|
SCD |
Signature-Creation Data |
Дані створення підпису |
|
SDO |
Signed Data Object |
Підписаний об’єкт даних |
|
SDP |
Signer’s Document Presentation Component |
Компонент подання документа підписувана |
|
SFP |
Security Function Policy |
Політика функції безпеки |
|
SFR |
Security Functional Requirement |
Функціональні вимоги безпеки |
|
SIM |
Subscriber Identification Module |
Модуль ідентифікації підписувана |
|
SOF |
Strength of Function |
Сила функції |
|
SPA |
Simple Power Analysis |
Простий аналіз потужності |
|
SSCD |
Secure Signature-Creation Device |
Безпечний засіб створення підписів |
|
SVD |
Signature-Verification Data |
Дані верифікації підпису |
|
S/WIM |
SIM-based WIM |
WIM, заснований на SIM |
|
TOE |
Target of Evaluation |
Об’єкт оцінювання |
|
VAD |
Verification Authentication Data |
Верифіковані дані автентифікації |
|
WAP |
Wireless Access Protocol |
Протокол бездротового доступу |
|
WIM |
WAP Identity Module |
Модуль ідентичності WAP |
|
WS/E-SIGN |
CEN/ISSS Electronic Signatures workshop |
CEN/ISSS робоча група з електронних підписів |
3.3 Прийняті в стандарті домовленості
Документ дотримується кількох угод для вказівки цитування, узятого з нормативної довідкової інформації, або виділення виразів, часто згадуваних усюди в тексті стандарту.
Цитати з нормативної довідкової інформації взяті в рамку, як показано в прикладі нижче.
Стаття 3 lit. 5 із Директиви 93/1999/ЕС
Комісія, відповідно до процедури, установленої в статті 9, може встановити й видати номера посилання загальновизнаних стандартів для продуктів електронного підпису в офіційному журналі європейського співтовариства. Держави-члени мають припустити погодженість із вимогами, встановленими в додатку II, пункт (f) і додатку III, коли електронний продукт підпису відповідає цим стандартам.
Щоб виділити положення, часто згадані у пронумерованих виразах документа, їх виділено напівгрубим шрифтом, як у наступному прикладі:
Положення 0. Кілька стандартів, які виконують вимоги, встановлені в додатку III, можуть бути опубліковані в офіційному журналі європейського співтовариства.
4 ПОВ’ЯЗАНІ З SSCD УМОВИ ДИРЕКТИВИ
Мета [SSCD РР] — реалізувати умови додатка III Директиви [Dir. 1999/93/ЕС] як загальні критерії РР, тобто в нейтральний до технології спосіб, що покриває вимоги безпеки, але залишає ринку можливість реалізувати SSCD у множині технологій. Оскільки додаток III не можна розглядати відокремлено від Директиви загалом, цей розділ обумовлює частково спірні припущення й інтерпретації Директиви, на якій [SSCD РР] засновано.
Релевантні визначення понять
Стаття 2 Директиви 93/1999/ЕС
'електронний підпис' означає дані в електронній формі, які приєднані або логічно пов’язані з іншими електронними даними й служать методом автентифікації;
'розширений електронний підпис' означає електронний підпис, що відповідає наступним вимогам:
він унікально пов’язаний із підписувачем;
він здатний до ідентифікації підписувана;
він створений із використанням засобів, які підписувач може підтримувати під своїм одноосібним керуванням;
він пов’язаний із даними, яких стосується так, що будь-яку наступну зміну даних буде виявлено.
Для цього стандарту тільки розширені підписи мають значимість, оскільки Директива стосується SSCD і додатка III тільки в контексті розширених підписів. Це далі зазначено в 4.2 щодо докладного опису (15) з Директиви.
Положення 1. Для розширених підписів підписувач має бути здатний підтримати використання SCD під своїм керуванням. Це не має на увазі вимогу перешкоджання тому, щоб підписувач відмовився від такого керування, і прив’язку SCD до біометричних характеристик підписувана.
Основна умова, наведена у визначенні розширених підписів вище й неодноразово згадувана далі в цьому стандарті, полягає в тому, що розширені підписи створені засобами, які підписувач може підтримати під своїм одноосібним керуванням. По суті це означає, що:
жодний об’єкт, крім підписувана, не може одержати засоби створення такого розширеного електронного підпису;
проте підписувач може відмовитися від одноосібного керування.
Хоча умова (Ь) здається нечітким тлумаченням того, що електронні підписи за визначенням служать методом автентифікацїї, важливо підкреслити, що тут просто немає обов’язкових технічних засобів, які зазначені в Директиві й перешкоджали б відмові підписувана від керування. Тому вимогу включення біометричних характеристик неможливо заперечити за визначенням розширених електронних підписів. Для ідентифікації таким знанням, як увід особистого ідентифікаційного коду (PIN), SSCD не може зробити фактично нічого, щоб перешкодити тому, що підписувач передав код іншим.
Стаття 2 Директиви 93/1999/ЕС
'підписувач' має на увазі людину, що тримає засіб створення підписів і діє або від власного імені, або від імені фізичної чи юридичної особи, чи об’єкта, який він представляє;
'дані створення підпису' означають такі унікальні дані, як коди або особисті криптографічні ключі, використовувані підписувачем для створення електронного підпису;
'засіб створення підписів' — це сконфігуровані засоби програмного забезпечення або апаратні засоби, які зазвичай реалізують дані створення підписів;
Положення 2. Реалізація SCD включає генерацію, зберігання, використання й знищення SCD, навіть якщо під час генерації SCD підписувач невідомий.
Відносини між підписувачем і електронним підписом визначено через засіб, що реалізує дані створення підпису (SCD). У контексті цього стандарту вимогу 'реалізувати' інтерпретують як будь- яку взаємодію з SCD усюди під час його життєвого циклу, незалежно від того, чи існує в певний момент часу відповідний сертифікат, чи ні. Отже, це покриває створення SCD, його зберігання, використання й знищення. Таким чином, для таких процесів, як попередня персоналізація смарт- карток застосовують додаток III, навіть якщо підписувач ще невідомий. Основний аргумент цієї інтерпретації полягає в тому, що інакше порушено й визначення розширеного підпису, й умови додатка III. Імовірно, SCD використовувався колись без одноосібного керування підписувана, і тому без підписувана, здатного захистити SCD від такого використання.
Загальні умови як докладні описи
Докладний опис (15) із Директиви 93/1999/ЕС
Додаток III покриває вимоги для безпечних засобів створення підписів із гарантією функціональності розширених електронних підписів; він не покриває все системне середовище, у якому працюють такі засоби; функціонування внутрішнього ринку вимагає, щоб Єврокомісія й дер- жави-члени стрімко діяли, щоб призначити органи оцінювання відповідності безпечних засобів підпису згідно з Додатком III; щоб задовольнити ринкові потреби, оцінювання відповідності має бути своєчасним і ефективним;
Основний аспект докладного опису (15) впливу [SSCD РР] — область застосування додатка III і, виходить, обмежена SSCD область застосування обов’язкового оцінювання відповідності, виконаного певними органами. Як пояснено пізніше, SSCD — переважно засіб, якому дозволено 'стосуватися' SCD. У контексті цього документа SCD — особистий криптографічний ключ, а 'стосування' цього особистого ключа може відбутися під час створення, зберігання, використання й знищення.
У термінах [ISO 15408] це означає, що об’єкт оцінювання ТОЕ є SSCD, тобто знову засіб 'стосування' SCD. Хоча реалізатор може вирішити включати такі додаткові елементи, як елементи відображення, елементи уводу-виводу або генерацію документа в процесі оцінювання, щоб збільшити впевненість у продукті його клієнтів, це не вимога, яку можна одержати з Директиви. Границя між ТОЕ і його безпосереднім середовищем, тобто інтерфейсом між ними, є однією з основних проблем, до яких звернено ці настанови й далі обговорюється всюди в цьому стандарті.
Докладний опис (18) із Директиви 93/1999/ЕС
Зберігання й копіювання даних створення підпису може викликати загрозу юридичної ва- лідності електронних підписів.
Положення 3. SCD не можна скопіювати або умовно депонувати. Для кваліфікованих підписів жодні дублікати SCD не можуть існувати навіть за згодою підписувана. Якщо SCD передано, то початкову копію треба надійно знищити.
Виникають дві основні загрози, якщо допустити дублікати SCD. По-перше, електронні підписи можна створити без згоди ідентичності, завіреної відповідним сертифікатом. Це наражає на небезпеку властивість автентифікації, націленої на електронні підписи взагалі. По-друге, властивість неспростовності, яку можна одержати з електронних підписів, перебуває під загрозою, якщо підписувач може стверджувати, що є практична можливість існування копії SCD. Таким чином, незалежно від того, чи створено такі дублікати SCD із або без згоди, або знання підписувана, інтереси й підписувана, і залежної сторони були б піддані небезпеці таким подвійним SCD.
Докладний опис (18) стосується електронних підписів взагалі, не тільки SCD, збереженому в SSCD. Для SSCD дублікати SCD явно виключено згідно з умовами, наведеними в додатку III.
Технічні аспекти умов, наведених у додатку ill
Додаток III Директиви 93/1999/ЕС
Безпечні засоби створення підписів як відповідні технічні й процедурні засоби мають гарантувати принаймні, що:
(а) дані створення підписів, використовувані для генерації підписів, можуть фактично відбутися тільки один раз і їхню таємницю розумно забезпечено.
Положення 5. Генерацію SCD має бути засновано на ймовірнісних процесах, які зберігають імовірність дубліката SCD якомога меншою. Засоби довести одиничність SCD не потрібні.
У додатка III 1(a) є кілька впливів на технічну реалізацію SSCD:
SCD має залишитися секретним, a SSCD гарантувати секрет технічними засобами;
не може бути жодних засобів обійти забезпечення секрету, необхідне відповідно до Директиви, навіть за згоди законного підписувана;
доказ унікальності SCD не потрібен, якщо порівняння SCD:
вимагає знання SCD, що порушило б умову секрету SCD,
із іншими SVD (які вказали б дублікати SCD) усе ще тільки буде можливо в межах домена провайдеру SSCD.
Технічний наслідок 1(a) додатка III полягає в тому, що SCD має бути засновано на ймовірнісному процесі з достатньою якістю гарантії, що не існують жодні дублікати SCD, тобто процес має достатню ентропію. Рішення, чи правочинний певний процес генерації SCD, лежить поза областю [SSCD РР], а правочинність процесів генерації ключа визначено в [ALGO], Оцінювання SSCD забезпечує гарантію, що процеси відповідно реалізовано.
Подальші наслідки для реалізаторів SSCD, які випливають із 1(a) додатка III, — захист секрету SCD необхідно робити технічними й процедурними засобами. Як зазначено раніше в положенні 2, послугу генерації SCD потрібно розглядати як частину SSCD, навіть якщо підпи- сувач ще не відомий. Генерація SCD у провайдера послуг сертифікації (CSP), де секрет SCD винятково засновано на процедурних засобах, наприклад, порушило б 1(a) додатка III, оскільки технічний засіб також треба використовувати в межах служби генерації SCD для захисту SCD.
Додаток III Директиви 93/1999/ЕС
1. Безпечні засоби створення підписів, що відповідають технічним і процедурним засобами, мають гарантувати принаймні, що:
(Ь) для генерації підписів неможливо одержати з розумною гарантією, а підпис захищено від підробки, яка використовує на цей час доступну технологію.
Положення 6. Необхідний сильний захист, щоб гарантувати секрет SCD.
Положення 7. Сильна криптографія має запобігати підробці електронних підписів.
Положення 8. Для довгострокової валідності, на додаток до положення 7, не обов’язкові для SSCDs жодні заходи, наприклад часові штемпелі чи перепідписування.
Технічні ефекти, які можна одержати з додатка III 1(b):
— жодні засоби одержання SCD не мають бути виконані:
від реалізації SCD (яка за визначенням є SSCD),
від процесу генерації підписів безпосередньо,
із криптографічних протоколів,
будь-якими іншими засобами
— захист від підробки підписів вимагає відповідної криптографічної сили.
Крім того, підробку підписів явно звернено до доступної на цей час технології. Заходи не виключають того, що підпис можна підробити, використовуючи майбутню технологію. Як наслідок, неможливо одержати жодні додаткові обов’язкові, технічні або процедурні вимоги до SSCD щодо довгострокової валідності електронних підписів.
Оцінка, чи має певний набір програм підписання право запобігти підробці у теоретичній перспективі, лежить поза областю [SSCD РР] і визначено в [ALGO]. Це — реалізація набору програм, які покриває РР.
Додаток III Директиви 93/1999/ЕС
Безпечні засоби створення підписів з відповідними технічними й процедурними засобами мають гарантувати принаймні, що:
(с) дані створення підписів, використовувані для генерації підписів, може надійно захистити законний підписувач від використання іншими.
Визначення розширених електронних підписів включає це, оскільки засоби створення такого підпису можуть перебувати під одноосібним контролем підписувана. Додаток III 1(c) удосконалює цю вимогу в тому, що SSCD має забезпечити засіб, яким підписувач може захистити використання SCD. Технічні наслідки:
