PRAVILNIKO TEHNIČKO-TEHNOLOŠKIM POSTUPCIMA ZA FORMIRANJE KVALIFIKOVANOG ELEKTRONSKOG POTPISA I KRITERIJUMIMA KOJE TREBA DA ISPUNE SREDSTVA ZA FORMIRANJE KVALIFIKOVANOG ELEKTRONSKOG POTPISA("Sl. glasnik RS", br. 48/2005 i 82/2005) |
Ovim pravilnikom propisuju se tehničko-tehnološki postupci za formiranje kvalifikovanog elektronskog potpisa i kriterijumi koje treba da ispune sredstva za formiranje kvalifikovanog elektronskog potpisa.
Tehničko-tehnološki postupci za formiranje kvalifikovanog elektronskog potpisa, kao i kriterijumi koje treba da ispunjavaju sredstva za formiranje i proveru kvalifikovanog elektronskog potpisa moraju biti u skladu sa odgovarajućim međunarodnim standardima i preporukama, odnosno drugim standardima, dokumentima i preporukama, koje se odnose na formiranje i proveru kvalifikovanog elektronskog potpisa, utvrđenim ovim pravilnikom.
Kvalifikovani elektronski potpis, u skladu sa Zakonom o elektronskom potpisu (u daljem tekstu: Zakon), mora da zadovolji sledeće uslove, i to:
1) da je isključivo povezan sa potpisnikom;
2) da nedvosmisleno identifikuje potpisnika;
3) da nastaje korišćenjem sredstava kojima potpisnik može samostalno da upravlja i koja su isključivo pod nadzorom potpisnika;
4) da je direktno povezan sa podacima na koje se odnosi, i to na način koji nedvosmisleno omogućava uvid u bilo koju izmenu izvornih podataka;
5) da je formiran sredstvima za formiranje kvalifikovanog elektronskog potpisa;
6) da se proverava na osnovu kvalifikovanog elektronskog sertifikata potpisnika.
Kvalifikovani elektronski potpis koji se formira primenom RSA algoritma mora biti u skladu sa preporukom PKCS#1, a dužina modulusa mora biti minimalno 1024 bita.
Kvalifikovani elektronski potpis formira se primenom jednog od standardizovanih asimetričnih kriptografskih algoritama iz sledeće grupe, i to:
1) RSA (Rivest Shamir Adleman),
2) DSA (Digital Signature Algorithm), ili
3) ECDSA (Elliptic Curve Digital Signature Algorithm).
Pri formiranju kvalifikovanog elektronskog potpisa primenjuju se i hash funkcije za dobijanje otisaka poruke fiksne veličine (128 ili 160 bita).
Hash funkcije iz stava 1. ovog člana realizuju se primenom standardizovanih hash algoritama iz sledeće grupe, i to:
1) MD5 (Message Digest) - rezultuje u hash vrednostima veličine 128 bita, ili
2) SHA-1 (Secure Hash Algorithm) - rezultuje u hash vrednostima veličine 160 bita.
Sredstvo za formiranje kvalifikovanog elektronskog potpisa mora imati svojstva koja omogućavaju naknadnu ugradnju novih algoritama u skladu sa daljim razvojem kriptografskih tehnika i standarda.
Skup standardnih algoritama iz čl. 5. i 6. ovog pravilnika kombinovani sa zahtevima u vezi izbora parametara, kao i lista standardnih kombinacija primenjenih algoritama u formi algoritamskih veza ("signature suites"), moraju biti u skladu sa dokumentom ETSI ESI SR 002 176 "Algorithms and Parameters for Secure Electronic Signatures".
Kvalifikovani elektronski potpis formira se u skladu sa tehničko-tehnološkim postupcima utvrđenim ovim pravilnikom i skupom internih tehničkih pravila za formiranje kvalifikovanog elektronskog potpisa (u daljem tekstu: Pravila) koja moraju poštovati kako potpisnik tako i korisnik koji proverava kvalifikovani elektronski potpis.
Pravila utvrđuje nadležno sertifikaciono telo u skladu sa Zakonom i ovim pravilnikom.
Pravila su unapred definisana ili je informacija o korišćenim Pravilima uključena u elektronska dokumenta koja se razmenjuju i koja su potpisana kvalifikovanim elektronskim potpisom.
Forma Pravila mora biti u skladu sa dokumentom ETSI ESI TR 102 272 "ASN.1 format for signature policies" ili sa dokumentom ETSI ESI TR 102 038 "XML format for signature policies".
Potpisana elektronska dokumenta razmenjuju se u formi dokumenata u kojima su ugrađeni osnovni podaci o postupku, algoritmu i kvalifikovanom elektronskom sertifikatu potpisnika, kako bi primalac elektronskog dokumenta mogao proveriti kvalifikovani elektronski potpis na bazi usaglašene tehnologije i postupaka.
Forma elektronskog dokumenta koji je potpisan kvalifikovanim elektronskim potpisom mora biti usklađena sa dokumentima: PKCS#7 preporuka, RFC 3370 "Cryptographic Message Syntax (CMS)" i ETSI ESI TS 101 733 "Electronic Signature Formats" ili sa dokumentom ETSI ESI TS 101 903 "XML Advanced Electronic Signatures (XAdES)".
Kvalifikovani elektronski sertifikat mora biti usklađen sa preporukom ITU-T X.509 i dokumentima ETSI ESI TS 101 862 "Qualified Certificate Profile", RFC 3739 "Internet X.509 Public Key Infrastructure: Quolified Certificates Profile" i RFC 3280 "Internet X.509 Public Key Infrastructure Certificate Revocation List (CRL) Profile".
Postupak provere kvalifikovanog elektronskog potpisa obuhvata i postupak provere kvalifikovanog elektronskog sertifikata potpisnika, koji se sastoji od:
1) provere roka važnosti datog sertifikata;
2) provere podataka o sertifikacionom telu koje je izdalo kvalifikovani elektronski sertifikat potpisnika;
3) provere da li se dati sertifikat nalazi na listi opozvanih sertifikata.
Moguće je izvršiti i dodatne provere u odnosu na stav 1. ovog člana ukoliko je to definisano u Pravilima nadležnog sertifikacionog tela koje je izdalo kvalifikovani elektronski sertifikat.
Pri potpisivanju elektronskog dokumenta kvalifikovanim elektronskim potpisom, sredstva za formiranje kvalifikovanog elektronskog potpisa izvršavaju tu funkciju u skladu sa procedurom iz člana 4. ovog pravilnika, primenom jednog od standardizovanih algoritama iz čl. 5. i 6. ovog pravilnika, a na osnovu Pravila iz člana 9. ovog pravilnika.
Sredstva za formiranje kvalifikovanog elektronskog potpisa, pored uslova iz člana 8. Zakona, moraju da ispune sledeće kriterijume, i to:
1) da se podaci za formiranje kvalifikovanog elektronskog potpisa generišu u samom sredstvu za formiranje kvalifikovanog elektronskog potpisa i da ga nikad ne napuštaju;
2) da se kvalifikovani elektronski potpis formira u samom sredstvu za formiranje kvalifikovanog elektronskog potpisa;
3) da se obezbedi korišćenje sredstva za formiranje kvalifikovanog elektronskog potpisa isključivo od strane potpisnika uz prethodno realizovanu pouzdanu proceduru autentikacije;
4) da sredstvo mora biti takvo da je potpisnik u mogućnosti da ga koristi u različitim aplikacijama i informatičko-tehnološkim okruženjima.
Sredstvo za formiranje kvalifikovanog elektronskog potpisa mora biti u skladu sa sledećim standardima i preporukama, i to:
1) CEN/ISSS dokument CWA 14169 "Secure Signature-Creation Device, version EAL 4+";
2) CEN/ISSS dokument CWA 14170 "Security Requirements for Signature Creation Applications";
3) CEN/ISSS dokument CWA 14172-4 "EESSI Conformity Assessment Guidance - Part 4: Secure Signature Creation Devices";
4) CEN/ISSS dokument CWA 14172-5 "EESSI Conformity Assessment Guidance - Part 5: Secure Signature Creation Devices";
5) Američki standardi FIPS 140-1 i FIPS 140-2 (Federal Information Processing Standard) nivoi 2 i viši.
Pri proveri kvalifikovanog elektronskog potpisa na elektronskom dokumentu, sredstva za proveru kvalifikovanog elektronskog potpisa izvršavaju svoju funkciju u skladu sa procedurom iz člana 4. ovog pravilnika, na osnovu algoritama iz čl. 5. i 6. ovog pravilnika, a u skladu sa Pravilima i formom potpisanog elektronskog dokumenta iz člana 12. ovog pravilnika, i kao rezultat daju uspešnu ili neuspešnu proveru kvalifikovanog elektronskog potpisa.
Programska oprema i postupci primenom kojih se vrši provera kvalifikovanog elektronskog potpisa moraju u potpunosti onemogućiti dobijanje podataka za formiranje kvalifikovanog elektronskog potpisa pomoću podataka za njegovu proveru.
Sredstvo za proveru kvalifikovanog elektronskog potpisa mora da ispuni i zahteve iz standarda i preporuka, i to:
1) CEN/ISSS dokument CWA 14172-4 "EESSI Conformity Assessment Guidance - Part 4: Signature Creation Applications and Procedures for Electronic Signature Verification",
2) CEN/ISSS dokument CWA 14171 "Procedures for Electronic Signature Verification".
Potpisnik je dužan da zaštiti podatke za formiranje kvalifikovanog elektronskog potpisa od neovlašćenog pristupa, otuđivanja i nepravilne upotrebe.
Zaštita iz stava 1. ovog člana dodatno obuhvata primenu lozinki ili PIN kodova, biometrijskih postupaka ili drugih zaštitnih tehnika.
Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije", a primenjivaće se od 1. septembra 2005. godine.
Samostalni članovi Pravilnika o dopuni Pravilnika o tehničko-tehnološkim postupcima za formiranje kvalifikovanog elektronskog potpisa i kriterijumima koje treba da ispune sredstva za formiranje kvalifikovanog elektronskog potpisa
("Sl. glasnik RS", br. 82/2005)
Član 1
Pravilnik o tehničko-tehnološkim postupcima za formiranje kvalifikovanog elektronskog potpisa i kriterijumima koje treba da ispune sredstva za formiranje kvalifikovanog elektronskog potpisa ("Službeni glasnik RS", broj 48/05) prestaje da se primenjuje danom stupanja na snagu ovog pravilnika, a primenjivaće se od 1. januara 2006. godine.
Član 2
Ovaj pravilnik stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije".