Národný bezpečnostný úrad, pre potreby testovania aplikácií pre ZEP, vytvoril vlastné programové vybavenie, ktoré umožňuje vydávanie certifikátov, CRL, zoznamov krížových certifikátov a ďalších potrebných podpísaných testovacích údajov, bez závislosti na stave iných komerčných produktov pre X.509 PKI.
Formáty vydávaných testovacích podpísaných údajov na testovacích CA sú plne pod kontrolou NBÚ a obsahujú položky najmä podľa nasledovných štandardov:
Štandardy NBÚ
RFC 3280 - Internet X.509 Public Key Infrastructure (PKIX) Certificate and CRL Profile
ETSI TS 101 862 - Qualified Certificate Profile
ETSI TS 101 733 - Electronic Signatures and Infrastructures (ESI);Electronic Signature Formats
Pomocou uvedeného programového vybavenia bola vytvorená základná testovacia sada, ktorá bude podľa ďalších požiadaviek rozširovaná.
Za účelom testovania je možné, na základe písomnej žiadosti, požiadať NBÚ o vydanie testovacieho „kvalifikovaného“ certifikátu, CRL, prípadne iných údajov.
Použitie týchto certifikátov na iné účely ako testovacie je neprípustné.
Základný testovací balíček je vytvorený na základe schémy uverejnenej na strane číslo 6 v dokumente Kontrola certifikačnej cesty (pdf, 492.7 kB).
Testovací balíček: finalCertCrl.zip
Balíček obsahuje testovaciu množinu súborov, ktoré pozostávajú z 3 testovacích CA (Blue, Red, Green), kde Green CA je unilaterálne certifikovaná s predchádzajúcimi dvoma koreňovými CA.
Blue CA má vydané dva certifikáty, kde druhý je následník.
Green CA vydala dva používateľské certifikáty ( Brown ), z ktorých jeden je zrušený.
Pre každú CA je vydané CRL a rovnako sú pripravené súbory *.p7c, ktoré obsahujú zoznam krížovo certifikovaných CA, ktoré sú zverejnené aj na http a ldap adrese.
Množina obsahuje aj testovacie používateľské certifikáty so súkromnými kľúčmi na podpisovanie podpisových politík a všeobecného koncového používateľa.
Používateľské testovacie certifikáty sú vydané podľa ETSI a NBÚ požiadaviek na kvalifikované certifikáty.
Vzhľadom na novinky v EÚ, ako je napríklad možnosť ponechať si rovnaké mobilné číslo u rôznych operátoroch v krajine, teda čiastočná identifikácia pomocou telefónneho čísla, bol príklad DN mena testovacieho supjektu doplnený o telefónne číslo.
Keďže kvalifikovaný certifikát spája identitu overenú registračným operátorom s verejným kľúčom držiteľa súkromného kľúča a aby táto identita bola overiteľná aj overovateľovi zaručeného elektronického podpisu, je doplnené DN meno v položke SerialNumber o číslo identifikačného dokladu, napríklad číslo občianskeho preukazu a poprípade aj času vydania občianskeho preukazu.
| Meno pre koho je certifikát vydaný - subject name | ||
|---|---|---|
|
Sn |
= ID card number XX 999999-YYYYMMDD | (Serial Number) |
|
tel |
= +421 999 999999 | (Telephone Number) |
|
g |
= Peter | (Given Name) |
|
s |
= Brown | (Surname) |
|
cn |
= Peter Brown | (Common Name) |
|
ou |
= Test | (Organizational Unit Name) |
|
o |
= National Security Authority | (Organization Name) |
|
l |
= Bratislava | (Locality) |
|
c |
= SK | |
Podľa zákona o elektronickom podpise a EÚ smernice môže certifikát obsahovať aj obmedzenie na veľkosť peňazí v určitej mene na transakciu, v ktorej sa certifikát môže použiť.
Príklad takéhoto obmedzenia podľa definícií ETSI je už súčasťou vydaných testovacích certifikátov.
OBJECT IDENTIFIER qcStatements (1 3 6 1 5 5 7 1 3)
OCTET STRING, encapsulates {
SEQUENCE {
SEQUENCE {
OID id-etsi-qcs-QcCompliance '0 4 0 1862 1 1'
}
SEQUENCE {
OID id-etsi-qcs-QcLimitValue '0 4 0 1862 1 2'
SEQUENCE {
PrintableString 'EUR'
INTEGER 2
INTEGER 3
}
}
SEQUENCE {
OID id-etsi-qcs-QcSSCD '0 4 0 1862 1 4'
}
}
}
Kde EUR je 3 znakový názov meny podľa Iso4217 Currency Code, za ktorým nasledujú dve čísla. Čísla sa zapisujú do výrazu ( prvé číslo ) * 10 (druhé číslo)
Teda podľa príkladu 2 000 EUR = ( 2 ) * 10 (3)
Každý certifikát obsahuje informáciu o obmedzení, že je vydaný iba na testovacie účely.
SEQUENCE {
OBJECT IDENTIFIER restriction (1 3 36 8 3 8)
OCTET STRING, encapsulates {
UTF8String
'Only for testing purposes. Len na testovacie účely.'
}
}
Testovacia množina obsahuje aj testovaciu podpisovú politiku, ktorá obsahuje dva koreňové certifikáty.
Testovacia podpisová politika kladie na RED certifikát požiadavku na explicitnú kontrolu certifikačnej politiky v certifikačnej ceste až od 2 certifikátu, ktorým je užívateľský certifikát. Teda kvalifikovaný certifikát musí byť podľa certifikačnej politiky jednoznačne identifikovaný až za koreňovým certifikátom a za certifikátom akreditovanej CA, v ktorých sa priamo nekontroluje OID certifikačnej politiky a zároveň nesmie byť porušený algoritmus vytvárania množiny certifikačných politík v certifikačnej ceste, kde do algoritmu vstupujú certifikačné politiky zo všetkých certifikátov certifikačnej cesty.