FINA PKI SUSTAV
Karakteristike Finine produkcijske okoline:
-
dvorazinska arhitektura certifikacijskih tijela (CA-ova),
-
korištenje sigurnih kriptografskih algoritama i kriptografskih ključeva,
-
servis za provjeru statusa certifikata,
-
servis izdavanja kvalificiranih vremenskih žigova.
Digitalni certifikati i kvalificirani vremenski žigovi koji se izdaju na Fininoj produkcijskoj okolini usklađeni su s važećim EU i međunarodnim normama iz područja izdavanja digitalnih certifikata i vremenskih žigova, normama iz područja elektroničkog potpisa i najboljom praksom.
Na slici su prikazani digitalni certifikati i servisi dvorazinske Finine produkcijske okoline za izdavanje digitalnih certifikata i kvalificiranih žigova.
Dvorazinska arhitektura Fininih produkcijskih certifikacijskih tijela
Sustav za izdavanje certifikata sastoji se od korijenskog certifikacijskog tijela (engl. Root Certification Authority, Root CA) koje izdaje certifikate za subordninirana certifikacijska tijela (eng. Subordinate Certification Authority, Subordinate CA). Subordinirana certifikacijska tijela izdaju certifikate krajnjim korisnicima.
U produkcijskoj okolini za izdavanje digitalnih certifikata Fina ima:
-
jedno korijensko certifikacijsko tijelo: Fina Root CA,
-
tri subordinirana certifikacijska tijela:
- Fina RDC 2015,
- Fina RDC 2020,
- Fina RDC-TDU 2015.
Fina RDC 2015 CA i FINA RDC 2020 ovisno o tipu certifikata izdaju kvalificirane, normalizirane i lightweight certifikate za:
-
fizičke osobe – građane (osobni certifikati),
-
fizičke osobe povezane s poslovnim subjektom (poslovni certifikati) i
-
IT opremu povezanu s poslovnim subjektom (poslovni certifikati za IT opremu).
Fina RDC-TDU 2015 CA izdaje certifikate državnim dužnosnicima i zaposlenicima u tijelima državne uprave.
Fina Root CA izdao je i potpisao certifikate za subordinirane Fina RDC 2015, Fina RDC 2020 i Fina RDC-TDU 2015 CA-ove.
Kriptografski algoritmi i duljine ključeva
Sukladno odredbama zakonske regulative iz područja elektroničkog potpisa, za izdavanje certifikata i vremenskih žigova, Fina koristi propisane sigurne kriptografske algoritme i duljine kriptografskih ključeva.
Za izračun sažetka pri potpisivanju certifikata, CRL i vremenskih žigova koristi se algoritam SHA-256, RSA.
Duljine kriptografskih RSA parova ključeva koje se koriste su sljedeće:
-
CA parovi ključeva: duljina 4096 bitova, RSA,
-
korisnički parovi ključeva: duljina 2048 bitova, RSA.
Na taj se način ostvaruje sigurnost i povjerenje u izdane certifikate i kvalificirane vremenske žigove.
Karakteristike Fininih produkcijskih certifikata
Fina Root CA certifikat
Fina Root CA je root CA za sve Finine produkcijske certifikate te predstavlja „sidro povjerenja“ (trust anchor) Finine dvorazinske arhitekture te izdaje i potpisuje certifikate za Finine subordinirane CA-ove (Fina RDC 2015, Fina RDC 2020 i Fina RDC-TDU 2015 CA-ovi). Fina Root CA certifikat sadrži RSA javni ključ duljine 4096 bita.
Certifikati za Fina RDC 2015, Fina RDC 2020 i Fina RDC-TDU 2015 CA-ove
Certifikat za Fina RDC 2015, certifikati za Fina RDC 2020 i certifikat za Fina RDC-TDU 2015 su subordinirani certifikati Fina Root CA certifikata. Certifikati za Fina RDC 2015, Fina RDC 2020 i Fina RDC-TDU 2015 sadrže RSA javni ključ duljine 4096 bitova te su od strane Fina Root CA potpisani RSA privatnim ključem duljine 4096 bitova korištenjem kriptografskih algoritama SHA-256 i RSA.
Karakteristike korisničkih certifikata
Korisničke certifikate izdaju Fina RDC 2015, Fina RDC 2020 i Fina RDC-TDU 2015.
Svi Finini produkcijski certifikati i način rada produkcijskih CA-ova opisani su u dokumentima koji se nalaze na stranici Regulativa, dokumenti i potvrde o sukladnosti.
Usluga za online provjeru statusa certifikata - FINA OCSP
OCSP servis zasniva se na klijent-server modelu u kojem OCSP klijent pouzdajuće strane šalje OCSP serveru (OCSP Responder) upit o statusu certifikata, a OCSP servis klijentu vraća odgovor o statusu certifikata.
Finin OCSP servis daje informacije o statusima certifikata izdanih od Fina Root CA, Fina RDC 2015, Fina RDC 2020 i Fina RDC-TDU 2015. Pristupna adresa Fina OCSP servisa nalazi se u Authority Information Access ekstenziji svakog Fininog produkcijskog certifikata. Rad Fina OCSP servisa sukladan je s preporukom IETF RFC 6960.
Fina OCSP servis potpisuje odgovore RSA privatnim ključem duljine 2048 bitova uz korištenje kriptografskih algoritama SHA-256 i RSA.
Pored korištenja Fina OCSP servisa, provjera statusa certifikata može se i dalje obavljati dohvatom CRL. Preporuka je da se za provjeru statusa certifikata koristi OCSP servis, a provjera statusa dohvatom CRL može se koristiti kao alternativna metoda provjere u slučaju nedostupnosti OCSP servisa.
Servis za izdavanje kvalificiranih elektroničkih vremenskih žigova - FINA QTSA 2017
Usluga izdavanja kvalificiranih elektroničkih vremenskih žigova predstavlja vremensku ovjeru podataka, elektroničkih zapisa, elektroničkih dokumenta i slično, od strane kvalificiranog pružatelja usluge kao treće strane od povjerenja.
Kvalificirani elektronički vremenski žig može se koristiti kao podrška naprednom i kvalificiranom elektroničkom potpisu.
Mogućnost korištenja Fina QTSA 2017 servisa imaju autorizirani korisnici koji se na servis prijavljuju Fininim digitalnim certifikatom.
Fina QTSA 2017 je sukladan s eIDAS uredbom i podržava zahtjeve klijentskih aplikacija za izdavanje elektroničkih vremenskih žigova sukladno normi ETSI EN 319 422 i preporuci IETF RFC 3161.
Certifikat za potpis odgovora servisa Fina QTSA 2017 se redovno izdaje svake godine te će se pripadajućim privatnim ključem godinu dana potpisivati elektronički vremenski žigovi. Nakon toga će se generirati novi par ključeva i izdati novi certifikat. Novim će se privatnim ključem potpisivati elektronički vremenski žigovi u narednoj godini dana. Svaki certifikat vrijedi četiri godine.
Dokumentacija Fininih sustava za obavljanje usluga izdavanja kvalificiranih vremenskih žigova nalazi se ovdje.