Politika národného certifikačného orgánu Slovenskej Republiky SK-MSA pre systém digitálneho tachografu.

Transcription

1 Politika národného certifikačného orgánu Slovenskej Republiky SK-MSA pre systém digitálneho tachografu. Ministerstvo dopravy, pôšt a telekomunikácií Slovenskej Republiky Strana 1 z 46

2 Schválenie dokumentu Prijaté pripomienky od komisie Meno Organizácia Dátum Podpis James Bishop EU Commission Kontrola verzií dokumentu a schválenia Verzia Popis zmien Schválené Dátum schválenia 1.0 Initial version MSA Initial version modified according ERCA foundings MSA Strana 2 z 46

3 Súlad s ERCA Root Policy Nasledujúca tabuľka popisuje adresované odôvodnenia požiadaviek odseku dokumentu ERCA Root Policy. Odporúčanie ERCA CP Odvolávka v SK MSA politike Požiadavka ERCA MSA politika má identifikovať entity v súvislosti s prevádzkou systému Kľúčové páry členského štátu pre certifikáciu kľúča zariadenia a pre distribučný master kľúč senzora pohybu má byť generovaný a uložený Generovanie kľúčového páru členského štátu má byť vykonané vo fyzicky zabezpečenom priestore personálom dôveryhodných rolí pod minimálne dvojitou kontrolou (dual control) Kľúčové páry členského štátu sa majú použiť najviac po dobu 2 rokov ododňa ich certifikácie organizáciou ERCA Generovanie nových kľúčových párov členského štátu musí byť uskutočnené včasným spôsobom zohľadnením doby 1 mesiaca požadujúceho pre vykonanie certifikácie organizáciou ERCA MSA musí postúpiť MSCA verejné kľúče na certifikáciu organizáciou ERCA použitím key certification request (KCR) protokolu popísaného v Prílohe A MSA musí postúpiť master kľúče pohybového senzora od ERCA použitím key distribution request (KDR) protokolu popísaného v Prílohe D MSA musí rozpoznať verejný kľúč ERCA v distribučnom formáte popísanom v Prílohe B MSA má použiť fyzické médiá pre prenos kľúča a certifikátu popísaných v Prílohe C MSA má zabezpečiť že Key Identifier (KID) a moduly (n) kľúčov postúpené do ERCA na certifikáciu a pre distribúciu kľúča pohybového senzora sú jedinečné vrámci domény MSCA MSA musí zabezpečiť že sa neplatné kľúče nebudú používať pre akýkoľvek účel. Súkromný kľúč členského štátu musí byť buď: zničený tak aby sa nedal súkromný kľúč obnoviť; alebo Strana 3 z 46

4 ponechaný takým spôsobom, aby sa predišlo jeho použitiu. MSA musí zabezpečiť, že RSA kľúč zariadenia je generovaný, prenášaný a vkladaný do zariadenia Takým spôsobom, aby sa zachovala jeho dôvernosť a integrita... MSA musí zabezpečiť dôvernosť, integritu a dostupnosť súkromných kľúčov generovaných, uložených a použitých podľa postupov a nariadení v politike MSA. MSA musí zabrániť neautorizovanému použitiu súkromných kľúčov generovaných, uložených a použitých podľa postupov a nariadení v politike MSA Súkromné kľúče členského štátu môžu byť obnovené použitím key recovery procedúry vyžadujúcej minimálne dvojitú kontrolu (dual control) Požiadavky na certifikáciu kľúča, ktoré rátajú s prepravou súkromných kľúčov nie sú dovolené Key escrow je striktne zakázaný MSA musí zabrániť neautorizovanému použitiu jej kľúčov pre senzory pohybu MSA musí zabezpečiť, že master kľúč pohybového senzora (Km) je používaný iba na šifrovanie dát pohybového senzora využívané výrobcami senzoru pohybu. Dáta potrebné zašifrovať sú popísané v ISO / IEC štandarde Master kľúč pohybového senzora (Km) nesmie nikdy opustiť zabezpečené a kontrolované prostredie organizácie MSA MSA musí poslať kľúč pohybového senzora pre dielenskú kartu (KmWC) jednotlivému perzonalizérovi (v tomto prípade službe perzonifikácie kariet), pomocou primeraných bezpečnostných prostriedkov, pre výhradný zámer jeho vloženia do dielenských kariet MSA musí poslať kľúč pohybového senzora jednotky vozidla (KmVU) jednotlivému perzonalizérovi (v tomto prípade výrobcovi jednotiek vozidla), pomocou primeraných bezpečnostných prostriedkov, pre výhradný zámer jeho vloženia do jednotiek vozidla MSA musí udržiavať dúvernosť, integritu a dostupnosť kópií jej kľúča pohybového senzora MSA musí zabezpečiť že kópie jej kľúča pohybového senzora sú uložené v zariadení, ktoré buď: a) spĺňa požiadavky identifikované v FIPS (alebo Strana 4 z 46

5 FIPS 140-1) úroveň 3 alebo vyššia [9]; b) predstavuje dôveryhodný systém, ktorý je zaistený podľa EAL4 alebo vyššej podľa ISO 15408[11]; podľa E3 alebo vyššej v ITSEC [12]; alebo podľa ekvivalentného bezpečnostného kritéria. Týmto ohodnoteniam musí zodpovedať profil ochrany alebo bezpečnostný cieľ. MSA musí vlastniť odlišné páry kľúčov členského štátu pre výrobu verejných kľúčov pre certifikáty zariadení jednotiek vozidla a tachografových kariet MSA musí zabezpečiť dostupnosť certifikačnej služby kľúčov jej zariadení MSA musí súkromné kľúče členského štátu používať iba na: a) výrobu certifikátov pre zariadenia uvedené v Prílohe I(B) použítím ISO / IEC algoritmu pre elektronický podpis ako je popísané v Prílohe I(B) Dodatok 11 Common Security Mechanisms [6]; b) výrobu certifikačnej požiadavky ERCA kľúča ako je popísané v Prílohe A. c) vydávanie Zoznamu zneplatnených certifikátov (Certificate Revocation Lists) ak sa táto metóda používa na poskytovanie informácie o stave certifikátu (pozri ) MSA musí podpisovať certifikáty zariadení s tým istým zariadením, ktoré používa pre uloženie súkromných kľúčov členského štátu Within its domain, MSA vrámci jej domény musí zabezpečiť že verejné kľúče zariadení sú identifikované pomocou jedinečného identifikátora kľúča (KID), ktorý spĺňa predpísané formáty podľa Prílohy 1(B) (EU1360) Pokiaľ je generovanie kľúča a certifikácia vykonávaná v tom istom fyzicky zabezpečenom priestore, protokol certifikácie kľúča musí poskytovať dôkaz vzniku (proof of origin) a integritu certifikačných požiadaviek bez odhalenia súkromného kľúča MSA musí udržiavať a zabezpečiť dostupnosť informácie o stave certifikátu Doba platnosti certifikátu na tachografovej karte musí byť rovnaká ako doba platnosti tachografovej karty MSA musí zabrániť vloženiu certifikátu nedefinovanej platnosti do tachografových kariet Neaplikovateľné MSA musí zaručiť že používatelia kariet prešli kontrolou identity v niektorej fáze procesu vydania Strana 5 z 46

6 karty. MSA musí zaručiť, že ERCA je bezodkladne informovaná o strate, krádeži, alebo potenciálnom prezradení akýchkoľvek MSA kľúčov. MSA musí implementovať primerané mechanizmy disaster recovery, ktoré nezávisia od času reakcie ERCA MSA musí zriadiť systém manažérstva iformačnej bezpečnosti (ISMS), založenom na analýze rizík pre všetky zúčastnené prevádzky MSA musí zabezpečiť, že politika hovorí o školení personálu, oprávneniach a rolách MSA musí zaručiť, že sú udržiavané primerané záznamy o certifikačných činnostiach MSA musí zapracovať opatrenie pre ukončenie činnosti MSCA do MSA politiky MSA politika musí obsahovať procedúry zmien MSA musí ustanoviť audit ak Požiadavky tejto Sekcie budú zachované MSA musí vykonávať audit činností pokrytých schválenou politikou v intervaloch nie väčších ako 12 mesiacov MSA musí oznámiť výsledky auditu ako je popísané v a poskytnúť auditnú správu v anglickom jazykuorganizácii ERCA Auditná správa musí definovať všetky nápravné opatrenia, vrátane ich implementačného plánu, potrebné k splneniu povinností MSA. Strana 6 z 46

7 1 Úvod Tento dokument je politikou národného certifikačného orgánu Slovenskej Republiky pre systém tachografu. Táto politika národného certifikačného orgánu je v súlade s: Nariadením rady o systéme tachografu (ES) č. 2135/98 Nariadením komisie (ES) č. 1360/2002 Nariadením rady (EHS) č. 3821/85 Usmernením a šablónou pre politiku národného certifikačného orgánu Verzia 1.0 (Guideline and Template National CA policy Version 1.0) 1.1 Zodpovedná organizácia Zodpovedný za politiku národného certifikačného orgánu je orgán členského štátu, MSA a je ním Ministerstvo dopravy, pôšt a telekomunikácií Slovenskej Republiky. V systéme tachografu je označená ako SK-MSA. Adresa organizácie SK-MSA je: Ministerstvo dopravy, pôšt a telekomunikácií SR Námestie slobody č Bratislava Slovenská Republika Menovaná autorita vydávania kariet CIA (Card Issuing Authority) je organizácia Tempest a. s. a v systéme tachografu je označená ako SK-CIA. Adresa organizácie SK-CIA je: Tempest a. s. Plynárenská 7/B Bratislava Slovenská Republika Menovaná certifikačná autorita členského štátu MSCA (Member State CA) je organizácia Viasec s.r.o. a v systéme tachografu je označená ako SK-CA. Adresa organizácie SK-CA je: Viasec s. r. o. Borská Bratislava Slovenská Republika Menovaná organizácia perzonalizácie kariet CP (Card personalizing organization) je organizácia Tempest a. s. a v systéme tachografu je označená ako SK-CP. Adresa organizácie SK-CP je: Tempest a. s. Plynárenská 7/B Strana 7 z 46

8 Bratislava Slovenská Republika MSCA alebo CP môžu zveriť časť svojich procesov subdodávateľom, servisným agentúram. Využívanie servisných agentúr žiadnym spôsobom neznižuje celkové zodpovednosti MSCA a CP. 1.2 Schválenie Táto politika národného certifikačného orgánu pre SR bola odoslaná na schválenie Európskej Komisii dňa 2. februára 2006 a bola schválená organizáciou: Digital Tachograph Root Certification Authority Traceability and Vulnerability Assessment Unit European Commission Joint Research Centre, Ispra Establishment (TP.360) Via E. Fermi, 1 I Ispra (VA) dňa 31.marca.2006 pod číslom No A Dostupnosť a kontaktné informácie Politika národného certifikačného orgánu pre systém tachografu je verejne dostupná na internetovej adrese: Otázky týkajúce sa tejto politiky národného certifikačného orgánu môžu byť adresované na: Ministerstvo dopravy, pôšt a telekomunikácií SR Námestie slobody č Bratislava Slovenská Republika 2 Oblasť a platnosť Politika národného certifikačného orgánu je platná len pre systém tachografu. Kľúče a certifikáty vydané MSCA slúžia len na používanie v systéme tachografu. Karty vydané systémom slúžia len na používanie v systéme tachografu. Nasledujúca schéma znázorňuje menežment kľúčov, certifikátov a kľúčov zariadení v systéme tachografu. Strana 8 z 46

9 Obr. Menežment kľúčov, certifikátov a kľúčov zariadení v systéme tachografu. 3 Všeobecné ustanovenia Strana 9 z 46

10 Táto časť obsahuje ustanovenia týkajúce sa osobitných povinností SK-MSA, SK-CIA, SK-CA, SK-CP a používateľov a iných otázok týkajúcich sa zákonov a riešenia sporov. 3.1 Povinnosti Táto kapitola obsahuje základné ustanovenia týkajúce sa jednotlivých povinností organizácií a používateľov systému tachografu v súlade s nariadeniami (EHS) č. 3821/85, (ES) č. 2135/98 a (ES) č. 1360/2002 : SK-MSA Autorita členského štátu (Member State Authority): a) vykonáva svoje úlohy v spolupráci s ostatnými členskými štátmi, b) je zodpovedná za vypracovanie, implementáciu a udržiavanie politiky národného certifikačného orgánumsa, dáva ju na schválenie EU komisii c) vymenováva SK-CA (certifikačnú autoritu členského štátu) d) vymenováva SK-CP (organizáciu personalizácie kariet) alebo určí subdodávateľa pre vykonávanie týchto úloh, e) uskutočňuje kontroly vykonávaných činností v SK-CA, SK-CP, SK-CIA f) zodpovedá aby SK-CA obdržala všetky informácie potrebné pre správne vykonávanie jej úloh g) schvaľuje Pravidlá pre výkon činností (Practice Statement) SK-CA, SK-CP, SK-CIA h) zodpovedá za dostupnosť tejto politiky iným členským štátom a verejnosti (dostupná na webstránke) i) neodkladne informuje Európsku Koreňovú Certifikačnú Autoritu (ERCA) o všetkých bezpečnostných incidentoch vzťahujúcich sa na produkciu, personalizáciu a používanie zariadení v systéme tachografu ako aj kľúčov a certifikátov integrovaných v týchto zariadeniach. j) ručí za dôvernosť, integritu a dostupnosť generovaných, uložených a spravovaných súkromných kľúčov politikou národného certifikačného orgánu SK-MSA k) zabezbečuje dôvernosť, integritu a dostupnosť kľúča pohybového senzora (motion sensor key) SK-CA Certifikačná autorita členského štátu (Certification Authority): a) v oblasti svojej pôsobnosti vykonáva požiadavky Nariadenia Rady (ES) č. 3821/85, (ES) č. 2135/98 a (ES) č. 1360/2002, všetkých náležitých právnych predpisov, politiky Európskej Koreňovej Certifikačnej Autority(ERCA) a tejto politiky národného certifikačného orgánu pre systém tachografu b) má vypracovaný Postup výkonu činností (PS), ktorý obsahuje implementáciu certifikačnej politiky SK-CA so zapracovanými požiadavkami Európskej Koreňovej Certifikačnej Autority (ERCA) c) zabezpečuje personálne a materiálne požiadavky pre riadne vykonávanie jej úloh Strana 10 z 46

11 d) nesie plnú zodpovednosť za riadne vykonávanie jej úloh, aj v tom prípade ak sú niektoré jej úlohy vykonávané alebo čiastočne vykonávané subdodávateľmi e) okamžite informuje SK-MSA o všetkých bezpečnostných incidentoch vzťahujúcich sa na zariadenia a systém SK-CA ako aj na kľúče a certifikáty používané v jej produkčnom prostredí SK-CIA Autorita vydávania kariet (Card Issuing Authority) a) zabezpečuje a nesie zodpovednosť za riadne doručenie a správnosť aplikačných dát potrebných pre entity SK-CA a SK-CP, b) primeraným spôsobom informuje všetkých používateľov o požiadavkách obsiahnutých v tejto politike, c) overuje splnenie všetkých nevyhnutných predpokladov pre proces vydávania tachografových kariet, d) zaručuje fakt že PIN patriaci k dielenskej karte je odovzdaný alebo doručený skutočnému žiadateľovi o vydanie dielenskej karty e) okamžite informuje SK-MSA a SK-CA o zistení všetkých bezpečnostných rizikách a incidentoch v jej produkčnom prostredí SK-CP Organizácia personalizácie kariet (Card personalization organization) a) v oblasti svojej pôsobnosti vykonáva požiadavky Nariadenia Rady (ES) č. 3821/85, (ES) č. 2135/98 a (ES) č. 1360/2002, všetkých náležitých právnych predpisov, certifikačnej politiky Európskej Koreňovej Certifikačnej Autority (ERCA) ako aj Postupov pre výkon činností (PS) SK-CA, b) má uzatvorenú zmluvu s organizáciou SK-MSA, v ktorej sa zaväzuje plniť svoje povinnosti podľa požiadaviek nariadení popísaných v bode a), c) predpísaným spôsobom poskytuje organizácii SK-MSA informácie o správnom vykonávaní svojich úloh a dodržiavaní Postupov pre výkon čiností d) okamžite informuje organizáciu SK-CA o všetkých bezpečnostných rizikách a incidentoch vzťahujúcich sa na vykonávanie úloh v jej produkčnom prostredí Majiteľ karty / Žiadateľ sa zaväzuje: a) do žiadosti o vydanie alebo obnovu tachografovej karty uviesť pravdivé informácie b) v čase podávania alebo odosielania žiadosti uviesť pravdivé informácie ohľadom disponovania ďalších platných tachografových kariet, ktoré mu boli vydané alebo sú inak spojené s jeho osobou c) že tachografovú kartu používa podľa pravidiel a podmienok pre používanie tachografových kariet v systéme tachografu d) že je vlastníkom iba jednej tachografovej karty vodiča e) že nepoužíva poškodené alebo neplatné karty Strana 11 z 46

12 f) pri podozrení alebo zistení skutočnosti o strate, odcudzení, poškodenia alebo zlom použití tachografovej karty alebo súkromného kľúča, okamžite ako je to možné informuje zodpovedné strany Výrobcovia jednotiek vozidla (VUs) a pohybových senzorov (motion sensors) Neaplikovateľné pre Slovensko v súčasnosti ani v predvídateľnej budúcnosti. 3.2 Zodpovednosť Organizácie SK-CA a SK-CP nenesú zodpovednosť voči koncovým používateľom, len smerom k organizáciám SK-MSA a SK-CIA. Všetky otázky zodpovednosti voči koncovým používateľom sú zodpovednosťou SK-MSA alebo SK-CIA. Tachografové karty, kľúče a certifikáty slúžia len na používanie v systéme tachografu. Všetky ostatné certifikáty prítomné na tachografových kartách predstavujú narušenie tejto politiky a preto ani SK-MSA, SK-CIA, SK-CA ani SK-CP nenesú žiadnu zodpovednosť k žiadnym takýmto certifikátom. Zodpovednosť SK-MSA a SK-CIA voči používateľom a dôverným stranám SK-MSA a SK-CIA sú zodpovedné za škody vyplývajúce zo zlyhaní pri plnení svojich povinností, len ak konali nedbalo. Ak SK-MSA a SK-CIA konali v súlade s touto politikou národného certifikačného orgánu a ostatnými riadiacimi dokumentmi, nemôže sa toto konanie považovať za nedbanlivé. Zodpovednosť SK-CA a SK-CP voči SK-MSA a SK-CIA SK-CP alebo SK-CA sú zodpovedné za škody vyplývajúce zo zlyhaní pri plnení svojich povinností, len ak konali nedbalo. Ak organizácia konala v súlade s touto politikou národného certifikačného orgánu a príslušným stanovením zvyklostí PS, nemôže sa toto konanie považovať za nedbanlivé. 3.3 Interpretácia a uplatňovanie Riadiaci zákon Opatrenia tejto politiky by mali byť vyložené v súlade s legislatívou Slovenskej Republiky. Otázka riadiaceho zákona nie je ešte v súčasnosti vyriešená. 3.4 Dôvernosť Dôvernosť na ochranu jednotlivcov z hľadiska spracovania osobných údajov a pohybu takýchto údajov je obmedzená podľa Smernice 95/46/ES Strana 12 z 46

13 a odpovedajúceho slovenského zákona č. 428/2002 o ochrane osobných údajov; linka: Typy informácií, ktoré majú zostať dôverné Všetky osobné alebo hromadné informácie držané SK-CA, SK-CP alebo servisnými agentúrami, ktoré sa neuvádzajú na vydaných kartách alebo certifikátoch sa považujú za dôverné a nemôžu byť zverejnené bez predchádzajúceho súhlasu používateľa, ani (v prípade potreby) bez predchádzajúceho súhlasu zamestnávateľa alebo zástupcu používateľa, ak to nie je vyžadované inak zákonom. Všetky súkromné a utajené kľúče používané a spravované v rámci činností SK- CA/SK-CP podľa tejto politiky národného certifikačného orgánu musia zostať dôverné. Auditné správy a záznamy nesmú byť sprítupňované ako celok, ak to nie je vyžadované zákonom Typy informácií, ktoré sa nepovažujú za dôverné Certifikáty sa nepovažujú za dôverné. Identifikačné informácie a ostatné osobné a hromadné informácie, ktoré sa uvádzajú na kartách a certifikátoch sa nepovažujú za dôverné, ak tak nepredpisujú zákony alebo špeciálne dohody. 4 Stanovenie zvyklostí (PS) Všetky podriadené organizácie SK-MSA (SK-CA, SK-CIA, SK-CP) musia mať stanovenie zvyklostí a postupov používaných na realizovanie všetkých požiadaviek identifikovaných v politike národného certifikačného orgánu, stanovení zvyklostí (PS). PS musí schváliť SK-MSA. Obzvlášť: a) musí stanovenie zvyklostí identifikovať povinnosti všetkých externých organizácií podporujúcich služby SK-CA a SK-CP, vrátane platných politík a zvyklostí. b) stanovenie zvyklostí musí byť sprístupnené pre SK-MSA, používateľov systému tachografu a dôverným stranám (napr. kontrolným orgánom) c) menežment SK-CA/SK-CP má zodpovednosť za zabezpečenie správnej implementácie stanovenia zvyklostí PS. Strana 13 z 46

14 d) SK-CA/SK-CIA musí definovať prehľad procesov pre stanovenie zvyklostí PS. e) SK-CA/SK-CP musí patrične oznamovať zmeny, ktoré zamýšľa vykonať vo svojom stanovení zvyklostí a musí, po schválení, bez meškania sprístupniť revidované stanovenie zvyklostí PS. Menšie revízie sa môžu vydávať bez schválenia orgánom členského štátu. 5 Správa zariadení Systém tachografu sa skladá z nasledujúcich zariadení: Tachografové karty Vehicle Units (jednotky vozidiel) Motion Sensors (snímače pohybu) Nakoľko sa na Slovensku jednotky vozidla (VUs) a pohybové senzory (Motion sensors) nevyrábajú, táto kapitola politiky sa týka iba tachografových kariet. Systém tachografu sa skladá z týchto organizácií: SK-MSA je Slovenskou autoritou členského štátu pre systém tachografu a v tomto systéme je najvyššou autoritou voči ostatným nižšie uvedeným organizáciám SK-CIA je Slovenskou autoritou vydávania pamäťových kariet pre systém tachografu a v tomto systéme je podriadenou organizáciou voči SK-MSA SK-CA je Slovenskou certifikačnou autoritou pre systém tachografu a v tomto systéme je podriadenou organizáciou voči SK-MSA SK-CP je Slovenskou organizáciou personalizácie pamäťových kariet v systéme tachografu a v tomto systéme je podriadenou organizáciou voči SK-MSA Funkcie vykonávané Slovenskou autoritou členského štátu SK-MSA: Kontrola kvality tachografových kariet (schválenie vyhovujúceho typu). Táto činnosť je vykonávaná organizáciou SK-CP, ktorej prislúcha rola personalizácie kariet ale SK-MSA zodpovedá za správne typové schválenie pamäťových kariet, ktoré sa budú používať v systéme tachografu Schvaľovanie stanovenia zvyklostí PS podriadených organizácií Funkcie vykonávané Slovenskou autoritou vydávania kariet SK-CIA: Príjem žiadostí o vydanie, obnovu, náhradu alebo výmenu tachografových kariet Schvaľovanie a posudzovanie prijatých žiadostí Strana 14 z 46

15 Registrácia používateľa Zodpovedá za úplné a pravdivé informácie v personalizačnej dávke, ktorú poskytuje organizácii SK-CP Vykonáva zálohovanie údajov a spravuje centrálny register všetkých vydaných tachografových kariet Zabezpečuje výmenu informácií s ostatnými Autoritami členských štátov (MSA) Funkcie vykonávané Slovenskou certifikačnou autoritou SK-CA: Vydáva a uchováva certifikáty pre používateľov tachografových kariet Spravuje prepojenie s Európskou koreňovou certifikačnou autoritou ERCA Funkcie vykonávané Slovenskou organizáciou personalizácie kariet SK-CP: Kontrola kvality tachografových kariet (testovanie vzorov typov tachografových kariet) Spracovanie personalizačnej dávky od organizácie SK-CIA Vydanie karty nahratie kľúčov a certifikátu na tachografovú kartu, potlač tachografových kariet Distribúcia kariet smerom k používateľom Tlač PIN-obálok a ich distribúcia smerom k používateľom Uchovávanie symetrického kľúča pre dielenské karty Zálohovanie dát 5.1 Tachografové karty Kontrola kvality funkcia SK-CA a SK-CP Organizácie SK-CA a SK-CP musia zabezpečiť, aby boli v systéme tachografu personalizované len schválené karty podľa nariadenia komisie (ES) č. 1360/2002. Generovanie kľúča pre kartu sa musí vykonávať v zariadení, ktoré: spĺňa požiadavky identifikované v FIPS (alebo FIPS 140-1) úroveň 3 alebo vyššia[fips]; alebo spĺňa požiadavky identifikované v CEN Dielenskej dohode [CEN]; alebo sa jedná o dôveryhodný systém, ktorý je zaistený podľa EAL 4 alebo vyššej podľa ISO [CC], podľa E3 alebo vyššej v ITSEC alebo podľa ekvivalentného bezpečnostného kritéria. Musí zodpovedať bezpečnostnému cieľu alebo profilu ochrany, ktorý spĺňa požiadavky aktuálneho dokumentu, na základe analýzy rizika a berúc do úvahy fyzické alebo iné technické bezpečnostné opatrenia. Strana 15 z 46

16 Pre tachografové karty sa musia použiť čipové karty, ktoré spĺňajú požiadavky podľa Common Criteria EAL 5 bezpečnostnej úrovne Žiadosť o vydanie karty funkcia SK-CIA SK-CIA musí informovať používateľa o náležitostiach a podmienkach týkajúcich sa používania karty. Tieto informácie musia byť prístupné v ľahko zrozumiteľnom jazyku. Odporúča sa, aby boli tieto informácie dostupné aspoň v slovenskom a anglickom jazyku. Používateľ musí prostredníctvom žiadosti o kartu a akceptovania doručenia karty vyjadriť súhlas s náležitosťami a podmienkami Žiadosť používateľa tachografovej karty Žiadatelia o vydanie tachografovej karty musia osobne predložiť vyplnený formulár schválený organizáciou SK-MSA. Žiadosť musí minimálne obsahovať údaje potrebné na zabezpečenie správnej identifikácie používateľa. Pre podnikové a dielenské karty musí žiadosť obsahovať zákonnú identifikáciu organizácie, pre ktorú sa tieto karty žiadajú vydať. Pre vydanie tachografovej karty pre systém tachografu musí žiadosť obsahovať nasledujúce údaje: Karta vodiča: - meno a priezvisko žiadateľa - dátum a miesto narodenia - rodné číslo - číslo vodičského preukazu (VP) - poštová adresa - fotografia - číslo vodičského preukazu - podpis Dielenská karta: - meno a priezvisko oprávnenej osoby - dátum a miesto narodenia oprávnenej osoby - rodné číslo oprávnenej osoby - trvalé a prechodné bydlisko oprávnenej osoby - číslo osvedčenia o spôsobilosti v oblasti metrológie oprávnenej osoby - dobu platnosti osvedčenia o spôsobilosti v oblasti metrológie oprávnenej osoby - podpis oprávnenej osoby - názov dielne Strana 16 z 46

17 - IČO dielne - adresa dielne - číslo autorizácie dielne - dobu platnosti autorizácie dielne - informácie o štatutárnom zástupcovi dielne - podpis štatutárneho zástupcu Kontrolná karta: - meno a priezvisko žiadateľa - dátum a miesto narodenia - identifikačné číslo kontrolného orgánu - názov kontrolného orgánu Podniková karta: - meno a priezvisko oprávnenej osoby - dátum a miesto narodenia oprávnenej osoby - rodné číslo oprávnenej osoby - trvalé a prechodné bydlisko oprávnenej osoby - podpis oprávnenej osoby - názov organizácie - IČO organizácie - adresa organizácie - informácie o štatutárnom zástupcovi organizácie - podpis štatutárneho zástupcu Dohoda Žiadateľ musí, podaním žiadosti o kartu a akceptovaním doručenia karty, uzavrieť dohodu s SK-MSA (alebo SK-CIA), stanovujúcu minimálne nasledovné skutočnosti: používateľ súhlasí s náležitosťami a podmienkami týkajúcich sa používania a zaobchádzania s tachografovými kartami v systéme tachografu používateľ súhlasí a potvrdzuje, že od momentu akceptovania karty a počas prevádzkovej doby karty, ak nie je SK-CIA používateľom informovaná inak: o žiadna neoprávnená osoba nemá nikdy prístup ku karte používateľa o všetky informácie dané používateľom SK-CIA, ktoré sú relevantné z hľadiska informácií v karte, sú pravdivé o karta je svedomito používaná v súlade s obmedzeniami používania pre kartu Požiadavky schválenia organizácie SK-CIA karta vodiča Strana 17 z 46

18 Kartu vodiča možno vydať len osobám s trvalým bydliskom v štáte, v ktorom podávajú žiadosť o vydanie karty vodiča. SK-CIA musí zabezpečiť, aby žiadateľ nemal platnú kartu vodiča vydanú v inom členskom štáte. SK-CIA musí zabezpečiť, aby mal žiadateľ o kartu vodiča platný vodičský preukaz príslušnej triedy Požiadavky schválenia organizácie SK-CIA dielenská karta Dielenská karta môže byť vydaná iba dielni s platnou akreditáciou (osvedčením) pre systém tachografu Požiadavky schválenia organizácie SK-CIA kontrolná karta Kontrolná karta môže byť vydaná iba tej organizácii, ktorá bola oficiálne stanovená pre vykonávanie činnosti kontroly v systéme tachografu Požiadavky schválenia organizácie SK-CIA podniková karta Podniková karta môže byť vydaná iba tej organizácii, ktorá je podľa platnej slovenskej legislatívy registrovaná ako dopravca Doba platnosti tachografových kariet Dielenské karty sa vydávajú s dobou platnosti 1 rok odo dňa ich vydania. Karty vodičov sa vydávajú s dobou platnosti 5 rokov odo dňa ich vydania. Podnikové karty sa vydávajú s dobou platnosti 5 rokov odo dňa ich vydania. Kontrolné karty sa vydávajú s dobou platnosti 2 roky odo dňa ich vydania. Slovenská autorita vydávania kariet SK-CIA musí zriadiť postup pre upozorňovanie používateľov o blížiacej sa expirácii ich tachografových kariet. Pri žiadosti o obnovu čoskoro expirujúcej karty používateľa sa musí postupovať podľa postupov opísaných v kapitole Obnova tachografovej karty spravované organizáciou SK- CIA Strana 18 z 46

19 Používateľ musí požiadať o obnovu svojej karty najneskôr 15 dní pred dátumom ukončenia jej platnosti. Ak používateľ dodrží toto pravidlo, Slovenská autorita vydávania kariet SK-CIA mu musí vydať novú tachografovú kartu ešte pred skončením platnosti jeho súčasnej karty Výmena tachografovej karty spravované organizáciou SK-CIA Používateľ, ktorý zmení trvalé bydlisko do iného členského štátu alebo iný osobný údaj môže požiadať o výmenu jeho tachografovej karty. Ak má súčasnú kartu platnú, pre schválenie žiadosti musí používateľ predložiť doklad o zmene trvalého pobytu alebo jeho osobných údajov. SK-CIA musí po doručení novej karty používateľovi z dôvodu zmeny trvalého bydliska alebo osobného údaju od neho prevziať predchádzajúcu kartu a doručiť ju Autorite členského štátu (MSA) ktorá kartu pôvodne vydala. Výmena pamäťovej karty z dôvodu zmeny krajiny trvalého pobytu sa riadi pravidlami pre vydanie novej tachografovej karty (kapitola 5.1.2) Náhrada stratenej, odcudzenej, poškodenej alebo nefunkčnej tachografovej karty spravované organizáciou SK-CIA Pri strate alebo odcudzení tachografovej karty musí používateľ túto skutočnosť okamžite oznámiť Slovenskej autorite vydávania kariet SK-CIA. Stratená alebo odcudzená karta sa musí zapísať na čiernu listinu, ktorá je dostupná pre autority všetkých členských štátov. Poškodené alebo nefunkčné karty musia byť doručené Autoritám vydávania kariet (CIA), ktoré tieto karty vydali a nimi potom fyzicky a elektronicky zničené a zapísané na čiernu listinu. Ak je karta stratená, odcudzená, poškodená alebo nefunkčná, používateľ musí požiadať o jej náhradu do 7 pracovných dní odo dňa zistenia jej straty, odcudzenia alebo poškodenia či nesprávnej funkčnosti. Ak používateľ dodrží túto lehotu podania žiadosti o náhradu stratenej, odcudzenej, poškodenej alebo nefunkčnej pamäťovej karty, Slovenská autorita vydávania kariet SK- CIA mu musí kartu s novým párom kľúčov a certifikátom vydať do 5 pracovných dní odo dňa prijatia žiadosti o jej náhradu. Strana 19 z 46

20 Náhradná karta môže byť vydaná s dobou platnosti akú mala pôvodná karta používateľa. Ak má mať vydaná náhradná karta s platnosťou pôvodnej dobu vypršania platnosti certifikátu menšiu ako 3 mesiace, organizácia SK-CIA vykoná obnovu karty namiesto jej náhrady Registrácia schválenej žiadosti spravované organizáciou SK-CIA SK-CIA musí uchovávať schválené žiadosti v databáze. Tieto údaje musia byť dostupné pre organizáciu SK-CP, ktorá ich používa ako vstupné údaje potrebné pre proces personalizácie tachografovej karty Personalizácia karty spravované organizáciou SK-CP Tachografové karty sú personalizované vizuálne a elektronicky. I keď je tento proces vykonávaný organizáciou SK-CP, organizácia SK-MSA nesie celkovú zodpovednosť za správne a úplné vydanie tachografovej karty Vizuálna personalizácia tachografových kariet Tachografové karty musia byť vizuálne personalizované v zhode s Prílohou 1B Nariadenia, sekcia IV (REG-A). Fotografia majiteľa tachografovej karty musí byť umiestnená na karte vodiča a na dielenskej karte Vstup údajov používateľa (User data entry) Vstup údajov používateľa musí byť na kartu nahratý v zhode so štruktúrou uvedenou v Nariadení 1360/2002, Príloha 1B, dodatok 2 (REG-A), pravidlá TCS_403, TCS_408, TCS_413 a TCS_418 v závislosti od typu karty Vstup kľúča (Key Entry) Súkromný kľúč musí byť vygenerovaný a nahratý priamo na tachografovú kartu a v tomto procese nesmie za žiadnych okolností kartu opustiť. Prostredie v ktorom sa súkromné kľúče generujú sa musí dostatočne zabezpečiť tak že žiadna osoba nemá pri generovaní súkromného kľúča k nemu prístup a nemôže mať proces jeho generovania pod kontrolou ani možnosť jeho zistenia. Zamýšľa sa teda, že kľúče sú generované priamo na pamäťovej karte alebo zariadením HSM. Tento proces je podrobnejšie popísaný v kapitole 7.2 Generovanie kľúčov zariadení Vstup certifikátu (Certificate Entry) Strana 20 z 46

21 Certifikát používateľa musí byť nahratý na kartu predtým ako sa karta postúpi na distribúciu k používateľovi Kontrola kvality tachografových kariet V systéme personalizácie kariet musia existovať zdokumentované postupy pre zabezpečenie stavu, že vizuálne informácie vytlačené na karte používateľa a elektronické informácie nahraté na karte a v certifikáte sú zhodné a taktiež majú spoločného platného vlastníka. Tieto postupy sú podrobne popísané v stanoveniach zvyklostí PS pre organizáciu SK-CP (PS SK-CP) Zneplatnenie (zničenie) nedistribuovaných tachografových kariet Všetky karty, ktoré sú poškodené alebo z iných dôvodov sa nedokončila ich personalizácia alebo neboli posunuté na distribúciu k používateľovi, sa musia fyzicky a elektronicky zničiť Registrácia karty a úložisko dát (DB) spravované organizáciami SK-CP a SK-CIA Slovenská organizácia personalizácie kariet SK-CP a Slovenská autorita vydávania kariet SK-CIA zabezpečujú monitoring stavu kariet, ktoré sú pridelené používateľom. Údaje potrebné na tento monitoring musia byť prenášané zabezpečeným spôsobom z úložiska dát organizácie SK-CP do úložiska dát organizácie SK-CIA Distribúcia tachografovej karty používateľovi spravované organizáciami SK-CP a SK-CIA a) Personalizácia karty musí byť načasovaná tak, aby sa čo najmenší čas musela uchovávať kým sa postúpi na distribúciu smerom k používateľovi. Uchovávanie personalizovanej karty vyžaduje bezpečné úložisko. V produkčnom prostredí organizácie SK-CP musia byť zdokumentované a určené postupy pre zaobchádzanie s tachografovými kartami vrátane ich poškodenia, ktoré nastanú v personalizačnom procese, zlyhaní doručenia používateľovi, straty alebo ich poškodenia. b) Personalizované karty by mali byť okamžite presunuté na distribúciu smerom k používateľovi do oblasti pod kontrolou. c) Personalizované karty by mali byť uložené oddelene od kariet, ktoré ešte neprešli procesom personalizácie. d) Tachografová karta pre systém tachografu by mala byť distribuovaná tak aby sa minimalizovalo riziko jej straty pri distribúcii. e) Používateľ musí byť prítomný pri preberaní svojej tachografovej karty. f) Používateľ musí preukázať svoju identitu platnými prostriedkami. g) Prijatie karty musí byť potvrdené vlastnoručným podpisom používateľa. Strana 21 z 46

22 Autentifikačné kódy (PIN) generované organizáciou SK- CP Táto časť sa týka iba dielenských kariet. Dielenská karta musí obsahovať PIN kód pre autentifikáciu voči jednotke vozidla (Vehicle Unit). PIN kód musí pozostávať minimálne zo 4 číslic Generovanie PIN kódu ku tachografovým kartám Generovanie PIN kódov musí prebiehať v zabezpečnom systéme, špeciálne určenom pre dielenské karty a po generovaní priamo vytlačené na PIN-obálky. PIN kódy sa nesmú nikdy ukladať do počítačových systémov alebo iných systémov umožňujúcim prepojenie medzi používateľom a zobrazením PIN-kódu. Systém generovania PIN kódov by mal zodpovedať požiadavkam ITSEC E3, CC EAL4 alebo ekvivalentným bezpečnostným kritériám Distribúcia PIN kódu smerom k používateľovi PIN-kódy nesmú byť distribuované spolu s tachografovými kartami Deaktivácia karty spravované organizáciami SK-CIA a SK-CP V systéme musí byť dosiahnutá možnosť trvalej deaktivácie tachografových kariet ako aj párov kľúčov nachádzajúcich sa na nich. Rozhodnutie deaktivácie karty môže vydať iba organizácia SK-CIA a konečná deaktivácia karty môže byť vykonaná ňou alebo organizáciou SK-CP. Deaktivácia kariet musí prebiehať vhodným spôsobom pre vykonanie takéhoto druhu operácie a musí existovať možnosť overenia úplného znefunkčnenia tachografovej karty ako aj zničenia páru kľúčov na nej. Karta musí byť zničená aj fyzicky. Všetky deaktivácie kariet musia byť zaznamenané v databáze tachografových kariet a číslo deaktivovanej karty sa musí zapísať na čiernu listinu. 5.2 Jednotky vozidiel a pohybové senzory (Vehicle Units and Motion Sensors) Neaplikovateľné pre Slovensko v súčasnosti ani v predvídateľnej budúcnosti, okrem prípadu poškodenia alebo chyby jednotky vozidla. Strana 22 z 46

23 Ak dielňa môže z poškodenej jednotky vozidla získať údaje musí ich odoslať organizácii dopravcu. V prípade ak neexistuje možnosť údaje z poškodenej jednotky vozidla získať, dielňa vyhotoví a odošle o tom prehlásenie organizácii dopravcu. 6 Manažment kľúčov certifikačnou autoritou SK-CA Táto časť obsahuje ustanovenia pre manažment: Európskeho koreňového kľúča verejného kľúča ERCA Kľúčov SK-CA, t.j. podpisového páru kľúčov SK-CA Kľúčov snímača pohybu Transportných kľúčov (medzi ERCA a SK-CA) Verejný kľúč ERCA sa používa na overovanie certifikátov CA členských štátov EU, medzi nimi aj certifikátu SK-CA. Súkromným kľúčom ERCA sa tento dokument nezaoberá, pretože tento kľúč nikdy neopúšťa ERCA. Kľúč SK-CA je podpisovým párom kľúčov SK-CA a môže sa tiež nazývať slovenským podpisovým kľúčom. Kľúče snímača pohybu sú symetrické kľúče, ktoré sa dávajú na dielenské karty, jednotky vozidla a snímače pohybu za účelom ich vzájomného rozpoznania sa. SK-CA dostane kľúče snímača pohybu od ERCA, uschová ich a bude ich distribuovať do SK-CP. Transportné kľúče sú symetrické kľúče používané na bezpečnú výmenu informácií medzi ERCA a SK-CA. Ak SK-CA bude potrebovať ďalšie kryptografické kľúče okrem tu uvedených, tieto kľúče sa nebudú pokladať za súčasť tachografového systému a táto politika sa nimi nezaoberá. Kľúč SK-CA a transportné kľúče sa generujú a uschovávajú v prostredí s dôkladnou kontrolou na fyzický prístup. 6.1 Verejný kľúč koreňovej CA ERCA (EUR.PK) SK-CA bude uchovávať verejný kľúč ERCA (EUR.PK) takým spôsobom, aby sa nepretržite chránila jeho integrita a dostupnosť k nemu. SK-CP zabezpečí, že EUR.PK sa vloží do všetkých tachografových kariet. SK-CA a SK-CP musia akceptovať verejný kľúč ERCA vo formáte definovanom v Prílohe A ERCA-CP 6.2 Kľúčový pár SK-CA Strana 23 z 46

24 Kľúčový pár SK-CA je podpisovým párom kľúčov SK-CA, ktorý sa bude používať na podpisovanie všetkých certifikátov vydávaných SK-CA. Tento pár kľúčov pozostáva z verejného kľúča (MS.PK) a zo súkromného kľúča (MS.SK). SK-CA musí postupovať certifikačné požiadavky pre podpisovanie kľúčov smerom k ERCA pomocou procedúry popísanej v Prílohe A ERCA-CP Verejný kľúč SK-CA certifikuje ERCA ale generuje ho samotná SK-CA. Kľúčový pár SK-CA sa nesmie používať na žiadne iné účely okrem podpisovania certifikátov vydávaných SK-CA a podpísanie žiadosti o certifikát SK-CA, ktorý vydá ERCA Generovanie kľúčov SK-CA Generovanie kľúčov SK-CA sa bude realizovať v zariadení, ktoré buď: vyhovuje požiadavkám definovaným štandardom FIPS (alebo 140-1) level 3 alebo viac alebo vyhovuje požiadavkám definovaným v CEN Workshop Agreement alebo je dôveryhodný systém, ktorý je zabezpečený podľa EAL4 alebo viac v súlade s ISO 15408, podľa EAL3 alebo viac v ITSEC alebo podľa ekvivalentných bezpečnostných kritérií. Bude to podľa bezpečnostného cieľa alebo profilu ochrany (protection profile), ktorý vyhovuje požiadavkám daného dokumentu, založenom na analýze rizík a berúc na zreteľ fyzické alebo iné netechnické bezpečnostné opatrenia Zariadenie použité na generovanie kľúčov by malo byť stand-alone Zariadenie, ktoré bude použité v skutočnosti, a požiadavky a štandardy, ktorým dané zariadenie vyhovuje, majú byť popísané v stanovení zvyklostí PS pre SK-CA. Ceremónia generovania páru kľúčov SK-CA má byť realizovaná tak, aby na nej aktívne participovali aspoň tri osoby. Všetky tieto tri osoby musia zastávať dôveryhodné roly v rámci SK-CA, pričom jednou z týchto osôb musí byť osoba zastávajúca rolu administrátora certifikačnej autority SK-CA. Dokument PS môže stanoviť ďalšie podmienky na výkon ceremónie generovania páru kľúčov SK-CA, napr. požadovať prítomnosť zástupcov Ministerstva dopravy ako Member State Authority, požadovať prítomnosť väčšieho počtu osôb, atď. Kľúče sa budú generovať použitím algoritmu RSA, dĺžka kľúča bude bitov. Strana 24 z 46

25 SK-CA musí mať aspoň dva (2) a maximálne (5) párov kľúča členského štátu s priradenými podpisovými certifikátmi na zabezpečenie kontinuity, nakoľko ERCA nemôže rýchlo vydať náhradné certifikáty členského štátu Doba platnosti kľúčov SK-CA Súkromný kľúč SK-CA nebude platný viac ako dva roky od certifikácie zodpovedajúceho verejného kľúča a nebude sa používať po ukončení doby jeho platnosti na žiadne účely. Certifikáty verejného kľúča vydaných ERCA sú platné po dobu 7 rokov od dátumu ich vydania Úložisko súkromného kľúča SK-CA Súkromné kľúče budú uložené a používané vo vnútri špecifického zariadenia odolného proti zneužitiu, ktoré: vyhovuje požiadavkám definovaným štandardom FIPS (alebo 140-1) level 3 alebo viac alebo je dôveryhodný systém, ktorý je zabezpečený podľa EAL4 alebo viac v súlade s ISO 15408, podľa EAL3 alebo viac v ITSEC alebo podľa ekvivalentných bezpečnostných kritérií. Bude to podľa bezpečnostného cieľa alebo profilu ochrany (protection profile), ktorý vyhovuje požiadavkám daného dokumentu, založenom na analýze rizík a berúc na zreteľ fyzické alebo iné netechnické bezpečnostné opatrenia Pre prístup k súkromnému podpisovému kľúču SK-CA sa vyžaduje dôsledné uplatňovanie princípu štyroch očí. Konkrétne to znamená, že žiadna osoba samotná nesmie disponovať prostriedkami požadovanými na prístup k zariadeniu, kde je uložený súkromný kľúč. Dôvernosť všetkých súkromných kľúčov musí byť zabezpečená Zálohovanie súkromného kľúča SK-CA Súkromný kľúč SK-CA sa môže zálohovať použitím procedúry na zálohovanie a obnovu kľúča pri uplatňovaní princípu štyroch očí. O tejto procedúre má pojednávať dokument stanovenie zvyklostí PS. Zálohovanie súkromného kľúča je povolené len v zašifrovanej forme, pričom musia byť splnené ustanovenia časti Obnova súkromného kľúča SK-CA v režime escrow Obnova súkromného kľúča SK-CA v režime escrow nebude možná Kompromitácia kľúčov SK-CA Strana 25 z 46

26 Dokument PS má pojednávať o opatreniach pre prípad kompromitácie súkromného kľúča SK-CA, tzn. aké aktivity majú urobiť používatelia a osoby zodpovedajúce za bezpečnosť v rámci SK-CA, ak došlo k prezradeniu súkromného kľúča SK-CA alebo ak existuje dôvodné podozrenie, že došlo ku kompromitácii súkromného kľúča SK-CA. V takýchto prípadoch je SK-CA povinná ako minimum bezodkladne informovať organizáciu SK-MSA, ERCA a všetky ostatné MSCA Koniec platnosti kľúčov SK-CA SK-CA má mať procedúru, ktorá zabezpečí, že SK-CA bude vždy mať platný a certifikovaný podpisový pár kľúčov SK-CA. Po ukončení používania alebo doby platnosti podpisového páru kľúčov SK-CA sa verejný kľúč archivuje spoľahlivým spôsobom a súkromný kľúč sa zničí takým spôsobom, aby nemohol byť obnovený. Generovanie nových národných kľúčov musí byť uskutočnené včasným spôsobom, v tolerancii s prevádzkovým plánom ERCA (približne 2 podpisovacie operácie mesačne). 6.3 Kľúče pre snímače pohybu SK-CA bude podľa potreby žiadať od ERCA kľúče pre snímače pohybu Km, KmVU a KmWC. SK-CA nebude zaobchádzať (manipulovať) s master kľúčom snímača pohybu Km (motion sensor master key Km) ani s kľúčom snímača pohybu jednotky vozidla KmVU (vehicle unit motion sensor key KmVU). SK-CA bude len zasielať dielenský kľúč KmWC do SK-CP na vloženie do dielenských kariet. KmWC sa bude zasielať do SK-CP v zašifrovanom formáte pomocou spôsobov a médií definovaných v dokumente ERCA Root Policy. SK-CP musí postúpiť distribučné požiadavky pre snímače pohybu do ERCA použitím procedúry popísanej v Prílohe D ERCA-CP. SK-CP bude garantovať, že dielenský kľúč KmWC sa vloží do všetkých vydaných dielenských kariet. SK-CA a SK-CP budú chrániť kľúče snímača pohybu v priebehu ich uloženia, používania a distribuovania uplatňovaním fyzických a logických bezpečnostných kontrol maximálnej úrovne. Kľúče budú uložené a používané vo vnútri špecifického zariadenia odolného proti zneužitiu, ktoré: vyhovuje požiadavkám definovaným štandardom FIPS (alebo 140-1) level 3 alebo viac alebo Strana 26 z 46

27 je dôveryhodný systém, ktorý je zabezpečený podľa EAL4 alebo viac v súlade s ISO 15408, podľa EAL3 alebo viac v ITSEC alebo podľa ekvivalentných bezpečnostných kritérií. Bude to podľa bezpečnostného cieľa alebo profilu ochrany (protection profile), ktorý vyhovuje požiadavkám daného dokumentu, založenom na analýze rizík a berúc na zreteľ fyzické alebo iné netechnické bezpečnostné opatrenia 6.4 Transportné kľúče Pre bezpečnú dátovú komunikáciu s ERCA SK-CP musí vygenerovať a používať RSA kľúčový pár. SK-CP musí počas uloženia, používania a distribúcie chrániť tieto kľúče fyzickými a logickými bezpečnostnými prvkami s vysokým zaistením. Kľúče musia byť obsiahnuté v a ovládané zo špecifického zariadenia odolného proti neoprávneným zásahom, ktoré: spĺňa požiadavky identifikované v FIPS (alebo FIPS 140-1) úroveň 3 alebo vyššia[fips]; alebo spĺňa požiadavky identifikované v CEN Dielenskej dohode [CEN]; alebo sa jedná o dôveryhodný systém, ktorý je zaistený podľa EAL 4 alebo vyššej podľa ISO [CC], podľa E3 alebo vyššej v ITSEC alebo podľa ekvivalentného bezpečnostného kritéria. Musí zodpovedať bezpečnostnému cieľu alebo profilu ochrany, ktorý spĺňa požiadavky aktuálneho dokumentu, na základe analýzy rizika a berúc do úvahy fyzické alebo iné technické bezpečnostné opatrenia. Pri prenose všetkých kľúčov medzi SK-CA/SK-CP a ERCA sa budú používať prostriedky, médiá a protokoly definované v Prílohe C dokumentu ERCA Root Policy. SK-CA certifikačná požiadavka musí použiť KCR protokol špecifikovaný v Prílohe A dokumentu ERCA Root Policy. SK-CA musí akceptovať verejný kľúč ERCA v distribučnom formáte popísanom v Prílohe B dokumentu ERCA Root Policy SK-CA musí zabezpečiť že KID a moduly kľúčov postúpených do ERCA pre certifikáciu sú jedinečné v doméne SK-CA. SK-CP musí zabezpečiť že KID a moduly kľúčov postúpených do ERCA pre distribúciu kľúčov snímačov pohybu sú jedinečné v doméne SK-CP. SK-CP musí požiadať o kľúč snímača pohybu od ERCA použitím KDR protokolu špecifikovanom v Prílohe D dokumentu ERCA Root Policy. Pri prenose všetkých kľúčov medzi SK-CA a ERCA sa budú používať prostriedky, médiá a protokoly definované v Prílohe C dokumentu ERCA Root Policy. Strana 27 z 46

28 Ak sa na prenos kľúčov použijú fyzické médiá, autorizovanú osobu zodpovednú za prenos médií bude schvaľovať SK-MSA. 7 Kľúče zariadení (asymetrické) Kľúče zariadení sú asymetrické kľúče generované v procese výdaja/výroby a SK-CA ich certifikuje pre zariadenia v tachografovom systéme: Tachografové karty Jednotky vozidla (neaplikovateľné pre Slovensko v súčasnosti ani v predvídateľnej budúcnosti) Symetrickými kľúčmi snímača pohybu sa v tejto časti nezaoberáme. 7.1 Všeobecné aspekty SK-CP Inicializácia kariet, vkladanie kľúčov a personalizácia sa budú vykonávať v zariadení, ktoré: spĺňa požiadavky identifikované v FIPS (alebo FIPS 140-1) úroveň 3 alebo vyššia[fips]; alebo spĺňa požiadavky identifikované v CEN Dielenskej dohode [CEN]; alebo sa jedná o dôveryhodný systém, ktorý je zaistený podľa EAL 4 alebo vyššej podľa ISO [CC], podľa E3 alebo vyššej v ITSEC alebo podľa ekvivalentného bezpečnostného kritéria. Musí zodpovedať bezpečnostnému cieľu alebo profilu ochrany, ktorý spĺňa požiadavky aktuálneho dokumentu, na základe analýzy rizika a berúc do úvahy fyzické alebo iné technické bezpečnostné opatrenia; a vo fyzicky zabezpečenom a riadenom prostredí. Vstup do tejto oblasti bude prísne regulovaný, kontrolovateľný na individuálnej úrovni a bude sa vyžadovať prítomnosť aspoň dvoch osôb na prevádzkovanie systému. Budú sa udržovať logové záznamy o všetkých vstupoch a akciách v systéme. Žiadne citlivé informácie nachádzajúce sa v systéme na generovanie kľúčov nesmú opustiť systém spôsobom, ktorý by porušoval túto politiku. Žiadne citlivé informácie nachádzajúce sa v systéme na personalizáciu kariet nesmú opustiť systém spôsobom, ktorý by porušoval túto politiku. Logové záznamy personalizačného poradia budú obsahovať referencie podľa poradia a uvádzať zodpovedajúce čísla zariadení a certifikáty. MSA bude mať na požiadanie prístup k logovým záznamom. 7.2 Generovanie kľúčov zariadení Kľúče bude generovať organizácia SK-CP. Strana 28 z 46

29 SK-CP musí zabezpečiť, že kľúče zariadení sú generované bezpečným spôsobom a že súkromné kľúče zariadení sú uchovávané v utajení. Generovanie kľúčov sa bude realizovať v HSM zariadení, ktoré: vyhovuje požiadavkám definovaným štandardom FIPS (alebo 140-1) level 3 alebo viac alebo vyhovuje požiadavkám definovaným v CEN Workshop Agreement alebo je dôveryhodný systém, ktorý je zabezpečený podľa EAL4 alebo viac v súlade s ISO 15408, podľa EAL3 alebo viac v ITSEC alebo podľa ekvivalentných bezpečnostných kritérií. Bude to podľa bezpečnostného cieľa alebo profilu ochrany (protection profile), ktorý vyhovuje požiadavkám daného dokumentu, založenom na analýze rizík a berúc na zreteľ fyzické alebo iné netechnické bezpečnostné opatrenia Kľúče sa budú generovať použitím algoritmu RSA s dĺžkou kľúča bitov. Procedúra generovania a uloženie súkromného kľúča má zabrániť, aby sa kľúč dostal nechránený mimo systém, ktorý ho vytvoril. Okrem toho má byť vymazaný zo systému okamžite po jeho vložení do zariadenia. Zodpovednosťou entity, ktorá generuje kľúče, je prijať opatrenia na zabezpečenie, že verejný kľúč je jednoznačný v rámci jej domény skôr, než sa uskutoční certifikovanie kľúča. (Toto sa pravdepodobne dosiahne zabezpečením, že systém generovania kľúčov je svojou povahou náhodný a teda že pravdepodobnosť vygenerovania nejednoznačných kľúčov je nepatrná.) Generovanie kľúča sa môže vykonávať v dávkovom režime v predstihu pred žiadosťou o certifikát alebo v priamej súvislosti so žiadosťou o certifikát. Spracovanie v dávkovom režime sa musí vykonávať v stand-alone zariadení, ktoré vyhovuje vyššie uvedeným bezpečnostným požiadavkám. Integrita kľúča musí byť chránená, až kým sa nevydá certifikát. Dôvernosť všetkých súkromných kľúčov bude zabezpečená. Generovanie kľúčov zariadení sa bude vykonávať organizáciou SK-CP. Certifikačná požiadavka na vydanie certifikátu bude posielaná z SK-CP do SK-CA cez šifrovaný komunikačný tunel. Proces generovania kľúčov zariadení garantuje proof of origin (dôkaz pôvodu) a integritu certifikačných požiadaviek bez prezradenia súkromného kľúča. 7.3 Doba platnosti kľúčov zariadení Strana 29 z 46

30 7.3.1 Kľúče na pamäťových kartách Používanie súkromného kľúča zariadenia v spojení s certifikátmi vydanými podľa tejto politiky nemá nikdy presiahnuť koniec platnosti certifikátu Jednotky vozidla Neaplikovateľné pre Slovensko v súčasnosti ani v predvídateľnej budúcnosti. 7.4 Ochrana a uloženie súkromného kľúča zariadenia karty SK-CP musí zabezpečiť, aby bol súkromný kľúč karty chránený a obmedzený pre kartu, ktorá bola doručená používateľovi podľa postupov stanovených v tejto politike. Kópie súkromného kľúča sa nemusia uchovávať nikde, len v tachografovej karte, ak to nie je vyžadované počas generovania kľúča a personalizácie zariadenia. V žiadnom prípade nesmie byť súkromný kľúč karty odhalený alebo uložený mimo karty. 7.5 Ochrana a uloženie súkromného kľúča zariadenia jednotky vozidla Neaplikovateľné pre Slovensko v súčasnosti ani v predvídateľnej budúcnosti. 7.6 Súkromný kľúč zariadenia režim escrow a archivovanie Súkromné kľúče zariadení nebude možné ani obnovovať režimom escrow, ani archivovať. 7.7 Archivovanie verejných kľúčov zariadení SK-CA bude archivovať všetky certifikované verejné kľúče. 7.8 Koniec životnosti kľúčov zariadenia Po ukončení používania tachografovej karty sa verejný kľúč archivuje a súkromný kľúč sa buď: Zničí takým spôsobom, aby nemohol byť obnovený, ak je v možnostiach SK- CIA to urobiť, alebo Uchová takým spôsobom, ktorý spoľahlivo zabráni jeho opätovnému uvedeniu do používania Po ukončení používania jednotky vozidla sa verejný kľúč archivuje a súkromný kľúč sa buď: Zničí takým spôsobom, aby nemohol byť obnovený, alebo Strana 30 z 46