E-sauga | E-parašas | E-tapatybė

Dažnai tikrinant elektroninį parašą prireikia nustatyti ar parašą patvirtinantis sertifikatas yra kvalifikuotas bei ar buvo naudojama saugi parašo formavimo įranga (SSCD).

Norint gauti tokią informaciją (nepriklausomai nuo to ar sertifikatai yra išduoti Lietuvoje ar kitoje Europos Sąjungos valstybėje) siūlyčiau naudotis Patikimais sąrašais (TSL), kuriuose kiekviena Europos Sąjungos valstybė pateikia būtiną informaciją apie joje prižiūrimų ir (arba) akredituotų sertifikavimo paslaugų teikėjų, visuomenei išduodančių kvalifikuotus sertifikatus, paslaugas.

Lietuvos TSL sudaro, tvarko ir skelbia Ryšių reguliavimo tarnyba dvejomis formomis lietuvių ir anglų kalbomis:
1) Žmonėms suprantama forma („pdf“ formatu)
2) Techninėmis priemonėmis apdorojama forma („xml“ formatu)

Nuorodas kitų Europos Sąjungos valstybių TSL rasite Europos Komisijos sudaromame, tvarkomame ir skelbiamame TSL:

1) Žmonėms suprantama forma

2) Techninėmis priemonėmis apdorojama forma

Europos telekomunikacijų standartų institutas (ETSI) išleido atnaujintą standartą ETSI TS 102 176-1 V2.1.1 „Electronic Signatures and Infrastructures (ESI);Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms“. Su atnaujintu standartu galite susipažinti ETSI svetainėje adresu: www.etsi.org

Kelios įdomesnės standarto nuostatos yra susijusios su saugiems elektroniniams parašams rekomenduojamais raktų ilgiais ir maišos algoritmais:

1) Atsižvelgiant į standarto 9.2 dalį, jau neberekomenduojama naudoti SHA-1 ir RIPEMD-160 maišos algoritmų.
2) Atsižvelgiant į standarto 9.3 dalį,  jau neberekomenduojama naudoti 1024 bitų ilgio raktų.

Gera naujiena užsiimantiems elektroninio parašo formavimo ar tikrinimo programinių įrangų kūrimu arba šiaip besidomintiems skirtingų PAdES formato elektroninių parašų realizacijų suderinamumo klausimais.

ETSI nuo lapkričio 24 iki gruodžio 9 dienos vykdys PAdES elektroninių parašų suderinamumo bandymus, kurių metu bus galimybė pasitikrinti ar konkreti realizacija atitinką ETSI TS 102 778 reikalavimus bei išbandyti ar kiti sugebės tokį parašą patikrinti. Bandymai apims visas 5 standarto dalis. Liūdnoji žinia, kad dalyvio mokesti 700 Eurų (be mokesčių )

Daugiau informacijos bei registracijos anketą galima rasti adresu: http://www.etsi.org/plugtests/pades/home.htm

Šiandiena pasidalinsiu labai įdomia žinia apie sėkmingai įvykdytas  kibernetines atakas prieš Olandijos sertifikavimo paslaugų teikėją „DigiNotar“, išduodanti SSL bei kvalifikuotus sertifikatus. Kiek man žinoma Mozilla ir Internet Explorer jau įtraukė šį paslaugų teikėją į “juoduosius sąrašus”, o Olandų TSL jų paslaugos skelbiamos kaip sustabdytos.

Situacijos analizę rasite čia: Interim report: DigiNotar Certificate Authority breach “Operation Black Tulip”

O čia Europos Komisijos reakcijos į šią situaciją:
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+E-2011-007985+0+DOC+XML+V0//EN&language=EN
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+E-2011-008086+0+DOC+XML+V0//EN&language=EN

Labai gera žinia tiems, kas planuoja kurti elektroninio parašo formavimo ar tikrinimo priemones ar teikti tokias paslaugas, kadangi Europos Komisijos užsakymu buvo sukurta ir viešai pateikta šiam tikslui skirta atviro kodo priemonė, galinti:

Pasirašyti:
XML formato elektroninius dokumentus Enveloped XAdES-[BES/EPES,T,C,X,XL,A] formatų elektroniniais parašais;
PDF formato elektroninius dokumentus PAdES-[BES, LTV] formatų elektroniniais parašais;
Visų formatų elektroninius dokumentus Detached ir Enveloping XAdES-[BES/EPES,T,C,X,XL,A] bei CAdES-[BES/EPES,T,C,X,XL,A] formatų elektroniniais parašais.

Patikrinti: 
Elektroninius dokumentus, pasirašytus Enveloped, Enveloping ar Detached XAdES-[BES/EPES,T,C,X,XL,A] formatų elektroniniais parašais;
Elektroninius dokumentus, pasirašytus Enveloping ar Detached CAdES-[BES/EPES,T,C,X,XL,A] formatų elektroniniais parašais;
Elektroninius dokumentus, pasirašytus PAdES-[BES-LTV] formatų elektroniniais parašais.

Aišku norint ją naudoti teks šiek tiek padirbėti ją adaptuojant savo poreikiams: išversti į lietuvių kalbą, pritaikyti specifiniams dokumentų formatams, esant poreikiui realizuoti dokumento turinio vizualizavimą

 Daugiau informacijos apie šią priemonę rasite adresu: http://www.osor.eu/projects/sd-dss

Jau kurį laiką vis dažniau buvo kalbama apie tai, kad dabartiniai su elektroniniu parašu susiję standartai gerokai atgyvenę ir nėra orientuoti į verslo procesus. Taigi dar 2009 gruodžio 20 d. Europos Komisija patvirtino mandatą M460, kuriuo vadovaujantis per 48 mėnesius turi būti peržiūrėti ir prireikus pakeisti su elektroniniu parašu susiję standartai.  

Kai tiktai turėsiu kokių naujienų iš standartų atnaujinimo fronto, iškarto pasidalinsiu, o dabar pirmoji naujiena: http://portal.etsi.org/STFs/STF_HomePages/STF425/DSR_ESI_000099v000002.zip

 Šis dokumentas bus prieinamas iki 2011 spalio 28 dienos ir jei turėsit pasiūlymų, juos galima siųsti adresu: E-SIGNATURES_comments@list.etsi.org

Vasario 25 dieną Europos Komisija pagaliau išleido sprendimą nustatantį minimalius reikalavimus elektroniniu parašu pasirašytiems dokumentams. Aišku pakolkas per daug džiūgauti dar ankstoka, kadangi šiuo sprendimu aprašomi iš esmės tik reikalavimai elektroninių parašų formatams, o pats sprendimas taikomas tik paslaugų direktyvos kontekste.

Iš pačio sprendimo matosi, kad Europos Komisija prisibijojo imtis kokių griežtesnių veiksmų ir dabartinė sprendimo redakcija praktiškai reikalauja, kad būtu priimami visų (XLM, CMS tiek ir PDF) formatų ir topologijų (enveloped, enveloping ir detached) elektroniniai parašai. Taigi ko gero neužilgo reikės peržvelgti reikalavimus ir Lietuvoje naudojamiems elektroninių dokumentų/parašų formatams (pvz., ADOC).　

Tiems kas dirba su elektroniniu parašu ir turi konkrečių idėjų, siūlyčiau nepraleisti progos ir išreikšti savo nuomonę:

Europos Komisija vasario 18 dieną paskelbė apie viešąją konsultaciją dėl elektroninio identifikavimo, autentifikavimo ir elektroninių parašų. Konsultacija siekiama gauti suinteresuotų asmenų pasiūlymus kaip turėtų būti tobulinama Europos Sąjungos teisinė bazė, įvertinant naujus rinkos iššūkius. Klausimynas paskelbtas adresu: http://ec.europa.eu/yourvoice/ipm/forms/dispatch?form=eid4&lang=en ir gali būti atsakytas iki balandžio 15 dienos.

Kad tiems kas planuoja save paskirti informacijos saugumo valdymui nereikėtų vargintis ir ieškoti kokius gi standartus reikėtų žinoti, nusprendžiau pasidalinti svarbiausių šios srities standartų sąrašiuku:

1. ISO/IEC 27001
ISO 27001 standartas yra laikomas pagrindiniu informacijos saugumo standartu, kadangi aprašo Informacijos saugumo valdymo sistemos (ISVS) kūrimo ir valdymo pagrindus. (beje tai vienintelis informacijos saugumo standartas kuriam galima sertifikuotis).

2. ISO/IEC 27002
ISO/IEC 27002 (anksčiau buvęs ISO/IEC 17799) standartas detaliau aprašo kaip turėtų būti įgyvendintos kontrolės priemonės. (iš esmės yra skirtas standarto ISO 27001 „DO“ fazės įgyvendinimui).

3. ISO/IEC 27003
ISO/IEC 27003:2010 orientuojasi į kritinius aspektus būtinus sėkmingam ISVS sukūrimui ir įgyvendinimui atsižvelgiant į ISO/IEC 27001:2005.

4. ISO/IEC 27004
ISO/IEC 27004:2009 aprašo kaip reikėtų įvertinti ISVS efektyvumą.

5. ISO/IEC 27005
ISO/IEC 27005 aprašo informacijos rizikų vertinimo ir valdymo metodus. (labai naudingas ISO 27001 Planavimo fazėje).

6. BS 7858:2006+A2:2009
BS 7858:2006 + Pakeitimas 2:2009 yra pagrindinis standartas aprašantis kaip įvertinti (screeninti) darbuotojus prieš juos įdarbinat.

7. BS 25999-1
BS 25999-1 pateikia rekomendacijas kaip įgyvendinti kiekvieną veiklos tęstinumo elementą.

8. BS 25999-2
The BS 25999-2 standartas laikomas esminiu veiklos tęstinumo standartu, kadangi jis aprašo Veiklos tęstinumo valdymo sistemos (VTVS) kūrimo ir valdymo pagrindus. Šis standartas labai naudingas ISO 27001 „DO“ fazės metu, įgyvendinant A priedo 14 skyriaus reikalavimus – veiklos tęstinumo valdymas (beje tai vienintelis veiklos tęstinumo standartas kuriam galima sertifikuotis).

9. ISO/IEC 24762:2008
ISO/IEC 24762:2008 standartas pateikia rekomendacijas Informacinių ir telekomunikacijų technologijų „Disaster recovery“ (užkrito Lietuviškas pavadinimas ), kaip daliai veiklos tęstinumo valdymo.

10. BS 25777:2008 „Information and communications technology continuity management – Code of practice“.

11. PD 25111:2010
PD 25111:2010 pateikia rekomendacijas kaip valdyti žmogiškuosius resursus. Suvaldyti inicidento sukeltus efektus, valdyti žmones veiklos atstatymo fazėje ir atstačius veiklos procesus.

12. PD 25666:2010
PD 25666:2010 pateikia rekomendacijas kaip atlikti veiklos tęstinumo ir nenumatytu situacijų planų bandymus ir pan.

13. NIST SP 800-55
NIST SP 800-55 aprašo kaip įvertinti kontrolės priemonių efektyvumą.

14. NIST SP 800-61
NIST SP 800-61 aprašo incidentų valdymą, kaip daly informacijos saugumo valdymo.

15. Business Continuity Institute GPG2008-2 (Good Practice Guidelines)

SECTION 1 BCM POLICY & PROGRAMME MANAGEMENT
SECTION 2 UNDERSTANDING THE ORGANISATION
SECTION 3 DETERMINING BCM STRATEGY
SECTION 4 DEVELOPING AND IMPLEMENTINGA BCM RESPONSE
SECTION 5 EXERCISING, MAINTAINING & REVIEWING BCM ARRANGEMENTS
SECTION 6 EMBEDDING BCM IN THE ORGANISATION’S CULTURE

Europos telekomunikacijų standartų institutas (ETSI) jau išleido atnaujintą standartą ETSI TS 101 903 V1.4.2 (2010-12) „XML Advanced Electronic Signatures (XAdES)” ir artimiausiu metu šis standartas turėtų būti perimtas ir Lietuvos standartu. Su atnaujintu standartu galite susipažinti tiesiai ETSI svetainėje adresu: www.etsi.org (tam reikia tik nemokamai užsiregistruoti )

Kiek greitai peržiūrėjęs pastebėjau, tai šį kartą jokie esminiai standarto pakeitimai nebuvo daromi. Iš esmės ištaisytos kelios ankstesnės standarto versijos “rašybos” klaidos:
1) Standarto 8.1 dalyje vietoj “UR” iš tikro turėjo būti įrašyta “URI”;
2) XAdESv1.4.4.xsd schemos faile ištaisyta aukščiau paminėta klaida dėl vienos nubyrėjusios “I” ;
3) XAdESv1.4.4.xsd schemos faile ištaisytas klaidingas “ArchiveTimeStampV2″ elemento pavadinimas, nes iš tikro turėtų būti “ArchiveTimeStamp” ;

P.S. Šiaip nieko rimto netaisyta, tačiau kadangi atlikti pakeitimai schemos XAdESv1.4.1.xsd faile ir naujos versijos schema pakeis senąją, ETSI primygtinai rekomenduoja sprendimų kūrėjams naudoti naująją versiją.