Удостоверението за квалифициран електронен подпис(КЕП) се използва при идентифициране на Автора, в случаи като: подписване на електронни документи и осъществяване на електронни транзакции, достъп до информационни системи или шифриране на информация.
Съдържание на удостоверение за квалифициран електронен подпис
Удостоверение за КЕП, издадено и подписано от ДУУ, съдържа но не се ограничава до:
-
указание, че удостоверението е издадено за квалифициран електронен подпис;
-
наименованието и адреса на ДУУ, както и указание за държавата, в която е установил своята дейност;
-
името или псевдонима на автора на електронния подпис;
-
особени атрибути, свързани с автора, когато удостоверението се издава за конкретна цел, както и ако ДУУ поддържа политика за издаване на удостоверения с вписване на такива атрибути;
-
публичния ключ от двойката частен-публичен ключ, съответстващ на държания от автора частен ключ за създаване на квалифицирания електронен подпис;
-
усъвършенствания електронен подпис на доставчика на удостоверителни услуги;
-
срок на действие на удостоверението;
-
дата и час на издаването;
-
ограниченията на действието на подписа по отношение на целите и/или на стойността на сделките, ако удостоверението е издадено с ограничения на удостоверителното действие;
-
уникалния идентификационен код на удостоверението;
-
уникален сериен номер на удостоверението.
-
идентификатор на алгоритъма за електронен подпис, дефиниращ използваните алгоритми за създаване на двойката ключове и усъвършенствания електронен подпис.
Съдържанието на всяко конкретно удостоверение се описва от неговия профил. Информация за профилите на издаваните от ДУУ удостоверения има в настоящия документ в съответната политика на издаване, която се съдържа в „Политика за предоставяне на удостоверителни услуги“.
Приложение на удостоверение за КЕП
Според спецификацията X.509, удостоверението и кореспондиращата с него двойка частен-публичен ключ могат да имат различни приложения, част от които са:
-
поставяне на електронен подпис (Digital Signature) – за доказване на цялостта на данните в подписания електронен документ, предпазване на документа от последващи промени и показване на връзката между документа и Автора;
-
доказване на факта на изявлението (NonRepudiation) – за установяване на самоличността на Автора на електронния подпис;
-
шифриране на ключове (Key encipherment) – при размяна на ключове използвани за шифриране на данни;
-
шифриране на данни (Data encipherment) – при предаване на данни през незащитена комуникационна среда или при архивиране.
Следващата таблица накратко описва целите на удостоверенията и съответстващото им възможно приложение:
Цел на удостоверение
|
Приложение на удостоверение
|
Подписване(Signature)
|
Data signing, authentication, nonrepuditiation
|
Шифриране(Encipherment)
|
Data encipherment & deencipherment
|
Подписване и шифриране(Signature и Encipherment)
|
Data encipherment & deencipherment, digital data signing, authentication
|
Приложението на всяко конкретно удостоверение издавано от ДУУ е описано в политиката по издаване на удостоверение в „Политика за предоставяне на удостоверителни услуги“.
Използване на удостоверение извън зададените му ограничения
Когато удостоверението е издадено с вписани ограничения по отношение на приложението си, то не може да се използва извън рамките на тези ограничения.
ДУУ не отговаря за употреба на удостоверение извън вписаните му ограничения.
Общи положения Задължения Задължения на ДУУ
„СПЕКТЪР”АД е уведомило Комисия за регулиране на съобщенията(КРС) за започване на дейността си по предоставяне на удостоверителни услуги.
ДУУ е предоставил на КРС изискваните данни за задължителни обстоятелства, подлежащи на вписване в регистъра по чл.38, ал.4 от ЗЕДЕП, съгласно който Комисията води публичен регистър на всички доставчици, установили се на територията на Република България, които са я уведомили за започване на дейността си по чл. 19, ал. 1 и за акредитираните доставчици.
ДУУ има следните задължения:
-
да издава удостоверение по искане на всяко лице, като предварително го информира дали е акредитиран;
-
да информира лицата, желаещи да им бъде издадено удостоверение, за условията за издаване и използване на удостоверението, включително за ограниченията на неговото действие, както и за процедурите за подаване на жалби и за решаване на спорове;
-
когато издава удостоверения, да проверява чрез допустимите средства самоличността, съответно идентичността, на Автора и на Титуляря на КЕП и ако е необходимо – други данни за тези лица, включени в удостоверението;
-
да публикува издаденото удостоверение, така че трети лица да имат достъп до него съгласно указанията на Автора, съответно на Титуляря;
-
да не съхранява или копира данни за създаване на частни ключове;
-
да предприема незабавни действия във връзка със спирането, възобновяването и прекратяването на действието на удостоверението при установяване на съответните основания за това;
-
незабавно да уведомява Автора и Титуляря за обстоятелства относно валидността или надеждността на издаденото удостоверение;
-
да уведомява Автора, съответно Титуляра и всички заинтересовани страни за своята акредитация при предоставяне на удостоверения и УУ;
-
да спазва своите вътрешни и публични политики и процедури;
-
да спазва приложимото законодателство.
Задължения на Автора и Титуляря
Авторът и Титулярят, посочени в удостоверения за КЕП издадени от ДУУ, имат следните задължения:
-
да са запознати и да спазват условията и правилата при предоставяне на удостоверителни услуги от ДУУ, съдържащи се в настоящия документ и останалите документи публикувани в електронния регистър;
-
да предоставят вярна, точна и пълна информация, която ДУУ изисква съгласно нормативните изисквания и този документ и съответните политики, при подаване на заявки за издаване и управление на удостоверения;
-
да генерират двойката ключове използвайки сигурен метод и алгоритъм, съобразно изискванията на Наредба за изискванията към алгоритмите за създаване и проверка на КЕП;
-
да проверят пълнотата и верността на съдържанието на DN(предоставената от него информация за удостоверяване). В случай на несъответствие между представената информация и съдържанието да уведомят незабавно ДУУ;
-
да преустановят използването на удостоверението в случай на съмнение за компрометиране на частния ключ и да подадат заявка за неговото спиране в ДУУ;
-
да преустановят използването на удостоверението в случай на загуба или компрометиране на частния ключ на издадено удостоверение и незабавно да уведомят ДУУ за настъпилите обстоятелства;
-
да преустановят използването на удостоверението при наличие на остаряла, променена, неточна и/или невярна информация, включена в издадено удостоверение и да подадат заявка за прекратяване действието на удостоверението;
-
да сменят своя ПИН за достъп до устройството за сигурно създаване на подписа(Secure Signature Creation Device, SSCD) , където се съхранява частния ключ преди да използва удостоверението;
-
да предприемат необходимите предпазни мерки за предотвратяване на компрометиране, загуба, разкриване, модифициране или друго неразрешено използване на частния ключ, кореспондиращ на публичния ключ, който е публикуван в удостоверението;
-
да използват издаденото от ДУУ удостоверение само за законни цели и в съответствие на политиката и практиката за предоставяне на удостоверителни услуги.
Задължения на доверяващата се страна
Доверяващата се страна е длъжна да провери предназначението и валидността на удостоверението, който съпровожда електронното изявление на Автора.
За да провери валидността на удостоверението, Доверяващата се страна е длъжна:
-
да направи справка в списъците с прекратени удостоверения(CRL), публикувани в електронния регистър на ДУУ съгласно правилата от настоящия документ;
-
да направи справка за валидност на цялата верига от удостоверения до базовото удостоверение на ДУУ (Spektar Root CA).
Доверяващата се страна на електронно изявление, подписано с КЕП на Автора, следва да се довери и да приеме, че подписът има правна стойност на саморъчен, след като е проверил всички обстоятелства относно валидността на подписа.
Проверката на обстоятелствата относно валидността на КЕП включва удостоверяване:
-
че удостоверението е използвано в съответствие с неговото приложение и предназначение, съгласно политиката според която е издадено;
-
че използваните алгоритми при генериране на двойката частен-публичен ключ отговарят на изискванията за сигурност на Доверяващата се страна;
-
че дължината на използваните ключове отговаря на изискванията за сигурност на Доверяващата се страна;
-
на времето на поставяне на електронния подпис и респективно установяване на валидност на удостоверението към този момент.
Проверката за предназначението на удостоверенията се извършва по следните данни, съдържащи се в профила на удостоверението за КЕП:
-
политика, в съответствие на която се издава и управлява удостоверение за КЕП – посочена в поле “Certificate Policy”;
-
предназначението и ограниченията на действието на удостоверението за КЕП – описани в поле “Key Usage”, “Enhanced Key Usage” и “Application Policies”;
-
данни за Автора, респективно Титуляра на удостоверението за КЕП – посочени в поле “Subject”.
ДУУ не носи отговорност за настъпили вреди за Доверяващата се страна в следствие на не извършване на описаните проверки.
Сподели с приятели: |
