Certification authority of Ministry of Defence and Serbian Armed forces Sertifikaciono telo Ministarstva odbrane i Vojske Srbije

Dejan Krljanin, spec. - Centar za primenjenu matematiku i elektroniku G J-6, dejan.krsljanin@vs.rs Komlen Lalovi, dipl. in. - Generaltab Vojske Srbije J-6, komlen.lalovic@vs.rs dr Ivan Vuli, dipl. in. - Generaltab Vojske Srbije J-6, ivan.vulic@vs.rs

Sadraj U ovom radu bie predstavljeno sertifikaciono telo Ministarstva odbrane i Vojske Srbije (u daljem tekstu CA MO i VS). Sertifikaciono telo izdaje elektronske i kvalifikovane elektronske sertifikate X.509 standarda verzije 3 i CRL (Certificate Rrevocation Llist) Verzije 2. Sertifikati koji se izdaju mogu se koristiti u zatiti komunikacije u raunarskim mreama, prijavljivanje elektronskim karticama na OS MS Windows, zatitu email poruka, zatitu elektronskih dokumenata i dr. Abstract In this work will be showen Certification authority of Ministry of Defence and Serbian Armed forces (further CA MO i VS). This CA isshues certificates and qualified electronic certificates X.509 standards Version 3, and CRL (Certificate Rrevocation Llist) Version 2. Certificates isshued under this CA can be used to protect the comunication of computer network, logging on OS MS Windows, to protect e-mail messages, protection of electronic documents etc.

mail poruka, zatitu elektronskih dokumenata i za druge servise. 2. DIGITALNI SERTIFIKAT I VERZIJA DIGITALNOG SERTIFIKATA KOJU IZDAJE CA MO i VS Digitalni sertifikat, opisujemo kao sertifikat predstavljen u digitalnoj formi sa validnim elektronskim potpisom od strane CA. Zbog velikog broja razliitih sertifikata (X.509 public-key sertifikat, atribut sertifikat, PGP sertifikat) koji su , takodje, digitalni sertifikati, neophodno je, pri svakom referenciranju na sertifikat, u potpunosti biti odredjen kakav je sertifikat u pitanju. U praksi u PKI industriji, pojednostavljeno se koristi samo naziv sertifikat, mislei pritom na X.509 verziju 3, PKI sertifikata. Ukoliko se radi o nekom drugom sertifikatu- onda se njegov naziv eksplicitno navodi. Sertifikati, koje izdaje Sertifikaciono telo MO i VS, u potpunosti zadovoljavaju X.509 standard PKI i poseduju sledea polja i eksenzije: verzija sertifikata serijski broj sertifikata algoritam koji je koriten u potpisivanju sertifikata izdava sertifikata validnost sertifikata vlasnik sertifikata PKI informacija vlasnika ID izdavaa sertifikata ID vlasnika sertifikata ekstenzije koje sadri sertifikat digitalni potpis.

1. UVOD U razmatranju koncepta sertifikata, potrebno je znati da postoje razliiti tipovi sertifikata: X.509 public-key certificates Simple Public Key Infrastructure certificates Pretty Good Privacy (PGP) certificates Attribute certificates

(SPKI) -

Navedeni tipovi sertifikata imaju razliite formate. Tip sertifikata moe biti definisan u nekoliko razliitih verzija. Postoje tri verzije X.509 PKI sertifikata i svaka od tih verzija moe biti instancirana na aplikativno- specifine naine za odreene potrebe, kao u sluaju Secure Electronic Transaction (SET), sertifikati su X.509 Version 3 PKI sertifikata sa specifinom ekstenzijom definisanom samo za SET potrebe. Sertifikaciono telo MO i VS izdaje elektronske i kvalifikovane elektronske sertifikate X.509 standarda verzije 3 i CRL (Certificate Rrevocation Llist) Verzije 2. Sertifikati koji se izdaju primenjivi su u zatiti komunikacija u raunarskim mreama, prijavljivanje elektronskim karticama na OS MS Windows, zatitu e-

Grafiki prikaz digitalnog elektronskog sertifikata Root CA, koji je samopotpisan, prikazan je na slici 1. Na slici 2 prikazan je digitalni elektronski sertifikat Intermediate CA MO i VS dok je na slikama 3 i 4 dat prikaz korisnikog sertifikata koji je u upotrebi u MO i VS, na elektronskoj kartici, i to iz dva dela kako bi bile vidljive sve ekstenzije koje sertifikat sadri.

Slika 1 Root CA sertifikat

Slika 3 Prvi deo korisnikog sertifikata izdatog od CA MO i VS

Slika 2 Sertifikat Intermediate CA MO i VS

Slika 4 Drugi deo korisnikog sertifikata CA MO i VS

3. ULOGA SERTIFIKACIONOG TELA MO i VS CA MO i VS izdaje kvalifikovane elektronske sertifikate korisnicima u skladu sa dokumentima ETSI ESI TS 101 862 Qualified Certificate Profile, RFC 3739 Internet X.509 Public Key Infrastructure: Qualified Certificates Profile, RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile i ETSI TS 102 280 X.509 V.3 Certificate Profile for Certificates Issued to Natural Persons" i sa obaveznim sadrajem definisanim u lanu 17. Zakona o elektronskom potpisu. CA MO i VS je odgovorno za pruanje kompletnih usluga sertifikacije, koje ukljuuju sledee servise: Formiranje asimetrinog para kljueva za korisnike, Formiranje elektronskih i kvalifikovanih elektronskih sertifikata, Distribuciju privatnog kljua i sertifikata, Upravljanje procedurom opoziva sertifikata i Obezbedivanje statusa opozvanosti sertifikata.

Posebna panja, obezbedjivanjem potpuno bezbednosno sterilnih uslova rada, data je aspektu zatite i pristupa internoj zoni, koja je vieslojna i podrazumeva kombinovane naine zatite uz primenu tehnikih mera (kako elektronskih tako i fizikih) i primenu mera zatite od kompromitujueg elektromagnetnog zraenja. RA klijent, koji je realizovan sa svojim stepenom odgovornosti i odvojen od odgovornosti samog sertifikacionog tela, pristupa aplikativnom softveru preko L3 Firewall naina realizacije zatite raunarskih mrea i nema direktnog dodira sa serverskim softverom na kome se nalaze podaci i alati. Interna zona obuhvata serverske komponente sistema, zatienu mrenu komunikaciju (SSL tehnologija komunnikacije), uredjaj HSM i raunar za nadgledanje celokupnog sistema. U internoj zoni je uspostavljeno kompletno CA telo, sa svim prateim komponentama. Pristup CA telu je u potpunosti restriktivan. Primenom softverskih mehanizama u realizaciji sistema i definisanim fizikim ogranienjima pristupa i korienja u potpunosti su onemogueni maliciozni napadi, kako izvan sistema tako i iz samog sistema (insajder). Demilitarizovana zona predstavlja deo sistema na kome je smeten server registracionog autoriteta. Deo sa koga se uzimaju podaci o korisnicima kako bi bili konvertovani u XML string i tako uneti u sistem CA tela, u vidu naloga za izdavanje elektronskog i kvalifikovanog elektronskog sertifikata. Off-line zona je prostor opredeljen za Root CA. Predstavlja zonu najvieg poverenja celokupnog sistema. Sertifikat Root CA je jedini samopotpisan, svi sertifikati u prvom niem hijerarhijskom nivou, potpisuju se privatnim kljuem sertifikata Root CA.

CA MO i VS obezbedjuje sredstvo za formiranje kvalifikovanog elektronskog potpisa (SSCD i pridrueni PIN kod za aktivaciju sredstva), kao i njihovu bezbednu distribuciju do registracionih tela i dalje do korisnika. 4. ARHITEKTURA SERTIFIKACIONOG TELA MO i VS Arhitektura kompletnog sistema Sertifikacionog tela MO i VS, prikazana je na slici 5. Sistem ini vie komponenti: Interna zona Demilitarizovana zona Off-line zona RA klijent.

RA klijent - U sertifikacionom telu MO i VS ova komponenta sertifikacionog tela realizovana je primenom naina deljene odgovornosti. RA klijent je, lokacijski, odvojen od CA tela. Ovom komponentom sistema za izdavanje elektronskih identifikacionih dokumenata u MO i VS bave se Uprava za kadrove Ministarstva odbrane Republike Srbije i Fond za SOVO. 5. SISTEM DELJENE ODGOVORNOSTI KOD SERTIFIKACIONOG TELA MO i VS Pod sistemom deljene odgovornosti sertifikacionog tela misli se na podelu odgovornosti izmedju sertifikacionog tela i registracionog autoriteta. Navedeni princip primenjen je pri kreiranju ovog sertifikacionog tela, tako da dve razliite strukture nose odgovornost za ispravnost rada i tanost podataka izmeu sertifikacionog tela i registracionog autoriteta. Ova opcija je izabrana, prvenstveno, zbog mogunosti i zahtevane potrebe da se registracioni autoriteti lokacijski odvoje od CA, to bi bez deljene odgovornosti praktino bilo nemogue realizovati u praksi. U ekonomskom smislu, omogueno je i znatno smanjenje trokova transporta i trokova u medjusobnoj komunikaciji izmedju CA i RA. Iako registraciona funkcija moe biti implementirana direktno, kao CA komponenta, praktino reenje u MO i VS je nametala potreba razliitih formacijskih sastava za disperzivnom varijantom razmetaja komponenti sistema. U sluaju MO i VS, odvajanje komponente Registraciono telo (RA) - Registration Authoriti i CA, opravdano je i injenicom da postoji vie, razliitih registracionih tela, na razliitim lokacijama. Registracioni autoriteti predstavljaju sertifikacionih usluga CA MO i VS. korisnike

CA MO i VS publikuje informacije o sertifikatima, politike sertifikacije i praktina pravila sertifikacije na prethodno pomenutim repozitorijumima, i to: - Sertifikate CA MO i VS (Root i intermediate CA sertifikate, potencijalno i korisnike sertifikate), - Informacije o statusima opozvanosti sertifikata (CRL). Iz razloga osetljvosti i bezbednisti informacija, rada sa poverljivim podacima i poslovnim tajnama, CA MO i VS nee publikovati interna pravila rada koja se odnose na izvesne podkomponente i elemente koji ukljuuju stroge bezbednosne aspekte, procedure za rad sa upravljanjem kljuevima, bezbednost registracionih tela, root signing proceduru i sve ostale bezbednosno osetljive procedure. 7. IZDAVANJE SERTIFIKATA Nakon dostave validnog zahteva korisnika za izdavanjem sertifikata, CA MO i VS realizuje proces izdavanja odgovarajuceg sertifikata koji se sastoji od: Generisanja asimetricnih parova kljueva, generisanja sertifikata.

CA MO i VS izdaje sledee vrste sertifikata: Root CA sertifikat Intermediate CA sertifikat Sertifikat korisnika.

Sertifikati korisnika, koje izdaje CA MO i VS, namenjeni su: zaposlenima u MO i VS, zdravstvenim osiguranicima MO i VS, uenicima i studentima vojnih kola, neophodnim resursima sistema MO i VS.

Korisnici su fizika lica: pripadnici MO i VS, zdravstveni osiguranici MO i VS, uenici i studenti kola MO i VS, kao i resursi neophodni u radu CA MO i VS. Korisnici su strane koje: Apliciraju za dobijanje sertifikata, Identifikovani su kao vlasnici sertifikata u samom sertifikatu, Poseduju privatni klju koji matematiki odgovara javnom kljuu koji je naveden u korisnikovom sertifikatu.

Profili sertifikata krajnjih korisnika organizovani su na osnovu razliitih tipova korisnika i aplikacija koje koriste u sistemu MO i VS. Izdati sertifikat od strane CA MO i VS smatra se prihvaenim od strane korisnika samim inom izdavanja dokumenta (smart kartice) korisnika. Izdavanje sertifikata resursa je potvrdjeno od strane CA operatera koji je inicirao njihovo izdavanje. Bilo koja primedba na izdati sertifikat mora biti eksplicitno dostavljena CA MO i VS, kao sertifikacionom telu izdavaocu. Potvrda odbijanja koja ukljuuje sva eventualna polja u sertifikatu koja sadre pogrene informacije mora takodje biti dostavljena CA MO i VS, kao sertifikacionom telu izdavaocu.

6. REPOZITORIJUMI CA MO i VS moe da publikuje informacije u vezi elektronskih sertifikata koje izdaje na on-line repozitorijumima koji su organizovani na odreenim Web serverima ili na LDAP serveru.

8. SUSPENZIJE I OPOZIV SERTIFIKATA IZDATIH OD STRANE SERTIFIKACIONOG TELA MO i VS Nakon odgovarajueg zahteva (korisnika ili RA tela), CA MO i VS vri opoziv izdatog elektronskog sertifikata. Opoziv sertifikata vri se u sluaju: Gubitka, krade, modifikacije, neautorizovanog objavljivanja ili neke druge kompromitacije privatnog kljua korisnika sertifikata. Da je subjekt sertifikata naruio materijalne obaveze koje su definisane ovom CP ili u CPS dokumentu. Da izvrenje odgovarajucih obaveza lica koja su navedena u ovoj CP kasni ili je spreeno usled prirodne katastrofe, raunarskog ili komunikacionog otkaza, ili usled drugog uzroka koji izlazi van kontrole datog lica, i kao rezultat, informacije o drugom licu su materijalno ugroene ili kompromitovane. Da se desila promena odredenih informacija koja se sadre u sertifikatu datog lica.

Srbiji. Oigledan i ogroman iskorak u pravcu osavremenjavanja informacionih tehnoglogija u Ministarstvu odbrane i Vojsci Srbije, nesumnjivo ukazuje kakva je vizija IT sektora i tendencije razvoja informacionih tehnologija u MO i VS. Uvodjenjem najsavremenijih tehnologija iz oblasti PKI, postignuta su i mnoga unapreenja u sferi komunikacija, ostvareno je smanjenje trokova i uteda sredstava, ubrzan rad iz oblasti upravljanja ljudskim resursima u MO i VS, ime je podignuta je i efikasnost celokupnog sistema odbrane, 10. LITERATURA [1] Politika sertifikacije Sertifikacionog tela Ministarstva odbrane i Vojske Srbije, CPME, 2010 godina. [2] , . , . 135/2004. [3] , . , . 48/2005. [4] Addison Wesley: Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Edition, November 06, 2002.

9. ZAKLJUAK Prikazali smo jedno od najsavremenijih sertifikacionih tela koja trenutno egzistiraju na teritoriji Republike Srbije, sa primenjenim IT tehnologijama koje su u bezbednosnom smislu opte priznate. Delimino je u radu obuhvaena struktura i semantika X.509 standarda verzije 3 sertifikata javnog kljua, ije izdavanje vri sertifikaciono telo MO i VS. Sertifikaciono telo MO i VS, uspostavljeno je tokom 2010. godine, kao osnova za dalje uvoenje i razvoj novih IT tehnologija, a pre svega infrastrukture javnih kljueva PKI (Public Key Infrastructure), u Ministarstvo odbrane i Vojsku Srbije. Uspostavom sertifikacionog tela MO i VS omogueno je unapredjenje rada svih institucija u okviru MO i VS, ali i bitan doprinos razvoju informacionog drutva u Republici

[5] Brands, S. Rethinking Public Key Infrastructures and Digital Certificates: Building in Privacy. Cambridge, MA: MIT Press, 2000. [6] Computer Security Institute. "Computer Security Issues and Trends: 2002." CSI/FBI Computer Crime and Security Survey 3, no. 1, (2002). [7] Chokhani, S., and W. Ford. "Internet X.509 Public Key Infrastructure: Certificate Policy and Certification Practices Framework." (March 1999).