Zakres
1.1 Postanowienia ogólne
W niniejszym dokumencie określono wymagania bezpieczeństwa i zalecenia dla wiarygodnych systemów serwerów obsługujących podpisy (TW4S), które generują podpisy cyfrowe.
TW4S składa się co najmniej z jednej serwerowej aplikacji do składania podpisu (SSA) oraz jednego urządzenia do składania podpisu (SCDev) lub jednego zdalnego urządzenia do składania podpisu.
Zdalne SCDev jest SCDev rozszerzonym o zdalną kontrolę zapewnioną przez moduł aktywacji podpisu (SAM) realizowaną w środowisku zabezpieczonym przed manipulacją. Moduł ten wykorzystuje dane aktywacji podpisu (SAD), zebrane przez protokół aktywacji podpisu (SAP) w celu zagwarantowania z wysokim poziomem zaufania, że klucze podpisujące są używane pod wyłączną kontrolą podpisującego.
SSA używa SCDev lub zdalnego SCDev w celu generowania, przechowywania i wykorzystywania kluczy podpisujących pod wyłączną kontrolą autoryzowanego podpisującego. Import kluczy podpisujących z CA nie jest objęty zakresem niniejszej normy.
Autoryzowany podpisujący zdalnie kontroluje klucze podpisujące z wysokim poziomem zaufania, kiedy SSA używa zdalnego SCDev.
TW4S jest przeznaczony do dostarczania podpisującemu lub innej aplikacji, podpisu cyfrowego składanego na podstawie danych do podpisania.
W niniejszej normie:
— opisano powszechnie uznane modele funkcjonalne TW4S;
— określono wymagania ogólne, które mają zastosowanie do wszystkich usług zidentyfikowanych w modelu funkcjonalnym;
— określono wymagania bezpieczeństwa dla wszystkich usług zidentyfikowanych w TW4S;
— określono wymagania bezpieczeństwa dla wrażliwych komponentów systemu, które mogą być używane przez TW4S.
W niniejszej normie koncentrowano się na wymaganiach bezpieczeństwa i jest ona niezależna od technologii oraz protokołu.
1.2 Poza zakresem normy
Uznano, że poniższe aspekty nie mieszczą się w zakresie niniejszego dokumentu:
— inne usługi zaufania, które mogą być świadczone razem z niniejszą usługą, takie jak wydawanie certyfikatu, usługa walidacji podpisu, usługa znakowania czasem oraz usługa konserwacji informacji;
— dowolne aplikacje lub systemy spoza TW4S (w szczególności aplikacje do składania podpisu, w tym składania podpisu zaawansowanego);
— klucz podpisujący i certyfikat do podpisywania importowany z CA;
— prawne interpretacje rodzaju podpisu (np. podpis elektroniczny, pieczęć elektroniczna, kwalifikowany lub inny).
1.3 Odbiorcy
W niniejszej normie określono wymagania bezpieczeństwa, dla których przewiduje się, że będą przestrzegane przez:
— dostawców systemów TW4S;
— dostawców usług zaufania (TSP) oferujących usługę składania podpisu.
