COMISSÃO EUROPEIA
DIRECÇÃO-GERAL
PESSOAL E ADMINISTRAÇÃO
Direcção SPS - Serviço Protocolo e Segurança
Segurança Informática
Comissão Europeia
DECLARAÇÃO DE PRÁTICAS DE
CERTIFICAÇÃO
(Versão 1.0 de 25/02/2002)
Bâtiment Jean Monnet, Rue Alcide de Gasperi, L-2920 Luxembourg. Telefone: (352)43011.
Rue de la Loi 200, B-1049 Bruxelles / Wetstraat 200, B-1049 Brussel - Bélgica. Telefone: (32-2)299 11 11.
Índice
(Versão 1.0 de 25/02/2002) ......................................................................................... 1
1.
INTRODUÇÃO........................................................................................................... 8
1.1. Perspectiva geral................................................................................................ 8
1.2. Identificação ...................................................................................................... 9
1.3. Comunidade de utilizadores e aplicabilidade.................................................. 10
1.3.1.
Autoridade de Certificação (CA)....................................................... 10
1.3.2.
Autoridades de Registo (RA) ............................................................ 11
1.3.3.
Repositórios....................................................................................... 12
1.3.4.
Assinantes.......................................................................................... 12
1.3.5.
Terceiros de confiança....................................................................... 12
1.3.6.
Aplicabilidade.................................................................................... 13
1.4. Informações para contacto............................................................................... 13
2.
DISPOSIÇÕES GERAIS .......................................................................................... 13
2.1. Obrigações....................................................................................................... 13
2.1.1.
Obrigações da CA.............................................................................. 13
2.1.2.
Obrigações da RA e da LRA ............................................................. 15
2.1.3.
Obrigações do assinante .................................................................... 16
2.1.4.
Obrigações dos terceiros de confiança .............................................. 17
2.1.5.
Obrigações do repositório ................................................................. 18
2.2. Responsabilidade civil [a rever pelo Serviço Jurídico] ................................... 18
2.2.1.
Garantias e seus limites ..................................................................... 18
2.2.2.
Cláusulas de exoneração de responsabilidade e limites de
responsabilidade ................................................................................ 18
2.2.3.
Outros termos e condições................................................................. 19
2.3. Responsabilidade financeira............................................................................ 19
2.3.1.
Indemnização pelos terceiros de confiança ....................................... 19
2.3.2.
Relações fiduciárias........................................................................... 19
2.4. Interpretação e aplicação ................................................................................. 20
2.4.1.
Direito aplicável ................................................................................ 20
2.4.2.
Divisibilidade, sobrevivência, fusão, notificação.............................. 20
2.4.3.
Procedimentos de resolução de litígios ............................................. 20
2.5. Tarifas.............................................................................................................. 20
2.6. Publicação e repositório .................................................................................. 20
2.6.1.
Publicação de informações da CA..................................................... 20
2
2.6.2.
Frequência de publicação .................................................................. 21
2.6.3.
Controlo do acesso ............................................................................ 21
2.6.4.
Repositórios....................................................................................... 21
2.7. Auditoria de conformidade [a implementar] [a rever quando for
implementada] ................................................................................................. 22
2.7.1.
Frequência da auditoria de conformidade ......................................... 22
2.7.2.
Identidade e qualificações do auditor da CA..................................... 22
2.7.3.
Relação entre o auditor e a CA submetida a auditoria ...................... 22
2.7.4.
Aspectos abrangidos pela auditoria ................................................... 22
2.7.5.
Medidas adoptadas na sequência de uma auditoria........................... 23
2.7.6.
Comunicação de resultados ............................................................... 23
2.8. Política de confidencialidade........................................................................... 24
2.8.1.
Tipos de informações que não devem ser divulgadas ....................... 24
2.8.2.
Tipos de informação que se considera pública.................................. 25
2.8.3.
Divulgação de informação sobre revogação de certificados ............. 25
2.8.4.
Divulgação a funcionários responsáveis pela aplicação da lei.......... 25
2.8.5.
Outras circunstâncias de divulgação de informações........................ 25
2.9. Direitos de Propriedade Intelectual ................................................................. 25
3.
IDENTIFICAÇÃO E AUTENTICAÇÃO ................................................................ 26
3.1. Registo inicial.................................................................................................. 26
3.1.1.
Tipos de nomes.................................................................................. 26
3.1.2.
Necessidade de nomes significativos ................................................ 26
3.1.3.
Regras para a interpretação de vários tipos de nomes....................... 26
3.1.4.
Unicidade de nomes .......................................................................... 26
3.1.5.
Procedimento para resolução de litígios sobre nomes....................... 26
3.1.6.
Reconhecimento, autenticação e funções das marcas ....................... 27
3.1.7.
Método de comprovação da posse de chave privada......................... 27
3.1.8.
Autenticação da identidade de uma organização .............................. 27
3.1.9.
Autenticação da identidade de um indivíduo .................................... 28
3.1.10. Autenticação da pertença de um assinante à organização................. 28
3.1.11. Autenticação da identidade do assinante........................................... 28
3.1.12. Autenticação de dispositivos ou aplicações ...................................... 28
3.2. Criação rotineira de novo par de chaves ......................................................... 28
3.3. Criação de novo par de chaves após revogação .............................................. 29
3.4. Pedido de revogação........................................................................................ 29
4.
REQUISITOS OPERACIONAIS ............................................................................. 29
3
4.1. Pedido de certificado ....................................................................................... 29
4.2. Emissão do certificado .................................................................................... 29
4.3. Aceitação do certificado .................................................................................. 32
4.4. Suspensão e revogação de certificados ........................................................... 32
4.4.1.
Circunstâncias de revogação ............................................................. 32
4.4.2.
Quem pode solicitar a revogação ...................................................... 32
4.4.3.
Procedimento para pedido de revogação [A implementar] [A
rever quando implementado]............................................................. 33
4.4.4.
Prazo para pedido de revogação ........................................................ 34
4.4.5.
Circunstâncias para suspensão .......................................................... 34
4.4.6.
Quem pode pedir a suspensão ........................................................... 34
4.4.7.
Procedimento para pedido de suspensão ........................................... 34
4.4.8.
Limites ao período de suspensão....................................................... 34
4.4.9.
Frequência de emissão de CRL ......................................................... 34
4.4.10. Requisitos para verificação de CRL .................................................. 34
4.4.11. Disponibilidade de revogação/verificação de estatuto em
linha ................................................................................................... 34
4.4.12. Requisitos para verificação de revogação em linha .......................... 34
4.4.13. Outras formas disponíveis para divulgação de revogação ................ 34
4.4.14. Requisitos para verificação de outras formas de divulgação de
revogação........................................................................................... 35
4.4.15. Requisitos especiais em caso de comprometimento da chave........... 35
4.5. Procedimentos de auditoria de segurança [A implementar] [A rever
quando implementados]................................................................................... 35
4.5.1.
Tipos de eventos registados............................................................... 35
4.5.2.
Frequência da auditoria de registos ................................................... 36
4.5.3.
Período de retenção para os registos de auditoria ............................. 36
4.5.4.
Protecção do registo de auditoria ...................................................... 36
4.5.5.
Procedimentos para cópia de segurança do registo de
auditoria............................................................................................. 36
4.5.6.
Sistema de recolha de dados de auditoria.......................................... 37
4.5.7.
Notificação do agente causador do evento ........................................ 37
4.5.8.
Avaliações de vulnerabilidade........................................................... 37
4.6. Arquivamento de registos [A implementar] [A rever quando
implementado]................................................................................................. 37
4.6.1.
Tipos de dados arquivados ................................................................ 37
4.6.2.
Período de retenção para arquivo ...................................................... 38
4.6.3.
Protecção do arquivo ......................................................................... 38
4
4.6.4.
Procedimentos para cópia de segurança do arquivo.......................... 38
4.6.5.
Sistema de recolha de dados de arquivo............................................ 38
4.6.6.
Procedimentos para obter e verificar informações de arquivo .......... 39
4.7. Troca de chave................................................................................................. 39
4.8. Comprometimento e recuperação em caso de catástrofe [A
implementar] [A rever quando implementado] ............................................... 39
4.8.1.
Recursos informáticos, software e/ou dados corrompidos ................ 39
4.8.2.
Recuperação de chave de uma entidade ............................................ 39
4.8.3.
Recuperação em caso de catástrofe ................................................... 42
4.9. Extinção da CA................................................................................................ 42
5.
CONTROLOS DE SEGURANÇA FÍSICA, DOS PROCEDIMENTOS E
DO PESSOAL ........................................................................................................... 43
5.1. Controlos de segurança física.......................................................................... 43
5.1.1.
Localização e construção das instalações.......................................... 43
5.1.2.
Acesso físico...................................................................................... 43
5.1.3.
Energia e ar condicionado ................................................................. 43
5.1.4.
Exposição à água ............................................................................... 43
5.1.5.
Prevenção e protecção contra incêndio ............................................. 43
5.1.6.
Armazenamento de suportes.............................................................. 43
5.1.7.
Eliminação de resíduos...................................................................... 44
5.1.8.
Instalações externas para cópias de segurança [Não aplicável] ........ 44
5.2. Controlos de procedimentos ............................................................................ 44
5.2.1.
Perfis qualificados ............................................................................. 44
5.2.2.
Número de pessoas necessário por tarefa.......................................... 46
5.2.3.
Identificação e autenticação para cada perfil .................................... 46
5.3. Controlos de segurança do pessoal.................................................................. 46
6.
5.3.1.
Requisitos de antecedentes, qualificações, experiência e
credenciamento.................................................................................. 46
5.3.2.
Procedimentos de verificação de antecedentes ................................. 46
5.3.3.
Requisitos de formação ..................................................................... 46
5.3.4.
Frequência e requisitos de reciclagem............................................... 47
5.3.5.
Rotação de postos de trabalho ........................................................... 47
5.3.6.
Sanções para acções não autorizadas ................................................ 47
5.3.7.
Contratação de pessoal ...................................................................... 47
5.3.8.
Documentação fornecida ao pessoal ................................................. 47
CONTROLOS TÉCNICOS DE SEGURANÇA....................................................... 48
6.1. Geração e instalação do par de chaves ............................................................ 48
5
6.1.1.
Geração do par de chaves .................................................................. 48
6.1.2.
Entrega da chave privada à entidade titular....................................... 48
6.1.3.
Entrega da chave pública ao emissor do certificado ......................... 48
6.1.4.
Entrega da chave pública CA aos utilizadores .................................. 48
6.1.5.
Tamanhos de chaves assimétricos ..................................................... 48
6.1.6.
Geração de parâmetros de chaves públicas ....................................... 48
6.1.7.
Verificação da qualidade dos parâmetros.......................................... 48
6.1.8.
Geração de chave por hardware/software.......................................... 48
6.1.9.
Fins a que se destinam as chaves (de acordo com o campo
X.509v3)............................................................................................ 49
6.2. Protecção da chave privada ............................................................................. 49
6.2.1.
Normas para o módulo criptográfico................................................. 49
6.2.2.
Controlo multi-pessoal para a chave privada .................................... 49
6.2.3.
Recuperação de chave privada .......................................................... 49
6.2.4.
Cópia de segurança de chave privada................................................ 49
6.2.5.
Arquivamento de chave privada........................................................ 49
6.2.6.
Introdução da chave privada no módulo criptográfico...................... 50
6.2.7.
Método de activação da chave privada.............................................. 50
6.2.8.
Método de desactivação da chave privada ........................................ 50
6.2.9.
Método de destruição da chave privada ............................................ 50
6.3. Outros aspectos da gestão do par de chaves.................................................... 50
6.3.1.
Arquivamento da chave pública ........................................................ 50
6.3.2.
Períodos de utilização das chaves pública e privada......................... 50
6.4. Dados de activação .......................................................................................... 50
6.4.1.
Geração e instalação dos dados de activação .................................... 50
6.4.2.
Protecção dos dados de activação ..................................................... 51
6.4.3.
Outros aspectos respeitantes aos dados de activação ........................ 51
6.5. Controlos de segurança informática ................................................................ 51
6.5.1.
Requisitos técnicos específicos de segurança informática ................ 51
6.5.2.
Classificação da segurança informática............................................. 52
6.6. Controlos de segurança do ciclo de vida ......................................................... 52
6.6.1.
Controlos de desenvolvimento do sistema ........................................ 52
6.6.2.
Controlos de gestão de segurança ..................................................... 52
6.7. Controlos de segurança da rede....................................................................... 52
6.8. Controlos de engenharia do módulo criptográfico .......................................... 52
7.
PERFIS DO CERTIFICADO E DA CRL................................................................. 53
6
7.1. Perfil do certificado ......................................................................................... 53
7.1.1.
Número de versão.............................................................................. 53
7.1.2.
Extensão de certificados .................................................................... 53
7.1.3.
Identificadores de algoritmos e objectos ........................................... 53
7.1.4.
Formatos de nome ............................................................................. 54
7.1.5.
Restrições de nome............................................................................ 54
7.1.6.
Identificador de objectos da política de certificação ......................... 54
7.1.7.
Uso da extensão de restrições de políticas ........................................ 54
7.1.8.
Sintaxe e semântica dos qualificadores de políticas.......................... 54
7.1.9.
Semântica de processamento para a política relativa a
certificados sensíveis ......................................................................... 54
7.2. Perfil de CRL [A rever quando implementado] .............................................. 54
8.
7.2.1.
Número de versão.............................................................................. 54
7.2.2.
Extensões de CRL e das suas entradas .............................................. 55
ADMINISTRAÇÃO DE ESPECIFICAÇÕES.......................................................... 56
8.1. Procedimentos para mudança de especificações ............................................. 56
8.1.1.
Elementos que podem ser alterados sem notificação ........................ 56
8.1.2.
Alterações com notificação ............................................................... 56
8.2. Políticas de publicação e notificação............................................................... 58
8.3. Procedimentos de aprovação da CPS .............................................................. 58
9.
ANEXOS................................................................................................................... 58
9.1. Acrónimos ....................................................................................................... 58
9.2. Definições........................................................................................................ 58
9.3. Documentos de referência ............................................................................... 61
7
1.
INTRODUÇÃO
As linhas gerais deste documento baseiam-se no RFC 2527 que contém uma análise
abrangente desta matéria.
O quadro apresentado a partir do documento RFC 2527 inclui uma lista geral de
temas que devem ser abrangidos numa declaração de práticas de certificação.
Significado das seguintes convenções:
• Letra normal: implementado e operacional,
• Itálico: ainda não implementado, aguarda desenvolvimento futuro,
• Texto entre parênteses rectos: aguarda discussão.
A Comissão Europeia está a implementar uma Infra-Estrutura de Chave Pública
(PKI) destinada a dar segurança à sua informação electrónica. Esta PKI é composta
por sistemas, produtos e serviços que fornecem e gerem certificados X.509 para a
criptografia de chave pública.
O presente documento pretende descrever as práticas de certificação implementadas
pela Autoridade de Certificação (CA) da Comissão Europeia - denominada
CommisSign - para garantir a fiabilidade da CA na emissão de certificados de
chaves públicas para os assinantes. Este documento foi elaborado para cumprir os
requisitos da Política de Certificação (CP) para a Infra-Estrutura de Chave Pública
(PKI) europeia. A relação entre a CP para a PKI da Comissão Europeia e o presente
documento é que a CP comunica as políticas da CA CommisSign e o presente
documento apresenta os dados de implementação da CP.
Os utilizadores deste documento devem consultar a Política de Certificação (CP)
para a Infra-Estrutura de Chave Pública (PKI) da Comissão Europeia, a fim de
obterem informações relativamente às políticas subjacentes para a Declaração de
Práticas de Certificação (CPS) da CA CommisSign.
1.1.
Perspectiva geral
Esta especificação relativa à declaração de práticas segue e cumpre a
Infra-Estrutura de Chave Pública X.509 da Internet Engineering Task Force
(IETF PKIX), Política de Certificação - Parte 4 e a Estrutura de Declaração
de Práticas de Certificação.
O presente documento destina-se a ser utilizado pela Comissão Europeia e
por outras entidades que necessitem de avaliar a fiabilidade da CA
CommisSign e determinar a adequação dos seus certificados em termos de
cumprimento dos seus requisitos de segurança da informação electrónica.
As práticas a que se refere o presente documento suportam um nível de
segurança médio, a menos que se especifique algo em contrário. À medida
que a Comissão Europeia acrescentar outros níveis de segurança, este
documento será modificado para descrever as práticas relativas a esses
níveis.
8
A Declaração de Práticas de Certificação (CPS) da CA CommisSign
descreve a criação, a gestão e a utilização dos certificados de chaves
públicas X.509 versão 3 nas aplicações que exigem comunicação entre
sistemas informáticos ligados em rede e aplicações que requerem a
integridade e a confidencialidade da informação electrónica. Entre essas
aplicações contam-se o correio electrónico, a transmissão de informações,
inclusive informações restritas da UE e a assinatura digital de formulários
electrónicos. Note-se que a expressão "certificados X.509", na acepção deste
documento, se refere aos certificados X.509 versão 3. Note-se ainda que a
expressão "software de cliente PKI" ou "software PKI" se refere ao software
que dá acesso às funções PKI no domínio da CA CommisSign.
A emissão de um certificado de chave pública, no contexto da presente CPS
• não deve ser usada para a protecção de informação confidencial da UE,
informação secreta da UE ou informação muito secreta da UE,
• não implica que o assinante tenha qualquer autoridade para efectuar
transacções comerciais em nome da Comissão Europeia.
A autoridade responsável pela política de PKI da Comissão Europeia avalia
esta CPS. A autoridade responsável pelas políticas (PA) aprova todas as CPS
da CA dentro da PKI da Comissão Europeia.
No que diz respeito à aplicabilidade, construção, interpretação e validade
desta Declaração de Práticas de Certificação e à respectiva Política de
Certificação, a CA CommisSign reger-se-á pelos regulamentos da Comissão
Europeia.
A autoridade responsável pelas políticas da Comissão Europeia é
responsável pela administração global da PKI da Comissão Europeia. A PA
é responsável pela definição das políticas ao abrigo das quais a PKI da
Comissão Europeia funciona. A PA deve, entre outras funções, garantir o
funcionamento da CA CommisSign de acordo com as políticas e práticas
definidas nos documentos pertinentes relativos à certificação e aos
certificados e aprovar e administrar certificações cruzadas. A PA é
empossada pelo colégio da Comissão Europeia.
A Autoridade de Certificação (CA) da Comissão Europeia é responsável
pela criação e gestão dos certificados de chave pública X.509 versão 3, que
são utilizados pela Comissão Europeia e de acordo com a CP da Comissão
Europeia e com a presente CPS.
A Comissão Europeia recorre à Autoridade de Registo Central (RA) e à
Autoridade de Registo Local (LRA) para recolher informações, verificar
identidades e dar autorizações, assim como para solicitar acções de gestão de
certificados em nome da sua população de utilizadores.
1.2.
Identificação
O presente documento é a Declaração de Práticas de Certificação (CPS) da
Autoridade de Certificação da Comissão Europeia. As práticas aqui
9
mencionadas estão em conformidade com a Política de Segurança para a
Infra-Estrutura de Chave Pública (PKI) da Comissão Europeia.
1.3.
Comunidade de utilizadores e aplicabilidade
Esta CPS foi criada para satisfazer as necessidades gerais de certificados de
chave pública da Comissão Europeia.
A CA CommisSign é uma Autoridade de Certificação da PKI da Comissão
Europeia.
1.3.1. Autoridade de Certificação (CA)
A CA CommisSign destina-se a ser usada no seio da Comissão Europeia e,
potencialmente, com organismos ou indivíduos externos, mas que trocam
correio electrónico com a Comissão Europeia.
A CA CommisSign emite, assina e administra certificados de chave pública.
A CA emite certificados de utilizador para todo o pessoal da Comissão,
excluindo outras pessoas, a quem os certificados serão concedidos consoante
for necessário.
A CA CommisSign é composta por pessoas responsáveis pelo
funcionamento geral da CA e por pessoas que fazem a operação e a
manutenção do servidor da CA e do seu software. A Autoridade Operativa
(OA) da CA é responsável pela elaboração e administração da Declaração de
Práticas da CA e pela gestão da chave de segurança (Master). A OA é
responsável pela revisão das operações das RA no seu domínio CA. A OA é
responsável perante a PA no que diz respeito ao funcionamento da CA.
Os funcionários da CA são responsáveis pelo funcionamento e
administração do servidor da CA e do seu software.
A CA CommisSign é responsável:
• pela criação e assinatura de certificados X.509 que vinculam os
assinantes pertencentes ao pessoal da Comissão com as suas chaves
públicas;
• pela distribuição de certificados X.509 através de listas;
• pela promulgação do estatuto de certificação através de CRL; [não se
encontra operacional]
• pela operação da CA de acordo com a presente CPS;
• pela aprovação e atribuição de indivíduos para o desempenho de funções
de funcionário PKI;
• pela revisão e auditoria das operações da RA e da LRA dentro do seu
domínio;
10
• pela resolução de litígios entre os utilizadores finais e a CA, a RA ou a
LRA;
• pelo pedido de revogação de certificados dos funcionários PKI ou das
RA.
Quando necessário, a presente CPS distingue os diferentes utilizadores e
funções que têm acesso às funções da CA. Quando essa distinção não for
necessária, a expressão CA será usada para designar a entidade CA total,
incluindo o software e as suas operações.
(* Nota: uma certificação cruzada estará de acordo com a presente CPS e
com quaisquer outros requisitos determinados pela autoridade responsável
pela política (PA) da Comissão Europeia. Qualquer certificação cruzada
entre os utilizadores da Comissão e outras CA será feita de acordo com as
instruções da PA da Comissão. Qualquer acordo feito com outras CA será
documentado, devendo as declarações de exoneração aplicáveis estar ao
dispor dos utilizadores da Comissão.)
1.3.2. Autoridades de Registo (RA)
Uma Autoridade de Registo (RA) é uma entidade responsável pela
administração da Entidade Final, em nome da CA da Comissão. Há uma
Autoridade Central de Registo (RA) e várias Autoridades Locais de Registo
(LRA).
As abreviaturas RA/LRA são usadas para designar um indivíduo na
Comissão Europeia com privilégios de RA/LRA, que desempenha as
funções de RA/LRA.
A RA é responsável:
• pela identificação e autenticação da identidade administrativa dos
requerentes de certificados;
• pela criação e alteração do SubjectName do utilizador no certificado;
• pela visualização dos registos de auditoria e pela comunicação de eventos
suspeitos à Autoridade Operativa da CA;
• pela criação de vários relatórios sobre o estatuto do utilizador.
A LRA é responsável:
• pela identificação e autenticação da identidade física dos requerentes de
certificados;
• pela verificação da autenticidade do pedido de certificado;
• pela verificação do SubjectName do utilizador;
• pela recepção e distribuição de informações sobre autorizações dos
assinantes;
11
• pelas funções de certificação e gestão para a sua população de entidades
finais (ou seja, habilitar os utilizadores, cancelar/suspender certificados
de utilizadores),
• pela actualização de certificados, [revogação de certificados e] gestão da
recuperação de chaves para as entidades finais.
1.3.3. Repositórios
A CA CommisSign utiliza a lista da Comissão Europeia para publicar e
distribuir certificados, Listas de Certificados Revogados (CRL) [e Listas de
Autoridades Revogadas (ARL)]. A Direcção Informática gere a lista da
Comissão Europeia. A lista está disponível 24 horas por dia, com apoio
operacional disponível 12 horas por dia e 5 dias por semana.
1.3.4. Assinantes
Os assinantes usam chaves privadas [emitidas e/ou] certificadas pela CA
CommisSign para os pedidos aprovados. Os assinantes fazem parte do
pessoal da Comissão.
Poderá ser emitido um certificado para uma caixa de correio funcional.
Nesse caso, a pessoa responsável por essa entidade final não humana deve
requerer e manter um certificado para essa entidade. Essa pessoa pode
delegar os seus direitos numa segunda pessoa (suplente).
Além disso, os assinantes podem usar certificados emitidos pela CA
CommisSign para encriptar informações de outros assinantes (dentro do
domínio CA CommisSign e de domínios de certificação cruzada) e verificar
as suas assinaturas digitais. Nesta qualidade, os assinantes são igualmente
terceiros de confiança.
Na presente CPS, a expressão "entidade final" é usada para designar os
utilizadores em geral, incluindo as suas funções como assinantes e terceiros
de confiança. Nos casos em que a CPS exige a separação dessas funções, o
termo "assinante" é usado para designar uma entidade final enquanto objecto
de certificação, ao passo que a expressão "terceiro de confiança" é usada
para designar uma entidade final que verifica os certificados emitidos pela
CA CommisSign.
1.3.5. Terceiros de confiança
Um terceiro de confiança pode ser um titular de certificado da CA
CommisSign ou um assinante de uma CA externa que tenha [assinado um
acordo de certificação cruzada com] confiado na CA CommisSign. Os
direitos e obrigações de um terceiro de confiança que seja objecto de
certificação da CA CommisSign estão cobertos nesta CPS. [Os direitos e
obrigações de um terceiro de confiança pertencente a uma CA externa estão
cobertos pelo acordo de certificação cruzada entre os dois detentores das
CA].
12
1.3.6. Aplicabilidade
As práticas descritas na presente CPS aplicam-se à CA CommisSign e aos
seus administradores, às RA da Comissão Europeia e aos respectivos
administradores, ao repositório usado pela CA CommisSign, às entidades
finais certificadas pela CA CommisSign e aos terceiros de confiança.
As práticas desta CPS são adequadas para a utilização dos certificados,
como, por exemplo, a autenticação electrónica, a autorização e a integridade
de dados para a informação da Comissão Europeia, até aos sistemas de
informação essencial inclusive (cf. Política de Segurança TIC).
As práticas da presente CPS são adequadas para a utilização dos
certificados, como, por exemplo, a confidencialidade para a informação da
Comissão Europeia até à informação restrita da UE inclusive (cf. Política de
Segurança TIC).
As aplicações proibidas serão as que forem identificadas pela PA da
Comissão Europeia. De um modo geral, as aplicações para as quais está
proibida a emissão de certificados são:
• aplicações que utilizem ou contenham informação confidencial da UE,
informação secreta da UE e informação muito secreta da UE,
• aplicações sem pertinência para o trabalho da Comissão.
1.4.
Informações para contacto
O Serviço Protocolo e Segurança da Comissão Europeia administra esta
declaração de práticas de certificação.
A pessoa de contacto é:
Gérard BREMAUD
CommisSign CA Operations Authority
Serviço Protocolo e Segurança
Edifício Jean-Monnet B2/072
L-2920 LUXEMBOURG
2.
DISPOSIÇÕES GERAIS
2.1.
Obrigações
2.1.1. Obrigações da CA
A CA CommisSign cumprirá as disposições da política de segurança TIC,
todas as disposições da presente CPS e os regulamentos europeus e
nacionais pertinentes.
13
A CA CommisSign é obrigada a:
• elaborar, manter e publicar uma Declaração de Práticas de Certificação;
• prestar serviços de CA, de acordo com as práticas descritas na presente
CPS;
• prestar serviços de servidor CA 7 dias por semana, 24 horas por dia, com
a disposição de que não se trata de uma garantia de 100% de
disponibilidade (a disponibilidade poderá ser afectada pela manutenção e
reparação do sistema ou por factores fora do controlo da CA);
• emitir certificados para o pessoal da Comissão Europeia [e de outras CA],
de acordo com as práticas referenciadas nesta CPS e com a política de
certificados X.509 para a PKI da Comissão Europeia;
• revogar certificados mediante recepção de um pedido válido para o fazer,
de acordo com as práticas desta CPS e com a política de certificados
X.509 para a PKI da Comissão Europeia;
• prestar serviços para a recuperação de chaves de encriptação, de acordo
com as práticas desta CPS e com a política de certificados X.509 para a
PKI da Comissão Europeia;
• emitir e publicar regularmente CRL [e ARL] de acordo com a presente
CPS e com a política de certificados X.509 para a PKI da Comissão
Europeia;
• notificar terceiros (por exemplo, os elementos de confiança) da
emissão/revogação de certificados, dando acesso aos certificados, às CRL
[e às ARL] do repositório da CA CommisSign;
• garantir a sensibilização e a adesão a esta CPS dentro das comunidades de
assinantes da CA CommisSign e da RA, através da publicação da CPS e
da política de certificação X.509 para a PKI da Comissão Europeia e da
auditoria das RA no domínio da CA CommisSign;
• garantir, em concertação com a PA da Comissão Europeia, medidas
correctivas para as deficiências da CA ou da RA que sejam identificadas
por uma auditoria;
• comunicar a situação das medidas correctivas à PA.
Logo que é criado, o certificado de um utilizador é publicado na lista da
Comissão Europeia. Quando o certificado de um assinante é revogado, o
facto é comunicado por escrito na lista de certificados revogados e publicado
na lista da Comissão Europeia.
Ao publicar um certificado na lista da Comissão Europeia, a CA
CommisSign certifica que emitiu um certificado para o referido assinante;
que a informação contida no certificado foi verificada de acordo com a
presente CPS; e que o assinante aceitou o certificado.
14
A CA CommisSign procede à notificação dos direitos e obrigações de um
assinante e de um terceiro de confiança ao abrigo da presente CPS e da
Política de Certificação X.509 para a PKI da Comissão Europeia.
A CA CommisSign protege as suas chaves privadas de acordo com as
disposições do n.º 6 da presente CPS.
[A CA CommisSign protege as chaves privadas que mantém ou armazena de
acordo com as disposições dos n.ºs 4 e 6 da presente CPS].
A chave de assinatura da CA CommisSign é usada para assinar certificados
e CRL.
[A CA CommisSign só pode emitir e assinar certificados cruzados com
outras CA se tal for expressamente autorizado pela PA da Comissão
Europeia].
2.1.2. Obrigações da RA e da LRA
A RA e as LRA da Comissão Europeia do domínio CA CommisSign são
obrigadas a cumprir o que está estipulado na presente CPS e na Política de
Certificação X.509 para a PKI da Comissão Europeia.
A RA é obrigada a:
• prestar serviços de RA às respectivas LRA. O horário de funcionamento
da RA é o horário normal de funcionamento da Comissão;
• assegurar que os serviços de RA estão de acordo com as disposições
relativas às práticas pertinentes contidas neste documento e na Política de
Certificação X.509 para a PKI da Comissão Europeia;
• responsabilizar-se pelas transacções efectuadas em nome da CA;
• chamar a atenção dos seus assinantes para todas as informações
pertinentes respeitantes aos direitos e obrigações da CA, da RA e do
assinante contidas nesta CPS, no Acordo de Assinante e em qualquer
outro documento pertinente que estabeleça as condições de utilização.
Quando a RA abre uma sessão no servidor da CA para processar um pedido
de certificado, a RA está a certificar que autenticou a identidade desse
assinante, de acordo com as práticas descritas nos n.ºs 3 e 4 da presente CPS.
As LRA são obrigadas a:
• verificar o rigor e a autenticidade da informação facultada pelos
assinantes para a obtenção de um certificado (as LRA ocupam-se dessa
verificação, em nome da CA CommisSign),
• [solicitar a revogação dos certificados de um assinante, de acordo com as
disposições do presente documento],
15
• assegurar os serviços de LRA de acordo com as disposições respeitantes
às práticas pertinentes contidas neste documento e na Política de
Certificação X.509 para a PKI da Comissão Europeia,
• responsabilizar-se pelas transacções efectuadas em nome da CA,
• responsabilizar-se pelo processamento de pedidos de emissão [e
revogação] de certificados,
• notificar o assinante quando o pedido tiver sido aprovado e se for
necessária alguma intervenção posterior do assinante.
Cada RA e LRA deverá garantir que as suas chaves privadas são protegidas
de acordo com as formas de controlo descritas no n.º 6 da presente CPS.
O uso das respectivas chaves privadas pela RA e pelas LRA está restringido
à actividade da Comissão Europeia e apenas para fins autorizados pela
Política de Certificação X.509 para a PKI da Comissão Europeia e em
conformidade com a presente CPS.
2.1.3. Obrigações do assinante
No domínio CA CommisSign, as entidades finais são, simultaneamente,
assinantes e terceiros de confiança. Na qualidade de assinantes, são
obrigadas a:
• garantir constantemente a veracidade das informações fornecidas à CA
CommisSign e à RA nos seus certificados e de outras informações de
identificação e autenticação,
• usar os certificados exclusivamente para actividades jurídicas e
autorizadas da Comissão Europeia, que estejam de acordo com a política
de certificação aplicável e com a presente CPS,
• proteger as chaves privadas, armazenando-as em disco rígido, [num
cartão inteligente] ou numa disquete, dependendo da prática da DG,
• retirar o suporte de chaves privadas do computador, quando não
estiverem a ser usadas, caso as chaves privadas estejam armazenadas em
disquete [ou num cartão inteligente],
• manter o suporte de chaves privadas consigo ou armazená-lo num
recipiente seguro e fechado, caso as chaves privadas estejam armazenadas
em disquete [ou num cartão inteligente],
• proteger a sua senha de assinante, de acordo com as regras de segurança
TIC,
• informar a sua RA local, no prazo de 48 horas após qualquer alteração a
informações incluídas no seu certificado ou pedido de certificado,
• informar a sua RA local, no prazo de 8 horas, caso suspeite de
comprometimento de uma/ambas as suas chaves privadas,
16
• tomar medidas razoáveis para evitar a perda, divulgação, modificação ou
utilização não autorizada das suas chaves privadas.
Ao declararem concordar com as práticas descritas na presente CPS, os
assinantes cumprem as obrigações que lhes são impostas pelas políticas ao
abrigo das quais os seus certificados são emitidos.
[Ao assinarem um pedido de certificado (ou seja, emissão, revogação,
recuperação), um assinante certifica, perante a CA CommisSign e a RA, que
todas as informações que lhes foram comunicadas estão completas e são
exactas.]
O uso das chaves privadas pelos assinantes está restringido à actividade da
Comissão Europeia e apenas para os fins autorizados pela Política de
Segurança para a PKI da Comissão Europeia e em conformidade com a
presente CPS.
2.1.4. Obrigações dos terceiros de confiança
No domínio CA CommisSign, as entidades finais são, simultaneamente,
assinantes e terceiros de confiança. Enquanto terceiros de confiança, são
obrigadas a:
• restringir a confiança nos certificados emitidos pela CA CommisSign às
utilizações apropriadas para esses certificados, de acordo com a Política
de Certificação X.509 para a PKI da Comissão Europeia e em
conformidade com a presente CPS;
• verificar os certificados, incluindo a utilização de CRL [e ARL], [tendo
em conta quaisquer extensões importantes]. [(A verificação dos
certificados está de acordo com o procedimento de validação das vias de
certificação especificado na Recomendação X.509 da ITU-T, Information
Technology – Open Systems Interconnection – The Directory:
Authentication Framework ISO/IEC 9594-8 (1997)).];
• só confiar nos certificados e só usá-los se for criada uma cadeia de
certificação válida entre o terceiro de confiança e o titular do certificado.
Antes de usar um certificado de assinante, um terceiro de confiança deve
assegurar-se de que o certificado é adequado para o uso a que se destina,
familiarizando-se com a política e com a CPS de acordo com as quais o
certificado foi emitido.
Os terceiros de confiança são responsáveis pela validação da assinatura da
CA CommisSign e pelo termo de vigência de um certificado, antes de
usarem a chave pública que lhe está associada. Além disso, o terceiro de
confiança é responsável pela verificação da assinatura digital dos assinantes,
antes de aceitar dados com uma assinatura digital. Se a verificação for
efectuada automaticamente por um processo criptográfico e por
hardware/software de apoio instalado na estação de trabalho do terceiro de
confiança, este deve garantir que utiliza software compatível.
17
Antes de usar um certificado, o terceiro de confiança deve verificar o
estatuto do certificado numa CRL actualizada. O terceiro de confiança deve
verificar a assinatura digital da CRL para se certificar de que foi assinada
pela CA CommisSign.
2.1.5. Obrigações do repositório
[Os Certificados Raiz CommisSign, CPS, CRL [e Certificados de Assinante]
estão à disposição dos Terceiros de Confiança, de acordo com as práticas
descritas no n.º 4.4.9 "Frequência de emissão de CRL" da presente CPS.]
2.2.
Responsabilidade civil [a rever pelo Serviço Jurídico]
[Dado que as funções de CA CommisSign e de RA são ambas prestadas pela
Comissão Europeia, as responsabilidades ligadas às duas funções são
combinadas na presente CPS.
A CA CommisSign, a RA, a LRA e a Comissão Europeia rejeitam toda e
qualquer responsabilidade pelo uso dos certificados PKI da Comissão
Europeia ou por pares de chaves públicas/privadas que lhes estejam
associadas para qualquer uso que não esteja descrito na Política de
Certificação para a PKI da Comissão Europeia e na presente CPS.
2.2.1. Garantias e seus limites
A CA CommisSign e a RA garantem e comprometem-se a:
• prestar serviços de certificação de acordo com a política de certificação
identificada na Política de Certificação X.509 para a PKI da Comissão
Europeia e na presente CPS;
• executar os procedimentos de identificação e autenticação estabelecidos
no n.º 3 da presente CPS;
• prestar serviços de gestão de chaves, incluindo emissão, publicação e
revogação de certificados, recuperação e actualização de chaves, de
acordo com a política de certificação identificada na Política de
Certificação X.509 para a PKI da Comissão Europeia e na presente CPS.
A Comissão Europeia e o seu pessoal não deverão apresentar quaisquer
declarações, garantias ou condições, explícitas ou implícitas, diferentes das
expressamente indicadas e identificadas na Política de Certificação para a
PKI da Comissão Europeia e na presente CPS.
2.2.2. Cláusulas de exoneração de responsabilidade e limites de responsabilidade
A Comissão Europeia, a CA CommisSign e as RA não são responsáveis por
qualquer perda:
• de serviço CA ou RA devido a guerra, desastres naturais ou outras forças
impossíveis de controlar;
18
• ocorrida entre o momento em que um certificado é revogado e a próxima
emissão prevista de uma CRL;
• devida ao uso não autorizado de certificados emitidos pela CA
CommisSign e ao uso de certificados para fins a que não se destinam,
conforme se define na Política de Certificação X.509 para a PKI da
Comissão Europeia e na presente CPS;
• causada por uso fraudulento ou negligente de certificados e/ou CRL [e/ou
ARL] emitidos pela CA CommisSign;
• devida a divulgação de informações pessoais contidas em certificados e
listas de revogação.
A CA CommisSign e as RA declinam todas as garantias e obrigações de
qualquer tipo, incluindo qualquer garantia de valor comercial e garantia de
adequação a um fim específico, bem como qualquer garantia de rigor da
informação fornecida (excepto que provém de uma fonte autorizada) e
declinam ainda toda e qualquer responsabilidade por negligência e falta de
cuidado razoável da parte dos assinantes e terceiros de confiança.
A Comissão Europeia, a CA CommisSign, a RA e as LRA declinam
qualquer responsabilidade, seja de que tipo for, por qualquer prémio, danos
ou outra reclamação ou obrigação de qualquer tipo decorrente de delito,
contrato ou outro motivo respeitante a qualquer serviço associado à emissão,
uso ou recurso a certificados de PKI da Comissão Europeia ou o uso de um
par de chaves públicas/privadas que lhe esteja associado, por um assinante
ou por um terceiro de confiança.
Os requerentes e terceiros de confiança não têm direito a compensação por
perdas resultantes de um uso inadequado ou fraudulento desta PKI.
Por outro lado, a CA CommisSign e as RA não são intermediários para
transacções entre assinantes e terceiros de confiança. As reclamações contra
a CA CommisSign e/ou a RA limitar-se-ão a mostrar que uma CA ou RA
actuou de forma não coerente com a Política de Certificação X.509 para a
PKI da Comissão Europeia e com a presente CPS.
2.2.3. Outros termos e condições
Não definidos.]
2.3.
Responsabilidade financeira
2.3.1. Indemnização pelos terceiros de confiança
Não definida.
2.3.2. Relações fiduciárias
A emissão de certificados pela CA CommisSign e a assistência nessa
emissão pela RA da Comissão Europeia não fazem da Comissão Europeia
ou da sua CA ou RA um agente, fiduciário, administrador ou outro
19
representante dos requerentes ou terceiros de confiança ou de outras pessoas
que utilizem a PKI da Comissão Europeia responsável.
2.4.
Interpretação e aplicação
2.4.1. Direito aplicável
A aplicabilidade, construção, interpretação e validade da presente CPS serão
regidas por regulamentos europeus e nacionais.
2.4.2. Divisibilidade, sobrevivência, fusão, notificação
Uma cessação de funções ou uma fusão pode resultar em alterações de
âmbito de aplicação, gestão e/ou funcionamento da CA CommisSign. Nesse
caso, a Política de Certificação X.509 para a PKI da Comissão Europeia e a
presente CPS poderão ter de ser igualmente alteradas. As mudanças de
funcionamento terão lugar de acordo com os requisitos administrativos
estipulados no n.º 8 da presente CPS.
2.4.3. Procedimentos de resolução de litígios
Qualquer litígio relacionado com a gestão de chaves e certificados entre a
Comissão Europeia e uma organização ou um indivíduo exterior à Comissão
Europeia será resolvido mediante recurso a um mecanismo adequado de
resolução de litígios. Se possível, o litígio será resolvido por negociação.
Um litígio que não tenha sido resolvido por negociação deverá ser resolvido
por arbitragem pela PA da Comissão Europeia.
No domínio da CA CommisSign, os litígios entre os utilizadores da
Comissão Europeia, agindo um na qualidade de assinante e outro na de
terceiro de confiança, ou entre os utilizadores da Comissão Europeia e a CA
ou a RA, serão, inicialmente, comunicados à OA da CA CommisSign para
que sejam resolvidos.
2.5.
Tarifas
Não definidas.
2.6.
Publicação e repositório
2.6.1. Publicação de informações da CA
A CA CommisSign publica as seguintes informações:
• num site da Web, os certificados raiz;
• num site da Web, cópias [da Política de Segurança TIC para a Comissão
Europeia e] da presente CPS;
• na Lista da Comissão Europeia, todos os certificados de chaves públicas
emitidos pela CA CommisSign;
20
• na Lista da Comissão Europeia e num site da Web, a CRL mais recente
de certificados de chaves públicas de utilizador que tenham sido
revogados pela CA CommisSign;
• [a ARL mais recente das Autoridades de Certificação externa que tiverem
sido revogadas pela autoridade responsável pela política da Comissão
são publicadas na Lista da Comissão Europeia],
2.6.2. Frequência de publicação
Uma vez activados, os certificados emitidos pela CA CommisSign são
actualizados uma vez por dia na Lista da Comissão Europeia. Quando os
certificados são revogados, são inscritos nas CRL que são publicadas de
acordo com o n.º 4.4.9 "Frequência da emissão de CRL" da presente CPS.
[Quando os certificados cruzados são revogados, são inscritos nas ARL que
são publicadas de acordo com o n.º 4.4.9 "Frequência da emissão de CRL"
da presente CPS.]
2.6.3. Controlo do acesso
A CPS da CA CommisSign e a Política de Certificação para a Comissão
Europeia têm acesso apenas para leitura e estão disponíveis no site da Web.
Apenas o pessoal da CA CommisSign pode escrever ou alterar o acesso a
esses documentos.
[Os certificados e CRL estão disponíveis apenas através da Lista da
Comissão Europeia e permitem apenas a leitura. Só a CA CommisSign tem
privilégios de leitura/escrita e de supressão.]
2.6.4. Repositórios
O repositório para os certificados e CRL [e ARL] emitidos pela CA
CommisSign é disponibilizado pelo sistema de Lista da Comissão Europeia.
[O protocolo usado para acesso à lista é o Lightweight Directory Access
Protocol (LDAP), versão 2, conforme especificado no Pedido de
Comentários (Request for Comment - RFC) 1777 Lightweight Directory
Access Protocol (1995). O LDAP, versão 2, é usado no transporte TCP,
conforme definido no n.º 3.1 do RFC 1777.]
[Quando são transmitidos em pedidos e resultados LDAP, os atributos
definidos em X.500 são codificados usando representações em cadeia
definidas no RFC 1778 (String Representation of Standard Attribute
Syntaxes) (1995). Estas formas de codificação em cadeia baseavam-se nas
definições de atributos do X.500 (1988). Deste modo, as representações em
cadeia seguintes aplicam-se aos certificados da versão 1 e às listas de
revogação da versão 1:
• userCertificate (RFC 1778 n.º 2.25)
• CACertificate (RFC 1778 n.º 2.26)
• authorityRevocationList, (RFC 1778 n.º 2.27)
21
• certificateRevocationList, (RFC 1778 n.º 2.28)
• crossCertificatePair, (RFC 1778 n.º 2.29)
Dado que a presente CPS usa certificados da versão 3 e listas de revogação
da versão 2, como se define no X.509, a codificação em cadeia RFC 1778
destes atributos é inadequada. Por isso, esses atributos são codificados
usando uma sintaxe semelhante à sintaxe Undefined do n.º 2.1 do RFC 1778:
os valores desses atributos são codificados como se fossem valores do tipo
CADEIA DE OCTETOS, sendo o valor da cadeia da codificação a
codificação DER do próprio valor.]
O repositório da presente CPS e a Política de Certificação para a Comissão
Europeia encontram-se num site que é acessível a partir de [a definir – URL
a atribuir]
2.7.
Auditoria de conformidade [a implementar] [a rever quando for
implementada]
2.7.1. Frequência da auditoria de conformidade
Anualmente, é realizada uma auditoria completa e formal ao funcionamento
da CA CommisSign.
A PA pode, em qualquer altura e por decisão própria, solicitar a realização
de uma auditoria de conformidade por um auditor.
A CA CommisSign reserva-se o direito de solicitar inspecções e auditorias
periódicas de qualquer instalação da RA no domínio da CA CommisSign,
para confirmar que a RA está a funcionar de acordo com as práticas e os
procedimentos de segurança definidos na presente CPS.
2.7.2. Identidade e qualificações do auditor da CA
A PA tem de aprovar qualquer pessoa ou entidade que procure realizar uma
auditoria de conformidade. O auditor deve realizar auditorias à segurança da
CA ou dos sistemas de informação, sendo essa a sua responsabilidade
principal, demonstrar uma experiência significativa com as tecnologias de
PKI e criptográfica, bem como com o funcionamento do software PKI
aplicável, e conhecimento das políticas e dos regulamentos da Comissão
Europeia.
2.7.3. Relação entre o auditor e a CA submetida a auditoria
O auditor aprovado pela PA e a CA CommisSign são entidades distintas na
estrutura organizativa da Comissão Europeia.
2.7.4. Aspectos abrangidos pela auditoria
Os objectos da auditoria de conformidade são a implementação pela CA
CommisSign e pela RA das práticas técnicas, processuais e pessoais
descritas nesta CPS. Os domínios abrangidos pela auditoria incluem:
• identificação e autenticação,
22
• funções/serviços operacionais,
• controlo da segurança física, dos procedimentos e do pessoal,
• controlo da segurança técnica.
2.7.5. Medidas adoptadas na sequência de uma auditoria
Há três níveis de medidas possíveis, caso se detecte uma deficiência:
(1)
continuar o funcionamento normal,
(2)
continuar em funcionamento, mas num nível inferior de segurança,
(3)
suspender o funcionamento.
Se for detectada uma deficiência, o auditor, com o contributo da PA da
Comissão Europeia, determina as medidas a adoptar. A decisão respeitante
às medidas a adoptar basear-se-á na gravidade das irregularidades, nos riscos
impostos e nos inconvenientes para a comunidade que utiliza os certificados.
Se forem adoptadas as medidas 1 ou 2, a PA da Comissão Europeia e a OA
são responsáveis por garantir a adopção de medidas correctivas no prazo de
30 dias. Nesse momento, ou antes, caso a PA e o auditor o aprovem, a
equipa de auditoria procederá a uma reavaliação. Se a reavaliação detectar
que não foram tomadas quaisquer medidas correctivas, o auditor determinará
se são necessárias medidas mais graves (por exemplo, uma medida do nível
3).
Se for tomada uma medida do nível 3, todos os certificados emitidos pela
CA CommisSign, incluindo os certificados de entidade final e os
certificados cruzados CA, serão revogados antes da suspensão do serviço.
A PA da Comissão Europeia e a OA da CA da Comissão Europeia devem
comunicar ao auditor, semanalmente, a situação de qualquer medida
correctiva. A PA e o auditor, em conjunto, decidem quando deverá ter lugar
a reavaliação. Caso a reavaliação considere que as deficiências foram
corrigidas, a CA CommisSign retomará o serviço e serão emitidos novos
certificados para as entidades finais e outras CA externas, dependendo das
condições especificadas em cada um dos acordos de certificação cruzada.]
2.7.6. Comunicação de resultados
Os resultados da auditoria anual são comunicados à PA da Comissão
Europeia, à CA CommisSign e a todos os Gestores de Segurança TI da LRA
da Comissão Europeia. No caso de uma medida do nível 2, a PA da
Comissão Europeia, com a assistência do auditor, decide se é necessário
informar os assinantes da medida. No caso de uma medida do nível 3, a PA
da Comissão Europeia assegura que todos os utilizadores são informados da
medida. A comunicação com o objectivo de informar os assinantes de
qualquer deficiência e medida é executada por correio electrónico, sempre
que possível. Se um assinante não tiver acesso ao correio electrónico, será
23
distribuído um memorando, através do serviço de correio da Comissão
Europeia.
O método e os pormenores da notificação dos resultados da auditoria às CA
que têm certificação cruzada com a CA CommisSign serão definidos no
acordo de certificação cruzada entre as duas partes. A menos que tal seja
especificado num determinado acordo de certificação cruzada, não haverá
qualquer comunicação dos resultados da auditoria fora da Comissão
Europeia.
2.8.
Política de confidencialidade
Todas as informações que a PA da Comissão Europeia não considere serem
do domínio público serão tratadas como confidenciais.
2.8.1. Tipos de informações que não devem ser divulgadas
A chave de assinatura privada de cada assinante é classificada como restrita
a esse assinante. A CA CommisSign e a RA central não têm acesso a essas
chaves.
A chave privada de confidencialidade de cada assinante é classificada como
restrita a esse assinante.
Temporariamente, apenas está disponível um conjunto de chave
pública/privada que está relacionado com a "Chave Privada de
Confidencialidade". Tudo o que diga respeito a uma chave de assinatura não
será aplicável. Todavia, as chaves privadas de confidencialidade têm uma
cópia de segurança feita pela LRA local e são protegidas de acordo com o
n.º 6 da presente CPS.
As informações contidas nas pistas de auditoria são consideradas restritas à
Comissão Europeia e não podem ser divulgadas fora da instituição, a menos
que tal seja exigido por lei ou regulamento.
A recolha de informações pessoais pode ser sujeita aos requisitos de recolha,
manutenção, conservação e protecção do Regulamento (CE) n.° 45/2001 do
Parlamento Europeu e do Conselho, de 18 de Dezembro de 2000. As
informações pessoais armazenadas a nível local pela CA CommisSign ou
pela RA serão tratadas como restritas e o acesso só será concedido às
entidades que tenham uma necessidade oficial de as conhecer para
executarem as suas funções oficiais.
As informações sobre pessoas e empresas detidas pela PA da Comissão
Europeia, pela CA e pela RA, com excepção das que forem explicitamente
publicadas como parte de um certificado, CRL [ou ARL] são consideradas
restritas e não podem ser divulgadas, a menos que tal seja exigido por lei ou
regulamento.
Geralmente, os resultados das auditorias anuais mantêm-se restritos, com as
excepções indicadas no n.º 2.7.6 "Comunicação de resultados" da presente
CPS.
24
Em geral, os registos de auditoria não estarão disponíveis para o público.
Quaisquer chaves detidas pela CA CommisSign são consideradas restritas e
só serão divulgadas a uma entidade organizativa autorizada da Comissão
Europeia, de acordo com a presente CPS e com a política de segurança para
a PKI da Comissão Europeia, ou um funcionário responsável pela aplicação
da lei, de acordo com os regulamentos da Comissão Europeia, a legislação
europeia e dos Estados-Membros e a presente CPS.
2.8.2. Tipos de informação que se considera pública
Considera-se pública a informação incluída nos certificados públicos, nas
CRL [e nas ARL] emitidas pela CA CommisSign.
Considera-se pública a informação da Política de Certificação para a PKI da
Comissão Europeia e constante desta CPS.
2.8.3. Divulgação de informação sobre revogação de certificados
Quando um certificado é revogado pela CA CommisSign, é incluído na
respectiva entrada da CRL um código relativo ao motivo dessa medida. Esse
código é considerado público e poderá ser partilhado com outros assinantes
e terceiros de confiança. Contudo, não são divulgadas outras informações
relativas à revogação.
2.8.4. Divulgação a funcionários responsáveis pela aplicação da lei
A CA CommisSign e as RA não divulgarão certificados ou informações com
eles relacionadas a qualquer terceiro, excepto quando tal for:
• autorizado pela Política de Segurança para a PKI da Comissão Europeia e
pela presente CPS;
• exigido por lei, pela Comissão Europeia, por regulamentação europeia e
dos Estados-Membros ou por ordem do tribunal;
• autorizado pelo assinante, quando for necessário para fazer uso adequado
do certificado.
Todos os pedidos de divulgação de informação devem ser assinados e
entregues à RA local da Comissão Europeia ou à CA CommisSign.
2.8.5. Outras circunstâncias de divulgação de informações
Não definidas.
2.9.
Direitos de Propriedade Intelectual
Os certificados, CRL [e ARL] emitidos pela CA CommisSign, a Política de
Certificação para a PKI da Comissão Europeia e a presente CPS são
propriedade da Comissão Europeia.
25
3.
IDENTIFICAÇÃO E AUTENTICAÇÃO
3.1.
Registo inicial
3.1.1. Tipos de nomes
A RA retira as seguintes informações do sistema de listas da Comissão:
• apelido do assinante (LASTNAME);
• nome próprio do assinante (FIRSTNAME);
• CUID (identificação única e harmonizada de utilizador interno) do
assinante;
• endereço de correio electrónico SMTP da Comissão (SMTP) do
assinante.
A RA pressupõe que:
• o CUID do assinante e o seu SMTP da Comissão são exclusivos do
assinante, não se repetindo no restante pessoal da Comissão;
• existe uma relação individual entre o CUID do assinante e o seu endereço
de correio electrónico SMTP da Comissão;
• a RA constrói o SubjectName do certificado no seguinte formato:
/CN=LASTNAME FIRSTNAME (CUID) /E=SMTP.
A RA regista o SubjectName do assinante na base de dados da CA.
3.1.2. Necessidade de nomes significativos
Se o assinante for um indivíduo, o nome dado ao atributo Common Name é
o nome do assinante.
Se o assinante for uma entidade organizativa, o nome dado ao atributo
Common Name é o nome da caixa de correio funcional.
3.1.3. Regras para a interpretação de vários tipos de nomes.
Não definidas.
3.1.4. Unicidade de nomes
O SubjectName de um certificado é único para todas as entidades finais do
domínio CA CommisSign. A Gestão de Utilizadores da Comissão tem a
responsabilidade de garantir a unicidade da CUID do assinante e do seu
endereço de correio electrónico SMTP da Comissão.
3.1.5. Procedimento para resolução de litígios sobre nomes
Qualquer litígio será resolvido de acordo com a decisão da Gestão de
Utilizadores da Comissão.
26
3.1.6. Reconhecimento, autenticação e funções das marcas
Não definidos.
3.1.7. Método de comprovação da posse de chave privada
A comprovação de posse de uma chave privada é feita automaticamente pela
execução de um protocolo de comunicações seguras.
3.1.8. Autenticação da identidade de uma organização
Sempre que possível, os certificados de chaves públicas são emitidos para
indivíduos. Nos casos em que existam vários indivíduos que actuem como
uma entidade, será emitido apenas um certificado de encriptação com o
nome de uma caixa de correio funcional. Os certificados de assinatura não
são emitidos para caixas de correio funcionais.
Os indivíduos que actuam em nome da caixa de correio funcional usam o
seu próprio certificado de assinatura individual.
Uma caixa de correio funcional de uma organização deve ser criada por um
indivíduo autorizado a agir em nome do potencial assinante. Esse indivíduo
autorizado deve ser a pessoa que, dentro da organização, será responsável
por garantir o controlo dos certificados e das respectivas chaves privadas,
incluindo decidir qual o utilizador que tem controlo das chaves e em que
altura.
A identificação e a autenticação do potencial assinante são feitas do seguinte
modo:
• a RA verifica a identidade e a autoridade do indivíduo que age em nome
do potencial assinante e a sua autoridade para receber as chaves em nome
dessa organização;
• a RA ou CA mantém um registo do tipo e dos dados de identificação
usados; a RA ou a CA registará o nome da pessoa responsável pela caixa
de correio para a qual é emitido o certificado da organização.
Os procedimentos que constituem a emissão de um certificado de
organização não são incompatíveis com outras determinações da presente
CPS (por exemplo, criação de chaves, protecção de chaves privadas e
obrigações do utilizador).
[Em caso de certificação cruzada com outras CA, a CA CommisSign emite
certificados cruzados com outras CA, com a aprovação da PA da Comissão
Europeia. A PA da Comissão Europeia analisa as políticas e os
procedimentos da outra CA, antes de aprovar uma certificação cruzada. Do
mesmo modo, a CPS da CA CommisSign e a Política de Certificação X.509
para a PKI da Comissão Europeia são disponibilizadas para que a outra CA
as analise.]
27
3.1.9. Autenticação da identidade de um indivíduo
Um pedido de assinatura de um indivíduo deve ser feito pelo próprio ou pela
sua hierarquia em seu nome, caso em que o assinante deve ser informado.
Além da identificação e da autenticação abaixo descritas, o potencial
assinante deve apresentar-se pessoalmente à respectiva LRA para
autenticação, antes da emissão do certificado.
Cabe à RA obter confirmação da pertença do indivíduo à organização. À
LRA cabe obter confirmação da identidade do assinante que requer um
certificado. O procedimento de autenticação inclui os processos descritos a
seguir.
3.1.10. Autenticação da pertença de um assinante à organização
A confirmação da pertença do assinante à Comissão Europeia deve ser dada
à RA para que possa ser emitido um certificado para o utilizador. A prova de
pertença do assinante é dada pela lista da Comissão Europeia. A presença do
assinante na lista da Comissão Europeia é controlada por procedimento
administrativo.
3.1.11. Autenticação da identidade do assinante
A LRA faz a verificação da identidade no momento do pedido de certificado
ou antes do pedido – usando os ficheiros da RA e a documentação de
autenticação dos arquivos.
A confirmação da identidade do assinante deve ser verificada pela LRA por
meio do cartão de serviço.
3.1.12. Autenticação de dispositivos ou aplicações
Não definida.
3.2.
Criação rotineira de novo par de chaves
A criação de novo par de chaves significa que é criado um novo certificado
com:
• o mesmo SubjectName,
• um novo número de série,
• uma nova chave pública,
• e, eventualmente, um período de validade diferente.
O procedimento para a criação rotineira de novo par de chaves é aplicado
sempre que o certificado do utilizador deixar de ser válido. Este
procedimento é idêntico ao do Registo Inicial.
28
3.3.
Criação de novo par de chaves após revogação
Para os assinantes cujos certificados tenham sido revogados, deve aplicar-se
o mesmo procedimento que para a criação rotineira de novo par de chaves.
3.4.
Pedido de revogação
A revogação é descrita no n.º 4.4 "Suspensão e revogação de certificados" da
presente CPS.
4.
REQUISITOS OPERACIONAIS
4.1.
Pedido de certificado
Antes da emissão do certificado, um assinante deve fazer um pedido, com as
seguintes informações:
• nome completo do assinante,
• tipo de relação do assinante com a Comissão Europeia,
• prova de pertença à Comissão,
• endereço SMTP de correio electrónico da Comissão,
• Common User Identifier (identificação de utilizador comum) do
assinante,
• aceitação das condições especificadas na presente CPS.
Dependendo do processo de autenticação da RA, esta pode decidir incluir no
pedido de certificado outras informações que ajudem a confirmar a
identidade.
O pedido de certificado é assinado pelo assinante (caso se trate de pedido de
um indivíduo) e pela LRA (por meio de uma mensagem electrónica
assinada). A LRA envia esse pedido à RA.
Usando as informações fornecidas pelo requerente do certificado, a RA e a
LRA realizam a verificação da identidade, segundo os requisitos indicados
nos n.ºs 3.1.8 "Autenticação da identidade de uma organização" e 3.1.9
"Autenticação da identidade de um indivíduo". Com base na verificação, a
RA aceita ou recusa o pedido de certificado. A RA notifica o assinante da
aceitação ou recusa. A RA inscreve no pedido de certificado a medida
adoptada, a acção de verificação realizada e, depois, assina e data o pedido.
A RA conserva o pedido de certificado.
4.2.
Emissão do certificado
O procedimento abaixo descrito é o procedimento normal:
29
(1)
O assinante envia um pedido de certificado à LRA da sua DG
(pedido explícito) ou a LRA recebe a lista do(s) candidato(s) a
assinante(s) da sua hierarquia (pedido implícito);
(2)
A LRA transmite o pedido à RA através de uma mensagem
electrónica assinada;
(3)
A LRA informa o(s) candidato(s) e previne-os de que receberão um
código de identificação da RA e outro da própria LRA;
(4)
A RA procede a uma verificação administrativa do assinante e
introduz o SubjectName do assinante na base de dados da CA;
(5)
Através de um meio seguro, a CA envia à RA um ficheiro de registo
que contém o SubjectName do assinante e um código de
identificação C1;
(6)
Através de correio electrónico seguro, a RA envia o ficheiro de
registo à LRA requerente;
(7)
Por meio de correio confidencial, a RA envia ao assinante um
documento em papel indicando o seu código de identificação C1;
(8)
A LRA verifica a existência física do assinante, depois de receber o
ficheiro de registo da RA;
(9)
A LRA contacta a CA para confirmar a existência do assinante;
(10)
A CA actualiza o ficheiro de registo e envia um segundo código de
identificação C2 à LRA;
(11)
A LRA envia ao assinante o ficheiro de registo (por disquete ou
correio electrónico) e um documento com o código de identificação
C2;
(12)
A LRA ajuda o(s) assinante(s) registado(s) que possua(m) o
respectivo ficheiro de registo e os dois códigos (C1 e C2) a gerar as
suas chaves e a obter um certificado da CA. Durante o processo de
geração da chave, o assinante registado deve estar presente para
introduzir os códigos de identificação RA e LRA e uma senha inicial
para a chave privada;
(13)
O assinante registado guarda a sua chave privada em disco rígido,
disquete [ou cartão inteligente], de acordo com a política de
armazenagem da DG.
Publicação dos certificados: diária,
(1)
Os funcionários da CA geram um ficheiro que contém todos os
certificados e entregam-no ao administrador da lista da Comissão, às
21h15;
(2)
O administrador da lista da Comissão actualiza a lista com os
certificados às 22h00.
30
O procedimento a seguir descrito é um procedimento alterado e temporário
de "Recuperação de chaves" a nível de DG. Este procedimento será
abandonado para ser usado o normal, quando estiverem disponíveis dois
conjuntos de chaves para assinatura e encriptação, respectivamente, e um
serviço central de recuperação de chaves para encriptação. O procedimento
temporário para um pedido de certificado é o seguinte (a marca (*) indica
que o procedimento habitual não foi modificado):
(1)
O assinante envia uma pedido de certificado à LRA da sua DG
(pedido explícito) ou a LRA recebe a lista do(s) candidato(s) a
assinante(s) da sua hierarquia (pedido implícito); (*)
(2)
A LRA transmite o pedido à RA através de uma mensagem
electrónica assinada (*);
(3)
A LRA informa o(s) candidato(s) e previne-o(s) de que receberão um
código de identificação da RA e outro da própria LRA (*);
(4)
A RA procede a uma verificação administrativa do assinante e
introduz o SubjectName do assinante na base de dados da CA (*);
(5)
A CA envia à RA um ficheiro de registo que contém o SubjectName
do assinante e um código de identificação C1 (*);
(6)
Através de correio electrónico seguro, a RA envia o ficheiro de
registo e o código de identificação C1 à LRA requerente;
(7)
A RA envia ao assinante (por correio electrónico) uma mensagem
indicando o pedido de certificado;
(8)
A LRA verifica a existência física do assinante, depois de receber o
ficheiro de registo da RA (*);
(9)
A LRA contacta a CA para confirmar a existência do assinante (*);
(10)
A CA actualiza o ficheiro de registo e envia um segundo código de
identificação C2 à LRA (*);
(11)
A LRA que possui o ficheiro de registo e os dois códigos de
identificação do assinante cria um par de chaves;
(12)
A LRA entra em contacto com a CA e solicita um certificado (a LRA
identifica-se junto da CA com os seus dois códigos de identificação
de assinante);
(13)
A LRA faz uma cópia do ficheiro chave que contém a chave privada
e o certificado de chave pública do assinante, bem como da senha
inicial;
(14)
A LRA coloca o ficheiro chave e a senha inicial num cofre, sob o
controlo do Agente de Segurança;
(15)
A LRA entrega o ficheiro chave e a senha inicial ao assinante;
31
(16)
4.3.
A LRA ajuda o(s) assinante(s) registado(s) a guardar(em) o ficheiro
chave em disco rígido ou em disquete, dependendo da política de
armazenagem da DG.
Aceitação do certificado
A aceitação pelo assinante das suas responsabilidades no que diz respeito à
utilização do certificado é assegurada no processo de pedido de certificado,
conforme se descreve no n.º 4.1 da presente CPS. O assinante assina uma
declaração de aceitação das condições da presente CPS e das condições do
Acordo de Assinante.
A aceitação do certificado ocorre no processo de emissão de certificados
descrito no n.º 4.2 da presente CPS. O funcionamento do protocolo de
comunicações seguras entre o assinante e a CA CommisSign envolve a
autenticação mútua das duas partes e operações de pedido e resposta que
constituem a aceitação, pelo assinante, dos certificados de chave pública daí
resultantes.
4.4.
Suspensão e revogação de certificados
4.4.1. Circunstâncias de revogação
Os certificados de verificação de encriptação e/ou de assinatura são
revogados quando, por algum motivo, deixam de ser fiáveis. Nesta
revogação incluem-se os certificados para assinantes, RA e funcionários de
CA. Os motivos de perda de confiança nos certificados são, entre outros, os
seguintes:
• exoneração ou suspensão fundamentadas,
• comprometimento ou suspeita de comprometimento das chaves privadas
e/ou das senhas e do perfil do utilizador,
• cessação do emprego,
• falta de cumprimento, por parte do requerente, das obrigações que lhe
cabem, decorrentes do presente documento e das políticas de certificação
pertinentes.
4.4.2. Quem pode solicitar a revogação
A revogação de um certificado só poderá ser solicitada:
• pelo titular do certificado,
• pela pessoa que apresentou o pedido de certificado em nome de uma
caixa de correio funcional,
• pelo órgão de gestão responsável, se o assinante fizer parte do pessoal
da Comissão Europeia,
• pelo pessoal da CA CommisSign,
32
• pelo pessoal de uma RA associada da CA CommisSign,
• pelo Director do Serviço Protocolo e Segurança,
• pela Autoridade Investida do Poder de Nomeação (AIPN),
• pela PA da Comissão Europeia.
4.4.3. Procedimento para pedido de revogação [A implementar] [A rever quando
implementado]
Qualquer requerente que pretenda revogar um certificado deve notificar a
sua RA local, preencher e assinar uma aprovação de revogação por escrito e
apresentar-se pessoalmente, com o respectivo cartão de serviço.
A LRA é responsável pelo processamento das revogações e renovações de
certificados. A revogação de certificados deve ser solicitada por escrito à
RA local. Quando a RA inicia uma sessão no servidor da CA para processar
a revogação, a CA CommisSign actualiza imediatamente a CRL. A RA local
informará o requerente da revogação, logo que tal seja viável.
Os certificados revogados são publicados em CRL e enviados para a Lista
da Comissão Europeia, de acordo com o n.º 4.4.9 "Frequência de emissão
de CRL" da presente CPS. As RA podem publicar imediatamente uma CRL,
se o considerarem necessário.
É necessário obter uma aprovação por escrito para auditoria, que deve conter
as seguintes informações:
• data do pedido de revogação,
• nome do titular do certificado (o assinante),
• exposição pormenorizada dos motivos para o pedido de revogação,
• nome e funções da pessoa que solicita a revogação,
• informação de contacto da pessoa que solicita a revogação,
• assinatura da pessoa que solicita a revogação.
As aprovações por escrito são enviadas à RA. Nos casos que exijam
revogação imediata do certificado de um assinante, deve enviar-se à RA um
pedido por correio electrónico ou uma chamada, que deverá ser confirmado
com uma aprovação por escrito.
Após recepção e confirmação da aprovação escrita, a RA revoga o
certificado do assinante, fazendo uma ligação ao servidor da CA e
procedendo à revogação do certificado. A RA regista o evento no Livro de
Registos da Administração da RA. A RA toma nota da acção executada na
aprovação escrita, após o que assina e data a aprovação. A RA conserva a
aprovação escrita da revogação.
33
4.4.4. Prazo para pedido de revogação
Não definido.
4.4.5. Circunstâncias para suspensão
Não definidas.
4.4.6. Quem pode pedir a suspensão
Não definido.
4.4.7. Procedimento para pedido de suspensão
Não definido.
4.4.8. Limites ao período de suspensão
Não definidos.
4.4.9. Frequência de emissão de CRL
Em cada 24 horas, a CA CommisSign emite CRL [e ARL] para a Lista da
Comissão Europeia. As CRL [e ARL] são emitidas 7 dias por semana.
Excepcionalmente, também poderão ser emitidas CRL [e ARL] entre estes
períodos (por exemplo, quando se detectar uma situação grave de
comprometimento).
4.4.10. Requisitos para verificação de CRL
[Todos os certificados emitidos pela CA CommisSign devem incluir o DN
(nome diferenciado) do Ponto de Distribuição da CRL, que deverá ser
verificado durante a verificação do certificado.]
Antes de usar um certificado, os terceiros de confiança devem verificar o seu
estatuto num exemplar actualizado da CRL. Se for temporariamente inviável
obter a informação de revogação, o terceiro de confiança deve rejeitar o uso
do certificado ou tomar a decisão esclarecida de aceitar o risco, a
responsabilidade e as consequências de utilização de um certificado cuja
autenticidade não pode ser garantida de acordo com os níveis da presente
CPS.
4.4.11. Disponibilidade de revogação/verificação de estatuto em linha
Actualmente, a PKI da Comissão Europeia não pode suportar a
revogação/verificação de estatuto em linha.
4.4.12. Requisitos para verificação de revogação em linha
Não definidos.
4.4.13. Outras formas disponíveis para divulgação de revogação
Não definidas.
34
4.4.14. Requisitos para verificação de outras formas de divulgação de revogação
Não definidos.
4.4.15. Requisitos especiais em caso de comprometimento da chave
O comprometimento da chave é um incidente de segurança relativamente ao
qual se devem tomar medidas.
Em qualquer situação de comprometimento da chave que envolva uma chave
de uma entidade final, é arquivado um ficheiro na RA local, indicando as
circunstâncias em que a chave ficou comprometida. Se tiver sido acidental,
não é necessária qualquer outra acção por parte do requerente. Caso
contrário, a RA local comunica o comprometimento ao Serviço Protocolo e
Segurança, para um eventual acompanhamento por investigação e uma
potencial acção, de acordo com os procedimentos descritos na Política de
Segurança TIC.
Em caso de comprometimento ou de suspeita de comprometimento da chave
de assinatura da CA CommisSign, esta deve notificar imediatamente a PA.
Em cooperação com a PA da Comissão Europeia, a CA CommisSign deve
notificar todas as CA a quem tenha emitido certificados cruzados.
4.5.
Procedimentos de auditoria de segurança [A implementar] [A rever
quando implementados]
4.5.1. Tipos de eventos registados
[Todos os eventos de segurança significativos ocorridos no software da CA
CommisSign são automaticamente marcados com a hora e registados em
ficheiros de registo de auditoria. Esses eventos podem ser, por exemplo:
• tentativas, bem ou mal sucedidas, de inicializar, retirar, habilitar,
incapacitar, actualizar e recuperar assinantes, as suas chaves e os seus
certificados,
• tentativas, bem ou mal sucedidas, de criar, retirar, registar-se, definir,
redefinir e alterar senhas ou revogar privilégios, criar, actualizar e
recuperar chaves e certificados de funcionários da CA, das RA e dos
assinantes,
• interacções sem êxito com a lista, incluindo tentativas, bem ou mal
sucedidas, de ligação, operações de leitura e escrita pelo sistema CA,
• todos os eventos relacionados com a revogação de certificados, a
modificação e validação da política de segurança, arranque e paragem do
software da CA, cópia de segurança de bases de dados, certificação
cruzada, validação de certificados e da cadeia de certificação, gestão de
certificados de atributos, aumento de capacidades dos utilizadores,
mudança de DN, bases de dados e pistas de auditoria,
• gestão, gestão do ciclo de vida dos certificados e outros eventos variados,
35
• arranque e fecho do sistema.
O administrador do sistema CA mantém as informações relativas a:
• alterações e manutenção da configuração do sistema,
• privilégios de administrador,
• relatórios de discrepância e comprometimento,
• tentativas não autorizadas de acesso à rede do sistema CA.
A função CA tem um sistema de supervisão electrónica que dá informações
relativas ao acesso à função CA CommisSign.]
4.5.2. Frequência da auditoria de registos
[Os funcionários da CA da Comissão Europeia procedem semanalmente à
auditoria dos registos, investigando quaisquer alertas ou irregularidades dos
registos.]
4.5.3. Período de retenção para os registos de auditoria
[As pistas de auditoria são conservadas electronicamente por tempo
indefinido, nas configurações da CA CommisSign. No n.º 4.5.5
"Procedimentos para cópia de segurança dos registos de auditoria", são
descritos os procedimentos de arquivo desses registos.]
4.5.4. Protecção do registo de auditoria
[A pista de auditoria é armazenada em ficheiros planos normais do sistema
operativo. Cada ficheiro de pista de auditoria é composto por um cabeçalho
que contém informações sobre as auditorias do ficheiro e uma lista de
eventos. Para cada um dos eventos de auditoria, é criado um código de
autenticação de mensagem (MAC) que também consta do cabeçalho. Cada
ficheiro de pista de auditoria tem uma chave de auditoria diferente, usada
para gerar o MAC. O Utilizador Principal da CA da Comissão Europeia para
a CA CommisSign protege a chave de auditoria que é armazenada no
cabeçalho.
A pista de auditoria pode repartir-se por vários ficheiros. Sempre que o
actual ficheiro de pista de auditoria atinge uma dimensão pré-definida de
100 Kbytes ou que a chave de segurança (Master) da CA é actualizada, é
criado um novo ficheiro de pista de auditoria.]
4.5.5. Procedimentos para cópia de segurança do registo de auditoria
[As pistas de auditoria são copiadas todas as noites, no âmbito da cópia de
segurança regular do sistema CA. Os ficheiros das pistas de auditoria são
arquivados semanalmente pelo administrador do sistema CA. Todos os
ficheiros, incluindo o ficheiro de pista de auditoria mais recente, são
passados para bandas magnéticas e armazenados num local de arquivo
seguro.]
36
4.5.6. Sistema de recolha de dados de auditoria
[O sistema de acumulação de pistas de auditoria é um sistema interno do
software da CA CommisSign.]
4.5.7. Notificação do agente causador do evento
[Se um evento for registado pelo sistema de recolha de dados de auditoria,
não é enviada uma notificação ao indivíduo que causou o evento de
auditoria. O sujeito pode ser notificado de que a sua acção foi bem ou mal
sucedida, mas não de que a sua acção foi submetida a auditoria.]
4.5.8. Avaliações de vulnerabilidade
[O administrador do sistema CA CommisSign e os funcionários da CA usam
os processos mencionados na parte relativa aos Procedimentos para
Auditoria da Segurança do Sistema, para acompanharem, avaliarem e
tratarem, consoante seja necessário, dos pontos vulneráveis do sistema.]
4.6.
Arquivamento de registos [A implementar] [A rever quando
implementado]
4.6.1. Tipos de dados arquivados
[No cumprimento da função de RA e de LRA, são fornecidos à RA e às
LRA vários documentos, entre os quais se incluem os seguintes:
• informação de identificação,
• pedidos de certificados,
• aprovações de revogação de certificados,
• aprovações de recuperação de chaves.
Algumas informações fornecidas são informações pessoais abrangidas pelo
Regulamento (CE) n.° 45/2001 do Parlamento Europeu e do Conselho, de 18
de Dezembro de 2000. Essas informações serão armazenadas de forma
segura, de acordo com os requisitos deste regulamento. O acesso a essas
informações deve ser limitado ao pessoal da RA.
Os tipos de eventos registados na base de dados do sistema CA incluem:
• criação do par de chaves de assinatura da CA,
• introdução e supressão de utilizadores finais do sistema,
• alterações do historial dos pares de chaves criptográficas e do historial
das chaves públicas de verificação, relativamente a todos os utilizadores,
incluindo a emissão de certificados e eventos de revogação,
• alterações do DN dos utilizadores finais,
• introdução/supressão de privilégios dos funcionários das RA e da CA,
37
• alterações de privilégios dos funcionários das RA e da CA,
• alteração de alguns aspectos de políticas, como a validade de um
certificado,
• criação e revogação de certificados cruzados.
Além disso, o sistema CA CommisSign faculta dados do registo de
auditoria, conforme se descreve no n.º 4.5 da presente CPS.]
4.6.2. Período de retenção para arquivo
[A informação de auditoria (de acordo com o n.º 4.5 da presente CPS), a
chave de assinante e os pedidos/aprovações de certificado, bem como as
informações de identificação e autenticação são arquivados por um período
de cinco anos.]
[Os certificados de assinaturas digitais, as chaves privadas de
confidencialidade armazenadas por uma CA [, as ARL] e as CRL geradas
por uma CA são arquivadas de acordo com a regulamentação da Comissão
Europeia e com a regulamentação pertinente dos Estados-Membros.]
4.6.3. Protecção do arquivo
[A base de dados do sistema CA CommisSign é [encriptada e] protegida
pelo sistema CA. A protecção da pista de auditoria é feita de acordo com a
descrição do n.º 4.5.4 "Protecção do registo de auditoria" da presente CPS.
O suporte de arquivo é protegido por segurança física, na medida em que é
mantido num local de acesso restrito, ao qual apenas têm acesso os
administradores do sistema CA CommisSign e os Utilizadores Principais da
CA.]
4.6.4. Procedimentos para cópia de segurança do arquivo
[Os ficheiros de arquivo são copiados à medida que são criados. Os originais
são armazenados no local e guardados no sistema CA CommisSign. Os
ficheiros com as cópias de segurança são armazenados num local seguro,
noutra situação geográfica.]
4.6.5. Sistema de recolha de dados de arquivo
[O sistema de recolha de dados de arquivo (função de cópia de segurança)
para a base de dados do sistema CA CommisSign é um sistema interno do
sistema CA CommisSign.
O sistema de recolha de dados de arquivo (função de cópia de segurança)
para os ficheiros de pista de auditoria é o descrito nos n.ºs 4.5.5
"Procedimentos para cópia de segurança do registo de auditoria" e 4.5.6
"Sistema de recolha de dados de auditoria" da presente CPS.
O arquivamento de ambos os arquivos de dados em suportes diferentes e a
armazenagem segura desses suportes são externos ao sistema CA
CommisSign.]
38
4.6.6. Procedimentos para obter e verificar informações de arquivo
[Duas vezes por ano, as bandas de arquivo são recuperadas pelo funcionário
da CA CommisSign e verificadas, para certificar que não ocorreu qualquer
dano ou perda de dados. Se algum destes problemas tiver ocorrido,
recupera-se o arquivo da cópia de segurança, que se torna o novo arquivo
principal, sendo produzida uma nova cópia de segurança.
De cinco em cinco anos, é produzida uma nova cópia de segurança de cada
arquivo, mesmo que não haja indicações de dano ou perda de dados do
arquivo principal ou da cópia de segurança. Em relação a cada banda, a nova
cópia de segurança torna-se o arquivo principal, passando o anterior arquivo
principal a arquivo de cópia de segurança e sendo a banda do arquivo de
cópia anterior reciclada com segurança.]
4.7.
Troca de chave
Consultar os n.ºs 3.2 e 3.3 da presente CPS.
4.8.
Comprometimento e recuperação em caso
implementar] [A rever quando implementado]
de
catástrofe
[A
4.8.1. Recursos informáticos, software e/ou dados corrompidos
Em caso de catástrofe ou de comprometimento grave, aplicam-se à CA
CommisSign e às RA as seguintes medidas. As medidas de recuperação de
um ambiente seguro são as seguintes:
(1)
todas as senhas do sistema CA CommisSign devem ser mudadas para
os Utilizadores Principais da CA, Funcionários da CA e RA (em caso
de comprometimento da CA);
(2)
dependendo da natureza da catástrofe, os certificados de alguns ou de
todos utilizadores devem ser revogados;
(3)
se a lista se tornar instável ou se houver suspeitas da sua corrupção,
os dados constantes da lista, os certificados de encriptação e as CRL
devem ser recuperados. Quando o administrador da lista a tiver
restaurado a partir da cópia de segurança, o Utilizador Principal da
CA actualizará a informação relativa à PKI na lista. Essa informação
inclui as CRL e os certificados que tenham sido alterados desde que
foi feita a última cópia de segurança da lista;
(4)
se os perfis de um funcionário da CA ou das RA necessitarem de
recuperação, os perfis deverão ser recuperados por outro funcionário
da CA ou por outra RA.
Consultar o n.º 4.4.15 "Requisitos especiais em caso de comprometimento
da chave" respeitante ao comprometimento da chave da CA.
4.8.2. Recuperação de chave de uma entidade
O procedimento normal foi alterado para conter um procedimento de
recuperação de chave a nível de DG. A cópia de chaves privadas e a senha
39
inicial que lhes está associada são conservadas pelo Agente de Segurança da
DG num local seguro e de acesso controlado. Apenas o agente de segurança
ou um representante oficial devidamente autorizado podem aceder às chaves
e às senhas. Apenas as LRA procedem à recuperação de chaves. A LRA e o
agente de segurança estão presentes para autorizar e executar as operações
de recuperação de chaves. Se a LRA e o agente de segurança não estiverem
disponíveis, os funcionários da CA actuam como administradores substitutos
em casos de emergência. A chave pode ser recuperada em três casos:
• a pedido do utilizador;
• a pedido de uma entidade interna disciplinar ou equivalente;
• a pedido do Director-Geral, em caso de indisponibilidade permanente ou
importante do utilizador, que prejudique gravemente o interesse do
serviço.
[O prazo de resposta aos pedidos de recuperação de chaves não urgentes é de
48 horas. Em casos de emergência, será contactada a RA local.]
4.8.2.1. Recuperação da chave a pedido do utilizador
Alguns exemplos de motivos para recuperação de chave solicitada por um
assinante:
• o assinante esqueceu-se da senha,
• o assinante perdeu ou danificou um ficheiro de chave privada.
Para se proteger de pedidos não autorizados, o assinante deve
• fazer o possível por estar presente e
• apresentar um pedido por escrito à LRA, indicando o motivo da
recuperação.
Após recepção da aprovação escrita, as LRA verificam visualmente a
identidade do assinante, usando para o efeito o seu cartão de serviço, e
executam o processo de recuperação da chave. A LRA regista a recuperação
para fins de auditoria. A LRA toma nota da acção na aprovação escrita,
assinando e datando a aprovação. A LRA conserva a aprovação escrita da
recuperação.
A LRA apresenta, então, ao assinante instruções para a obtenção de novas
informações de autorização.
4.8.2.2. Recuperação da chave a pedido de um terceiro
Alguns exemplos de motivos para recuperação da chave sem o
consentimento do assinante:
40
• um assinante abandonou a organização e o seu supervisor ou a
administração do respectivo serviço necessita de decifrar ficheiros, para a
continuação da actividade
• a actuação do assinante é questionada pela Comissão Europeia e os
ficheiros do assinante têm de ser analisados
• a actuação do assinante é questionada por um organismo externo
responsável pela aplicação da lei e os ficheiros do assinante têm de ser
analisados.
O requerente da recuperação da chave tem de contactar o seu agente de
segurança. A aprovação escrita do director-geral do assinante e do
organismo que solicita a acção de recuperação da chave é apresentada às
LRA, para que a acção possa ser executada. O pedido deve conter os
seguintes dados:
• data do pedido de recuperação,
• nome do titular das chaves (o assinante),
• nome do requerente e do organismo da Comissão Europeia,
• descrição pormenorizada dos motivos para o pedido de acesso aos
ficheiros do assinante,
• nome(s) específico(s) da(s) pessoa(s) autorizada(s) a ver os ficheiros do
assinante e a responsabilizar-se pela posterior visionação por qualquer
pessoa não mencionada,
• descrição (e/ou nome(s) do(s) ficheiro(s)) dos ficheiros do assinante a
visualizar ou declaração de aprovação do acesso a todos os ficheiros,
• descrição das funções da LRA para além da acção de recuperação da
chave, incluindo as informações a fornecer se o assinante questionar a
mudança da sua acessibilidade à CA CommisSign.
Após receberem a aprovação escrita, as LRA entram em contacto com os
interlocutores adequados para planearem acções de recuperação da chave.
[Nota: Em determinadas situações, a LRA pode receber uma ordem judicial
exigindo a recuperação da chave. Nesse caso, a ordem judicial será o
equivalente de uma aprovação escrita.]
Se for aplicável, os requerentes devem fazer-se acompanhar por uma
disquete que contenha os ficheiros do assinante, que será visualizada no
processo de recuperação previsto. As LRA (sob o controlo do agente de
segurança) podem carregar ficheiros para uma máquina local, a fim de
decifrar/visualizar e, seguidamente, apagar ficheiros decifrados aquando da
conclusão do processo, evitando uma potencial visualização não autorizada.
Os requerentes devem, primeiro, confirmar se as LRA dispõem de máquinas
com o software necessário para visualizar os ficheiros. Caso contrário, as
41
LRA poderão deslocar-se às instalações do requerente, na Comissão
Europeia.
Após a recepção da aprovação escrita, as LRA verificam visualmente a
identidade da(s) pessoa(s) autorizada(s), usando o cartão de serviço do
funcionário, executam o processo de recuperação da chave e registam a
recuperação. As LRA anotam a medida tomada na aprovação escrita e, em
seguida, assinam e datam a aprovação. As LRA conservam a aprovação
escrita para fins de auditoria.
Se o assinante ficar com privilégios de acessibilidade à CA CommisSign
depois de concluída a recuperação da chave solicitada, as RA executam
outro processo de recuperação da chave, para que o assinante tenha a certeza
de que ninguém mais volta a ter acesso aos dados da sua chave.
Se for aplicável, a LRA pode desactivar a conta CA CommisSign recuperada
do assinante, depois do processo previsto, se tiver sido solicitado um período
breve de visualização remota. A reactivação da conta terá por base as
instruções fornecidas pelo requerente.
Por entidades externas entende-se qualquer organismo responsável pela
aplicação da lei. Os pedidos de uma entidade externa devem ser tratados
através do Serviço Protocolo e Segurança.
Os pedidos de entidades externas seguirão os procedimentos aplicados em
caso de recuperação da chave sem o consentimento do assinante.
4.8.3. Recuperação em caso de catástrofe
[A CA CommisSign tem um plano de recuperação em caso de catástrofe que
descreve os procedimentos para a recuperação de uma catástrofe ou de
comprometimento grave. Uma CA de emergência está configurada num
local de recuperação de desastre, num centro alternativo da Comissão
Europeia.]
4.9.
Extinção da CA
Em caso de extinção da CA CommisSign, a PA da Comissão Europeia fará a
supervisão do processo de extinção. A RA e as LRA trabalharão com a CA
para notificar todos os assinantes da cessação de funcionamento da CA
CommisSign.
Todos os certificados emitidos pela CA CommisSign serão revogados.
A Comissão Europeia manterá um arquivo da base de dados da CA
CommisSign, de acordo com a Política de Segurança dos sistemas de
informação e com a regulamentação pertinente da Comissão Europeia e dos
Estados-Membros.
42
5.
CONTROLOS DE SEGURANÇA FÍSICA, DOS PROCEDIMENTOS E DO
PESSOAL
5.1.
Controlos de segurança física
5.1.1. Localização e construção das instalações
A CA CommisSign encontra-se numa área cujo acesso é controlado através
de um ponto de entrada e limitado a pessoal autorizado. As instalações que a
albergam estão fechadas e têm vigilância electrónica 24 horas por dia, 7 dias
por semana. [São mantidos registos electrónicos do acesso físico ao Serviço
Protocolo e Segurança.]
5.1.2. Acesso físico
As instalações da CA CommisSign estão fechadas e apenas o pessoal
autorizado e controlado de forma adequada lhes tem acesso. O único pessoal
com acesso autorizado à CA CommisSign são os Utilizadores Principais da
CA CommisSign, os funcionários da CA e o administrador do sistema CA.
[Os sistemas RA são colocados em locais de acesso restrito.] As RA centrais
estão protegidas logicamente, por cartão inteligente.
Os assinantes devem cumprir a presente CPS e a Política de Certificação
para a Comissão Europeia, no que diz respeito à protecção e ao uso das suas
chaves. Os assinantes são informados destas exigências, mas não são
regularmente submetidos a auditorias nem a controlo.
5.1.3. Energia e ar condicionado
As instalações da CA da Comissão Europeia dispõem de energia e ar
condicionado suficientes para criar um ambiente operativo fiável. As áreas
usadas pelo pessoal no interior das instalações dispõem de meios suficientes
para satisfazer necessidades operacionais, de saúde e de segurança.
5.1.4. Exposição à água
A estação de trabalho da CA CommisSign não se encontra em perigo de
exposição à água.
5.1.5. Prevenção e protecção contra incêndio
[As instalações da CA CommisSign dispõem de um sistema de extinção de
incêndios de acordo com a política e o código do Serviço HST da Comissão
Europeia.]
5.1.6. Armazenamento de suportes
[Os suportes de armazenagem usados pela CA CommisSign estão protegidos
contra ameaças ambientais de temperatura, humidade e magnetismo.]
43
5.1.7. Eliminação de resíduos
Os suportes usados para a armazenagem da informação dos ficheiros da CA
CommisSign são saneados ou destruídos antes da sua eliminação.
Os resíduos normais de escritório devem ser eliminados ou destruídos de
acordo com as regras da Comissão Europeia.
5.1.8. Instalações externas para cópias de segurança [Não aplicável]
[As instalações para cópias de segurança da CA têm segurança e controlo
equivalentes aos da CA CommisSign principal.]
5.2.
Controlos de procedimentos
5.2.1. Perfis qualificados
[O pessoal que desempenha estas funções deverá ter sido submetido a uma
investigação de base tendo em vista posições sensíveis. Os critérios da
investigação de base e de outros controlos de segurança do pessoal são
descritos nos parágrafos que se seguem.]
5.2.1.1. Perfis qualificados da CA:
O Serviço Protocolo e Segurança dirige a CA CommisSign, com as funções
de Autoridade Operativa da CA, funcionários da CA e administradores do
sistema CA, que a seguir se descrevem.
Para garantir que uma pessoa, agindo isoladamente, não possa iludir as
salvaguardas aplicadas, várias funções e indivíduos partilham as
responsabilidades da CA CommisSign. Cada conta do sistema CA
CommisSign tem capacidades limitadas, proporcionais ao perfil do
indivíduo. Os perfis na CA CommisSign são as seguintes:
• Utilizadores Principais da CA
[Três indivíduos serão nomeados Utilizadores Principais da CA.] A
Autoridade Operativa da CA nomeia os Utilizadores Principais que têm
autoridade para:
– gerar e manter a chave de segurança (Master) da CA CommisSign,
– mudar as senhas do servidor da CA,
– recuperar funcionários da CA, caso estes tenham esquecido as respectivas
senhas.
• Funcionários da CA
[Três indivíduos serão nomeados funcionários da CA.] A Autoridade
Operativa da CA nomeia os funcionários da CA, que têm autoridade para:
44
– definir e modificar a política de segurança para a CA CommisSign, de
acordo com a presente CPS e com a Política de Certificação para a
Comissão Europeia;
– definir o número de autorizações necessárias para operações sensíveis;
– criar e eliminar RA e LRA;
– [emitir, actualizar e revogar acordos de certificação cruzada, mediante
instruções da PA da Comissão Europeia;]
– alterar o código PIN do cartão inteligente da RA e da LRA;
– definir perfis de certificados por defeito (duração, etc.);
– processar registos de auditoria e assegurar a cópia de segurança da base
de dados do sistema PKI.
• Administradores do sistema CA
[São atribuídas a dois indivíduos responsabilidades de administrador do
sistema CA, agindo um deles como suplente.] A Autoridade Operativa da
CA nomeia os administradores do sistema CA, que são responsáveis:
– pela manutenção do bom funcionamento e da configuração correcta do
hardware e do software subjacentes para a CA CommisSign;
– pela constituição de cópias de segurança do sistema CA CommisSign.
5.2.1.2. Perfis qualificados RA:
Pelo menos dois indivíduos são nomeados RA. As RA têm autoridade para:
• aceitar e processar pedidos de certificados[, pedidos de
revogação/suspensão de certificados] [e pedidos de recuperação de
chave],
• verificar a identidade de um requerente,
• transmitir à CA informações sobre um requerente,
• receber e distribuir informações relativas à autorização do assinante.
5.2.1.3. Perfis qualificados LRA:
Pelo menos dois indivíduos de cada Direcção-Geral ou entidade autónoma
(delegações, etc.) são nomeados LRA. As LRA têm autoridade para:
• aceitar e processar pedidos de certificados,
• transmitir à CA informações sobre um requerente,
• receber da RA informações relativas à autorização do assinante,
45
• verificar a identidade e a presença física de um requerente,
• facultar ao assinante informações relativas à autorização,
• assistir o assinante durante o processo de criação da chave e da
certificação.
5.2.2. Número de pessoas necessário por tarefa
As tarefas seguidamente indicadas são definidas como sensíveis e a sua
realização exige, pelo menos, dois indivíduos.
São necessários dois funcionários da CA para:
• introduzir e retirar outros funcionários da CA e RA
• definir perfis de certificados por defeito
São necessários uma LRA e um agente de segurança para:
• proceder à recuperação da chave.
5.2.3. Identificação e autenticação para cada perfil
A identificação e a autorização para o pessoal da RA e da LRA seguem os
requisitos enunciados no n.º 5.3.
Quando este pessoal estiver devidamente autorizado, receberá um certificado
e um cartão inteligente, que os identifica e autentica perante o sistema CA
CommisSign. Além disso, são introduzidos na base de dados da CA
CommisSign, com a especificação das respectivas funções e autoridades. Na
execução de operações sensíveis, o pessoal da RA e da LRA autentica-se
utilizando o cartão inteligente.
5.3.
Controlos de segurança do pessoal
5.3.1. Requisitos de antecedentes, qualificações, experiência e credenciamento
[O pessoal que desempenha estas funções deverá ter sido submetido a uma
investigação de base tendo em vista posições sensíveis. Os Utilizadores
Principais da CA, os funcionários da CA e a RA são considerados posições
sensíveis com uma classificação de risco elevado. As LRA são consideradas
posições sensíveis com uma classificação de risco moderado.]
5.3.2. Procedimentos de verificação de antecedentes
Toda a verificação de antecedentes é executada de acordo com as políticas
de segurança de pessoal da Comissão Europeia e dos governos europeus.
5.3.3. Requisitos de formação
O pessoal que executa tarefas relativas ao funcionamento de uma CA, RA ou
LRA recebe:
46
• formação relativa ao funcionamento do software e/ou hardware usado no
sistema CA CommisSign
• formação relativa às funções que deverá desempenhar
• informação sobre o que está estipulado na presente CPS e na Política de
Certificação para a PKI da Comissão Europeia.
5.3.4. Frequência e requisitos de reciclagem
Os requisitos do ponto anterior mantêm-se actuais, tendo em conta eventuais
alterações no sistema CA CommisSign. A reciclagem profissional é
realizada de acordo com essas alterações.
5.3.5. Rotação de postos de trabalho
Não definida.
5.3.6. Sanções para acções não autorizadas
Na eventualidade de uma acção não autorizada, real ou suspeita, ser
realizada por uma pessoa que desempenhe funções respeitantes ao
funcionamento da CA CommisSign ou às RA, serão tomadas medidas
disciplinares (de acordo com o estatuto da Comissão Europeia).
A transgressão da presente CPS ou da Política de Certificação da Comissão
Europeia, quer por negligência quer com intenção maliciosa, está sujeita à
revogação de privilégios e/ou a processo disciplinar administrativo.
5.3.7. Contratação de pessoal
O pessoal contratado responsável pelo funcionamento de qualquer parte da
CA CommisSign ou das RA está sujeito aos mesmos critérios que um
funcionário estatutário da Comissão Europeia e é credenciado de acordo
com o nível das funções desempenhadas, conforme especificado no n.º 5.3.
5.3.8. Documentação fornecida ao pessoal
A presente CPS está à disposição do pessoal da CA CommisSign e da RA,
bem como dos assinantes. Estão à disposição do pessoal da CA e da RA
manuais de instruções, para que o pessoal possa operar e manter o hardware
e o software PKI.
Além da CPS, os assinantes recebem informações sobre a utilização e a
protecção do software usado no domínio da Comissão Europeia e a CA
CommisSign dá assistência técnica aos utilizadores de todos os domínios.
47
6.
CONTROLOS TÉCNICOS DE SEGURANÇA
6.1.
Geração e instalação do par de chaves
6.1.1. Geração do par de chaves
O par de chaves de assinatura da CA CommisSign é criado durante o
arranque inicial da aplicação de controlo principal da CA e está protegido
pela chave de segurança (Master) da CA.
Para os utilizadores, o software de cliente PKI gera um par de chaves de
assinatura digital. As chaves geradas por software podem ser armazenadas
num ficheiro ou num disco ou ainda numa disquete removível.
6.1.2. Entrega da chave privada à entidade titular
Para o par de chaves de assinatura digital, dado que o par de chaves é gerado
pelo software de utilizador do assinante, não é necessária a entrega da chave
privada.
6.1.3. Entrega da chave pública ao emissor do certificado
A chave pública de verificação da assinatura é entregue, de forma segura, ao
sistema CA CommisSign, usando um protocolo de comunicações seguras.
6.1.4. Entrega da chave pública CA aos utilizadores
A chave pública de verificação CA CommisSign é entregue aos assinantes
num certificado CA, usando um protocolo de comunicações seguras. A CA
CommisSign verifica se a chave pública é entregue a um terceiro de
confiança externo, num certificado CA que se encontra no servidor da
Comissão Europeia na Web, usando um protocolo seguro.
6.1.5. Tamanhos de chaves assimétricos
Os pares de chaves de assinatura dos utilizadores têm 1024 bits RSA.
O par de chaves de assinatura da CA CommisSign tem 1024 bits RSA. As
chaves de sessão para o protocolo de comunicações seguras são chaves DES
triplas.
6.1.6. Geração de parâmetros de chaves públicas
Não definida.
6.1.7. Verificação da qualidade dos parâmetros
Não definida.
6.1.8. Geração de chave por hardware/software
A chave de segurança (Master) da CA CommisSign é armazenada em
hardware. As chaves de todas as outras entidades são geradas no software de
cliente PKI.
48
6.1.9. Fins a que se destinam as chaves (de acordo com o campo X.509v3)
O par de chaves de assinatura digital é usado para proporcionar a
autenticação, a integridade e apoio a serviços de não repúdio.
O par de chaves de encriptação é usado para proteger uma chave simétrica
usada para encriptar dados e, por isso, presta serviços de confidencialidade.
A chave de assinatura CA CommisSign é usada para assinar certificados,
CRL [e ARL] emitidos por essa CA. As chaves de sessão do protocolo de
comunicações seguras são usadas para possibilitar comunicações seguras nas
operações de gestão de chaves.
Temporariamente, existe apenas um par de chaves.
6.2.
Protecção da chave privada
Nos parágrafos que se seguem, descrevem-se as técnicas e os procedimentos
para a protecção da chave privada. As formas de protecção indicadas não
invalidam a responsabilidade do assinante de proteger as suas chaves
privadas contra divulgação.
6.2.1. Normas para o módulo criptográfico
O módulo criptográfico usado pelo software do domínio da CA CommisSign
está em conformidade com [...............].
6.2.2. Controlo multi-pessoal para a chave privada
Para a recuperação da chave privada é exigido o controlo por várias pessoas;
cf. n.º 5.2.2 "Número de pessoas necessário por tarefa".
6.2.3. Recuperação de chave privada
Não é permitida a recuperação de chaves privadas por um terceiro externo.
6.2.4. Cópia de segurança de chave privada
As chaves privadas CA CommisSign são guardadas na base de dados do
sistema CA CommisSign. A chave de assinatura privada do assinante nunca
é copiada para o sistema CA CommisSign, a fim de apoiar os serviços de
não repúdio. [A base de dados do sistema CA CommisSign está encriptada.]
[Todas as noites é feita uma cópia de segurança da base de dados do sistema
CA CommisSign.]
6.2.5. Arquivamento de chave privada
Para informações sobre o arquivamento de chave privada, cf. n.º 4.6 da
presente CPS.
49
6.2.6. Introdução da chave privada no módulo criptográfico
A chave privada de assinatura da CA CommisSign e a chave privada de
assinatura do assinante são geradas em software, no módulo criptográfico, e
não introduzidas por outras entidades nesse módulo.
As chaves privadas são armazenadas encriptadas no módulo criptográfico e
são decifradas apenas no momento em que são efectivamente usadas.
6.2.7. Método de activação da chave privada
As chaves privadas são activadas no momento em que o assinante acede ao
software criptográfico de cliente. O acesso faz-se sob a forma de uma senha
que é protegida contra divulgação no momento em que é introduzida.
6.2.8. Método de desactivação da chave privada
As chaves privadas permanecem activas durante o período de duração da
sessão. Esse período é terminado quando o assinante encerra a sessão ou
quando desactiva a chave de assinante.
6.2.9. Método de destruição da chave privada
A destruição permanente de chaves privadas faz-se por meio de operações
seguras de eliminação.
6.3.
Outros aspectos da gestão do par de chaves
6.3.1. Arquivamento da chave pública
Relativamente à cópia de segurança e ao arquivamento da chaves, cf. n.º 6.2.
6.3.2. Períodos de utilização das chaves pública e privada
Chave pública e certificado da CA CommisSign – [10 anos]
Chave de assinatura privada da CA CommisSign – [10 anos]
Chave pública de verificação de assinante e certificado - dois anos.
6.4.
Dados de activação
6.4.1. Geração e instalação dos dados de activação
São necessários cartões inteligentes e senhas de todas as entidades que
acedem ao software da PKI. O software aplica um conjunto de regras
rigorosas a cada senha para verificar se é segura. As senhas são obrigatórias
para a CA. A RA e as LRA estão protegidas por cartão inteligente.
50
Algumas regras de selecção da senha:
• deve ter, pelo menos, doze caracteres;
• deve ter, pelo menos, um carácter maiúsculo, caracteres especiais e um
dígito;
• deve ter, pelo menos, uma letra minúscula;
• não deve conter muitas repetições do mesmo carácter;
• não deve ser igual ao nome de perfil da entidade;
• não deve conter uma subcadeia longa do nome de perfil da entidade.
Os dados usados para a inicialização de um assinante são descritos no n.º 4.2
da presente CPS.
6.4.2. Protecção dos dados de activação
Na base de dados de sistema CA CommisSign são armazenados os nomes de
utilizador e os valores de verificação de senhas relativos à administração do
sistema de servidores da CA CommisSign, aos funcionários da CA e às RA.
6.4.3. Outros aspectos respeitantes aos dados de activação
Não definidos.
6.5.
Controlos de segurança informática
6.5.1. Requisitos técnicos específicos de segurança informática
[O sistema CA CommisSign prevê as seguintes possibilidades através do
sistema operativo e de uma combinação do sistema operativo, do software da
CA CommisSign e dos controlos físicos:
• controlo do acesso aos serviços da CA e aos perfis PKI;
• separação clara de funções dos perfis PKI;
• identificação e autenticação dos perfis PKI e das entidades que lhes estão
associadas;
• uso de criptografia para a segurança das comunicações da sessão e da
base de dados;
• arquivamento do historial e dos dados de auditoria da CA e da entidade
final;
• auditoria de eventos relacionados com a segurança;
• mecanismos de recuperação das chaves e do sistema CA.
51
É possível obter informações sobre estas possibilidades nas respectivas
partes da presente CPS.
6.5.2. Classificação da segurança informática
Não definida.
6.6.
Controlos de segurança do ciclo de vida
6.6.1. Controlos de desenvolvimento do sistema
Não definidos.
6.6.2. Controlos de gestão de segurança
Os controlos de gestão de segurança da CA CommisSign incluem, entre
outros:
• um mecanismo e/ou políticas em vigor para controlar e supervisionar a
configuração do sistema CA;
• o equipamento da CA CommisSign é dedicado à administração de uma
infra-estrutura de gestão de chaves;
• o equipamento da CA CommisSign não tem instalados aplicações nem
componentes de software que não façam parte da configuração CA, com
excepção do software de protecção contra vírus;
• as actualizações do equipamento da CA CommisSign são instaladas por
pessoal fiável e com formação adequada, de forma bem definida.
6.7.
Controlos de segurança da rede
[O acesso remoto ao sistema CA CommisSign faz-se de forma segura,
usando um protocolo de comunicações seguras. Não é permitido qualquer
outro tipo de acesso remoto e as funções que incluam FTP de entrada estão
desactivadas. Todas as portas TCP/IP estão bloqueadas, com excepção das
necessárias para a auditoria de eventos activados pela PKI e para a auditoria
de todas as operações mal sucedidas e das operações de baixa frequência
bem sucedidas.]
6.8.
Controlos de engenharia do módulo criptográfico
O módulo criptográfico do software PKI foi concebido para cumprir
[............]. A chave de segurança (Master) da CA CommisSign é armazenada
num dispositivo de hardware que está em conformidade com [............].
O módulo criptográfico para gerar chaves, usado pelo software PKI foi
concebido para cumprir [..................].
52
7.
PERFIS DO CERTIFICADO E DA CRL
7.1.
Perfil do certificado
7.1.1. Número de versão
A CA CommisSign emite certificados X.509 Versão 3, de acordo com o
certificado PKIX e com o perfil CRL. Suporta os seguintes campos X.509:
Campos
Descrição
version:
O campo relativo à versão tem o valor v3
serial number:
Quando é criado um novo certificado de
utilizador, o sistema CA CommisSign gera
um número de série único no domínio de
segurança da CA CommisSign
signature Algorithm:
Identificador do algoritmo usado pela CA
CommisSign para assinar o certificado
issuer:
Emissor do certificado: CA CommisSign;
nome diferenciado (DN)
validity:
Validade do certificado - são especificadas
as datas de início (notBefore) e final
(notAfter)
subject:
Titular do certificado; nome diferenciado
(DN)
public key information:
Identificador de algoritmo
Chave pública
Thumbprint Algorithm:
Identificador de algoritmo
Thumbprint
7.1.2. Extensão de certificados
Não se admitem extensões.
7.1.3. Identificadores de algoritmos e objectos
A CA CommisSign suporta os seguintes algoritmos:
Algoritmo
Identificador de
objecto
Autoridade
emissora
SHA1WithRSAEncryption 1 2 840 113549 1 1 5
UTIMACO
DES-EDE3-CBC
UTIMACO
1 2 840 113549 3 7
53
7.1.4. Formatos de nome
Num certificado, os campos "issuer DN" e "subject DN" contêm o nome
diferenciado (DN) X.500 completo do emissor do certificado ou do titular do
certificado.
7.1.5. Restrições de nome
A CA CommisSign não usa restrições de nome.
7.1.6. Identificador de objectos da política de certificação
Não definido.
7.1.7. Uso da extensão de restrições de políticas
A CA CommisSign não usa restrições de políticas.
7.1.8. Sintaxe e semântica dos qualificadores de políticas
Não definidas.
7.1.9. Semântica de processamento para a política relativa a certificados sensíveis
[A única extensão de certificados que se pode considerar essencial nos
certificados emitidos pela CA CommisSign é a extensão
cRLDistributionPoints. A CRL ou a ARL devem ser recuperadas da entrada
da lista no ponto de distribuição da CRL que é indicada no certificado, a
menos que o software de cliente do assinante contenha uma cópia actual
dessa CRL ou ARL, em cache.]
7.2.
Perfil de CRL [A rever quando implementado]
7.2.1. Número de versão
As CRL emitidas pela CA CommisSign são CRL X.509 versão 2, de acordo
com o certificado PKIX e o perfil de CRL.
Segue-se uma lista dos campos do formato das CRL X.509 versão 2, que são
usados pela CA CommisSign:
Campos
Descrições
Version
Seleccionar v2
Signature
Identificador do algoritmo usado para assinar a CRL
Issuer
Nome Diferenciado completo da CA CommisSign
this update
Momento da emissão da CRL
next update
Momento da próxima actualização prevista da CRL
revoked
Lista de informações sobre os certificados revogados
54
Campos
Descrições
certificates
7.2.2. Extensões de CRL e das suas entradas
Os parágrafos seguintes descrevem as extensões das CRL X.509 versão 2 e
das suas entradas, que são suportadas pela CA CommisSign, assim como as
que não são suportadas nas CRL emitidas pela CA CommisSign.
7.2.2.1. Extensões suportadas
O quadro seguinte apresenta as extensões das CRL e de entradas CRL
suportadas pela CA CommisSign.
EXTENSÃO
ESSENCIAL / FACULTATIVA NOTAS
NÃO
ESSENCIAL
AuthorityKey Não essencial
Identifier
Não facultativa
Apenas se preenche
o elemento [0]
(authorityKeyIdentif
ier)
Contém um hash de
20 bytes do
subjectPublicKeyInf
o no certificado da
CA
CRLNumber
particular
Não essencial
Não facultativa
Incrementada de
todas as vezes que
uma CRL/ARL é
alterada
ReasonCode
Não essencial
Não facultativa
Extensão de entradas
CRL – actualmente
só são suportados os
códigos (0), (1), (3),
(4) e (5)
IssuingDistri
butionPoint
Essencial
Não facultativa
O elemento [0]
(distributionPoint)
inclui o DN
completo do ponto
de distribuição
É incluído o
elemento [1]
(onlyContainsUserC
erts) para as CRL
É incluído o
55
EXTENSÃO
ESSENCIAL / FACULTATIVA NOTAS
NÃO
ESSENCIAL
elemento [2]
(onlyContainsCACer
ts) para as ARL
Os elementos [1] e
[2] nunca estão
presentes
simultaneamente na
mesma lista de
revogações
Os elementos [3] e
[4] não são usados
7.2.2.2. Extensões não suportadas
A CA CommisSign não suporta as seguintes extensões das CRL X.509
versão 2:
• issuer alternative name (nome alternativo do emissor),
• hold instruction code (código de instrução de suspensão),
• invalidity date (data de prescrição),
• certificate issuer (emissor do certificado),
• delta CRL indicator (indicador delta CRL),
8.
ADMINISTRAÇÃO DE ESPECIFICAÇÕES
8.1.
Procedimentos para mudança de especificações
A presente CPS será inteiramente revista todos os anos. Quaisquer erros,
actualizações ou sugestões de alterações a este documento devem ser
comunicadas à pessoa de contacto referida no n.º 1.4.
8.1.1. Elementos que podem ser alterados sem notificação
Poderão ser feitas alterações a partes da presente CPS que, na opinião da
CA, tenham pouco ou nenhum impacto para os utilizadores e os domínios de
certificação cruzada da CA que utilizem certificados e CRL emitidos de
acordo com a CPS, sem alterar o número de versão do documento e sem
notificação dos utilizadores.
8.1.2. Alterações com notificação
Poderão fazer-se alterações à política de certificação suportadas pela
presente CPS, assim como alterações a aspectos da CPS que, na opinião da
56
PA, possam ter um impacto significativo para os utilizadores e para os
domínios de certificação cruzada da CA que utilizam certificados e CRL
emitidos de acordo com a CPS, mediante um pré-aviso de 30 dias da
comunidade de utilizadores, sendo o número de versão do documento
alterado nesse sentido.
8.1.2.1. Lista de elementos
Qualquer elemento da presente CPS pode ser sujeito ao requisito de
notificação identificado nos n.ºs 8.1.1 "Elementos que podem ser alterados
sem notificação" e 8.1.2 "Alterações com notificação".
8.1.2.2. Mecanismo de notificação
Trinta dias antes de serem efectuadas alterações importantes à presente CPS,
a notificação das futuras alterações será afixada no site da CA CommisSign
e transmitida às organizações que têm certificação cruzada com a CA,
através de correio electrónico seguro. A notificação deve conter uma
declaração das alterações propostas, o prazo para recepção de observações e
a data efectiva de alteração que é proposta. A PA pode pedir às CA que
notifiquem os respectivos assinantes das alterações propostas.
8.1.2.3. Período para apresentação de observações
O período para apresentação de observações será de 30 dias, a menos que se
especifique algo em contrário. Esse período será definido na notificação.
8.1.2.4. Mecanismo para gerir as observações
Quaisquer observações sobre as alterações propostas devem ser dirigidas à
Autoridade Operativa (OA) da CA. Essa comunicação deve incluir uma
descrição da alteração, justificação, informação de contacto da pessoa que
solicita a alteração e assinatura da mesma.
A OA deve aceitar, aceitar com modificações ou rejeitar a alteração
proposta, após terminado o período para apresentação de observações. A
decisão da OA quanto às alterações propostas é analisada em conjunto com a
PA da Comissão Europeia. As decisões respeitantes às alterações propostas
são da responsabilidade da OA e da PA.
8.1.2.5. Período de notificação definitiva das alterações
A OA determina o período de notificação definitiva das alterações.
8.1.2.6. Elementos cuja alteração exige uma nova política
Se a PA determinar uma alteração de política para garantir a emissão de uma
nova política, poderá atribuir um novo Identificador de Objecto (OID) à
política modificada.
57
8.2.
Políticas de publicação e notificação
A OA publicará a presente CPS e a Política de Certificação para a PKI da
Comissão Europeia no site da CA CommisSign. Também transmitirá
informações por correio electrónico a quem as solicitar.
8.3.
Procedimentos de aprovação da CPS
A PA da Comissão Europeia determina que a CPS da CA CommisSign deve
estar em conformidade com a Política de Certificação para a PKI da
Comissão Europeia.
9.
ANEXOS
9.1.
9.2.
Acrónimos
ARL
Lista de Autoridades Revogadas
CA
Autoridade de Certificação
CE
Comissão Europeia
CP
Política de Certificação
CPS
Declaração de Práticas de Certificação
CRL
Lista de Certificados Revogados
CUG
Closed User Group - Grupo Fechado de Utilizadores
DG
Direcção-Geral
IDA
Transferência de Dados entre Administrações
LRA
Autoridade de Registo Local
PA
Autoridade responsável pelas políticas
PKI
Infra-Estrutura de Chave Pública
PASS
Serviço Protocolo e Segurança
RA
Autoridade de Registo
TCP/IP
Transmission Control Protocol/Internet Protocol
URL
Unified Resource Locator - Indicador Uniforme de Recurso
Definições
Administradores da CA Os administradores do sistema CA são indivíduos
responsáveis pela manutenção do bom funcionamento e da configuração
correcta do hardware e do software da CA CommisSign e pela realização de
cópias de segurança do sistema CA CommisSign.
58
Assinante Indivíduo ou organização cuja chave pública está certificada num
certificado de chave pública. Na PKI da Comissão Europeia, pode tratar-se
de um funcionário ou de um adjudicatário da Comissão. Os assinantes
poderão ter um ou mais certificados de uma CA específica que lhes esteja
associada; a maioria terá, pelo menos, dois certificados activos - um com a
sua chave de verificação da assinatura digital e outro com a chave de
encriptação de confidencialidade.
Assinatura Digital Resultado da transformação de uma mensagem por meio
de um sistema criptográfico que utiliza chaves, de forma que uma pessoa
que tenha a mensagem inicial pode determinar:
(1)
se a transformação foi criada usando a chave que corresponde à
chave do assinante;
(2)
se a mensagem foi alterada desde que a transformação teve lugar.
Autoridade de Certificação Autoridade em que um ou vários utilizadores
confiam para emitir e gerir certificados de chave pública X.509 e CRL.
Autoridade de Registo (RA) Entidade responsável pela identificação e
autenticação dos assinantes dos certificados, antes da emissão dos
certificados, mas que, na realidade, não assina nem emite os certificados (ou
seja, uma CA delega certas tarefas numa RA).
Autoridade Operacional Pessoal responsável pelo funcionamento global de
uma CA da PKI da COMISSÃO EUROPEIA. A sua responsabilidade
abrange domínios como os recursos humanos, as finanças e a resolução de
litígios. Para as funções da Autoridade Operacional, não é necessária uma
conta na estação de trabalho da CA.
Autoridade Operativa (OA) da CA A Autoridade Operativa da CA é
responsável pela elaboração e administração da Declaração de Práticas da
CA e pela gestão da chave de segurança (Master).
Autoridade responsável pelas políticas Organismo da Comissão Europeia
responsável pela definição, implementação e administração de decisões
políticas respeitantes às CP e CPS de toda a PKI da Comissão Europeia.
CA emissora No contexto de um determinado certificado, a CA emissora é
a CA que assinou e emitiu o certificado.
Certificado Chave pública de um utilizador, em conjunto com outras
informações, impossível de falsificar, graças à sua assinatura digital com a
chave privada da autoridade de certificação que a emitiu. O formato do
certificado segue a Recomendação X.509 da ITU-T.
Dados de Activação Dados privados, diferentes das chaves, exigidos para o
acesso aos módulos criptográficos.
Empregado Qualquer pessoa empregada pela Comissão Europeia.
59
Entidade Qualquer elemento autónomo da Infra-Estrutura de Chave
Pública. Pode ser uma CA, uma RA ou uma Entidade Final.
Entidade Final Entidade que usa as chaves e os certificados criados na PKI,
para fins diferentes da gestão dos referidos certificados e chaves. Uma
Entidade Final pode ser um Assinante ou um Terceiro de Confiança.
Funcionários da CA Os funcionários da CA são indivíduos responsáveis
pelo funcionamento e administração do servidor e do software da CA.
Funcionário da PKI Qualquer pessoa autorizada a desempenhar as funções
definidas para gerir uma PKI.
Identificador de Objecto (OID) O identificador alfanumérico/numérico
único registado em conformidade com a norma de registo ISO, para fazer
referência a um objecto específico ou a uma classe de objectos específica.
Infra-Estrutura de Chave Pública Estrutura de hardware, software,
pessoas, processos e políticas que usa a tecnologia de assinatura digital para
dar a terceiros de confiança uma associação verificável entre a componente
pública de um par de chaves assimétrico e um assinante específico.
Lista Sistema de listas que cumpre as recomendações da série X.500 da
ITU-T.
Lista de Autoridades Revogadas (ARL) Lista de certificados de outras CA
revogados. Uma ARL é equivalente a uma CRL para os certificados
cruzados com outras CA.
Lista de Certificados Revogados (CRL) Lista de certificados revogados
que é criada e assinada pela CA que emitiu os certificados. Um certificado é
introduzido na lista quando é revogado (por exemplo, por suspeita de
comprometimento da chave). Em determinadas circunstâncias, a CA pode
dividir uma CRL num conjunto de CRL mais pequenas.
MD5 Um dos algoritmos de resenha de mensagens (message digest
algorithms) desenvolvidos pela RSA Data Security Inc.
Organização Serviço, agência, empresa, sociedade, trust, empresa comum
ou outra associação.
Patrocinador Um patrocinador, na PKI da Comissão Europeia, é o serviço
ou funcionário da Comissão Europeia que determinou a emissão de um
certificado para um determinado indivíduo ou organismo (por exemplo, no
caso de um empregado, poderá ser o seu administrador). O patrocinador é
responsável por informar a CA ou a RA se a relação com o assinante tiver
cessado ou se tiver alterado, para que o certificado seja revogado ou
actualizado.
Pessoal da Comissão Pessoas empregadas pela Comissão Europeia.
Trata-se de indivíduos com posições salariais normais destacados para
desempenhar funções e com determinadas responsabilidades dentro da
Comissão Europeia.
60
Terceiro de Confiança Uma pessoa que usa um certificado assinado por
uma CA da PKI da Comissão Europeia para autenticar uma assinatura digital
ou para encriptar comunicações com o titular do certificado e que é um
assinante de uma CA da PKI da Comissão Europeia ou de uma PKI que tem
certificação cruzada com a PKI da Comissão Europeia.
Utilizadores Principais da CA Os Utilizadores Principais da CA são
indivíduos com autoridade para gerar e manter a chave de segurança
(Master) da CA CommisSign, alterar as senhas do servidor da CA e
recuperar os funcionários da CA, caso estes tenham esquecido as respectivas
senhas.
Zona de alta segurança Área de acesso controlado através de um ponto de
entrada e limitada a pessoal autorizado devidamente credenciado e a
visitantes devidamente acompanhados. As zonas de alta segurança devem
estar encerradas em todo o seu perímetro e ser vigiadas 24 horas por dia, 7
dias por semana, por pessoal de segurança, por outro pessoal ou por meios
electrónicos.
9.3.
Documentos de referência
[RD1]
Política de Segurança TIC (TIC Security Policy)
[RD2]
Documento RFC 2527
[RD3]
Regulamento (CE) n.° 45/2001 do Parlamento Europeu e do
Conselho, de 18 de Dezembro de 2000
61