Certifikační prováděcí směrnice

Transkript

1 První certifikační autorita, a.s. Certifikační prováděcí směrnice (algoritmus RSA) Certifikační prováděcí směrnice (algoritmus RSA) je veřejným dokumentem, který je vlastnictvím společnosti První certifikační autorita, a.s., a byl vypracován jako nedílná součást komplexní bezpečnostní dokumentace. Žádná část tohoto dokumentu nesmí být kopírována bez písemného souhlasu majitele autorských práv. Verze 1.1 Copyright První certifikační autorita, a.s.

2 OBSAH 1 Úvod Přehled Název a jednoznačné určení dokumentu Participující subjekty Certifikační autority (dále CA ) Registrační autority (dále RA ) Držitelé kvalifikovaných certifikátů a podepisující nebo označující osoby, kteří požádali o vydání kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu (dále certifikátu), a kterým byl certifikát vydán Spoléhající se strany Jiné participující subjekty Použití certifikátu Přípustné použití certifikátu Omezení použití certifikátu Správa politiky Organizace spravující certifikační politiku nebo certifikační prováděcí směrnici Kontaktní osoba organizace spravující certifikační politiku nebo certifikační prováděcí směrnici Subjekt odpovědný za rozhodování o souladu postupů poskytovatele s postupy jiných poskytovatelů certifikačních služeb Postupy při schvalování souladu podle bodu Přehled použitých pojmů a zkratek Použité pojmy a zkratky Použité normy a standardy Odpovědnost za zveřejňování a úložiště informací a dokumentace Úložiště informací a dokumentace Zveřejňování informací a dokumentace Periodicita zveřejňování informací Řízení přístupu k jednotlivým typům úložišť Identifikace a autentizace Pojmenování Typy jmen Požadavek na významovost jmen Anonymita a používání pseudonymu...22 verze 1.1 strana 2 / 67

3 3.1.4 Pravidla pro interpretaci různých forem jmen Jedinečnost jmen Obchodní značky Počáteční ověření identity Ověřování souladu dat, tj. postup při ověřování, zda má osoba data pro vytváření elektronických podpisů odpovídající datům pro ověřování elektronických podpisů nebo data pro vytváření elektronických značek odpovídající datům pro ověřování elektronických značek Ověřování identity právnické osoby nebo organizační složky státu Ověřování identity fyzické osoby Neověřené informace vztahující se k držiteli certifikátu nebo podepisující či označující osobě Ověřování specifických práv Kritéria pro interoperabilitu Identifikace a autentizace při zpracování požadavků na výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Identifikace a autentizace při rutinní výměně dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a jim odpovídajících dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek (dále párová data ) Identifikace a autentizace při výměně párových dat po zneplatnění certifikátu Identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu Certifikáty poskytovatele (I.CA) Certifikáty koncových uživatelů Požadavky na životní cyklus certifikátu Žádost o vydání certifikátu Subjekty oprávněné podat žádost o vydání certifikátu Registrační proces a odpovědnosti poskytovatele a žadatele Zpracování žádosti o certifikát Identifikace a autentizace Přijetí nebo zamítnutí žádosti o certifikát Doba zpracování žádosti o certifikát Vydání certifikátů Úkony CA v průběhu vydávání certifikátu Oznámení o vydání certifikátu držiteli certifikátu, podepisující nebo označující osobě...27 verze 1.1 strana 3 / 67

4 4.4 Převzetí vydaného certifikátu Úkony spojené s převzetím certifikátu Zveřejňování vydaných certifikátů poskytovatelem Oznámení o vydání certifikátu jiným subjektům Použití párových dat a certifikátu Použití dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a certifikátu držitelem certifikátu, podepisující nebo označující osobou Použití dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek a certifikátu spoléhající se stranou Obnovení certifikátu Podmínky pro obnovení certifikátu Subjekty oprávněné požadovat obnovení certifikátu Zpracování požadavku na obnovení certifikátu Oznámení o vydání obnoveného certifikátu držiteli certifikátu, podepisující nebo označující osobě Úkony spojené s převzetím obnoveného certifikátu Zveřejňování vydaných obnovených certifikátů poskytovatelem Oznámení o vydání obnoveného certifikátu jiným subjektům Výměna dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Podmínky pro výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Subjekty oprávněné požadovat výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Zpracování požadavku na výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek Oznámení o vydání certifikátu s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek podepisující nebo označující osobě Úkony spojené s převzetím certifikátu s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek Zveřejnění vydaných certifikátů s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek Oznámení o vydání certifikátu s vyměněnými daty pro ověřování elektronických podpisů nebo daty pro ověřování elektronických značek jiným subjektům...30 verze 1.1 strana 4 / 67

5 4.8 Změna údajů v certifikátu Podmínky pro změnu údajů v certifikátu Subjekty oprávněné požadovat změnu údajů v certifikátu Zpracování požadavku na změnu údajů v certifikátu Oznámení o vydání certifikátu se změněnými údaji podepisující nebo označující osobě Úkony spojené s převzetím certifikátu se změněnými údaji Zveřejňování vydaných certifikátů se změněnými údaji Oznámení o vydání certifikátu se změněnými údaji jiným subjektům Zneplatnění a pozastavení platnosti certifikátu Podmínky pro zneplatnění certifikátu Subjekty oprávněné žádat o zneplatnění certifikátu Požadavek na zneplatnění certifikátu Doba odkladu požadavku na zneplatnění certifikátu Maximální doba, za kterou musí poskytovatel realizovat požadavek na zneplatnění certifikátu Povinnosti spoléhajících se stran při ověřování, zda nebyl certifikát zneplatněn Periodicita vydávání seznamu zneplatněných certifikátů Maximální zpoždění při vydávání seznamu zneplatněných certifikátů Možnost ověřování statutu certifikátu on-line (dále OCSP ) Požadavky při ověřování statutu certifikátu on-line Jiné způsoby oznamování zneplatnění certifikátu Případné odlišnosti postupu zneplatnění v případě kompromitace dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Podmínky pro pozastavení platnosti certifikátu Subjekty oprávněné požadovat pozastavení platnosti certifikátu Zpracování požadavku na pozastavení platnosti certifikátu Omezení doby pozastavení platnosti certifikátu Služby související s ověřováním statutu certifikátu Funkční charakteristiky Dostupnost služeb Další charakteristiky služeb statutu certifikátu Ukončení poskytování služeb pro držitele certifikátu, podepisující nebo označující osobu...34 verze 1.1 strana 5 / 67

6 4.12 Úschova dat pro vytváření elektronických podpisů nebo pro vytváření elektronických značek u důvěryhodné třetí strany a jejich obnova Politika a postupy při úschově a obnovování dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Politika a postupy při zapouzdřování a obnovování šifrovacího klíče pro relaci Management, provozní a fyzická bezpečnost Fyzická bezpečnost Umístění a konstrukce Fyzický přístup Elektřina a klimatizace Vlivy vody Protipožární opatření a ochrana Ukládání médií Nakládání s odpady Zálohy mimo budovu Procesní bezpečnost Důvěryhodné role Počet osob požadovaných na zajištění jednotlivých činností Identifikace a autentizace pro každou roli Role vyžadující rozdělení povinností Personální bezpečnost Požadavky na kvalifikaci, zkušenosti a bezúhonnost Posouzení spolehlivosti osob Požadavky na přípravu pro výkon role, vstupní školení Požadavky a periodicita školení Periodicita a posloupnost rotace pracovníků mezi různými rolemi Postihy za neoprávněné činnosti zaměstnanců Požadavky na nezávislé zhotovitele (dodavatele) Dokumentace poskytovaná zaměstnancům Auditní záznamy (logy) Typy zaznamenávaných událostí Periodicita zpracování záznamů Doba uchování auditních záznamů Ochrana auditních záznamů Postupy pro zálohování auditních záznamů Systém shromažďování auditních záznamů (interní nebo externí)...43 verze 1.1 strana 6 / 67

7 5.4.7 Postup při oznamování události subjektu, který ji způsobil Hodnocení zranitelnosti Uchovávání informací a dokumentace Typy informací a dokumentace, které se uchovávají Doba uchování uchovávaných informací a dokumentace Ochrana úložiště uchovávaných informací a dokumentace Postupy při zálohování uchovávaných informací a dokumentace Požadavky na používání časových razítek při uchovávání informací a dokumentace Systém shromažďování uchovávaných informací a dokumentace (interní nebo externí) Postupy pro získání a ověření uchovávaných informací a dokumentace Výměna dat pro ověřování elektronických značek v nadřízeném kvalifikovaném systémovém certifikátu poskytovatele Obnova po havárii nebo kompromitaci Postup v případě incidentu a kompromitace Poškození výpočetních prostředků, softwaru nebo dat Postup při kompromitaci dat pro vytváření elektronických značek poskytovatele Schopnost obnovit činnost po havárii Ukončení činnosti CA nebo RA Technická bezpečnost Generování a instalace párových dat Generování párových dat Předání dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek podepisující nebo označující osobě Předání dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek poskytovateli certifikačních služeb Poskytování dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek certifikační autoritou spoléhajícím se stranám Délky párových dat Generování parametrů dat pro ověřování elektronických podpisů nebo dat pro ověření elektronických značek a kontrola jejich kvality Omezení pro použití dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek Ochrana dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a bezpečnost kryptografických modulů...49 verze 1.1 strana 7 / 67

8 6.2.1 Standardy a podmínky používání kryptografických modulů Sdílení tajemství Úschova dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Zálohování dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Uchovávání dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Transfer dat pro vytváření elektronických značek do kryptografického modulu nebo z kryptografického modulu Uložení dat pro vytváření elektronických značek v kryptografickém modulu Postup při aktivaci dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Postup při deaktivaci dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Postup při zničení dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek Hodnocení kryptografických modulů Další aspekty správy párových dat Uchovávání dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek Maximální doba platnosti certifikátu vydaného podepisující nebo označující osobě a párových dat Aktivační data Generování a instalace aktivačních dat Ochrana aktivačních dat Ostatní aspekty aktivačních dat Počítačová bezpečnost Specifické technické požadavky na počítačovou bezpečnost Hodnocení počítačové bezpečnosti Bezpečnost životního cyklu Řízení vývoje systému Kontroly řízení bezpečnosti Řízení bezpečnosti životního cyklu Síťová bezpečnost Časová razítka Profily certifikátu, seznamu zneplatněných certifikátů a OCSP Profil certifikátu...56 verze 1.1 strana 8 / 67

9 7.1.1 Číslo verze Rozšiřující položky v certifikátu Objektové identifikátory (dále OID ) algoritmů Způsoby zápisu jmen a názvů Omezení jmen a názvů OID certifikační politiky Rozšiřující položka Policy Constrainsts Syntaxe a sémantika rozšiřující položky kvalifikátorů politiky Policy Qualifiers Způsob zápisu kritické rozšiřující položky Certificate Policies Profil seznamu zneplatněných certifikátů Číslo verze Rozšiřující položky seznamu zneplatněných certifikátů a záznamů v seznamu zneplatněných certifikátů Profil OCSP Číslo verze Rozšiřující položky OCSP Hodnocení shody a jiná hodnocení Periodicita hodnocení nebo okolnosti pro provedení hodnocení Identita a kvalifikace hodnotitele Vztah hodnotitele k hodnocenému subjektu Hodnocené oblasti Postup v případě zjištění nedostatků Sdělování výsledků hodnocení Ostatní obchodní a právní záležitosti Poplatky Poplatky za vydání nebo obnovení certifikátu Poplatky za přístup k certifikátu na seznamu vydaných certifikátů Poplatky za informace o statutu certifikátu nebo o zneplatnění certifikátu Poplatky za další služby Jiná ustanovení týkající se poplatků (vč. refundací) Finanční odpovědnost Krytí pojištěním Další aktiva a záruky Pojištění nebo krytí zárukou pro koncové uživatele Citlivost obchodních informací...60 verze 1.1 strana 9 / 67

10 9.3.1 Výčet citlivých informací Informace mimo rámec citlivých informací Odpovědnost za ochranu citlivých informací Ochrana osobních údajů Politika ochrany osobních údajů Osobní údaje Údaje, které nejsou považovány za citlivé Odpovědnost za ochranu osobních údajů Oznámení o používání důvěrných informací a souhlas s používáním citlivých informací Poskytnutí citlivých informací pro soudní či správní účely Jiné okolnosti zpřístupňování osobních údajů Práva duševního vlastnictví Zastupování a záruky Zastupování a záruky CA Zastupování a záruky RA Zastupování a záruky držitele certifikátu, podepisující nebo označující osoby Zastupování a záruky spoléhajících se stran Zastupování a záruky ostatních zúčastněných subjektů Zřeknutí se záruk Omezení odpovědnosti Odpovědnost za škodu, náhrada škody Doba platnosti, ukončení platnosti Doba platnosti Ukončení platnosti Důsledky ukončení a přetrvání závazků Komunikace mezi zúčastněnými subjekty Změny Postup při změnách Postup při oznamování změn Okolnosti, při kterých musí být změněn OID Řešení sporů Rozhodné právo Shoda s právními předpisy Další ustanovení Rámcová dohoda...66 verze 1.1 strana 10 / 67

11 Postoupení práv Oddělitelnost ustanovení Zřeknutí se práv Vyšší moc Další opatření Závěrečná ustanovení...67 tab. 1 - Vývoj dokumentu Verze Datum vydání Schválil Ředitel společnosti První certifikační autorita, a.s Ředitel společnosti První certifikační autorita, a.s. Poznámka První vydání. Aktualizace OID certifikačních politik (TSA, OCSP). verze 1.1 strana 11 / 67

12 1 ÚVOD Tento dokument byl vypracován na základě požadavků platných standardů vztahujících se k problematice využívání kryptografických algoritmů v procesu poskytování certifikačních služeb. Kořenová kvalifikovaná certifikační autorita (algoritmus RSA) společnosti První certifikační autorita, a.s., vydává v hierarchické dvoustupňové struktuře certifikačních autorit, v souladu s platnou legislativou a s požadavky technických standardů, kvalifikovaný systémový certifikát s algoritmem RSA kořenové certifikační autority, certifikáty s algoritmem RSA pro vydávající certifikační autority a certifikát svého OCSP respondéru s algoritmem RSA. Tyto vydávající certifikační autority potom vydávají certifikáty pro TSU systému TSA, certifikáty svých OCSP respondérů, pokud je služba OCSP poskytována a certifikáty koncovým uživatelům. 1.1 Přehled Dokument Certifikační prováděcí směrnice (algoritmus RSA), dále též CPS, vypracovaný společností První certifikační autorita, a. s., (dále též I.CA) se zabývá skutečnostmi, vztahujícími se k procesům životního cyklu vydávaných certifikátů a dodržuje strukturu, jejíž předlohou je osnova platného standardu RFC 3647, s přihlédnutím k platným standardům Evropské unie a k právu České republiky v dané oblasti (jednotlivé kapitoly jsou proto v tomto dokumentu zachovány i v případě, že jsou ve vztahu k ní irelevantní). Týká se certifikačních politik uvedených v kap Dokument je rozdělen do devíti základních kapitol, jejichž stručný popis je uveden v následujícím seznamu: Kapitola 1 identifikuje tento dokument přiřazeným jedinečným identifikátorem, obecně popisuje subjekty, které participují na poskytování této certifikační služby a definuje přípustné využívání vydávaných certifikátů. Kapitola 2 popisuje problematiku odpovědností za zveřejňování informací, resp. dokumentace. Kapitola 3 popisuje procesy identifikace a autentizace žadatele o vydání certifikátu, resp. zneplatnění certifikátu, včetně definování typů a obsahů používaných jmen ve vydávaných certifikátech. Kapitola 4 definuje procesy životního cyklu jí vydávaných certifikátů, tzn. žádost o vydání a vlastní vydání certifikátu, žádost o zneplatnění a vlastní zneplatnění certifikátu, služby související s ověřováním stavu certifikátu, ukončení poskytování certifikačních služeb atd. Kapitola 5 zahrnuje problematiku fyzické, procesní a personální bezpečnosti, včetně definování množiny zaznamenávaných událostí, uchovávání těchto záznamů a reakce po haváriích nebo kompromitaci. Kapitola 6 je zaměřena na technickou bezpečnost typu generování veřejných a soukromých klíčů, ochrany soukromých klíčů, včetně počítačové a síťové ochrany. Kapitola 7 definuje profil vydávaných certifikátů a seznamů zneplatněných certifikátů. Kapitola 8 je zaměřena na problematiku hodnocení poskytovaných certifikačních služeb. Kapitola 9 zahrnuje problematiku obchodní a právní. verze 1.1 strana 12 / 67

13 Tento dokument může být mimo jiné využit nezávislými institucemi (např. auditorskými společnostmi) jako základ pro potvrzení toho, že certifikační služby v oblasti vydávaní certifikátů, poskytované společností První certifikační autorita, a.s., je možné považovat za důvěryhodné. 1.2 Název a jednoznačné určení dokumentu Název tohoto dokumentu: Certifikační prováděcí směrnice (algoritmus RSA) OID dokumentu: není přiřazeno Tato CPS se vztahuje k následujícím CP: OID CP Certifikační politika kořenové kvalifikované certifikační autority (algoritmus RSA) Certifikační politika vydávání SSL certifikátů (algoritmus RSA) Certifikační politika vydávání certifikátů OCSP respondérů (algoritmus RSA) Certifikační politika vydávání certifikátů pro systém TSA (algoritmus RSA) 1.3 Participující subjekty Certifikační autority (dále CA ) Kořenová certifikační autorita Kořenová kvalifikovaná certifikační autorita (algoritmus RSA) vydává v hierarchické dvoustupňové struktuře certifikačních autorit, v souladu s platnou legislativou a s požadavky technických standardů, certifikáty s algoritmem RSA pro vydávající certifikační autority a pro svůj OCSP respondér. Kořenová kvalifikovaná certifikační autorita je ve stavu off-line a v žádném okamžiku tedy nemá propojení s externí sítí. Ve stavu on-line je pouze její OCSP respondér. Fyzicky je její informační systém realizován vyhrazenými počítači, HSM modul obsahující soukromý klíč je k tomuto informačnímu systému připojen prostřednictvím vyhrazeného zabezpečeného rozhraní Vydávající certifikační autority Veřejné certifikační autority, provozované společností První certifikační autorita, a.s., poskytující certifikační služby koncovým uživatelům Registrační autority (dále RA ) Registrační autority, využívané v procesech životního cyklu certifikátů, vydávaných koncovým uživatelům. Tyto RA mohou být stacionární nebo mobilní. verze 1.1 strana 13 / 67

14 1.3.3 Držitelé kvalifikovaných certifikátů a podepisující nebo označující osoby, kteří požádali o vydání kvalifikovaného certifikátu nebo kvalifikovaného systémového certifikátu (dále certifikátu), a kterým byl certifikát vydán Certifikáty poskytovatele (I.CA) Certifikáty jsou vydávány výhradně pro certifikační autority, jejich OCSP respondéry a pro TSU systému TSA, vše provozované I.CA. Oprávněným žadatelem a následně držitelem certifikátů je I.CA jako právnická osoba Certifikáty koncových uživatelů Certifikáty jsou vydávány koncovým uživatelům, využívajícím certifikační služby I.CA Spoléhající se strany Spoléhající se stranou jsou subjekty spoléhající se při své činnosti na certifikát vydaný podle CP společnosti První certifikační autorita, a.s Jiné participující subjekty Jinými participujícími subjekty jsou orgány dozoru, orgány činné v trestním řízení a další, kterým to dle platné legislativy přísluší. 1.4 Použití certifikátu Přípustné použití certifikátu Certifikáty kořenové CA smějí být používány výhradně pro ověřování elektronických značek jí vydaných certifikátů, seznamů jí zneplatněných certifikátů (CRL, resp. ARL) a OCSP odpovědí vydaných jejím OCSP respondérem. Certifikáty vydávajících certifikačních autorit smějí být používány výhradně pro ověřování elektronických značek certifikátů a seznamů zneplatněných certifikátů (CRL) vydaných těmito vydávajícími certifikačními autoritami a OCSP odpovědí vydaných OCSP respondéry (jsou-li implementovány) těchto vydávajících certifikačních autorit. Certifikáty TSU systému TSA smějí být používány výhradně pro ověřování elektronických značek časových razítek vydaných těmito TSU. Certifikáty koncových uživatelů smějí být používány obecně v procesech PKI, tedy ověřování elektronických podpisů /značek, identifikace, autentizace a šifrování Omezení použití certifikátu Certifikáty vydávané v souladu s konkrétní CP nesmějí být používány v rozporu s použitím popsaným v této CP a dále pro jakékoliv nelegální účely. verze 1.1 strana 14 / 67

15 1.5 Správa politiky Organizace spravující certifikační politiku nebo certifikační prováděcí směrnici Tuto CPS a jí odpovídající certifikační politiky spravuje společnost První certifikační autorita, a.s Kontaktní osoba organizace spravující certifikační politiku nebo certifikační prováděcí směrnici Kontaktní osoba společnosti První certifikační autorita, a.s., v souvislosti touto CPS a odpovídajícími certifikačními politikami, je uvedena na internetové adrese (viz kap. 2.2) Subjekt odpovědný za rozhodování o souladu postupů poskytovatele s postupy jiných poskytovatelů certifikačních služeb Jedinou osobou, která je odpovědná za rozhodování o souladu postupů společnosti První certifikační autorita, a.s., s postupy jiných poskytovatelů certifikačních služeb, je ředitel společnosti První certifikační autorita, a.s Postupy při schvalování souladu podle bodu V případě, že je potřebné provést změny v této CPS, nebo některé certifikační politice a vytvořit její novou verzi, určuje ředitel společnosti První certifikační autorita, a.s., osobu, která je oprávněna tyto změny provést. Nabytí platnosti nové verze CP /CPS předchází její schválení ředitelem společnosti První certifikační autorita, a.s. Dále platí požadavky kap Přehled použitých pojmů a zkratek Použité pojmy a zkratky tab. 2 - Pojmy a zkratky Pojem bit CA CEN CP CPS CRL Vysvětlení z anglického binary digit - číslice dvojkové soustavy je základní a současně nejmenší jednotkou informace používanou především v číslicové a výpočetní technice certifikační autorita European Committee for Standardization, asociace sdružující národní standardizační orgány certifikační politika certifikační prováděcí směrnice Certificate Revocation List, seznam zneplatněných certifikátů obsahující certifikáty, které, již nelze pokládat za platné, verze 1.1 strana 15 / 67

16 CWA ČR data pro vytváření elektronické značky data pro ověřování elektronického podpisu data pro ověřování elektronické značky data pro vytváření elektronického podpisu DER, PEM držitel certifikátu elektronická značka elektronický podpis EN ETSI někdy se pro seznam zneplatněných certifikátů certifikačních autorit užívá pojem Authority Revocation List (ARL) CEN Workshop Agreement, referenční dokument CEN Česká republika jedinečná data, která označující osoba používá k vytváření elektronické značky jedinečná data, která se používají pro ověření elektronického podpisu jedinečná data, která se používají pro ověření elektronické značky jedinečná data, která podepisující osoba používá k vytváření elektronického podpisu způsoby zakódování (formáty) certifikátu fyzická osoba, právnická osoba nebo organizační složka státu, která požádala o vydání certifikátu pro sebe nebo pro podepisující osobu a které byl certifikát vydán (v případě této CP První certifikační autorita, a.s.) údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které splňují následující požadavky: jsou jednoznačně spojené s označující osobou a umožňují její identifikaci prostřednictvím kvalifikovaného systémového certifikátu, byly vytvořeny a připojeny k datové zprávě pomocí prostředků pro vytváření elektronických značek, které označující osoba může udržet pod svou výhradní kontrolou, jsou k datové zprávě, ke které se vztahují, připojeny takovým způsobem, že je možné zjistit jakoukoli následnou změnu dat údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě European Standard, typ ETSI standardu the European Telecommunications Standards Institute, evropský standardizační institut v oblasti informačních a komunikačních technologií FIPS Federal Information Processing Standard, označení standardů v oblasti informačních technologií pro nevojenské státní organizace ve Spojených státech hash transformace, která jako vstup přijímá řetězec znaků o libovolné délce a výsledkem je řetězec znaků s pevnou délkou verze 1.1 strana 16 / 67

17 HSM Hardware Security Module, zařízení pro správu a ukládání kryptografických klíčů IEC International Electrotechnical Commission, světová organizace publikující standardy pro elektrotechniku, elektroniku, sdělovací techniku a příbuzné obory ISO klíče poskytovatele kořenová CA kořenový certifikát kvalifikovaný kvalifikovaný certifikát následný certifikát OCSP OCSP respondér off-line on-line označující osoba párová data PKCS podepisující osoba PUB RA RFC certifikát, systémový International Organization for Standardization, mezinárodní organizace sdružující národní standardizační organizace, označení standardů veřejné nebo soukromé klíče certifikačních autorit, OCSP serverů nebo TSU systému TSA provozovaných I.CA CA, vydávající certifikáty vydávajícím CA self-signed (viz vysvětlení dále) certifikát certifikační autority na vrcholu hierarchické struktury certifikačních autorit certifikát, který má náležitosti podle platné legislativy ČR certifikát, který byl v souladu se smlouvou o poskytování certifikační služby, uzavřenou mezi žadatelem a I.CA, vydán žadateli na základě nové žádosti o certifikát v období platnosti certifikátu, ke kterému je tento následný certifikát vydáván Online Certificate Status Protocol, protokol pro zjišťování stavu certifikátu veřejného klíče server poskytují protokolem OCSP údaje o stavu certifikátu veřejného klíče nepřipojený k počítači, počítačové síti, nebo Internetu připojený k počítači, počítačové síti, nebo Internetu fyzická osoba, právnická osoba nebo organizační složka státu, která drží prostředek pro vytváření elektronických značek a označuje datovou zprávu elektronickou značkou (v případě této CP První certifikační autorita, a.s.) jedinečná data pro vytváření elektronického podpisu, resp. elektronické značky, spolu s odpovídajícími daty pro ověřování elektronického podpisu, resp. elektronické značky Public Key Cryptography Standards, označení skupiny standardů pro kryptografii s veřejným klíčem fyzická osoba, která je držitelem prostředku pro vytváření elektronických podpisů a jedná jménem svým nebo jménem jiné fyzické či právnické osoby Publication, označení standardu FIPS registrační autorita Request for Comments, označení řady standardů a dalších dokumentů popisujících internetové protokoly, systémy apod. verze 1.1 strana 17 / 67

18 RSA self-signed certifikát SHA smluvní partner soukromý klíč spoléhající se strana SSL SSL certifikát TLS TS šifra s veřejným klíčem pro podepisování a šifrování (iniciály původních autorů Rivest, Shamir a Adleman) certifikát veřejného klíče podepsaný soukromým klíčem tvořícím s tímto veřejným klíčem párová data typ hashovací funkce poskytovatel vybraných certifikačních služeb, který zajišťuje na základě písemné smlouvy pro I.CA certifikační služby nebo jejich části - nejčastěji se jedná o smluvní RA jedinečná data pro vytváření elektronického podpisu, resp. elektronické značky subjekt, spoléhající se při své činnosti na certifikát vydaný společností I.CA Secure Sockets Layer, komunikační protokol, resp. vrstva vložená mezi vrstvu transportní a aplikační, která poskytuje zabezpečení komunikace šifrováním a autentizaci komunikujících stran certifikát použitý pro identifikaci a šifrování v rámci komunikace prostřednictvím SSL /TLS protokolu Transport Layer Security, komunikační protokol, následovník SSL Technical Specification, typ ETSI standardu TSA Time Stamping Authority, autorita časových razítek, obsahující více serverů, vydávajících časová razítka, kdy každý z nich disponuje jedinečným soukromým klíčem a tedy i kvalifikovaným systémovým certifikátem TSS TSU veřejný klíč vydávající CA Time Stamp Service, služba časových razítek Time Stamp Unit, server vydávající časová razítka jedinečná data pro ověřování elektronického podpisu, resp. elektronické značky pro účely tohoto dokumentu: CA vydávající certifikáty koncovým uživatelům X.501, X.509, X.520 standard popsaný v dokumentu viz kap zákon o archivnictví a spisové službě zákon o ochraně utajovaných informací zákoník práce ZoEP ZOOÚ zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně verze 1.1 strana 18 / 67

19 některých zákonů (zákon o ochraně osobních údajů), ve znění pozdějších předpisů Použité normy a standardy Tato CPS a příslušná CP zohledňují požadavky technických norem a standardů uvedených v kapitole a dále: FIPS PUB Requirements for Cryptographic Modules. ITU-T - X.501 Information technology Open Systems Interconnection The Directory: Models. ITU-T - X.509 Information technology Open Systems Interconnection The Directory: Public-key and attribute certificate frameworks. ITU-T - X.520 Information technology Open Systems Interconnection The Directory: Selected attribute types. RSA Laboratories - PKCS#10: Certification Request Syntax Standard. RFC 2560 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP. RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework. RFC 5019 The Lightweight Online Certificate Status Protocol (OCSP) Profile for High- Volume Environments. RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. verze 1.1 strana 19 / 67

20 2 ODPOVĚDNOST ZA ZVEŘEJŇOVÁNÍ A ÚLOŽIŠTĚ INFORMACÍ A DOKUMENTACE 2.1 Úložiště informací a dokumentace Společnost První certifikační autorita, a.s., zřizuje a provozuje úložiště informací a dokumentace, za která taktéž jako poskytovatel certifikačních služeb odpovídá. 2.2 Zveřejňování informací a dokumentace Základní adresy, na nichž lze nalézt veřejné informace o společnosti První certifikační autorita, a.s., případně odkazy pro zjištění dalších informací, jsou: adresa sídla společnosti: První certifikační autorita, a.s. Podvinný mlýn 2178/ Praha 9 Česká republika internetová adresa sídla registračních autorit. Adresy, které slouží pro kontakt veřejnosti s I.CA, jsou: sídla registračních autorit, elektronická poštovní adresa info@ica.cz. I.CA zveřejňuje výše uvedené kontaktní adresy na své internetové adrese a pracovištích RA. Pracovníci RA, včetně smluvních partnerů, jsou rovněž povinni tyto informace na vyžádání sdělit veřejnosti. Na výše uvedené internetové adrese lze získat informace o: veřejných certifikátech - přímo se zveřejňují následující informace (ostatní informace lze získat z certifikátu): číslo certifikátu, obsah položky Obecné jméno (commonname), údaj o počátku platnosti (s uvedením hodiny, minuty a sekundy), odkazy na místo, kde lze certifikát získat v určených formátech (DER, PEM, TXT), seznamech zneplatněných certifikátů (CRL) - přímo se zveřejňují následující informace (ostatní informace lze získat ze samotného CRL): datum vydání CRL, číslo CRL, odkazy na místo, kde lze CRL získat v určených formátech (DER, PEM, TXT). verze 1.1 strana 20 / 67

21 Povolenými protokoly pro přístup k veřejným informacím jsou http a https. I.CA může bez udání důvodu přístup k některým informacím zrušit nebo pozastavit. V případech odejmutí akreditace, nebo vzniku důvodné obavy ze zneužití soukromého klíče poskytovatele, oznámí I.CA tuto skutečnost na výše uvedené internetové adrese a prostřednictvím celostátně distribuovaného deníku Hospodářské noviny, nebo Mladá fronta Dnes. 2.3 Periodicita zveřejňování informací Viz kapitola 2.3 konkrétní CP. 2.4 Řízení přístupu k jednotlivým typům úložišť Veškeré veřejné informace (viz kap. 2.2 a 2.3) zpřístupňuje I.CA bezplatně bez omezení. Neveřejné informace jsou dostupné pouze pověřeným zaměstnancům I.CA, smluvním partnerům nebo subjektům definovaným platnou legislativou. Přístup k těmto informacím je řízen pravidly popsanými v interní dokumentaci, zejména: Operátor CA, Směrnice pro pracovníky RA I.CA, Řízení bezpečnosti informací, Příručka administrátora, Bezpečnostní incidenty, HSM/Private Server, Správa TSS, Dokumenty agendy certifikačních služeb, Dílčí spisový a skartační řád pro agendy certifikačních služeb, Dílčí spisový a skartační plán pro agendy certifikačních služeb. verze 1.1 strana 21 / 67

22 3 IDENTIFIKACE A AUTENTIZACE 3.1 Pojmenování Typy jmen Veškerá jména jsou konstruována v souladu se standardem X.501, resp. s navazujícím standardem X Požadavek na významovost jmen Platí, že u certifikátů certifikačních autorit, jejich OCSP respondérů a TSU systému TSA musí jména vyjadřovat účel, ke kterému je certifikát vydáván. Konkrétní obsah jmen je definován v konkrétní CP Anonymita a používání pseudonymu Viz kapitola konkrétní CP Pravidla pro interpretaci různých forem jmen Údaje uváděné v procesu žádosti o certifikát se do vydávaných certifikátů přenášejí ve tvaru, ve kterém jsou uvedeny v předkládaných dokumentech Jedinečnost jmen Jména, uváděná v položce Subject, musí být jedinečná. Společnost První certifikační autorita, a.s., zaručuje jedinečnost této položky v certifikátech Obchodní značky Všechna pole certifikátu, které jsou v procesu vydání certifikátu ověřována, mají předepsanou strukturu a musí být doložena jejich správnost, úplnost a oprávněnost použití - včetně obchodní značky. 3.2 Počáteční ověření identity Postup ověřování identity je uveden v konkrétní CP a dále upřesněn v interním dokumentu: Směrnice pro pracovníky RA I.CA. verze 1.1 strana 22 / 67

23 3.2.1 Ověřování souladu dat, tj. postup při ověřování, zda má osoba data pro vytváření elektronických podpisů odpovídající datům pro ověřování elektronických podpisů nebo data pro vytváření elektronických značek odpovídající datům pro ověřování elektronických značek Soulad dat se ověřuje tak, že je žádost o příslušný certifikát ve formátu PKCS#10, obsahující veřejný klíč, podepsána soukromým klíčem, který odpovídá veřejnému klíči, obsaženému v předkládané žádosti. Tímto způsobem žadatel o certifikát dokazuje, že v době tvorby žádosti o certifikát vlastnil soukromý klíč, odpovídající veřejnému klíči, který je v této žádosti obsažen Ověřování identity právnické osoby nebo organizační složky státu Identita se prokazuje výpisem z Obchodního rejstříku. Blíže je postup popsán v interním dokumentu: Směrnice pro pracovníky RA I.CA Ověřování identity fyzické osoby V procesu ověřování identity jsou vyžadovány dva doklady, obsahující následující údaje. Primárním osobním dokladem pro občany ČR musí být občanský průkaz. Primárním osobním dokladem pro cizince je platný cestovní pas, popř. obdobný doklad stejné právní váhy. Z tohoto dokladu jsou ověřovány následující údaje: celé občanské jméno, datum narození (nebo rodné číslo u občanů České republiky, resp. Slovenské republiky), číslo předloženého primárního osobního dokladu, adresa trvalého bydliště (je-li v primárním dokladu uvedena). Sekundární osobní doklad musí být vydán orgánem veřejné moci nebo jinou organizací, jejíž existenci lze doložit, a musí obsahovat celé občanské jméno fyzické osoby vyřizující žádost a dále nejméně jeden z následujících údajů: datum narození žadatele (nebo rodné číslo u občanů ČR), adresu trvalého bydliště žadatele, fotografii obličeje žadatele. Údaje požadované v sekundárním osobním dokladu musí být shodné s těmito údaji v primárním osobním dokladu. Blíže je postup popsán v interním dokumentu: Směrnice pro pracovníky RA I.CA Neověřené informace vztahující se k držiteli certifikátu nebo podepisující či označující osobě Všechny informace musí být řádným způsobem ověřeny. verze 1.1 strana 23 / 67

24 3.2.5 Ověřování specifických práv Není relevantní pro tento dokument Kritéria pro interoperabilitu Případná spolupráce společnosti První certifikační autorita, a.s., s jinými poskytovateli certifikačních služeb je vždy založena na písemné smlouvě s těmito poskytovateli. 3.3 Identifikace a autentizace při zpracování požadavků na výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Identifikace a autentizace při rutinní výměně dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a jim odpovídajících dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek (dále párová data ) Vždy je nutné vydat nový certifikát s novým veřejným klíčem. Konkrétní požadavky jsou uvedeny v konkrétní CP Certifikáty poskytovatele (I.CA) Jedná se o vydání prvotního certifikátu, kdy platí stejné požadavky, jako v případě počátečního ověření identity Certifikáty koncových uživatelů V případě SSL certifikátů se vždy jedná o vydání prvotního certifikátu, kdy platí stejné požadavky, jako v případě počátečního ověření identity. Pro ostatní typy certifikátů lze vydat tzv. následný certifikát, kdy je standardní žádost o certifikát (s novým veřejným klíčem) předávná ke zpracování elektronicky podepsána /označena soukromým klíčem, náležícím veřejnému klíči v platném certifikátu, ke kterému je vydáván tento následný certifikát. V tomto případě není vyžadována fyzická přítomnost žadatele o certifikát na RA a žadatel o certifikát tímto podpisem /značkou potvrzuje, že údaje o subjektu nebyly změněny Identifikace a autentizace při výměně párových dat po zneplatnění certifikátu I.CA nepodporuje výměnu párových dat již zneplatněného certifikátu. Jediný způsob, jak získat nový certifikát, je získání nového certifikátu s novým veřejným klíčem. 3.4 Identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu Konkrétní způsoby identifikace a autentizace při zpracování požadavků na zneplatnění certifikátu jsou uvedeny v konkrétní CP. verze 1.1 strana 24 / 67

25 3.4.1 Certifikáty poskytovatele (I.CA) Oprávněnou osobou žádat o zneplatnění certifikátu: kořenové certifikační autority i jí vydaného certifikátu OCSP respondéru, vydávající certifikační autority i jí vydaného certifikátu OCSP respondéru, TSU systému TSA, je ředitel I.CA. Žadatelem o zneplatnění certifikátu kořenové certifikační autority, popř. certifikátu, souvisejícího s kvalifikovanými certifikačními službami, může být taktéž představitel úřadu, který společnost První certifikační autorita, a.s., akreditoval. Žádost od úřadu musí být písemná, nebo být doručena do datové schránky I.CA. Samotnému procesu zneplatnění takového certifikátu musí být ředitel I.CA vždy osobně přítomen Certifikáty koncových uživatelů Možné způsoby identifikace a autentizace jsou následující: osobně na RA, prostřednictvím formuláře na webových stránkách společnosti (s využitím hesla pro zneplatnění certifikátu), prostřednictvím nepodepsané elektronické zprávy (obsahující heslo pro zneplatnění certifikátu), prostřednictvím podepsané elektronické zprávy (elektronický podpis musí být realizován soukromým klíčem příslušným k předmětnému certifikátu, jenž má být zneplatněn), prostřednictvím datové schránky (s využitím hesla pro zneplatnění certifikátu), prostřednictvím doporučené listovní zásilky na adresu sídla I.CA (s využitím hesla pro zneplatnění certifikátu). Údaje, které musí žádost o zneplatnění certifikátu obsahovat, jsou uvedeny v kapitole I.CA si vyhrazuje právo akceptování i jiných forem postupů pro identifikaci a autentizaci zpracování požadavku na zneplatnění certifikátu. verze 1.1 strana 25 / 67

26 4 POŽADAVKY NA ŽIVOTNÍ CYKLUS CERTIFIKÁTU 4.1 Žádost o vydání certifikátu Subjekty oprávněné podat žádost o vydání certifikátu Žádost o vydání certifikátu může podat fyzická osoba nebo organizace. Konkrétní subjekty, oprávněné podat žádost o vydání certifikátu, jsou uvedeny v konkrétní CP Registrační proces a odpovědnosti poskytovatele a žadatele Procesy, prováděné v průběhu registračního procesu, jsou uvedeny v konkrétní CP Odpovědnost žadatele Žadatel je povinen zejména: poskytovat pravdivé a úplné informace při registraci žádosti o vydání certifikátu, seznámit se s CP, podle které mu bude vydán certifikát Odpovědnost poskytovatele Poskytovatel certifikačních služeb je zejména povinen certifikační služby poskytovat v souladu s platnou legislativou, konkrétní CP a touto CPS, Systémovou bezpečnostní politikou CA a provozní dokumentací. 4.2 Zpracování žádosti o certifikát Proces zpracování žádosti o certifikát je popsaný v interní dokumentaci: Směrnice pro pracovníky RA I.CA, Operátor CA Identifikace a autentizace Žadatel o certifikát se identifikuje a autentizuje způsobem, popsaným v kapitolách a Přijetí nebo zamítnutí žádosti o certifikát V případě vydávání certifikátů poskytovatele rozhodne vedení společnosti První certifikační autorita, a.s., na základě písemné žádosti o vydání certifikátu, případně o zamítnutí žádosti. Výsledek je dokumentován. Pokud některá z ověření, prováděna pracovníkem RA skončí negativně, proces vydání certifikátu je ukončen. V opačném případě pracovník RA vydání certifikátu schválí. Postupy pro přijetí nebo odmítnutí žádosti o certifikát jsou uvedeny v konkrétní CP a v interní dokumentaci: verze 1.1 strana 26 / 67

27 Směrnice pro pracovníky RA I.CA Doba zpracování žádosti o certifikát V případě vydávání certifikátů poskytovatele doba zpracování písemné žádosti o vydání certifikátu nepřekročí pět pracovních dnů ode dne předložení žádosti vedení společnosti. Certifikáty jsou vydávány obratem po ověření žádosti na RA, v případě následného certifikátu po kontrole operátorem CA. Výjimku tvoří SSL certifikáty, kdy doba zpracování žádosti o certifikát zpravidla nepřekročí pět pracovních dnů (z důvodu ověřování údajů v žádosti). 4.3 Vydání certifikátů Úkony CA v průběhu vydávání certifikátu V procesu vydávání certifikátu provádějí operátoři CA kontroly na shodnost údajů, obsažených v žádosti o certifikát (struktura PKCS#10) a údajů, doplněných pracovníkem RA. V případě nesrovnalostí komunikují operátoři CA s pracovníkem příslušné RA. Kontroly na formální správnost údajů jsou taktéž prováděny programovým vybavením informačního systému CA. Postupy jsou uvedeny v konkrétní CP a upřesněny v interní dokumentaci: Směrnice pro pracovníky RA I.CA, Operátor CA Oznámení o vydání certifikátu držiteli certifikátu, podepisující nebo označující osobě V případě, že žadatel o certifikát je osobně přítomen vydání certifikátu, získá oznámení o jeho vydání od pracovníka RA. Vydaný certifikát je vždy automaticky zaslán na kontaktní e- mailovou adresu žadatele. Uvedené postupy jsou detailně popsány v interní dokumentaci: Směrnice pro pracovníky RA I.CA, Operátor CA. 4.4 Převzetí vydaného certifikátu Úkony spojené s převzetím certifikátu Úkony spojené s převzetím certifikátu jsou vždy popsány v konkrétní CP. Proces je detailně popsán v interní dokumentaci: Směrnice pro pracovníky RA I.CA, Operátor CA. verze 1.1 strana 27 / 67

28 4.4.2 Zveřejňování vydaných certifikátů poskytovatelem Certifikáty poskytovatele jsou zveřejňovány na webových stránkách I.CA, certifikáty související s kvalifikovanými certifikačními službami jsou navíc předány dozorovému orgánu. Veřejné certifikáty koncových uživatelů jsou zveřejněny způsobem podle bodu Oznámení o vydání certifikátu jiným subjektům Platí ustanovení kap Použití párových dat a certifikátu Použití dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a certifikátu držitelem certifikátu, podepisující nebo označující osobou Povinností podepisující nebo označující osoby mj. je: bez zbytečného odkladu podávat přesné, pravdivé a úplné informace společnosti I.CA ve vztahu k vydanému certifikátu, v případě koncového uživatele dodržovat veškerá relevantní ustanovení smlouvy o poskytování této certifikační služby, používat soukromý klíč a jemu odpovídající veřejný klíč obsažený ve vydaném certifikátu v souladu s konkrétní CP, nakládat se soukromým klíčem, odpovídajícím veřejnému klíči v certifikátu, tak, aby nemohlo dojít k jeho neoprávněnému použití, pokud hrozí nebezpečí zneužití soukromého klíče odpovídajícího veřejnému klíči v certifikátu, požádat neprodleně o zneplatnění tohoto certifikátu Použití dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek a certifikátu spoléhající se stranou Spoléhající se strany jsou zejména povinny ověřit elektronický podpis /značku dokumentu, byl-li tento elektronicky podepsán /označen, tj.: získat z bezpečného zdroje certifikát kořenové certifikační autority a ověřit kontrolní součet tohoto certifikátu, provádět veškeré úkony potřebné k tomu, aby si ověřily, že certifikát vydaný kořenovou certifikační autoritou nebyl zneplatněn, mj. ověřit platnost: kořenového certifikátu, jí vydaného certifikátu, provádět veškeré úkony potřebné k tomu, aby si ověřily, že elektronický podpis /značka certifikátu koncového uživatele je platný. verze 1.1 strana 28 / 67

29 4.6 Obnovení certifikátu Je nutné vydat nový certifikát s novým veřejným klíčem. Platí stejné požadavky jako v případě počátečního ověření identity - viz kap Podmínky pro obnovení certifikátu Viz kap Subjekty oprávněné požadovat obnovení certifikátu Viz kap Zpracování požadavku na obnovení certifikátu Viz kap Oznámení o vydání obnoveného certifikátu držiteli certifikátu, podepisující nebo označující osobě Viz kap Úkony spojené s převzetím obnoveného certifikátu Viz kap Zveřejňování vydaných obnovených certifikátů poskytovatelem Viz kap Oznámení o vydání obnoveného certifikátu jiným subjektům Viz kap Výměna dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Je nutné vydat nový certifikát s novým veřejným klíčem. Platí stejné požadavky jako v případě počátečního ověření identity - viz kap Podmínky pro výměnu dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek v certifikátu Viz kap verze 1.1 strana 29 / 67