسخههای جاری دستورالعملهای اجرایی گواهی الکترونیکی؛ · گزارشات مربوط به ارزیابی آسیبپذیری؛ · گزارشات مربوط به ارزیابی تهدیدات و خطرها؛ · خرابی تجهیزات؛ · زمان و مدت قطع جریان برق؛ · گزارشات مربوط به صدور گواهی؛ · گزارشات مربوط به قبول بازدید و سرکشی؛ · نسخههای قبلی و نسخههای جاری توافقنامه کاربر و دیگر اطلاعاتی که مالک گواهی با آنها موافقت کرده است؛ · انتصاب کارکنان مرکز؛ · آموزش کارکنان مرکز. مراکز صدور گواهی میبایست در دستورالعملهای اجرایی خود انواع رویدادهای قابل را ثبت را به تفکیک تعیین نمایند و رویه اعمال شده جهت اطمینان از تمامیت و دستنخوردگی اطلاعات مرتبط با رویدادهای ثبت شده را بیان نمایند. 5-4-2 تناوب پردازش اطلاعات رویدادهای ثبتشده
مرکز صدور گواهی میبایست اطمینان حاصل نماید که رویدادهای مهم در چکیده رویدادهای بازرسی شرح داده شده باشند و کارکنان مرکز صدور گواهی رویدادها را برای هر سطح اطمینان مطابق با جدول زیر بازنگری میکنند.
این بازنگریها شامل اعمالی از قبیل بررسی رویدادهای ثبت شده جهت اطمینان از عدم دستکاری آنها و بازرسی از تمام ورودیها میباشد. هر جا که یک اخطار یا ناهماهنگی مشاهده شود، کارکنان مرکز صدور گواهی میبایست تحقیق کاملتر و بیشتری انجام دهند. مرکز صدور گواهی میبایست فردی را که مسئول انجام بازنگری رویدادهای بازرسی و تهیه خلاصه رویدادهای بازرسی میباشد را در دستورالعمل اجرایی معین نماید. در صورتی که مورد مشکوکی مشاهده شود، مرکز صدور گواهی میبایست رویدادها را به صورت الکترونیکی و دستی، شامل رویدادهای سمت دفتر ثبت نام، بررسی نماید. مرکز صدور گواهی میبایست هر فعالیتی را که در آن این بازنگریها صورت میگیرد، مستند نماید. جدول 18تناوب پردازش اطلاعات رویدادهای ثبت شده
5-4-3 دوره نگهداری از اطلاعات رویدادهای ثبتشده
مرکز صدور گواهی میبایست اطلاعات ثبت شده را حداقل دو ماه در سایت نگهداری نماید و سپس این اطلاعات به روشی که در بخش 5-5-2آورده شده است، حفظ و نگهداری شوند.
5-4-4 محافظت از اطلاعات رویدادهای ثبتشده
مرکز صدور گواهی میبایست به وسیله یک سیستم الکترونیکی از اطلاعات رویدادهای ثبتشده محافظت نماید. اطلاعات رویدادهای ثبتشده میبایست از معرض دید افراد غیرمجاز محافظت شوند. همچنین این افراد نباید تا قبل از پایان دوره نگهداری قادر به اصلاح، حذف و یا تخریب این اطلاعات باشند. فردی که موظف به بایگانی اطلاعات رویدادهای ثبت شده است نیز نباید قادر به تغییر اطلاعات باشد. اطلاعات رویدادهای ثبت شده میبایست در مکانی جدا از تجهیزات مرکز صدور گواهی نگهداری شوند. مراکز صدور گواهی میبایست روالها و مکانیزم بکار گرفته شده جهت محافظت از رویدادهای ثبت شده را در دستورالعمل اجرایی خود تشریح نمایند.
5-4-5 فرآیندهای پشتیبان گیری از رویدادهای بازرسی
گرفتن نسخه پشتیبان از رویدادهای ثبتشده باید به صورت افزایشی، به طور کامل و ماهانه صورت گیرد.
5-4-6 سامانه جمعآوری اطلاعات بازرسی
فرایند ثبت وقایع میبایست هنگام راهاندازی سیستم شروع بهکار نماید و فقط هنگام خاموش شدن سیستم متوقف شود. در صورتی که مشخص شود سیستم ثبت وقایع خودکار از کار افتاده است و یا در این سیستم اشکالی وجود دارد و تمامیت سیستم و محرمانگی اطلاعات در خطر است، مرکز صدور گواهی میبایست کلیه فعالیتهای خود را به غیر از فرآیند باطل کردن گواهیها متوقف نماید تا وقتی که سیستم مجدداً بهکار افتد. در چنین شرایطی مرکز صدور گواهی میبایست از مکانیزمهایی برای ممانعت از ادامه فعالیتهای غیرمجاز این مرکز استفاده نماید. این مکانیزمها میبایست در دستورالعمل اجرایی گواهی الکترونیکی توضیح داده شوند.
5-4-7 تذکر به مسبب رویداد
با توجه به ثبت یک رویداد توسط سیستم رویدادنگار، نیاز به اطلاعرسانی به شخص، سازمان، وسیله یا نرمافزاری که مسبب رویداد بوده، نمیباشد.
5-4-8 ارزیابی آسیبپذیری
کارکنان مراکز صدور گواهی میبایست مراقب اقداماتی که برای ایجاد اختلال در تمامیت سیستم مدیریت گواهیها انجام میشوند (مانند تجهیزات، مکان فیزیکی و کارکنان) باشند. بازرس میبایست اطلاعات ثبت وقایع امنیتی را برای وقایعی مانند فعالیتهای ناموفق تکراری برای دسترسی به سیستم، اقدام برای به دست آوردن اطلاعات محرمانه، تلاش برای دسترسی به فایلهای سیستمی و پاسخهای تأیید نشده، بازبینی نماید. خلاصه نتایج مرور اطلاعات بازرسی امنیتی میبایست مستند شود.
5-5 بایگانی اطلاعات5-5-1 انواع اطلاعات قابل بایگانی
اطلاعات زیر میبایست در مورد عملیات مراکز صدور گواهی و دفاتر ثبت نام بایگانی شوند:
· کلیه رویدادهای ثبت شده مطابق با بخش 5-4؛ · درخواستهای تنظیم شده توسط RA (صدور، ابطال و بهروزرسانی گواهی و تجدید کلید)؛ · فایلهای درخواست امضای گواهی (CSR)؛ · کلیه گواهیها صادر شده و CRL تولید شده توسط CA؛ · وضعیت گواهیها (ابطال یا عدم ابطال)؛ · تاریخ و دلیل ابطال گواهیهای باطل شده؛ · توافقنامههای بین مالک گواهی یا درخواستکننده و مرکز صدور گواهی؛ · توافقنامه یا قراردادهای منعقد شده بین مرکز صدور گواهی و دفاتر ثبت نام؛ · مستندات و مدارک مربوط به هویتشناسی درخواستکننده گواهی منطبق با بخش 3-2-3؛ · مستندات مربوط به دریافت و پذیرش گواهی منطبق با بخش 4-4؛ · کلیه گزارشات مربوط به بازرسی داخلی؛ · سیاستها و دستورالعمل اجرایی گواهی؛ · هر توافقنامه پیمانی که مرکز صدور گواهی الکترونیکی به آن مقید است؛ · پیکربندی تجهیزات سیستم؛ · نسخه پشتیبان پایگاه داده سیستم صدور و مدیریت گواهی الکترونیکی؛ · کلیه مکاتبات با شورا، مراکز دیگر و بازرسان ثبت وقایع. 5-5-2 دوره نگهداری اطلاعات بایگانیشده
اطلاعات ثبتشده در بایگانی مرکز صدور گواهی میبایست برای هر سطح اطمینان مطابق با جدول زیر نگهداری گردند.
جدول 19دوره نگهداری اطلاعات ثبتشده در بایگانی
5-5-3 محافظت از بایگانی
از بایگانی اطلاعات میبایست طوری محافظت شود که فقط افراد مجاز بتوانند به آن دسترسی داشته باشند. بایگانی اطلاعات میبایست در یک سیستم امن ذخیرهسازی شود تا از معرض دید افراد غیرمجاز، تغییر، حذف یا عملیات پنهانی دیگر محفوظ بماند. سختافزار نگهدارنده اطلاعات بایگانی و نرمافزارهایی که این اطلاعات را پردازش میکنند میبایست به گونهای محافظت شوند که در طول دوره نگهداری، اطلاعات بایگانی قابل دسترسی باشند. مراکز صدور گواهی میبایست در دستورالعمل اجرایی خود روالها و مکانیزمهای به کار گرفته شده جهت محافظت از بایگانی را بیان نمایند.
5-5-4 فرایندهای پشتیبان گیری از بایگانی
جدول 20روال تهیه نسخه پشتیبان از بایگانی
5-5-5 الزامات مهر زمانی[62] اطلاعات بایگانی
گواهیها، لیست گواهیهای باطلشده و کلیه اطلاعات مربوط به ابطال گواهی میبایست دارای زمان و تاریخ ثبت اطلاعات باشد. ضمن اینکه کلیه فرمها و اسناد کاغذی نیز باید دارای تاریخ باشد.
5-5-6 سامانه جمعآوری بایگانی (درونی یا بیرونی)
اطلاعات بایگانی میتواند با استفاده از هر روش مناسبی جمعآوری شود. مراکز صدور گواهی باید در دستورالعمل اجرایی خود سامانه جمعآوری بایگانی را توصیف نمایند.
5-5-7 فرایندهای به دست آوردن و بررسی اطلاعات بایگانی
جدول 21روال به دست آوردن و بررسی اطلاعات بایگانی
5-6 تغییر کلید
مراکز صدور گواهی از کلید خصوصی برای امضای گواهیها استفاده میکنند. از آنجایی که طرفهای اعتماد کننده از گواهی مراکز صدور گواهی برای اعتبارسنجی گواهی مالک گواهی استفاده میکنند، بنابراین گواهی مالک گواهی نمیبایست دوره اعتبار طولانیتری از دوره اعتبار گواهی مراکز صدور گواهی و کلیدهای عمومی آنها داشته باشند.
مراکز صدور گواهی برای به حداقل رساندن ریسک زیرساخت کلید عمومی (در خطر افشا قرار گرفتن کلید مرکز) میتوانند کلید خصوصی امضا را در بازههای زمانی مشخص تجدید نمایند. در این صورت، کلید خصوصی قبلی میبایست تا زمان انقضای تمامی گواهیهای امضا شده توسط آن، محافظت شود. گواهی مرتبط با کلید خصوصی سابق مرکز نیز –برای تعیین اعتبار گواهیهایی که توسط آن صادر شدهاند- تا زمانی که تمامی گواهیهای امضا شده با آن کلید خصوصی منقضی شوند، معتبر خواهد بود. روال انجام این کار و جزئیات آن میبایست در دستورالعمل اجرایی گواهی الکترونیکی مراکز صدور گواهی مربوطه تشریح شود. مرکز دولتی ریشه در صورت تجدید کلید، مقدار درهم شده کلید عمومی مربوط به گواهی قدیم را در گواهی جدید خود میگنجاند و گواهی جدید را از طریق مخزن منتشر مینماید. گواهی قدیم تا زمان منقضی یا باطل شدن گواهیهای مراکز میانی زیرین، معتبر باقی مانده و از طریق مخزن قابل دسترسی خواهد بود. مرکز صدور گواهی میبایست در دستورالعمل اجرایی خود موارد زیر را تعیین نماید: 1. بازه زمانی قبل از فرا رسیدن زمان انقضای گواهی، که در طول آن امکان تجدید کلید خصوصی مالکان گواهی به شرط باطل نشدن آن وجود دارد. 2. روالی که طی آن مراکز صدور گواهی و مالکان گواهی اقدام به تجدید کلید میکنند. 5-7 بازیابی به علت سوانح غیرمترقبه و در خطر افشا بودن5-7-1 فرایندهای مقابله با افشاء کلید و حوادث
اگر مشخص شود که تلاشی برای هک کردن مرکز صدور گواهی صورت گرفته و یا اطلاعات به شکل پنهانی دیگری در معرض افشا شدن قرار دارند، به منظور تعیین نوع و میزان آسیب وارد شده، این تلاشها میبایست بررسی شوند. اگر احتمال رود که کلید مرکز صدور گواهی افشا شده است، روالهایی که در بخش 5-7-3آمده است میبایست انجام شود. در غیر این صورت دامنه آسیب وارد شده میبایست ارزیابی گردد تا معین شود که آیا مرکز صدور گواهی میبایست بازسازی شود، تنها بعضی از گواهیها میبایست باطل شوند، و / یا اینکه اعلام شود کلید مرکز صدور گواهی در خطر افشا قرار گرفته است.
در حالتی که کلید پاسخگوی OCSP در خطر افشا قرار گرفته باشد، مرکز صدور گواهی که برای پاسخگوی OCSP گواهی صادر کرده است میبایست آن را باطل نماید و اطلاعات باطلشده میبایست به سرعت در مخزن منتشر شود. سپس، پاسخگوی OCSP میبایست کلید جدیدی را دریافت نماید. 5-7-2 از بین رفتن تجهیزات کامپیوتری، نرمافزار و دادهها
مرکز صدور گواهی میبایست کپیهایی از نسخههای پشتیبان سیستم، پایگاه دادهها و کلیدهای خصوصی نگهداری نماید تا در صورت بروز خرابی در نرمافزار یا از بین رفتن دادهها، بتواند عملیات مرکز را از سر بگیرد. مرکز صدور گواهی همچنین باید در صورت از بین رفتن سیستمها یا دادهها، پس از اطلاعرسانی به مرکز دولتی ریشه منطبق با الزامات بیان شده در بخش 5-7-4عملیات بازیابی سیستمها و اطلاعات را انجام دهند، ضمن اینکه در دستورالعمل اجرایی گواهی خود، در صورت از بین رفتن تجهیزات کامپیوتری، نرمافزار و دادهها باید روالی را تعیین کنند.
5-7-3 فرایندهای در خطر افشا قرار گرفتن کلید خصوصی موجودیت
در صورت در خطر افشا قرار گرفتن کلید یک مرکز صدور گواهی، مرکز صدور گواهی بالادستی میبایست گواهی آن مرکز را باطل نماید و اطلاعات باطلشده میبایست به سرعت در مخزن منتشر شود. سپس سیستمهای مرکز صدور گواهی همانطور که در بخش 5-7-4آمده است، میبایست بازسازی شود. گواهی خودامضای مرکز دولتی ریشه نیز (در صورت در خطر افشا قرار گرفتن کلید خصوصی متناظر و پس از اطلاع رسانی) میبایست از برنامههای کاربردی طرفهای اعتماد کننده برداشته شود و به جای آن گواهی جدید که توسط این مرکز منتشر میشود باید جایگزین گردد.
5-7-4 تداوم ارائه خدمات بعد از وقوع حوادث
مرکز صدور گواهی میبایست یک نقشه تداوم کار داشته باشد که در آن، در صورت وقوع بلایای طبیعی و یا هرگونه حادثه دیگر روش امنی برای اجرای مجدد فعالیتها وجود داشته باشد.
طرح تداوم کار میبایست شامل موارد زیر باشد: 1. تعریف نقشها و مسئولیت کسانی که مسئول اجرای اجزای مختلف این طرح هستند؛ 2. شرایط برای فعال کردن طرح، که روندی را که قبل از فعال شدن طرح میبایست دنبال نمود، بیان نماید؛ 3. شیوه عمل در شرایط اضطراری که به عملیات کسب و کار و/ یا زندگی انسان خدشه وارد مینماید؛ 4. روش از سر گیری، که فعالیتهای لازم برای بازگشت به عملیات کسب و کار عادی را بیان نماید؛ 5. برنامه تعمیر و نگهداری، که چگونگی و زمانی که این طرح آزمایش خواهد شد و همچنین فرآیند حفظ طرح را مشخص نماید؛ 6. فعالیتهای آگاهی و آموزش، طراحی شده برای درک فرآیندهای تداوم کسب و کار و حصول اطمینان از این که فرایندها موثر ادامه مییابند. 5-8 توقف فعالیت مرکز صدور گواهی یا دفتر ثبت نام
در حالتی که عملیات مرکز میانی متوقف شود یا تغییرات عمدهای در عملیات صورت گیرد، مرکز میانی میبایست به مرکز دولتی ریشه و کلیه موجودیتهایی که برای آنها گواهی صادر شده است، اعلام کند. ضمن اینکه قبل از خاتمه یافتن عملیات یا تغییرات عمده در عملیات میبایست این مسئله اعلام شود.
به محض توقف مرکز میانی، همه کلیدهای خصوصی که وجود داشتهاند یا ممکن است برای عملیات رمزنگاری مرکز میانی استفاده شوند، میبایست باطل (با دلیل ابطال متوقف شدن سرویس[63]) و نابود شوند مطابق با بخش 6-2-10(روش نابود کردن کلید خصوصی). لیست گواهیهای باطل شده میبایست تولید و منتشر شوند. مراحل پایان فعالیت مراکز میانی به شرح زیر است: · اطلاعرسانی به مرکز دولتی ریشه و طرح مسئله در شورا حداقل 4 ماه قبل از پایان فعالیت مرکز صدور گواهی؛ · اطلاعرسانی به موجودیتهایی که تحت تأثیر قرار میگیرند، از جمله مالکان گواهی، طرفهای اعتماد کننده، دفاتر ثبت نام و مشتریان؛ · ابطال گواهی مرکز میانی توسط مرجع صدور گواهی بالادستی، · حفظ و ارائه بایگانی و سوابق مرکز میانی برای مدت زمان تعیین شده توسط این سند به یک مرجع معتبر که توسط شورا تعیین خواهد شد، در حین توقف عملیات مرکز میانی، مرکز میانی میبایست اطلاعات مرکز را توسط متولی مجاز که توسط شورا تعیین میگردد و طبق الزامات بایگانی تعیینشده در این سیاستهای گواهی نگهداری نماید. این اطلاعات شامل موارد زیر میباشد: · گواهیهای مرکز میانی؛ · گواهیهای صادره؛ · لیست گواهیهای باطلشده؛ · اطلاعات بازرسی امنیتی که در بخش 5-4آمده است؛ و · دیگر اطلاعات بایگانی شده همانطور که در بخش 5-5آمده است. مرکز میانی همچنین میبایست برای نگهداری هر دادهای (مثل گذرواژه) مطمئن باشد که اطلاعات مرکز میانی قابل استفاده هستند (مثل دادههای رمز شدهای که میتواند در زمانی که نیاز است رمزگشایی شود). اطلاعات میبایست به صورت امن و مطابق با بخش 5-1-8منتقل شوند. [e1] 6 کنترلهای امنیتی فنی6-1 تولید و نصب زوج کلید6-1-1 تولید زوج کلید6-1-1-1 تولید زوجکلید مراکز صدور گواهی
مرکز دولتی ریشه از زوج کلید الگوریتم RSA جهت صدور گواهی، پشتیبانی مینماید. انجام عملیات تولید کلید در این مرکز از طریق یک HSM مورد تایید و ارزیابی شده توسط مرکز دولتی ریشه که در آن ملزومات امنیتی مطابق استاندارد FIPS 140-2 [64]در سطح سوم رعایت شده است و به روش کنترل چند نفره 3 از 5 صورت میپذیرد. الزامات مربوط به عملیات تولید کلید برای مراکز میانی در جدول زیر قید شده است.
جدول 22تولید زوجکلید مرکز میانی
6-1-1-2 تولید زوجکلید دفاتر ثبت نام
جدول 23تولید زوجکلید دفتر ثبت نام
6-1-1-3 تولید زوجکلید مالک گواهی
جدول 24تولید زوجکلید مالک گواهی
لازم به ذکر است چنانچه مرکز صدور گواهی میانی به نمایندگی از متقاضی اقدام به تولید زوج کلید نمود، میبایست این موضوع در توافقنامه طرفین ذکر شود. مرکز میانی میبایست فرایند این عملیات را در دستورالعمل اجرایی خود تشریح نماید.
6-1-2 تحویل کلید خصوصی به موجودیت نهایی
جدول 25تحویل کلید خصوصی به موجودیت نهایی
6-1-3 تحویل کلید عمومی به مرکز صدور گواهی
چنانچه عملیات تولید کلید توسط مالک گواهی و یا دفتر ثبت نام صورت گیرد، تحویل کلید عمومی به مرکز صدور گواهی میبایست به گونهای باشد، که تناظر بین کلید عمومی ارائه شده و کلید خصوصی مالک گواهی و همچنین حفظ تمامیت آن توسط مرکز صدور گواهی قابل بررسی باشد.
کلیه مراکز میانی جهت ارائه درخواست صدور گواهی به مرکز دولتی ریشه میبایست کلید عمومی خود را در قالب استاندارد PKCS#10 در اختیار مرکز دولتی ریشه قرار دهند. 6-1-4 تحویل کلید عمومی مرکز صدور گواهی به طرفهای اعتماد کننده
مرکز دولتی ریشه از طریق مخزن خود که دسترسی و اعمال تغییر در آن فقط توسط نقشهای مجاز مرکز دولتی ریشه امکانپذیر است، کلید عمومی خود را در اختیار طرفهای اعتماد کننده قرار میدهد. الزامات مربوط به مراکز میانی در جدول زیر قید شده است:
جدول 26تحویل کلید عمومی مرکز میانی به طرفهای اعتماد کننده
6-1-5 طول کلید
مرکز دولتی ریشه از طول کلید 2048 بیت RSA برای ساختار سلسله مراتبی G2 و از طول کلید 4096 بیت RSA برای ساختار سلسله مراتبی G3 استفاده مینماید. لازم به ذکر است ساختارهای G2 و G3 در بخش 7-1-3معرفی شده است. الزامات مربوط به طول کلید برای مراکز میانی در جدول زیر قید شده است.
جدول 27الزامات طول کلید
6-1-6 تولید پارامترهای کلید عمومی و کنترل کیفیت
در حال حاضر تعریف نشده است.
6-1-7 موارد کاربرد کلید (طبق فیلد کاربرد کلید[65] در X.509 v3)
جدول 28موارد کاربرد کلید
6-2 محافظت از کلیدهای خصوصی و کنترلهای مهندسی ماژول رمزنگاری6-2-1 کنترلها و استانداردهای ماژولهای رمزنگاری
در کلیه ماژولهای رمزنگاری مورد استفاده در زیرساخت کلید عمومی کشور (به عنوان مثال توکنهای امنیتی، کارتهای هوشمند و HSM) میبایست الزامات مرکز دولتی ریشه شامل:
· الزامات امنیتی[66] (استاندارد FIPS 140). · الزامات عملیاتی[67] (استاندارد PKCS#11) و · الزامات کارایی[68] مورد ارزیابی قرار گرفته و به تأیید مرکز دولتی ریشه رسیده باشد. کلید خصوصی مرکز دولتی ریشه در یک دستگاه سختافزاری امن (HSM) نگهداری میشود که در آن الزامات استاندارد FIPS 140-2 در سطح سوم ارزیابی شده است؛ همچنین انجام عملیات تولید کلید برای مرکز دولتی ریشه و امضای کلیه گواهیهای صادر شده توسط این مرکز از طریق این HSM و به صورت on-board[69] صورت میگیرد. الزامات مربوط به کنترلها و استانداردهای ماژولهای رمزنگاری در زیرساخت کلید عمومی کشور در جدول زیر خلاصه شده است. جدول 29الزامات ماژولهای رمزنگاری
6-2-2 کنترل چند نفره (n از m) به کلید خصوصی
در مرکز دولتی ریشه عملیات تولید کلید و مدیریت طول عمر کلیدها به صورت کنترل چند نفره 3 از 5 و از طریق HSM صورت میگیرد. الزامات مربوط به کنترل چند نفره برای مراکز میانی در جدول زیر آورده شده است.
جدول 30کنترل چندنفره به کلید خصوصی
6-2-3 دستیابی قانونی به کلید خصوصی[70]
قابل اعمال نیست.
6-2-4 پشتیبان گیری از کلید خصوصی
مرکز دولتی ریشه یک نسخه پشتیبان از کلید خصوصی خود را از طریق توکن پشتیبان با استفاده از کنترل چند نفره و به صورت کاملاً محافظت شده و در مکانی امن به منظور استفاده در سایت پشتیبان مرکز دولتی ریشه، نگهداری مینماید. الزامات تهیه نسخه پشتیبان کلید خصوصی برای مراکز میانی در جدول زیر قید شده است.
جدول 31تهیه نسخه پشتیبان از کلید خصوصی
مراکز میانی میبایست در دستورالعمل اجرایی گواهی الکترونیکی خود فرایندهای پشتیبان گیری از کلید خصوصی CA را تعیین نمایند.
6-2-5 بایگانی کلید خصوصی
قابل اعمال نیست.
6-2-6 انتقال کلید خصوصی به/از یک ماژول رمزنگاری
جدول 32انتقال کلید خصوصی به/از یک ماژول رمزنگاری
6-2-7 ذخیرهسازی کلیدهای خصوصی در ماژول رمزنگاری
ذخیرهسازی کلیدهای خصوصی میبایست در یک ماژول رمزنگاری منطبق با الزامات قید شده در بخش 6-2-1صورت گیرد.
6-2-8 روش فعالسازی کلید خصوصی
جدول 33فعالسازی کلید خصوصی
6-2-9 روش غیر فعال نمودن کلید خصوصی
جدول 34غیر فعال نمودن کلید خصوصی
6-2-10 روش انهدام کلید خصوصی
جدول 35انهدام کلید خصوصی
6-2-11 ردهبندی ماژول رمزنگاری
به بخش 6-2-1را مراجعه شود.
6-3 سایر ابعاد مدیریت زوج کلید6-3-1 بایگانی کلید عمومی
مراکز صدور گواهی میبایست کلید (های) عمومی متناظر با گواهیهای خود و همچنین کلیدهای عمومی متناظر با گواهیهای صادر شده را مطابق با بخش 5-5-2بایگانی کنند.
6-3-2 دورههای عملیاتی گواهی و دورههای استفاده از زوج کلید
گواهی مرکز دولتی ریشه دارای دوره اعتبار 20 ساله میباشد. الزامات مربوط به دوره اعتبار گواهیهای مراکز میانی و همچنین گواهیهای صادر شده توسط این مراکز در جدول زیر آورده شده است.
جدول 36دورههای عملیاتی گواهی و دورههای استفاده از زوج کلید
6-4 اطلاعات فعالساز6-4-1 تولید و بهکارگیری اطلاعات فعالساز
کلیه اطلاعات فعالساز میبایست یکتا و غیر قابل پیشبینی باشند. گذرواژه بکار رفته جهت فعالسازی کلید خصوصی حداقل میبایست 8 کاراکتر باشند و در صورت امکان به صورت تصادفی تولید گردند ضمن اینکه میبایست کاراکترهای انتخابی ترکیبی از کاراکترهای قابل چاپ باشد. در صورتی که تولید گذرواژهها به صورت تصادفی توسط مالکان گواهی امکانپذیر نباشد، میبایست دقت شود که گذرواژه انتخابی غیر قابل حدس بوده و به عنوان مثال با اطلاعات شناسایی شخصی او مرتبط نباشد. همچنین دنبالههای تکراری کاراکترها، اعداد تکراری، اعداد مرتبط با تاریخ و یا دیگر اعدادی که به راحتی قابل حدس هستند نباید بکار روند. اطلاعات فعالساز هرگز نباید به لغات با معنا شباهتی داشته باشند.
چنانچه از اعداد تصادفی جهت استفاده به عنوان اطلاعات فعالساز به کار گرفته شود، میبایست کلیه الزامات مربوط به اعداد تصادفی منطبق با استانداردهای معرفی شده توسط مرکز دولتی ریشه، در آنها رعایت شده باشد. 6-4-2 محافظت از اطلاعات فعالساز
جدول 37محافظت از اطلاعات فعالساز
6-4-3 سایر ابعاد اطلاعات فعالساز
تعریف نشده است.
6-5 کنترلهای امنیتی رایانه6-5-1 الزامات فنی ویژه امنیت رایانه
مراکز صدور گواهی میبایست موارد زیر را در سیستم عاملهای خود فعال سازند:
· امکان ورود به سیستم صرفاً پس از احراز هویت متمرکز؛ · ایجاد دسترسی کنترل شده به اطلاعات و برنامهها بر اساس هویت تعریف شده در سیستم؛ · توانایی تنظیم و راهاندازی سیستم ثبت وقایع و بازبینی آنها · مراکز صدور گواهی میبایست مجهز به سیستمهای شناسایی و تخریب ویروس با مشخصات زیر باشند: · امکان بهروزرسانی با آخرین لیست ویروسهای شناسایی شده؛ · امکان جستجو در تمام فایلهای سیستمی و غیر سیستمی به صورت خودکار؛ · ثبت وقایع مرتبط به بررسی سیستم و وجود ویروسهای احتمالی و نتیجه عملکرد برنامه روی آنها. 6-5-2 ردهبندی امنیت رایانه
جدول 38ردهبندی امنیت رایانه
6-6 کنترلهای فنی چرخه حیات6-6-1 کنترلهای توسعه سامانه
مرکز صدور گواهی میبایست از نرمافزار صدور گواهی که تحت یک روش توسعه ساختیافته طراحی و توسعه یافته است، استفاده نماید.
کلیه مراکز صدور گواهی میبایست از سامانههای صدور و مدیریت گواهی الکترونیکی مورد تایید مرکز دولتی ریشه استفاده نمایند و این سامانهها و نرمافزارهای متناظر میبایست در آزمایشگاه مرکز دولتی ریشه ارزیابی شده و مورد تایید قرار گرفته شده باشند؛ کلیه مراکز میانی تنها پس از اطلاعرسانی به مرکز دولتی ریشه مجاز به توسعه سامانههای سختافزاری و نرمافزاری خود خواهند بود و سامانههای توسعه یافته تنها پس از ارزیابی مجدد و تایید مرکز دولتی ریشه، قابلیت عملیاتی شدن خواهند داشت. سختافزار یا نرمافزار خریداری شده میبایست در یک بسته مهر و موم شده و یا بهروش مطمئن دیگری حمل و تحویل داده شود و توسط پرسنل آموزشدیده نصب گردد. 6-6-2 کنترلهای مدیریت امنیت
سختافزار و نرمافزار مرکز صدور گواهی میبایست به طور اختصاصی برای انجام وظایف مربوط به مرکز صدور گواهی مورد استفاده قرار گیرد. سیستم مرکز صدور گواهی نباید حاوی برنامههای کاربردی، وسایل سختافزاری، اتصالات شبکه یا اجزاء نرمافزاری که مربوط به عملیات مرکز صدور گواهی نیستند، باشد. امنیت سیستمهای سختافزاری و نرمافزاری مراکز صدور گواهی میبایست در آزمایشگاه مرکز دولتی ریشه ارزیابی شده و مورد تایید قرار گرفته شده باشند.
مرکز صدور گواهی میبایست در دستورالعمل اجرایی گواهی، به سیاستها و فرایندهایی که از قرار گرفتن نرمافزارهای مخرب در تجهیزات مرکز صدور گواهی پیشگیری میکند، اشاره نماید. سیستمهای مراکز صدور گواهی و دفاتر ثبت نام میبایست برای یافتن کدهای مخرب احتمالی در اولین استفاده و بعد از آن به صورت دورهای، بررسی شوند. مرکز صدور گواهی میبایست از یک فرایند مدیریت پیکربندی برای نصب و نگهداری مداوم سیستم مرکز صدور گواهی استفاده نماید. نرمافزار مرکز صدور گواهی، زمانی که برای بار اول بر روی سیستم قرار میگیرد، میبایست روشی برای مرکز صدور گواهی فراهم نماید که تأیید کند نرمافزار روی سیستم: 1) از توسعهدهنده نرمافزار نشئت گرفته؛ 2) قبل از نصب تغییر داده نشده است؛ 3) نسخه مورد نظر برای استفاده است. مرکز صدور گواهی میبایست مکانیزمی برای بررسی دورهای تمامیت پایگاهداده مرکز صدور گواهی فراهم نماید. مرکز صدور گواهی همچنین مکانیزمها و سیاستهایی برای کنترل و نظارت بر پیکربندی سیستم مرکز صدور گواهی باید داشته باشد؛ کلیه این مکانیزمها میبایست در دستورالعمل اجرایی مرکز صدور گواهی توصیف گردد. جدول 39بررسی دورهای تمامیت پایگاهداده
6-6-3 کنترلهای امنیتی چرخه حیات
پیادهسازی نشده است.
6-7 کنترلهای امنیتی شبکه
جدول 40کنترلهای امنیتی شبکه
6-8 مهر زمانی
جدول 41مهر زمانی
7 پروفایلهای[72] گواهی، لیست گواهیهای باطله و OCSP7-1 پروفایل گواهی
پروفایل گواهیهای صادر شده توسط مراکز صدور گواهی میبایست با RFC5280[73] و سند جامع پروفایلهای زیرساخت کلید عمومی کشور منطبق باشد و صدور هر نوع گواهی متفاوت با پروفایلهای تعریف شده در سند مذکور، مجاز نمیباشد. هر گواهی X.509 حداقل میبایست شامل فیلدهای اصلی باشد و هر کدام از فیلدها میبایست با توجه به قیودی که برای مقادیر آنها تعیین شده است، مقداردهی شوند. در جدول زیر فیلدهای گواهی X.509 قید شده است. تشریح کامل پروفایلهای گواهی الکترونیکی در سند جامع پروفایلهای زیرساخت کلید عمومی کشور آورده شده است.
جدول 42الزامات خصوصیات گواهی
7-1-1 شماره نسخه
گواهیها میبایست منطبق با نسخه سوم استاندارد X.509 صادر شوند.
7-1-2 الحاقیههای گواهی[74]
الزامات مربوط به وجود یا عدم وجود، مقداردهی و پردازش الحاقیههای گواهی در سند جامع پروفایلهای زیرساخت کلید عمومی کشور بیان شده است.
7-1-3 شناسه الگوریتمها
گواهیهای صادر شده توسط مرکز صدور گواهی میبایست به وسیله یکی از الگوریتمهای زیر امضا گردد:
· sha256withRSAEncryption OBJECT IDENTIFIER ::= {
iso(1) member-body(2) us(840)rsadsi(113549) pkcs(1) pkcs-1(1) 11}
· sha-1WithRSAEncryption OBJECT IDENTIFIER ::= {
iso(1) member-body(2) us(840)rsadsi(113549) pkcs(1) pkcs-1(1) 5}
زیرساخت کلید عمومی کشور متشکل از دو ساختار سلسله مراتبی G2 و G3 میباشد. ساختار G2 سازگار با تابع درهمساز[75] SHA1 است و میتواند در سختافزارها و نرمافزارهایی که از این تابع درهمساز پشتیبانی مینمایند مورد استفاده قرار گیرد. ساختار G3 نیز سازگار با تابع درهمساز SHA256 بوده و جهت ارائه سطح امنیت بالاتر پیشبینی شده است.
7-1-4 قالب نامها
نحوه مقداردهی نام ترکیبی مربوط به مالک و صادرکننده گواهی میبایست مطابق با بخش 3-1باشد.
7-1-5 محدودیتهای نامگذاری
فیلد الحاقی name constraints میبایست مطابق آنچه در سند جامع پروفایلهای زیرساخت کلید عمومی کشور شرح داده شده است، در گواهی قید شود.
7-1-6 شناسه سیاستهای گواهی
مرکز صدور گواهی میبایست از صحت مقدار شناسه یا شناسههای سیاست گواهی که در گواهی قرار میگیرد، مطمئن شود. شناسه مختص هر سطح گواهی در بخش 1-2مشخص شده است.
7-1-7 کاربرد الحاقیه Policy Constraints
الحاقیه Policy Constraints میبایست مطابق آنچه در سند جامع پروفایلهای زیرساخت کلید عمومی کشور شرح داده شده است، در گواهی قرار بگیرد.
7-1-8 ساختار و معنای الحاقیه "Policy Qualifier"
گواهیهای نسخه سوم X.509 حاوی یک توصیفکننده سیاست در فیلد الحاقی Certificate Policies میباشند که به عنوان مثال به نشانی دسترسی به دستورالعمل اجرایی اشاره مینماید.
7-1-9 پردازش معنایی برای الحاقیه حیاتی Certificate Policies
بر اساس سند جامع پروفایلهای زیرساخت کلید عمومی کشور برای فیلد الحاقی Certificate Policy وضعیت غیر حیاتی در نظر گرفته شده است.
7-2 پروفایل لیست گواهیهای باطل شده
پروفایل لیست گواهیهای باطل شده میبایست مطابق با استاندارد RFC5280 باشند. لیست گواهیهای باطل شده میبایست حداقل شامل فیلدهای اصلی و مقادیر تعیین شده برای آنها که در جدول زیر به آنها اشاره شده است، باشد:
جدول 43الزامات خصوصیات لیست ابطال
7-2-1 شماره نسخه
مرکز صدور گواهی میبایست از نسخه دوم X.509 لیست گواهیهای باطلشده منطبق با RFC5280 پشتیبانی نماید.
7-2-2 الحاقیههای CRL و CRL Entry
الزامات مربوط به وجود یا عدم وجود، مقداردهی و پردازش الحاقیههای CRL و CRL Entry در سند جامع پروفایلهای زیرساخت کلید عمومی کشور بیان شده است.
7-3 پروفایل OCSP7-3-1 شماره نسخه
مرکز صدور گواهی میبایست از نسخه اول OCSP تعریف شده در RFC2560 پشتیبانی نماید.
7-3-2 الحاقیههای OCSP
الحاقیههای OCSP میبایست منطبق با سند جامع پروفایلهای زیرساخت کلید عمومی کشور به کار رود. سرویسدهنده پاسخگوی OCSP میبایست جهت جلوگیری از حملات تکرار[76] و اطمینان سرویسگیرنده OCSP از تازگی[77] پاسخ OCSP، از الحاقیه Nonce توصیف شده در RFC2560 استفاده نماید. این الحاقیه با مقدار الحاقیه Nonce موجود در درخواست OCSP که از سوی سرویسگیرنده OCSP ارسال میشود، مقداردهی میگردد.
8 بازرسی تطابق و سایر ارزیابیها
بازرسی تطابق با هدف حصول اطمینان از عملکرد مراکز صدور گواهی و به منظور بررسی تطابق عملیات مراکز صدور گواهی با الزامات و فرایندهای بیان شده در سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشور و دستورالعمل اجرایی مراکز میانی به عمل میآید. در زیرساخت کلید عمومی کشور، بازرسی تطابق به دو صورت تعریف شده است:
· بازرسی شورا: بر اساس ماده 3 آییننامه 32 قانون تجارت الکترونیکی ایران یکی از وظایف و مسئولیتهای شورا، نظارت عالیه و بررسی گزارش عملکرد و تخلفات احتمالی مراکز ریشه و میانی میباشد. بر این اساس به منظور اعمال نظارت بر عملکرد مرکز دولتی ریشه و مراکز میانی، میبایست بازرسی دورهای از این مراکز زیر نظر شورا و توسط بازرس یا بازرسین مورد تأیید شورا صورت گیرد. · بازرسی مرکز دولتی ریشه: بر اساس ماده 5 آییننامه 32 قانون تجارت الکترونیکی ایران یکی از وظایف و مسئولیتهای اصلی مرکز دولتی ریشه، حصول اطمینان از عملکرد صحیح مراکز میانی میباشد. مرکز دولتی ریشه به منظور حصول اطمینان از عملکرد صحیح مراکز میانی، از این مراکز به عمل خواهد آورد. 8-1 تناوب و شرایط ارزیابی
بازرسی تطابق برای کلیه مراکز صدور گواهی میبایست مطابق با جدول زیر انجام گیرد.
جدول 44تناوب و شرایط ارزیابی
ضمن اینکه زمان و تناوب بازرسی وابسته به میزان کارکرد مرکز صدور گواهی، متغیر است.
8-2 هویت و صلاحیت ارزیاب
بازرسی مرکز دولتی ریشه از مراکز میانی توسط یک یا چند تن از کارشناسان واجد شرایط و مجاز مرکز دولتی ریشه در حوزههای تعیین شده در بخش 8-4انجام میگیرد و بازرسی شورا توسط یک یا چند شخص حقیقی یا حقوقی مورد تأیید شورا انجام میپذیرد.
بازرس میبایست با زیرساخت کلید عمومی و استانداردهای آن، سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشورو دستورالعمل اجرایی گواهی الکترونیکی مراکز میانی و مصوبات شورا کاملاً آشنا باشد. 8-3 ارتباط ارزیاب با مرکز مورد ارزیابی
بازرسی از کلیه مراکز صدور گواهی میبایست منحصراً توسط اشخاص تعیین شده در بخش 8-2انجام گیرد.
8-4 موضوعات مورد ارزیابی
محدوده ارزیابی در فرایند بازرسی تطابق مرکز صدور گواهی [e2] میبایست حداقل شامل موضوعات زیر باشد:
· دستورالعمل اجرایی گواهی الکترونیکی مرکز میانی، دستورالعملهای فنی، فرایندی و پرسنلی مرکز صدور گواهی و طرح فنی تجهیزات و ساختمان مرکز؛ · بررسی تطابق مرکز میانی، شامل ساختمان، تجهیزات و همچنین کلیه سختافزارها، نرمافزارها، نیروی انسانی و فرایندهای بکار گرفته در مرکز، با دستورالعملها و مستندات قید شده در بند اول؛ · بررسی تطابق تجهیزات، نرمافزارها و عملکرد دفاتر ثبت نام با دستورالعمل اجرایی مرکز میانی. 8-5 اقدامات اتخاذ شده در برخورد با نقایص
در صورت احراز مغایرت در فرایند بازرسی با سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشور و دستورالعمل اجرایی گواهی الکترونیکی مرکز میانی مورد بازرسی و یا در صورت آشکار شدن هر گونه نقص و یا مشکل امنیتی در طی فرایند بازرسی میبایست اقدامات زیر انجام شود:
· بازرس میبایست نقص و یا ناهمخوانی را ثبت نماید؛ · بازرس میبایست به طرفهای تعیین شده در بخش 8-6ناهمخوانی و یا نقص را اعلام نماید؛ · مرکز صدور گواهی میبایست در مدت زمان تعیین شده توسط مرجع بازرسی کننده، نسبت به رفع نواقص و ناهمخوانیها اقدام نماید؛ · در صورت عدم اصلاح نقص یا ناهمخوانی توسط مرکز صدور گواهی در زمان پیش بینی شده، گزارش مغایرت میبایست به اطلاع شورا برسد؛ · شورا میتواند راهکار مناسبی که شامل تمدید مدت زمان اصلاح نواقص، جلوگیری از فعالیت مرکز صدور گواهی و یا در صورت لزوم ابطال گواهی مرکز صدور گواهی باشد را تعیین نماید. 8-6 گزارش نتایج
نتایج بازرسی مرکز دولتی ریشه از مراکز میانی میبایست به شورا ارائه گردد؛ ضمن اینکه این نتایج میبایست به عنوان اطلاعات محرمانه در نظر گرفته شده و نباید افشا شوند مگر در صورت لزوم با موافقت یا پیرو مجوز مراجع قضایی ذیصلاح.
9 سایر موارد حقوقی و مربوط به کسب و کار9-1 تعرفهها
مراکز صدور گواهی میبایست صرفاً نسبت به دریافت تعرفه از خدماتی اقدام نمایند که از سوی هیئت دولت ابلاغ شده است.
9-1-1 تعرفههای صدور یا تمدید گواهی
حق ثبت دفاتر ثبت نام مراکز صدور گواهی برای تمامی عملیات مرتبط با گواهی الکترونیکی میبایست از تعرفههای ابلاغیه هیئت دولت، تبعیت نماید.
9-1-2 تعرفههای دسترسی به گواهی
تعرفهای در نظر گرفته نشده است.
9-1-3 تعرفههای ابطال یا دسترسی به اطلاعات وضعیت گواهی
در حال حاضر نظر به عدم ابلاغ تعرفه از سوی هیئت دولت، برای کلیه خدمات مربوط به ابطال و اعلام وضعیت گواهی تعرفهای دریافت نمیگردد.
9-1-4 تعرفه سایر خدمات
مراکز صدور گواهی الکترونیکی تعرفهای برای سایر خدمات نظیر دسترسی به سند سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشورو دستورالعمل اجرایی دریافت نمینمایند.
در حال حاضر نظر به عدم ابلاغ تعرفه از سوی هیئت دولت، برای سایر خدمات تعرفهای دریافت نمیشود. 9-1-5 سیاست استرداد
برای کلیه گواهیهای صادر شده مرکز دولتی ریشه، مراکز میانی و دفاتر ثبت نام، در صورت انصراف از درخواست گواهی قبل از صدور گواهی امکان استرداد وجود دارد و در صورت انصراف بعد از صدور گواهی امکان استرداد وجود نخواهد داشت. شرایط استرداد میبایست در دستورالعمل اجرایی مراکز میانی درج شود. همچنین شرایط آن میتواند در توافقنامه متقاضی صدور گواهی الکترونیکی به اطلاع وی برسد.
9-2 مسئولیت مالی9-2-1 پوشش بیمهای
پوشش بیمهای در حال حاضر توسط مرکز دولتی ریشه پشتیبانی نمیشود، با این وجود مراکز میانی میتوانند با پیش بینی شرایط بیمه در دستورالعمل خود، با انعقاد قرارداد با شرکتهای بیمه رسمی کشور، متقاضیان صدور گواهی الکترونیکی را از تسهیلات بیمه بهرهمند نمایند.
9-2-2 سایر داراییها
لازم است که مراکز میانی غیر دولتی دارای منابع مالی کافی برای ادامه عملکرد و انجام وظایف و پذیرش مسئولیتهای خود باشند. مجموعه داراییهای مراکز غیردولتی میبایست به حدی باشد که خطرات مسئولیت نسبت به مالکان گواهی و طرفهای اعتماد کننده را تا میزان قابل توجهی پوشش دهد.
9-2-3 پوشش بیمهای و ضمانتنامه برای موجودیتهای نهایی
در حال حاضر پوشش بیمهای همه جانبه ای پیش بینی نشده است، با این وجود برخی از مراکز میانی اشتباهاتی که در فرایند صدور توسط آن مرکز یا سایر اشتباهاتی که در نتیجه قصور و اهمال این مراکز در رعایت ضوابط مربوطه و یا بر اثر نقض وظایف قراردادی بوده را بیمه مینمایند، مشروط بر اینکه که متقاضی صدور گواهی الکترونیکی به وظایف قانونی و قراردادی خود عمل نموده باشد. لازم است که اطلاعات مربوط به این ضمانتها در دستورالعمل اجرایی مراکز میانی درج شود.
9-3 محرمانگی اطلاعات کسب و کار9-3-1 محدوده اطلاعات محرمانه
مراکز صدور گواهی میبایست اطلاعاتی نظیر اطلاعات ارایه شده زیر را به صورت محرمانه محافظت نماید:
· اطلاعات هر درخواست گواهی که توسط مراکز صدور گواهی نگهداری میشود و در گواهیهای صادر شده وجود ندارد، میبایست به صورت محرمانه نگهداری شود. · کلیه کلیدهای خصوصی و دادههای فعالساز که در مراکز صدور گواهی و دفاتر ثبت نام بکار گرفته میشود؛ · سوابق کاربرد معاملاتی و سوابق کاربرد گواهی الکترونیکی؛ · اطلاعات درخواست گواهی مراکز میانی و دفاتر ثبت نام که ممکن است شامل اطلاعاتی نظیر طرح تجاری، اطلاعات فروش، اسرار تجاری باشد؛ · کلیه اطلاعات مربوط به پیگیری ثبت وقایع که توسط مرکز صدور گواهی ایجاد و نگهداری میشوند؛ · تمهیدات امنیتی که برای طرح فنی تجهیزات، ساختمان، نرمافزارها و اجرای خدمات گواهی و خدمات تخصیص یافته است. 9-3-2 اطلاعاتی که در محدوده اطلاعات محرمانه نمیباشند
· کلیه اطلاعات موجود در مخزن مراکز صدور گواهی، محرمانه محسوب نمیگردد؛
· کلیه اطلاعات شناسایی و اطلاعات دیگری که در گواهیها درج میشوند، محرمانه محسوب نمیشوند، مگر آنکه در توافقنامههای منعقده خلاف آن تصریح شده باشد. 9-3-3 مسئولیت محافظت از اطلاعات محرمانه
مراکز صدور گواهی و دفاتر ثبت نام مسئولیت محافظت از کلیه اطلاعات محرمانه در برابر افشا و دسترسی غیر مجاز برای اشخاص غیر مجاز را دارد.
9-4 محافظت از اطلاعات خصوصی
هرگونه اطلاعات مربوط به درخواستکننده یا مالک گواهی که توسط مراکز صدور گواهی نگهداری میشود و در گواهیهای صادر شده وجود ندارد به عنوان اطلاعات خصوصی یا شخصی تلقی میشود. به طور کلی هر قسم اطلاعاتی که بالقوه قابل استفاده به ضرر شخص موضوع اطلاعات یا حداقل به سود اشخاص دیگر باشند را شامل میشود. همچنین باید دانست که منظور از اطلاعات خصوصی در این بحث لزوماً اطلاعات سری و دارای ماهیت محرمانه نیست.
9-4-1 طرح حریم خصوصی
طرح حریم خصوصی مالکان گواهی الکترونیکی بر اساس قوانین موضوعه جمهوری اسلامی ایران از جمله قانون تجارت الکترونیکی مصوب 24/10/82 فصل سوم از باب سوم (مواد 61-58) و فصل دوم از باب چهارم (مواد 73-71) تعریف میشود.
مراکز میانی میتوانند در چارچوب قوانین جمهوری اسلامی ایران، طرح حریم خصوصی مورد نظر را در سند دستورالعملهای اجرایی خود اعلام نمایند. 9-4-2 اطلاعاتی که خصوصی محسوب میشوند
هر گونه اطلاعات درباره درخواست کننده گواهی که جهت صدور گواهی الکترونیکی در اختیار مراکز صدور گواهی قرار میگیرد، و عموماً قابل دسترسی نمیباشد، خصوصی محسوب میشود.
9-4-3 اطلاعاتی که خصوصی محسوب نمیشوند
اطلاعات موجود در گواهی منتشر شده که به سهولت قابل رؤیت میباشد و یا اطلاعات CRL صادر شده، خصوصی محسوب نمیگردد.
9-4-4 مسئولیت محافظت از اطلاعات خصوصی
مراکز صدور گواهی و دفاتر ثبت نام موظفند از کلیه اطلاعات شخصی و خصوصی مالکان گواهی محافظت نمایند.
9-4-5 آگاهی و رضایت برای استفاده از اطلاعات خصوصی
مراکز صدور گواهی مجاز به انتقال اطلاعات خصوصی مالکان گواهی به غیر نمیباشند. در صورتی که مالک گواهی قصد داشته باشد که اطلاعات خصوصی او در اختیار ثالث قرار بگیرد، میبایست به موجب نامه رسمی و کتبی رضایت خود را به مرکز صدور گواهی اعلام نماید.
9-4-6 افشا مطابق با فرایندهای اداری و قضایی
در شرایطی که به موجب قوانین موضوعه کشور در راستای حفظ امنیت و نظم عمومی و حمایت از حقوق شهروندان، و کشف جرم و تعقیب مجرم، مراکز صدور گواهی موظف به ارائه اطلاعات خصوصی مالکان گواهی به مراجع قضایی و یا ضابطین قضایی میباشند، همکاری مذکور صرفاً با دریافت حکم قضایی رسمی، تنظیم شده توسط مرجع ذیصلاح خطاب به مرکز صدور گواهی مربوطه انجام خواهد پذیرفت.
9-4-7 سایر شرایط افشای اطلاعات
قابل اعمال نیست.
9-5 حق مالکیت معنوی
· حق مالکیت معنوی گواهی و اطلاعات ابطال گواهی؛ مالکیت معنوی کلیه گواهیهای صادره و اطلاعات ابطال گواهیها، متعلق به مراکز صدور گواهی میباشد. مالکان گواهی و طرفهای اعتماد کننده اجازه استفاده از گواهیهای صادره را در کاربردهای مجاز و مصارف قانونی مطابق با دستورالعمل تدوین شده مراکز صدور گواهی و توافقنامههای منعقده، دارا میباشند.
· حق مالکیت معنوی اسناد؛ حق مالکیت معنوی کلیه اسناد تنظیم شده در مراکز صدور گواهی، از جمله دستورالعمل اجرایی صدور گواهی در انحصار مطلق مراکز صدور گواهی تنظیم کننده اسناد میباشد. · حق مالکیت معنوی نامها؛ هر گواهی الکترونیکی که توسط مراکز صدور گواهی الکترونیکی بر اساس ضوابط صادر میشود، در بر گیرنده مالکیت معنوی آن نام برای مالک گواهی خواهد بود. این نام در مالکیت انحصاری مالک گواهی میباشد و هیچ شخص دیگری حق ثبت مجدد آن نام را برای خود ندارد. · حق مالکیت معنوی کلیدها؛ حق مالکیت معنوی زوج کلید متناظر با گواهی، متعلق به مالک این گواهی میباشد. · سایر موارد؛ حق مالکیت معنوی کلیه اطلاعات منتشر شده در مخزن متعلق به مراکز صدور گواهی میباشد. 9-6 مسئولیتها و التزامات9-6-1 مسئولیتها و التزامات مراکز صدور گواهی9-6-1-1 التزامات مرکز دولتی ریشه
مرکز دولتی ریشه در موارد زیر مسئولیت دارد:
· پیشنهاد سیاستها و دستورالعمل اجرایی گواهی الکترونیکی مرکز دولتی ریشه و اسناد مرتبط و ارائه به شورا جهت تصویب؛ · اجرای سیاستها و دستورالعملهای شورا؛ · بهروزرسانی این سند به ضمیمه سایر اسناد لازم و ارائه به شورا جهت تصویب؛ · تضمین انطباق عملکرد مرکز دولتی ریشه با این سند؛ · بررسی و تایید دستورالعمل اجرایی گواهی الکترونیکی مراکز میانی؛ · بررسی و احراز شرایط لازم و صلاحیت متقاضیان ایجاد مراکز میانی و صدور مجوز برای آنها؛ · اخذ التزام مناسب از متقاضیان تأسیس مراکز میانی حین تأسیس این مراکز؛ · حصول اطمینان از ثبت اطلاعات معتبر و مناسب در گواهیهای صادر شده و نگهداری مدارک و شواهد دال بر صحت این اطلاعات؛ · انجام بازرسیهای دورهای و مقطعی جهت حصول اطمینان از عملکرد صحیح مراکز میانی؛ · اطلاع رسانی عمومی به مالکان گواهی و طرفهای اعتماد کننده در مورد تغییرات اساسی در عملکرد مراکز صدور گواهی الکترونیکی؛ · ابطال گواهی مراکز میانی که بر خلاف تعهداتشان عمل نمودهاند؛ · انتشار ابطال مجوز مراکز میانی در سایت و اطلاع رسانی عمومی از طریق درج در روزنامه رسمی؛ · رسیدگی به شکایات واصله مالکان گواهی الکترونیکی و سایر موجودیتها از مراکز میانی؛ · تضمین امنیت دادههای مربوط به امضا در فرایند ایجاد این دادهها برای جلوگیری از شبیه سازی گواهیهای مراکز میانی · تضمین ارائه خدمات اعلام وضعیت گواهی مراکز میانی به صورت مطمئن 9-6-1-2 مسئولیتها و التزامات مراکز صدور گواهی الکترونیکی میانی
مراکز میانی میبایست موارد زیر را تضمین نمایند:
· تدوین سند دستورالعمل اجرایی و اخذ تأییدیه از مرکز دولتی ریشه · مراکز میانی مسئولیت ایجاد و امضای گواهی برای مالکان گواهی با اثبات مالکیت کلید خصوصی را دارند؛ · تضمین امنیت دادههای مربوط به امضا در فرایند ایجاد این دادهها برای جلوگیری از شبیه سازی گواهیها · تضمین ارائه خدمات اعلام وضعیت گواهیها به صورت سریع و مطمئن · تضمین دسترسی دائم به مخزن منطبق با دستورالعمل اجرایی مراکز میانی؛ · انطباق و بهروزرسانی سند دستورالعمل اجرایی گواهی الکترونیکی مراکز میانی با این سند و اخذ تأییدیه از مرکز دولتی ریشه · بررسی صلاحیت و صدور مجوز برای دفاتر ثبت نام متعلق به خود · تضمین ارایه خدمات مدیریت گواهی الکترونیکی شامل صدور، ابطال، انتشار گواهی و اعلام وضعیت (ابطال یا عدم ابطال) گواهی به صورت مطمئن؛ · انجام بازرسیهای دورهای و مقطعی از مرکز میانی و دفاتر ثبت نام متعلق به خود · در صورت انجام عملیات تولید زوج کلید به نمایندگی از متقاضی، این عملیات به روش امن و منطبق با بخش 6-1-1-3انجام شود. · حصول اطمینان از اینکه تولید زوج کلید تحت کنترل انحصاری مالک گواهی باشد؛ · تضمین عدم نسخه برداری از زوج کلید تولید شده توسط مرکز میانی و دفاتر ثبت نام وابسته · مطابقت فعالیتهای مرکز میانی با این سند، استانداردهای ارائه شده توسط مرکز دولتی ریشه، دستورالعمل اجرایی گواهی الکترونیکی و قرارداد بین مرکز میانی با مرکز دولتی ریشه؛ · تضمین اعمال استانداردهای زیرساخت کلید عمومی کشور؛ · اعلام پذیرش یا رد گواهی میانی خود، پس از دریافت ابلاغیه صدور گواهی (پذیرش گواهی میانی صادر شده توسط مرکز دولتی ریشه، بدین معناست که مرکز میانی صحت اطلاعات آن گواهی را تأیید مینماید)؛ · صدور گواهی الکترونیکی با استفاده از کلید خصوصی فقط در زمانی که گواهی صادر شده از سوی مرکز دولتی ریشه اعتبار داشته باشد؛ · اطلاع رسانی سریع به مرکز دولتی ریشه در موقع بروز هرگونه حادثه مانند گم شدن یا در خطر افشا قرار گرفتن کلید و در خواست ابطال گواهی؛ · التزام به قوانین حاکم موضوعه · رعایت موارد امنیتی فیزیکی و الکترونیکی · آگاهی از این مطلب که مرکز میانی مسئول هر گونه خسارت وارده ناشی از تخطی از موارد فوق میباشد. 9-6-2 مسئولیتها و التزامات دفاتر ثبت نام
دفاتر ثبت نام مراکز میانی میبایست موارد زیر را تضمین نمایند:
· انجام عملیات مطابق با دستورالعمل اجرایی مرکز میانی، استانداردهای ارائه شده توسط مرکز دولتی ریشه و نیز قراردادهای فی ما بین دفتر ثبت نام و مرکز میانی؛ · دریافت درخواست صدور، تجدید کلید، تمدید و ابطال گواهی و تحویل به مرکز میانی؛ · انجام هویت شناسی متقاضی و اطمینان از صحت اطلاعات تحویل داده شده به مرکز میانی؛ · التزام به قوانین حاکم موضوعه · رعایت موارد امنیتی فیزیکی و الکترونیکی 9-6-3 مسئولیتها و التزامات مالکان گواهی
یک مالک گواهی که برای او توسط یکی از مراکز صدور گواهی، گواهی صادر شده است میبایست موارد زیر را تضمین نماید:
· اعتبارسنجی گواهی در زمان استفاده از گواهی مطابق با بخش 4-5-2از این سند. · تولید زوج کلید به روش امن و منطبق با بخش 6-1-1-3. · نگهداری کلید خصوصی به گونهای که اشخاص غیر مجاز هیچگونه دسترسی به آن نداشته باشند؛ · ارائه اطلاعات صحیح مرتبط با تقاضا و اعلام تغییر این اطلاعات در دوره اعتبار گواهی. · از گواهی منحصراً میبایست در کاربردهای مجاز و قانونی مطابق با کاربردهای مندرج در گواهی استفاده نماید؛ · ارائه درخواست ابطال گواهی مطابق با بخش 4-9-1-2. · اطمینان از اینکه نرمافزار بکار گرفته شده، در آزمایشگاه زیرساخت کلید عمومی مرکز دولتی ریشه ارزیابی شده و مورد تأیید مرکز دولتی ریشه باشد. · اطمینان از ایمن بودن محیط رایانهای مورد استفاده؛ · پایبندی به قراردادهای فی ما بین متقاضی و مرکز صدور گواهی؛ · بکارگیری گواهی در سطح اطمینان متناسب با سطوح اطمینان تعریف شده در بخش 1-1. 9-6-4 مسئولیتها و التزامات طرفهای اعتماد کننده
طرف اعتماد کننده میبایست شرایط زیر را قبل از اعتماد به گواهی در نظر داشته باشد:
· استفاده از مخزن معتبر اعلام شده توسط مرکز صدور گواهی؛ · اعتبارسنجی گواهی در زمان استفاده از گواهی مطابق با بخش 4-5-2از این سند. · دریافت گواهی خودامضای مرکز دولتی ریشه و همچنین گواهی مرکز میانی صادر کننده گواهی از طریق کانال توزیع مطمئن؛ · اطمینان از اینکه گواهی منحصراً در کاربردهای مجاز و قانونی مطابق با کاربردهای مندرج در گواهی بکار گرفته شده است؛ · اطمینان از اینکه نرمافزار بکار گرفته شده، در آزمایشگاه زیرساخت کلید عمومی مرکز دولتی ریشه ارزیابی شده و مورد تأیید مرکز دولتی ریشه باشد. · اطمینان از اینکه گواهی در سطح اطمینان متناسب با سطوح اطمینان تعریف شده در بخش 1-1بکار گرفته شده باشد. · اطمینان از ایمن بودن محیط رایانهای طرفهای اعتماد کننده؛ · نگهداری اطلاعات امضاشده و نیز اطلاعات مربوط به امضا، گواهی و فرایندهای مرتبط با عملیات رمزنگاری تا زمان مقتضی. 9-6-5 مسئولیتها و التزامات سایر موجودیتها9-6-5-1 التزامات شورای سیاست گذاری گواهی الکترونیکی کشور
مطابق با ماده 3 آیین نامه اجرایی ماده 32 قانون تجارت الکترونیک، وظایف شورای سیاست گذاری گواهی الکترونیکی کشور عبارتند از:
· بررسی سیاستهای کلان و برنامههای مربوط به حوزه زیر ساخت کلید عمومی کشور؛ · صدور مجوز ایجاد مراکز صدور گواهی الکترونیکی؛ · تصویب سیاستها و دستورالعملهای اجرایی گواهی الکترونیکی مراکز صدور گواهی الکترونیکی؛ · تصویب استانداردها، فرایندها و دستورالعملهای اجرایی مراکز صدور گواهی الکترونیکی؛ · نظارت عالیه و بررسی گزارش عملکرد و تخلفات احتمالی مراکز ریشه و مراکز میانی در صورت لغو مجوز آنها؛ · اتخاذ تصمیم در خصوص ایجاد، حذف و اعمال تغییرات در حوزههای مختلف زیر ساخت کلید عمومی کشور و سایر فعالیتهای لازم برای توسعه و بهبود زیر ساخت کلید عمومی کشور؛ · انجام بازرسی از مراکز صدور گواهی الکترونیکی بنا به تشخیص شورا؛ · رسیدگی به اختلافات ایجاد شده بین مراکز صدور گواهی الکترونیکی · رسیدگی به تخلفات گزارش شده مراکز میانی از سوی مرکز دولتی ریشه. · نظارت بر عملکرد زیر حوزهها جهت حفظ تعامل و سازگاری با یکدیگر بر سطح ملی و با سایر حوزهها در سطح بینالمللی 9-6-5-2 التزامات کمیته نظارتی شورا
مسئولیتهای این کمیته عبارت است از:
· صدور گواهی الکترونیکی و تولید کلید خودامضا برای مرکز دولتی گواهی الکترونیکی ریشه؛ · صدور گواهی الکترونیکی مراکز میانی که شورای سیاست گذاری دستورالعمل اجرایی آن را تصویب کرده است؛ · نظارت بر فعالیت و شیوه عملکرد مرکز دولتی گواهی الکترونیکی ریشه و مراکز میانی؛ · کمیته در دورههای زمانی که شورا مشخص خواهد کرد، گزارش جمع بندی خود از نظارت بر مراکز ریشه و میانی را به شورا ارائه خواهد داد. تبصره- مرجع حل اختلافات ابتدایی مرکز صدور گواهی الکترونیکی ریشه و مراکز صدور گواهی الکترونیکی میانی کمیته نظارتی میباشد. تبصره- جلسات کمیته با حضور 3 نفر از اعضاء رسمیت مییابد. در مراسم صدور گواهی الکترونیکی (تولید کلید خودامضا) مرکز دولتی گواهی الکترونیکی ریشه حضور تمامی اعضای کمیته الزامی است. 9-7 عدم پذیرش مسئولیتها و التزامات
به جزء مسئولیتها و التزاماتی که در این سند به آن اشاره شد مرکز دولتی ریشه تحت هیچ شرایطی مسئول خسارات مستقیم، غیر مستقیم، تصادفی، استنتاجی، خاص یا کیفری در مورد گواهیهایی که توسط مراکز میانی صادر شده است، نمیباشد.
مراکز میانی نمیتوانند از مرکز دولتی ریشه و شورا برای مواردی مانند ابطال گواهی مرکز میانی ادعای خسارت نمایند. مالکان گواهی و طرفهای اعتماد کننده نیز نمیتوانند با استناد به اطلاعات اشتباه وضعیت گواهی فراهم شده توسط مراکز میانی از مرکز دولتی ریشه ادعای خسارت نمایند. 9-8 محدودیت مسئولیتها
مراکز صدور گواهی هیچگونه مسئولیتی در مورد خسارتهای ناشی از پذیرش گواهیهای صادر شده از سوی طرفهای اعتماد کننده و یا عدم پذیرش یک گواهی معتبر و یا پذیرش یک گواهی باطل شده توسط طرفهای اعتماد کننده، نمیپذیرند.
9-9 خسارتها
مراکز صدور گواهی الکترونیکی میانی در صورت اعمال درست سیاستهای گواهی الکترونیکی زیرساخت کلید عمومی کشورو ارائه خدمات در راستای قوانین تجارت الکترونیکی و این دستورالعمل اجرایی، هرگونه پرداختی جهت جبران خسارت ناشی از پذیرش و یا عدم پذیرش گواهیهای صادر شده را نمیپذیرد. به علاوه، مرکز دولتی ریشه از هر گونه قصور در انجام تعهدات و عدم توجه منطقی طرفهای اعتماد کننده و مالکان گواهی رفع مسئولیت مینماید.
9-10 دوره و خاتمه9-10-1 دوره
مادامی که نسخه جدید این سند تصویب و منتشر نشده است، این سند معتبر میباشد.
9-10-2 خاتمه
به مجرد تصویب و انتشار نسخه جدید، اعتبار این سند، خاتمه مییابد.
9-10-3 اثرات خاتمه و ابقا
تعریف نشده است.
9-11 اعلانهای خاص و ارتباط بین موجودیتها
مراکز صدور گواهی و دفاتر ثبت نام میبایست با یکدیگر در ارتباط باشند. این ارتباط ممکن است از طریق ایمیل، فکس، صفحات وب یا هر طریق دیگری که در این سند یا دستورالعمل اجرایی پیش بینی میگردد، انجام شود. اطلاع رسانی یا اعلان خاص در این قسمت از آنچه در زمینۀ انتشار اطلاعات (طبع و نشر) از طریق مخزن در بخش 2-2گفته شد متفاوت میباشد.
مراکز صدور گواهی و دفاتر ثبت نام میبایست در زمینۀ اقداماتی که بر روابط آنها با یکدیگر تأثیرگذار است، اطلاع رسانی داشته باشند. به عبارت دیگر اگر دفتر ثبت نام بخواهد به قرارداد خود با مرکز میانی خاتمه دهد موظف است مرکز میانی مزبور را از این اقدام مطلع نماید. همچنین در مواردی که عملیات مرکز صدور گواهی به علت سازماندهی مجدد تشکیلات خاتمه مییابد یا قرارداد مرکز میانی با مرکز دولتی ریشه منقضی شده و فعالیت مرکز میانی خاتمه مییابد. قبل از خاتمه فعالیت مراکز صدور گواهی میبایست اطلاعات این مراکز بایگانی شود. 9-12 تغییرات9-12-1 فرایند تغییر
هر گونه تغییر در این سند میبایست پس از تصویب شورا به صورت عمومی در وب سایت مرکز منتشر شود.
9-12-2 دوره و مکانیزم اطلاعرسانی
کلیه تغییرات پس از تصویب در این سند میبایست حداکثر تا 5 روز کاری در وب سایت مرکز دولتی ریشه منتشر شود.
9-12-3 شرایطی که OID میبایست تغییر نماید
کاربردی ندارد.
9-13 فرایندهای حل اختلاف
در مواقع بروز اختلاف بین مرکز دولتی ریشه و مراکز میانی، ابتدا کمیته نظارتی شورا به اختلاف آنها رسیدگی مینماید و در صورت عدم حل اختلاف موضوع در شورا پیگیری میشود. هرگونه اختلاف بین مراکز میانی و مالکان گواهی میبایست از طریق هیئت حل اختلاف در مراکز میانی برطرف شود و چنانچه اختلافات حادث شده از این طریق حل نشود و به تشخیص مرکز دولتی ریشه قابلیت حل و فصل در این مرکز را هم نداشته باشد، با طرح دعوا در مراجع قضایی ذیصلاح دعوا فیصله مییابد.
9-14 قوانین حاکم
کلیه قوانین موضوعه جمهوری اسلامی ایران از آن جمله قانون تجارت الکترونیکی (مصوب 24/10/1382)، آییننامه اجرایی ماده 32 قانون تجارت الکترونیکی (مصوب در جلسه مورخ 11/6/1386 هیئت وزیران) و همچنین مصوبات شورای سیاستگذاری گواهی الکترونیکی کشور، حاکم بر کلیه فعالیتها و قراردادهای بین مراکز صدور گواهی با مالکان گواهی و طرفهای اعتماد کننده میباشد.
9-15 تطابق با قوانین اجرایی
این سند منطبق با قوانین اجرایی بخش 9-14میباشد.
9-16 ملاحظات متفرقه
تعریف نشده است.
9-16-1 توافقنامه کلی
تعریف نشده است.
9-16-2 تخصیص
تعریف نشده است.
9-16-3 عدم وابستگی
مرکز دولتی ریشه دارای شخصیت حقوقی مستقل میباشد که در چارچوب قوانین به استقلال عمل مینماید.
9-16-4 اجرای تعرفههای وکالت و فسخ مالکیت
تعریف نشده است.
9-16-5 فورسماژور
موارد فورسماژور همان است که در قوانین عام جمهوری اسلامی ایران تدوین شده است. مراکز میانی در صورت تمایل و تا حدی که در قوانین تدوین شده مجاز است، میتوانند گستره شمول موارد فورسماژور را بسط دهند.
9-17 سایر قیود
تعریف نشده است.
[1] Public Key Infrastructure
[2] Public Key Cryptography
[3] Hierarchical Model
[4] Trust Point
[5] Confidentially
[6] Integrity
[7] Non Repudiation
[8] Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework
[9] Assurance Level
[10] Bronze
[11] Silver
[12] Gold
[13] Platinum
[14] Object Identifier
[15] Certificate Authorities (CA)
[16] Re-Key
[17] Registration Authorities (RA)
[18] Subscriber
[19] SubjectName
[20] Firewall
[21] Trusted Server
[22] Relying Parties
[23] Certificate Practice Statement (CPS)
[24] Hardware Security Module (HSM)
[25] Certificate Usage
[26] Client Authentication
[27] Two Factor Authentication
[28] Self Signed Certificate
[29] Online Certificate Status Protocol
[30] OCSP Responder
[31] Time Stamping Authority
[32] Policy Administration
[33] روال ارائه دستورالعمل اجرایی گواهی الکترونیکی مراکز میانی و اسناد مرتبط دیگر در مستند "راهنمای درخواست تاسیس مراکز میانی" بطور کامل تشریح شده است و از طریق وب سایت مرکز دولتی ریشه، قابل دریافت میباشد.
[34] Public Key Cryptography
[35] Rivest
[36] Shamir
[37] Adleman
[38] Public Key Cryptography
[39] Real Time
[40] Subject Name
[41] Issuer Name
[42] Distinguished Name (DN)
[43] اشخاص وابسته به یک سازمان (Affiliated Individuals)
[44] اشخاص حقیقی مستقل (Non-Affiliated Individuals)
[45] فرآیند شناسایی بایومتریک بکارگرفته شده توسط مراکز صدور گواهی میبایست در دستورالعمل اجرایی گواهی الکترونیکی این مراکز تشریح گردد و مورد تأیید مرکز دولتی ریشه قرار گیرد.
[46] Re-Key
[47] Extension
[48] PK-Enabled
[49] Name Chaning
[50] Signature Chaning
[51] Certificate Renewal
[52] Certificate Re-Key
[53] Certficate Modification
[54] Cache
[55] CRL Distribution Point
[56] OCSP Responder
[57] OCSP Request
[58] OCSP Response
[59] X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP
[60] Key escrow and recovery
[61] شامل درخواست صدور، ابطال، تمدید گواهی و تجدید کلید
[62] Time Stamp
[63] Cessation of Service
[64] در حال حاضر استاندارد ملی ملزومات امنیتی ماژولهای رمزنگاری در حال تدوین است که پس از تصویب آن، استاندارد مذکور جایگزین استاندارد FIPS 140-2 خواهد شد.
[65] Key Usage
[66] Security Requirements
[67] Functionality Requirements
[68] Performance Requirements
[69] بصورت داخلی و توسط تراشه
[70] Key Escrow
[71] Zeroize
[72] Profile
[73] Internet X.509 Public Key Infrastructure Certificate and CRL Profile, April 2002
[74] Certificate Extensions
[75] Hash Function
[76] Reply Attacks
[77] freshness
دریافت فایل pdf سیاست های گواهی الکترونیکی کشور |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
تاریخ ابلاغ : 1391/4/27 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
مصوبه : شورای سیاستگذاری گواهی الکترونیکی کشور | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
فایل PDF :
![]() |
موضوعات مرتبط |