STOCKHOLMS STADS CERTIFIKATPOLICY

Transkript

1 STADSLEDNINGSKONTORET SÄKERHE TSENHETEN CERTIFIKATPOLICY SID 1 (47) Version 1.10

2 SID 2 (47) Innehållsförteckning Stockholms stads certifikatpolicy... 1 Innehållsförteckning Inledning Översikt Identifikation Deltagare Certifikatanvändning Förvaltning av policy Definitioner och förkortningar Ansvar för publicering och lagring Lagringsplatser Publicering av certifikatrelaterad information Tidpunkter och frekvenser för publicering Behörighetskontroll för lagringsplatser Identifiering och autentisering Namngivning Initial verifiering av identitet Identifikation och autenticering vid begäran om förnyelse av nycklar Identifiering och autentisering vid begäran om spärrning Operationella krav Certifikatsansökan Certifikat ansökningsprocess Certifikatsutgivning Certifikatacceptans Använing av Nyckar och certifikat Förnyelse av certifikat Förnyelse av certifikatets nyckelpar Certifkatsmodifiering Spärr av certifikat... 17

3 SID 3 (47) 4.10 Tjänster avseende certifikatsstatus Avsluta ett innehav Nyckeldeponering och nyckelåterställning Faciliteter, förvaltning och verksamhetsstyrning Fysisk säkerhet Procedurorienterad säkerhet Personal Säkerhetsloggning Arkivering Byte av CA-nycklar Kompromettering och katastrofhantering Upphörande av CA Tekniska skyddsåtgärder Generering och installation av nyckelpar Skydd av privata nycklar Andra aspekter på nyckelparshantering Aktiveringsdata IT-säkerhetskontroller Säkerhetskontroller Nätsäkerhet Tidsstämpling Certifikat, CRL och OCSP profiler Certifikatsprofil CRL-profil OCSP-profil Revision av efterlevnad och andra utvärderingar Frekvens och omständigheter för utvärdering Revisionskvalifikationer Utvärderares relation till den utvärderade Områden för revision... 40

4 SID 4 (47) 8.5 Åtgärd vid upptäckt av brist Information om resultatet av revision Frågor samt övrigt Avgifter Finansiellt ansvar Sekretess för myndighetsinformation Persondataskydd Immateriella rättigheter Garantier Fullmaktsförhållanden Vilkor och uppsägning Kommunikation mellan deltagare Ändringar Procedur för konfliklösning Efterlevnad av tillämpliga lagar Övriga bestämmelser... 47

5 SID 5 (47) 1 Inledning Denna certifikatpolicy är styrande för Stockholms stads PKI i alla delar och riktar sig till de som är verksamma inom ramen för Stockholms stads PKI såsom utfärdare, underleverantörer, förlitande parter och revisorer. Denna certifikatpolicy (CP) i Stockholms stad gäller tjänster som är förknippade med utgivningen av och hantering av digitala certifikat inom ramen för Stockholms stads PKI. Denna certifikatpolicy behandlar de tekniska, rutinmässiga och gängse krav för certifikat som är utfärdade av Stockholms stads PKI. Denna certifikatpolicy uppfyller de formella kraven för Internet Engineering Task Force (IETF) RFC3647 (ersätter RFC 2527), daterad november Denna certifikatpolicy har Kommunförbundet i Stockholms län (KSL) upprättade certifikatpolicy som förlaga. 1.1 ÖVERSIKT I toppen av hierarkin för Stockholms stads PKI är Stockholms stads Stadsledningskontors Säkerhetsenhet som äger och förvaltar denna certifikatpolicy och som fastställer det regelverk som deltagarna i Stockholms stads PKI måste följa. Utfärdare (Registration Authority, RA) är enheter som verifierar certifikatbegäranden inom Stockholms stads PKI. Stockholms stad kan fungera som RA för Stockholms stad samt de bolag, stiftelser och ekonomiska föreningar där Stockholms stad utövar ett rättsligt inflytande. Denna certifikatpolicy beskriver de förfaranden och rutiner som tillämpas inom ramen för Stockholms stads PKI och är begränsad till utfärdandet av certifikat till fysiska personer. Inom ramen Stockholms stads PKI utfärdas certifikat enligt olika certifikatprofiler som styr certifikatinnehåll. Underleverantörer som driftar en eller flera CA-instanser inom ramen för Stockholms stads PKI måste upprätta ett så kallat Certification Practice Statement (CPS) som måste godkännas av Stockholms stads Stadsledningskontors Säkerhetsenhet.

6 SID 6 (47) RA som är verksamma inom ramen för Stockholms stads PKI måste upprätta ett så kallat Registration Authority Practice Statement (RAPS) som måste godkännas av Stockholms stads Stadsledningskontors Säkerhetsenhet. 1.2 IDENTIFIKATION Stockholms stads Stadsledningskontors Säkerhetsenhet har tilldelat följande objekt identifierare (OID) för denna certifikatpolicy iso(1) member-body(2) se(752) stockholms-stad(233) Stockholms stads PKI (1) CP(1) version(1) 1.3 DELTAGARE Certification authority Stockholms stad innehar det totala ansvaret för Stockholms stads PKI, inklusive de delar som utförs av eventuella underleverantörer. Stockholms stad tillser att dess eventuella underleverantörer följer denna certifikatpolicy i alla tillämpliga delar. I enlighet med denna certifikatpolicy ska ett CA: 1. garantera att all information i utfärdade certifikat är korrekta och kontrollerade i enlighet med denna certifikatpolicy, 2. utfärda certifikat i enlighet med de certifikatprofiler som godkänts av Stockholms stads Stadsledningskontors Säkerhetsenhet, 3. publicera och lagra information i enlighet med avsnitt 2, 4. utföra de åtgärder för identifiering som anges i avsnitt 3, 5. spärra certifikat och upprätta spärrlistor enligt avsnitt 4, 6. implementera kontrollåtgärder enligt avsnitt 4, 5 och 6, 7. förfoga över tillräckliga, finansiella och andra resurser, för att kunna bedriva verksamhet och bära risken för skadeståndsskyldighet, 8. genomföra revisioner i enlighet med denna certifikatpolicy, och 9. upprätta ett så kallat Certification Practice Statement (CPS) som måste godkännas av Stockholms stads Stadsledningskontors Säkerhetsenhet.

7 SID 7 (47) Registration authority Ett CA kan delegera ansvar för beställning, identifiering, autentisering, utlämnande, och spärr av certifikat till ett eller flera RA. Detta ansvar beskrivs i förekommande fall i en RA-policy som är underställd denna certifikatpolicy. RA måste upprätta ett så kallat Registration Authority Practice Statement (RAPS) som måste godkännas av Stockholms stads Stadsledningskontors Säkerhetsenhet Certifikatsinnehavare En certifikatinnehavare kan endast vara en fysisk person som tjänstgör vid eller har en relation med Stockholms Stad. CA ansvarar för att de väsentliga kraven på certifikatinnehavaren enligt denna certifikatpolicy erinras certifikatinnehavaren och att certifikatinnehavaren är bunden till Stockholms stad via avtal, antingen genom anställning eller genom annat avtal/kontrakt Förlitande parter Förlitande parter är en organisation eller person som agerar med tillit till ett certifikat som utfärdats inom ramen för Stockholms stads PKI. Förlitande part och Stockholms stad kan i förekommande fall reglera denna partsrelation med ett relying party agreement Andra aktörer Stockholms stad tillser att eventuella andra aktörer som verkar inom ramen för Stockholms stads PKI följer denna certifikatpolicy i alla tillämpliga delar. 1.4 CERTIFIKATANVÄNDNING Tillåten certifikatanvändning Certifikat får används av fysiska personer för att signera och kryptera information, för att autentisera till applikationer (klientautentisering) och för att autentisera och kryptera kommunikationen, exempelvis TLS. Ett certifikat kan användas för andra ändamål, förutsatt: att förlitande parten kan förlita sig på certifikatet, att användningen inte är förbjudet enligt lag, och att användningen är förenlig med upprättade avtal.

8 SID 8 (47) Förbjuden användning av certifikat Certifikat får endast användas i den mån användningen är förenlig med gällande lagstiftning, är förenlig med upprättade avtal, är förenlig med denna certifikatpolicy och att certifikaten bara används i de syften de utfärdats. CA-certifikat får inte användas för några andra funktioner än CA funktioner. Inga andra certifikat får användas som CA-certifikat. 1.5 FÖRVALTNING AV POLICY Stockholms stads Stadsledningskontors Säkerhetsenhet äger och förvaltar denna certifikatpolicy och ansvarar för att: 1. specificera och godkänna certifikatpolicyn i enlighet med en definierad process för översyn, inklusive ansvar för att sprida, upprätthålla och spåra ändringar i certifikatpolicyn, 2. definiera krav och riktlinjer för användning av digitala certifikat och specificera dem i certifikatpolicyn och berörda avtal, 3. godkänna nya och ändrade Certificate Practice Statements (CPS), 4. återkommande granska att de kontroller som definierats i certifikatpolicyn efterlevs, 5. i förekommande fall särskilt definiera krav och riktlinjer som avser beställning, identifiering, autentisering, utlämnande och spärr av certifikat och specificera dem i RA-policyn och berörda avtal, 6. i förekommande fall godkänna nya och ändrade Registration Authority Practice Statements (RAPS), 7. i förekommande fall återkommande granska att de kontroller som definierats i RA-policyn efterlevs, och 8. tillse att revision återkommande genomförs och att resultatet tillämpas. Stockholms stads Stadsledningskontors Säkerhetsenhet ansvarar för att publicera en aktuell version av: 1. denna certifikatpolicy (CP), 2. i förekommande fall RA-policy, och 3. i förekommande fall relaying party agreements Förvaltningsorganisation för certifikatpolicy Stockholms stads Stadsledningskontors Säkerhetsenhet

9 SID 9 (47) Kontaktinformation Stockholms stad Stadsledningskontoret Säkerhetsenheten Stockholm E-post: hostmaster@stockholm.se Webb: Överensstämmelse Stockholms stads Stadsledningskontors Säkerhetsenhet bestämmer lämpligheten och tillämpligheten av denna certifikatpolicy Godkännandeprocess Godkännande av denna certifikatpolicy och efterföljande ändringar och tillägg ska göras av Stockholms stads Stadsledningskontors Säkerhetsenhet. Ändringar ska vara i form av en uppdaterad certifikatpolicy. 1.6 DEFINITIONER OCH FÖRKORTNINGAR Se bilaga 1 för definitioner och förkortningar

10 SID 10 (47) 2 Ansvar för publicering och lagring 2.1 LAGRINGSPLATSER Stockholms stads Stadsledningskontors Säkerhetsenhet ansvarar för att följande information finns tillgänglig på följande platser: 1. Denna certifikatpolicy publiceras på 2. Samtliga CA-certifikat och spärrlistor (CRL) publiceras på PUBLICERING AV CERTIFIKATRELATERAD INFORMATION Stockholms stads Stadsledningskontors Säkerhetsenhet ansvarar för att göra följande information och tjänster tillgängliga för deltagande parter: 1. Certifikatpolicy (CP) 2. I förekommande fall RA-policy (RAP) 3. Samtliga CA-certifikat 4. Spärrlista som innehåller spärrade certifikat 2.3 TIDPUNKTER OCH FREKVENSER FÖR PUBLICERING CA information ska publiceras omedelbart efter varje förändring. CRL för root-ca ska utfärdas utan dröjsmål vid förändringar, CRL för issuing-ca ska utfärdas minst en gång per dygn. 2.4 BEHÖRIGHETSKONTROLL FÖR LAGRINGSPLATSER Stockholms stads Stadsledningskontors Säkerhetsenhet ansvarar för att genomföra återkommande kontroller för att säkerställa att obehöriga inte kan till, ta bort eller ändra information av väsentlig betydelse för Stockholms stads PKI.

11 SID 11 (47) 3. Identifiering och autentisering 3.1 NAMNGIVNING Olika typer av namn Certifikat utfärdade till fysiska personer kan innehålla följande identifierare: Personnummer (Subject / Serial number) Användarid (Subject /CN) AD-kontonamn (Subject Alternative Name / Principal Name) Krav på meningsfull information i certifikatet Personuppgifter i certifikat utfärdade till fysiska personer ska verifieras mot Skatteverkets Folkbokföringssystem. E-postadresser ska uttryckas i enlighet med IETF RFC2822 eller RFC Anonyma eller pseudonyma innehavare Certifikat utfärdade till fysiska personer får endast använda pseudonymer när det enligt lag eller förordning krävs för att skydda identiteten på en fysisk person och först efter godkännande av Stockholms stads Stadsledningskontors Säkerhetsenhet. I förekommande fall kan ansvaret för godkännande delegeras till RA Regler för tolkning av identitetsuppgifter Unika namn Alla attribut som används som identifierare ska vara unika Erkännande av olika typer av varumärken Ej tillämpningsbart. 3.2 INITIAL VERIFIERING AV IDENTITET Metod att bevisa innehav av privat nyckel Innehavaren måste visa att den rätteligen innehar den privata nyckeln som motsvarar den publika nyckeln som anges i certifikatet. Metoden för att styrka att personen har en privat nyckel ska vara PKCS#10 eller andra kryptografiskt ekvivalenta demonstrationer.

12 SID 12 (47) Autentisering av organisationsidentitet Ej tillämpningsbart Kontroll av uppgiven identitet Fysiska personer ska alltid identifieras i enlighet med denna certifikatpolicy. Nivån av identifiering utgörs av nivå av tillit till en uppgiven identitet Krav på identitetskontroll Sökanden ska legitimera sig på likvärdigt sätt som vid utgivning av en fullgod identitetshandling Procedur för autentisering Kontroll ska göras att sökandes uppgifter finns registrerade i ett officiellt register Icke-verifierade identiteter Ej tillämpningsbart vid utfärdande av certifikat till fysiska personer Kriterier för interopabilitet 3.3 IDENTIFIKATION OCH AUTENTICERING VID BEGÄRAN OM FÖRNYELSE AV NYCKLAR Identifiering och autentisering vid förnyelse av nycklar för giltiga certifikat Denna certifikatpolicy tillåter inte förnyelse av nycklar för certifikat utfärdade till fysiska personer. Undantaget är CA-certifikat förutsatt att det sker i enlighet med reglerna i avsnitt 6 i denna certifikatpolicy Identifiering och autentisering vid förnyelse av nycklar för spärrade certifikat Denna certifikatpolicy tillåter inte förnyelse av nycklar för spärrade certifikat. 3.4 IDENTIFIERING OCH AUTENTISERING VID BEGÄRAN OM SPÄRRNING Proceduren för att spärra certifikat måste föregås av en validering som säkerställer att spärren faktiskt begärts av: innehavaren, i förekommande fall den RA som utfärdat certifikatet, eller Stockholms stads Stadsledningskontors Säkerhetsenhet

13 SID 13 (47) Stockholms stads Stadsledningskontors Säkerhetsenhet får endast spärra certifikat när nyckelinnehavaren eller i förkommande fall RA inte är i stånd att begära spärrning. Vid misstanke om oegentligheter relaterat till ett utfärdat certifikat får ett certifikat spärras av Stockholms stads Stadsledningskontors Säkerhetsenhet, och i förekommande fall av RA. Frånsteg får i dessa fall göras från kraven på validering. Metoden för validering för varje begäran av spärrning ska loggas. Vid frånsteg i kraven på validering ska orsaken till dessa frånsteg dokumenteras.

14 SID 14 (47) 4 Operationella krav 4.1 CERTIFIKATSANSÖKAN Vem får ansöka om certifikat Följande får ansöka om certifikat: fysiska personer som är anställda av, eller ha en relation med Stockholms stad, behöriga företrädare för ett CA, eller i förekommande fall, behöriga företrädare för ett RA Utställande av certifikat med tillhörande nycklar Certifikat utfärdade till fysiska personer Certifikatansökaren ska: göra en ansökan med sann och korrekt information, generera ett nyckelpar, direkt eller indirekt, leverera dennes publika nyckel, direkt eller i förekommande fall via en RA, till certifikatutfärdaren, och demonstrera innehav eller exklusiv kontroll av den privata nyckeln som motsvarar den publika nyckeln som levererades till certifikatutfärdaren CA- och RA-certifikat Certifikatansökaren ska: bevisa att denne är en behörig företrädare, göra en ansökan med sann och korrekt information, generera ett nyckelpar, direkt eller indirekt, leverera dennes publika nyckel, direkt eller i förekommande fall via en RA, till certifikatutfärdaren, och demonstrera innehav eller exklusiv kontroll av den privata nyckeln som motsvarar den publika nyckeln som levererades till certifikatutfärdaren. 4.2 CERTIFIKAT ANSÖKNINGSPROCESS Utföra identifierings- och autentiseringsfunktioner Ett CA, eller i förekommande fall RA, ska utföra identifiering och autentisering av all nödvändig information i enlighet med kraven i avsnitt 3.

15 SID 15 (47) En ansökan ska uppfylla följande procedurer: 1. CA, eller i förekommande fall RA, ska säkerställa att alla tillämpliga villkor accepteras av den sökande. I detta förfarande deklarerar den tänkta nyckelinnehavaren all relevant information. 2. Den sökande identifieras och autentiseras av CA, eller i förekommande fall RA. All ansökningsinformation verifieras. 3. Ansökningshandlingar arkiveras Godkännande eller avslag på ansökning Ett CA, eller i förekommande fall RA, kommer att godkänna en ansökan om följande kriterier är uppfyllda: Lyckad identifiering och autentisering av all erforderlig information i enlighet med avsnitt 3. Ett CA, eller i förekommande fall RA, kommer att avslå en ansökan om: identifiering och autentisering av all erforderlig information i enlighet med avsnitt 3 misslyckats, certifikatansökaren inte är tillgänglig under processen, eller en certifikatansökare kan medföra vanrykte Tid att behandla certifikatansökningar CA, eller i förekommande fall RA, ska hantera certifikatansökningar skyndsamt. En certifikatansökan är under behandling till dess den godkänns eller avslås. 4.3 CERTIFIKATSUTGIVNING CA aktiviteter vid certifikatutfärdande Ett certifikat skapas och utfärdas först efter godkännande av en certifikatansökan från en behörig företrädare för ett CA, eller i förekommande fall av en behörig företrädare för ett RA. Varje certifikatansökan ska kunna spåras till ansökande part. CA skapar och utfärdar certifikat till ansökande baserat på informationen i en certifikatansökan Information till sökande vid certifikatutfärdande Ett CA ska vid utfärdandet av ett certifikat informera sökande om att ett certifikat är utfärdat för denne och informera hur certifikatet tillgängliggörs.

16 SID 16 (47) 4.4 CERTIFIKATACCEPTANS Mottagningsbevis Någon av följande handlingar utgör ett mottagningsbevis: nedladdning av certifikat, installation av ett certifikat som bifogats ett mejl, invändning mot certifikatet, eller invändning mot certifikatets innehåll Offentliggörande av certifikatet Ett CA ska publicerar alla utfärdade certifikat i Stockholms stads elektroniska katalog. I fall där publiceringen misslyckas ska sökande, och i förekommande fall RA, informeras Anmälan om certifikat utfärdas av CA till annan 4.5 ANVÄNING AV NYCKAR OCH CERTIFIKAT Nyckelinnehavarens användning av privata nyckeln och certifikatet Användning av den privata nyckel som motsvarar den publika nyckeln i certifikatet ska endast vara tillåten när nyckelinnehavaren har samtyckt till upprättade avtal och accepterat certifikatet. Den privata nyckeln eller certifikatet får endast användas: under förutsättning att certifikatet är giltigt och inte spärrat, i överensstämmelse med värdet i fältet KeyUsage i certifikatet, i enlighet med upprättade avtal, och i enlighet med denna certifikatpolicy. Nyckelinnehavaren ska skydda den privata nyckeln från obehörig användning Förlitande parts användning av publik nyckel och certifikat Förlitande parter måste samtycka till villkoren i upprättade avtal. Förlitande part ska självständigt bedöma lämpligheten att använda ett certifikat för varje given syfte.

17 SID 17 (47) Den publika nyckeln eller certifikatet får endast användas: under förutsättning att certifikatet inte är spärrat, i överensstämmelse med värdet i fältet KeyUsage i certifikatet, i enlighet med upprättade avtal, och i enlighet med denna certifikatpolicy. 4.6 FÖRNYELSE AV CERTIFIKAT Certifikatförnyelser sker på samma sätt som utfärdande av nya certifikat. 4.7 FÖRNYELSE AV CERTIFIKATETS NYCKELPAR Denna certifikatpolicy medger inte att nyckelpar återanvänds. 4.8 CERTIFKATSMODIFIERING Certifikatsmodifieringar sker på samma sätt som utfärdande av nya certifikat. 4.9 SPÄRR AV CERTIFIKAT CA ska tillhandahålla en tjänst för spärr av certifikat. Denna certifikatpolicy medger inte tillfällig spärr av certifikat. CA ska kontinuerligt skapa en signerad spärrlista där den mest aktuella spärrlistan ska tillgängliggöras och tillhandahållas i enlighet med denna certifikatpolicy. Spärrlistan ska innehålla spärrade certifikat vars giltighetstid inte passerat Omständigheter för spärr Ett CA spärrar ett certifikat av någon av följande orsaker: om någon av den information som finns i certifikatet ändras, vid begäran av spärr i enlighet med denna certifikatpolicy, om ett CA avslutar sitt uppdrag som CA, vid certifikatanvändning som är i strid med denna certifikatpolicy, eller vid misstanke om oegentligheter Behöriga att begära spärr Följande kan begära en spärr av ett certifikat: nyckelinnehavaren, i förekommande fall den RA som utfärdat certifikatet, eller Stockholms stads Stadsledningskontors Säkerhetsenhet

18 SID 18 (47) Stockholms stads Stadsledningskontors Säkerhetsenhet får endast spärra certifikat när nyckelinnehavaren eller i förkommande fall RA inte är i stånd att begära spärrning. Vid misstanke om oegentligheter relaterat till ett utfärdat certifikat får ett certifikat spärras av Stockholms stads Stadsledningskontors Säkerhetsenhet Rutin för begäran av spärr Begäran om spärr ska arkiveras tillsammans med information om: Hur begäran mottogs När begäran mottogs Anledningen till spärr Hur den enskilde som begärde spärr identifierades och autentiserades Resultatet av spärr (lyckad/misslyckad) Tiden för offentliggörande i spärrlistan Behandlingstid vid begäran om spärr Spärrbegäran ska hanteras utan dröjsmål Behandlingstid vid utförande av spärr Spärrbegäran ska utföras utan dröjsmål. Offentliggörande i spärrlistan ska ske inom ett dygn Krav på spärrkontroll Förlitande part ska kontrollera status på certifikat genom att hämta spärrlista från aktuell lagringsplats och försäkra sig om dess äkthet genom att verifiera dess digitala signatur och certifikatkedja. Om ett certifikat är spärrat eller om spärrkontroll inte går att genomföra saknas det fog för att lita på certifikatet Frekvens för utgivning av spärrlista CRL för root-ca ska utfärdas utan dröjsmål vid förändringar. CRL för issuing-ca ska utfärdas minst en gång per dygn Maximal latenstid för CRL Uppdaterad spärrlista ska tillgängliggöras utan dröjsmål.

19 SID 19 (47) Tillgång till realtids spärr- och giltighetskontroll (OCSP) Krav på realtids spärr- och giltighetskontroll (OCSP) Andra sätt att tillhandahålla spärrkontroll Särskilda krav om nycklar röjs Om någon part misstänker att privata CA-nycklar är röjda ska Stockholms stads Stadsledningskontors Säkerhetsenhet meddelas utan dröjsmål. Om de privata nycklarna för ett CA misstänks vara röjda ska Stockholms stads Stadsledningskontors Säkerhetsenhet informera samtliga parter Omständigheter för suspension Denna certifikatpolicy medger suspension TJÄNSTER AVSEENDE CERTIFIKATSSTATUS Operationella egenskaper Status för utfärdade certifikat är tillgängligt via spärrlista i enlighet med denna certifikatpolicy Tillgänglighet Statustjänster ska vara ständigt tillgängliga med undantag för schemalagda avbrott Valfria funktioner 4.11 AVSLUTA ETT INNEHAV En innehavare kan avsluta sitt innehav genom att: låta dennes certifikat upphöra att gälla, eller spärra dennes certifikat utan att ersätta certifikatet med ett nytt 4.12 NYCKELDEPONERING OCH NYCKELÅTERSTÄLLNING Denna certifikatpolicy tillåter inte nyckeldeponering eller nyckelåterställning.

20 SID 20 (47) 5 Faciliteter, förvaltning och verksamhetsstyrning 5.1 FYSISK SÄKERHET Fysisk säkerhet syftar till att skydda lokaler, utrustning och dess informationskapital. Fysisk säkerhet omfattar naturkatastrofer, olyckor och fel i tekniska system samt mänskliga misstag och slarv eller kriminella handlingar. Målen med fysisk säkerhet är att förhindra att obehörigt fysiskt tillträde ges till lokaler, skador och störningar i organisationens lokaler och information. Målen ska sättas i proportion till förekommande risker Placering och konstruktion Alla verksamhet ska bedrivas inom en fysiskt skyddad miljö som avskräcker, hindrar och upptäcker obehörig användning av, tillgång till eller spridning av känslig information och system. Anläggningen som rymmer de centrala CA-funktionerna ska vara placerad i en datorhall med starkt fysiskt skydd som bör vara förklarad som skyddsobjekt. Datorhallen ska vara låst, larmad och befinna sig i en byggnad som även den är låst och larmad. Viktiga komponenter ska vara inlåsta i separata och fristående säkerhetsskåp Fysisk säkerhet Åtkomst till utrymmen som ger tillgång till funktioner för framställning av certifikat eller funktioner som kan påverka tilliten till CA-funktionen och dess robusthet och integritet ska begränsas till endast behörig personal. Åtkomst till utrymmen ska kräva legitimering och erforderliga kontroller för inpassage. Åtkomst till resurser ska dokumenteras och vara spårbar. I de fall det finns flera zoner ska varje zonpassage dokumenteras och vara spårbar Strömförsörjning och luftkonditionering Strömförsörjning och kylning ska ha tillräcklig kapacitet och tillgänglighet för att möjliggöra att tillgänglighet till vitala funktioner för CA upprätthålls. Detta innebär att adekvata backup-system ska finnas tillgängliga för infrastruktur som används för att tillhandahålla funktionen såsom strömförsörjning, ventilation, luftkonditionering och för monitorering av temperatur och luftfuktighet.

21 SID 21 (47) Vattenexponering CA-funktionen och dess underliggande tekniska plattform ska vara skyddad mot vattenexponering så att en exponering inte ger negativa effekter på funktionen Brandskydd inklusive förebyggande åtgärder CA-funktionen och dess underliggande tekniska plattform ska skyddas mot brand. Förebyggande åtgärder såsom övervakning, aktiva släckningsfunktioner och rutiner ska implementeras för att förebygga brand och spridning av brand och rökgaser. Släckningsfunktioner ska vara aktiva för att förhindra uppkomst av brand och spridning. Samtliga proaktiva åtgärder ska utformas och utföras enligt gällande lokala brandföreskrifter Lagring av media Media som rör CA-funktionen, och är i direkt eller indirekt beroende av funktionen, ska förvaras på ett säkert sätt. CA-kritisk information som lagras på media ska skyddas från brand, vatten och andra yttre miljörisker. Säkerhetskopierat data ska skyddas på likvärdigt sätt Avfallshantering Avfall ska hanteras så att inga känsliga uppgifter från vitala processer lämnar anläggningen på ett sätt som står i strid med denna certifikatpolicy Säkerhetskopia på annan plats Säkerhetskopior av kritiska systemdata och andra känsliga uppgifter ska lagras på en säker plats skild från produktionsplatsen. 5.2 PROCEDURORIENTERAD SÄKERHET Anställda, underleverantörer, konsulter och andra som har uppgift att upprätta, upprätthålla och säkerställa CA-funktionen ska betraktas som behörig personal och inneha särskilt betrodda roller. Personal som ansöker om tjänst för en betrodd roll ska genomgå särskild granskning som möter kraven i denna certifikatspolicy. Betrodda roller inkluderar, men är inte begränsad till: Personal i ledande befattning med uppgift att styra och säkerställa infrastrukturell pålitlighet. Systemadministratör Specifikt utpekad teknisk personal

22 SID 22 (47) Behörig personal inkluderar alla anställda, underleverantörer, företag, konsulter och andra som har access till eller kontroll över autentisering eller kryptografiska operationer som väsentligt kan påverka: Validering av information i certifikatsbegäran Godkännande, avslag eller annan hantering av certifikats-, spärr-, förnyelsebegäran eller annan registreringsinformation. Utfärdande eller spärr av certifikat, inklusive personal som har åtkomst till begränsad del av kataloguppgifter eller hantering av slutanvändarinformation eller begäransinformation Betrodda roller CA ska skilja mellan olika roller inom CA-funktionen enligt denna policy: Roll Certification Authority Administrator (CAA) System Administrator (SA) Information Systems Security Officer (ISSO) Förklaring / Uppgifter Administrativ produktions-/driftspersonal för CA. Typiska uppgifter som kan administreras av CAA är: Skapa certifikat Personalisera kort Generera nycklar Spärra certifikat Kontroll av certifikatutfärdarloggen Teknisk produktions-/driftspersonal för CA. Typiska uppgifter som kan administreras av SA är: Installationer Systemunderhåll Byte av band för säkerhetskopia Säkerhetsansvarig för CA-tjänsten. ISSO är inte själva direkt involverad i processen att generera certifikat, kort och spärrlistor men ansvarar för att alla operativa roller agerar inom ramen för sina befogenheter. Utöver dessa definitioner har CA, och i förekommande fall RA, rättighet att tillföra fler, mer granulära, delfunktioner som underlättar dess förvaltningsuppdrag. Dock får denna uppdelning inte äventyra de säkerhetskrav och leveranskrav som denna certifikatpolicy ställer.

23 SID 23 (47) Roller med krav på dualitet CA, och i förekommande fall RA, ska upprätta, underhålla och driva igenom rigorösa kontrollförfaranden för att säkerställa åtskillnad mellan funktioner baserade på ansvar och se till att flera betrodda personer krävs för att utföra känsliga uppgifter. Rutiner ska finnas på plats för att säkerställa åtskillnad mellan befogenheter baserade på arbetsuppgifter. De känsligaste uppgifterna kräver flera betrodda personer. Tillgång till kryptografisk hårdvara kräver flera betrodda personer i hela dess livscykel, från inkommande mottagande och kontroll till slutlig destruktion. De betrodda rollerna för certifikatutfärdare tilldelas minst två personer vardera. En person som innehar antingen ISSO eller SA roll får inte också tilldelas den andra rollen. Initiering av en CA och generering av CA-nycklar kräver närvaro av minst två personer som håller ISSO eller CAA roller och minst en för ändamålet godkänd revisor Identifiering och autentisering av varje roll Identifiering av roller i CA-systemet ska ske enligt följande: Identifiering av rollerna SA ska ske i operativsystemet i CA-systemets enheter och ska baseras på stark autentisering med hjälp av personliga operatörskort av typ som definieras enligt Identifiering av rollerna CAA (där så är tillämpligt) ska ske i CAsystemets applikationer och ska baseras på stark autentisering med hjälp av personliga operatörskort av typ som definieras enligt Roller som kräver separation av uppgifter Bland de roller som kräver separation av uppgifter identifieras följande: Nyckelgenerering och destruktion av CA-nycklar. Upprättande av CA-funktionen i produktionsmiljö. Granskare kan inte vara samma person som CAA, SA eller ISSO.

24 SID 24 (47) 5.3 PERSONAL Personal som innehar roller enligt 5.2.1, som ur säkerhetssynpunkt betraktas som kritiska, ska vara särskilt utvalda och pålitliga samt ha uppvisat lämplighet för sådana befattningar. Personal ska inte inneha andra uppgifter som kan vara i konflikt med de åtaganden och ansvar som följer av de roller som de har i CA-systemet Krav på kompetens och erfarenhet Personal som hanterar CA, och i förekommande fall RA, ska inneha bevis på erforderlig kompetens, kvalifikationer och erfarenhet som krävs för att utföra arbetsuppgifterna Procedur för kontroll av bakgrund Personal som hanterar CA, och i förekommande fall RA, ska bakgrundskontrolleras minst vartannat år i enlighet med Stockholms stad riktlinjer för säkerhetsskydd Utbildningskrav CA, och i förekommande fall RA, ska ge sin personal den utbildning som krävs för att deras personal ska kunna utföra sina arbetsuppgifter avseende CAverksamhet, och i förekommande fall RA- verksamhet, kompetent och tillfredsställande sätt. De ska också regelbundet se över sina utbildningsprogram, och deras utbildning ska ta itu med de faktorer som är relevanta för funktioner som utförs av deras personal. Träning och utbildning ska minst innefatta följande områden: Hårdvara och mjukvaruversioner som används. Rollbeskrivningar och tillhörande arbetsmoment som förväntas utföras av funktionen. Incidenthantering och rapporteringsrutiner och tillhörande procedurer. Återställningsrutiner och katastrofhanteringsrutiner Frekvens och krav på repetitionstutbildning CA, och i förekommande fall RA, ska tillhandahålla fortbildning för sina anställda i den omfattning och frekvens som krävs för att säkerställa att personalen upprätthåller minst den kompetensnivå som krävs för att utföra sina arbetsuppgifter på ett kompetent och tillfredsställande sätt.

25 SID 25 (47) Sekvens och frekvens för arbetsrotation Påföljd för obehöriga handlingar Personal som genom sitt beteende visar sig vara olämplig för sina arbetsuppgifter, ska befrias från känsliga roller inom CA-systemet Krav på konsulter CA, och i förekommande fall RA, kan tillåta oberoende tjänsteleverantörer eller konsulter att bli betrodda personer endast i den utsträckning som krävs för att möta tydliga outsourcingrelationer samt under följande villkor: När de saknas egna, passande, resurser för ändamålet. Om tillitsnivån på externa resurser är densamma som för egna resurser. Om det kan fastställas att externa resurser inte har någon intressekonflikt som kan påverka CA negativt. I övrigt ska oberoende tjänsteleverantörer eller konsulter endast ges åtkomst till säkra faciliteter, som används för CA-funktioner, under eskort och övervakning av betrodd personal Dokumentation till anställda Rutiner och processbeskrivningar som är relevanta för varje definierad roll och funktion ska göras tillgänglig för all personal som har ansvar och fyller en eller flera funktionella roller för CA, och i förkommande fall RA. 5.4 SÄKERHETSLOGGNING Händelser som ska loggas I och i direkt anslutning till CA-systemet ska minst följande händelser loggas: 1. Operativa händelser, inklusive men inte begränsat till a) skapande av användarkonton b) initiering av transaktioner, med information om vem som begärde transaktionen, tidpunkt, vilken typ av transaktion som initierats samt uppgift om resultatet av initieringen c) installation och uppdatering av programvara d) relevant information om säkerhetskopiering e) start och stopp av systemet f) datum och tid för uppgradering av maskinvara g) datum och tid för säkerhetskopiering och tömning av loggar h) datum och tid för säkerhetskopiering och tömning av arkivdata

26 SID 26 (47) i) generering av CAs egna nycklar och ev. underordnade CAs nyckelprocedurer j) förändringar i egenskapsinformation för CA eller dess nycklar k) förändringar i kryptografiska livscykelhanteringar (e.g., kvitton, användande, om-installation eller de-aktivering) l) utlämnande och innehav samt användning av aktiveringsdata för CAs privata nyckelmaterial, fysiska accessloggar m) system- eller konfigurationsförändringar och underhållsaktiviteter n) uppgifter rörande destruktion av media innehållande nyckelmaterial, aktiveringsdata eller slutkundsinformation. 2. Livscykelhändelser relaterat till certifikat såsom, men inte begränsat till, initialt utfärdande, förnyelse och spärr. 3. Behörig personal-händelser, såsom, men inte begränsad till o In- och urloggningsförsök o Försök att skapa, radera, sätta lösenord eller ändra systemprivilegier för priviligierade konton. 4. Personalförändringar 5. Avvikelser- och incidentrapporter såsom, men inte begränsad till o Otillåtna inloggningar till system och nätverk 6. Nekade läs och skrivförsök i kataloger 7. Förändringar i certifikatpolicy, t ex giltighetstid. I system för personalisering av smarta kort ska följande information loggas: 1. Referens till kortbeställning 2. Chipnummer 3. Kortnummer 4. Serienummer 5. Datum och tid för personalisering Kontroll av loggmaterial Loggmaterial ska granskas och analyseras dagligen. I de fall CA-funktioner är fördelade på olika platser ska s.k. logg-korrelering mellan funktionerna ske löpande för att identifiera avvikelser. Logganalysen ska innefatta genomgång av materialet och signifikanta logghändelser ska dokumenteras i en granskningsloggsammanfattning. Analysen ska även verifiera att loggmaterial inte otillbörligt har förändrats. Åtgärder som vidtagits som resultat av en logganalys ska dokumenteras.

27 SID 27 (47) Lagringstid för loggmaterial Loggmaterial ska bevaras i minst 10 år Skydd av loggmaterial Loggmaterial ska skyddas mot otillbörlig förändring genom de logiska skyddsmekanismerna i operativsystemet samt genom att systemet i sig inte är fysiskt och logiskt åtkomligt annat än för behörig personal. Alla loggposter ska vara individuellt tidstämplade. Loggmaterial ska kontrolleras en gång varje månad under överinseende av minst två personer med betrodda roller enligt denna certifikatpolicy Säkerhetskopiering av loggmaterial Inkrementella säkerhetskopior av loggmaterial ska ske dagligen och fulla säkerhetskopior ska ske varannan dag Logginsamling Information till loggad part Händelse som loggas ska inte meddelas loggad part Sårbarhetsanalys Sårbarhetsanalys på CA och CA-system ska göras årligen. Alla eventuella sårbarheter åtgärdas direkt efter upptäckten. Efter åtgärd ska uppföljningsanalys utföras. 5.5 ARKIVERING Information som ska arkiveras CA ska arkivera följande: a) signerad begäran om produktion av certifikat eller spärr av certifikat b) alternativt underskriven kvittens på mottagning av smart kort c) underskrivna handlingar rörande utlämning och mottagande av nycklar och PIN d) avtal rörande certifikat och nycklar e) certifikatens innehåll f) uppgift om förnyelse av certifikat, samt de meddelanden som utväxlats med certifikatinnehavaren i samband med förnyelsen

28 SID 28 (47) g) historik rörande tidigare CA-nycklar h) uppgifter om certifiering av annan CA:s publika nyckel inklusive de uppgifter på vilka beslut om sådan certifiering grundats i) begäran om spärr och de meddelanden som utväxlats och loggats i samband händelsen j) information om spärrade certifikat som tillhandahållits av CA k) protokoll från revisioner av CA inklusive resultat från revision om uppfyller sina åtaganden enligt denna certifikatpolicy I de fall information är digitalt signerat ska relevant material för signeringsverifiering lagras Lagringstid för arkiv Arkiverad information ska bevaras och skyddas i enlighet med arkivlagstiftningen Skydd av arkiv Den funktion som upprätthåller ett arkiv ska skydda arkivet så att endast auktoriserade, betrodda personer har möjlighet att få tillgång till arkivet. Arkivet ska vara skyddat mot obehörig åtkomst, ändring, borttagande eller annan manipulering. Media som hanterar arkiverat data och applikationer som krävs för att bearbeta arkiverat data ska bibehållas för att säkerställa att arkivdata kan nås under den tidsperiod som anges i denna certifikatpolicy Rutiner för säkerhetskopiering av arkiv Krav tidsstämpling av poster Certifikat, spärrlistor och andra spärrdataposter ska innehålla datum- och tidsinformation. Om signering av poster sker bör hantering av valideringsfunktionella delar tas i beaktning för framtida validering Internt eller externt system för insamling av arkivmaterial Rutiner för åtkomst och verifiering av arkivmaterial Arkiverat material som omfattas av sekretess ska inte hållas tillgängligt för externa parter i sin helhet annat än vad som krävs genom lag och beslut i domstol. Information om enskilda händelser kan erhållas på begäran av den som har behov av att förlita sig på ett utfärdat certifikat.

29 SID 29 (47) Arkiverat material som inte omfattas av sekretess kan lämnas ut utan prövning. Till denna kategori hör även information som är allmänt tillgängligt. Arkiven bevaras så att de är läsbara under den angivna bevaringstiden. Parter görs dock uppmärksamma på att teknik för lagring av arkivmaterial kan komma att ändras och att CA i sådant fall inte åtar sig att behålla funktionell utrustning för tolkning av gammalt arkivmaterial om detta är äldre än 5 år. I dessa fall åtar sig dock CA istället att ha beredskap för att sätta upp nödvändig utrustning mot uttagande av en avgift som svarar mot kostnaderna. Om CA upphör med sin verksamhet kommer samtliga certifikatinnehavare informeras och arkivet hållas tillgängligt under den tid som angivits i denna policy. Begäran om att arkiverad information ska lämnas ut görs hos CA. 5.6 BYTE AV CA-NYCKLAR CA ska generera nya CA-nycklar senast tre månader innan de gamla CAnycklarnas giltighetstid har gått ut. CA-certifikaten ska publiceras i enlighet med denna certifikatpolicy. Vid nyckelutbyte ska en för ändamålet godkänd nyckelceremoni användas i enlighet med denna certifikatpolicy Byte av root-nycklar Byte av root-nycklar ska ske enligt följande: Ett nytt självsignerat certifikat skapas med tillhörande nyckelpar. Ett korssigneringscertifikat utfärdas där föregående CA-certifikat signeras av det nya CA-certifikatet. Ett korssigneringscertifikat utfärdas där det nya CA-certifikatet är signerat av det gamla CA-certifikatet. Ovanstående certifikat publicera i enlighet med denna certifikatpolicy.

30 SID 30 (47) Byte av nycklar för issuing CA Byte av issuing CA-nycklar ska ske enligt följande: Ett nytt CA-certifikat begärs från root-ca tillsammans med ett nytt nyckelpar genom användning av PKCS#10 Ett korssigneringscertifikat utfärdas där föregående CA-certifikat signeras av det nya CA-certifikatet. Ett korssigneringscertifikat utfärdas där det nya CA-certifikatet är signerat av det gamla CA-certifikatet. Ovanstående certifikat publicera i enlighet med denna certifikatpolicy. 5.7 KOMPROMETTERING OCH KATASTROFHANTERING Katastrofplan vid misstanke om röjda CA-nycklar Vid misstanke om att den privata CA-nyckeln är röjd ska följande åtgärder att vidtas: Alla certifikatinnehavare och förlitande parter med vilka CA har avtal eller andra etablerade relationer ska informeras. Spärr av samtliga CA-certifikat för den röjda CA-nyckeln, som utfärdats med annan CA-nyckel, kommer att begäras hos respektive CA Korrupta resurser, programvara och/eller data I händelse av att resurser, programvara eller data blir korrupt ska detta skyndsamt rapporteras till Stockholms stads Stadsledningskontors Säkerhetsenhet Komprometterade av privat nyckel I händelse av att en privat CA-nyckel komprometteras ska det CA spärras. CA ska med rimliga ansträngningar meddela alla deltagare. om de upptäcker eller har skäl att tro, att det har skett en komprometterade av den privata nyckeln för ett CA Kontinuitetsplaner Stockholms stad Säkerhetsenhet ska upprätta och underhålla en väl fungerande katastrofplan innehållande såväl manuella instruktioner och återstartrutiner för de scenarios som återkommande riskanalyser belyser som mest sannolika och med störst konsekvens.

31 SID 31 (47) 5.8 UPPHÖRANDE AV CA Följande åtgärder ska vidtas vid upphörande av CA: Samtliga certifikatinnehavare och förlitande parter med vilka CA har avtal eller andra etablerade relationer ska meddelas minst tre månader i förväg. Arkiverad information ska finnas åtkomligt i enlighet med denna certifikatpolicy. Stockholms stads Stadsledningskontors Säkerhetsenhet ska garantera medel så att ovanstående kan garanteras.

32 SID 32 (47) 6 Tekniska skyddsåtgärder 6.1 GENERERING OCH INSTALLATION AV NYCKELPAR Generering av nyckelpar Generering av nyckelpar ska utföras på betrodda system som tillser tillräcklig kryptografisk styrka för de genererade nycklarna och hindrar förlust, röjande, ändrande eller ej auktoriserad åtkomst till privata nycklar. Nycklar som genereras åt en CA ska genereras baseras på slumpmässiga tal. Processen som genererar slumpmässiga tal ska vara slumpmässig på ett sätt som förhindrar återskapande av de genererade slumpmässiga talen oavsett vilken kunskap som finns med tanke på: Genereringsprocessen Tiden för genereringen Utrustningen som används för att ta fram de slumpmässiga talen Nyckelgenereringsprocessen ska utföras på ett sätt som hindrar att nycklar exponeras utanför nyckelgenereringssystemet, undantaget för säker överföring till uttryckligen definierade lagringsenheter. Nycklarnas unik het uppnås genom generering av slumpmässiga tal av en sådan storlek att sannolikheten för att flera nycklar är identiska är försumbar Krav för privata CA-nycklar Generering av privata CA-nycklar görs i kryptografisk hårdvarumodul certifierade enligt minst NIST FIPS nivå 3, eller motsvarande. Den kryptografiska hårdvarumodulen, eller motsvarande, ska vara fysiskt skyddad i enlighet med denna certifikatpolicy. Åtkomst till den kryptografiska hårdvarumodulen, eller motsvarande, ska ske med flerpersonkontroll i enlighet med denna certifikatpolicy Distribution av privata nycklar till nyckelinnehavare Smart kort lämnas endast ut personligen. Den person som överlämnar det smarta kortet granskar i enlighet med denna certifikatpolicy att sökande överensstämmer med ansökningshandlingen och kvitterar på en handling att denna granskning har utförts. Samma handling undertecknas av sökande som kvittens på att denne har mottagit det smarta kortet.

33 SID 33 (47) Leverans av publika nycklar till certifikatsutfärdare Överföring av publik nyckel från nyckelinnehavaren till ett CA ska endast ske vid begäran av certifikat Vid utfärdande av certifikat ska ett CA verifiera att den publika nyckeln är associerad med den privata nyckeln som hålls av nyckelinnehavaren genom att kryptografiskt kontrollera nyckelinnehavarens privata nyckel. Vid utfärdande av certifikat med stöd av PKCS#10, ska nyckelinnehavaren vid framställande bevisa sitt innehav av den privata nyckeln Leverans av publik CA-nyckel till förlitande part Förlitande part är ansvarig för att inhämta korrekta CA-nycklar för aktuella versioner i enlighet med avsnitt 2 denna certifikatpolicy Nyckellängd Nyckelpar ska vara av tillräcklig längd för att förhindra andra från att kunna ta fram nyckelparets privata nyckel, exempelvis genom kryptoanalys, under nyckelparets förväntade användningstid Nyckelparametrar vid skapande av publika nycklar Alla nycklar ska över tid skapas utifrån vetskapen av kända attacker och hindra dem från den samma Användningsområden för nycklar ( KeyUsage ) Alla utfärdade certifikat ska innehåll information i enlighet med RFC5280 som definierar certifikatets användningsområde för de associerade certifikatnycklarna. Certifikat som utfärdas i enlighet med denna certifikatpolicy kan ha följande nyckelanvändningsområden: Digitala signaturer Nyckelkryptering Oavvislighet Privata CA-nycklar får endast användas för att signera följande data: Utfärdade certifikat. Spärrlistor Interna loggar

34 SID 34 (47) 6.2 SKYDD AV PRIVATA NYCKLAR Skydd och krav för kryptografisk modul Privata nycklar ska vara skyddade med ett betrott system. Ansvariga för privata nycklar ska vidta nödvändiga åtgärder för att förhindra förlust, röjande, ändrande eller icke auktoriserad åtkomst av privata nycklar. CA ska utföra alla kryptografiska handlingar på kryptografiska moduler som följer minst FIPS nivå 3, eller motsvarande. Alla privata nycklar ska skyddas i enlighet med denna certifikatpolicy Flerperson kontroll av privat nyckel (M of N) Flerpersonkontroll krävs för att skydda det aktiveringsdata som behövs för att aktivera privata nycklar för CA. Flera personer kontroll efterlevs för att skydda aktiverings uppgifter som behövs för att aktivera CA privata nycklar innehas av bearbetningscentraler. CA använder Secret sharing för att dela upp den privata nyckeln eller aktiveringsdata som behövs för att använda den privata nyckeln i flera delar som kallas Secret shares och som vardera innehas av personer som kallas Shareholder. En viss andel av Secret shares (m) av det totala antalet av Secret shares (n) ska krävas för att kunna använda den privata nyckeln. Minsta antal Shareholders med varsin Secret share som behövs för att i samverkan hantera en privat nyckel för ett CA är 3. För katastrofåterställning kan ett lägre antal antalet accepteras Deponering av privata nycklar Privata nycklar får inte deponeras Säkerhetskopiering av privat nyckel CA ska säkerhetskopiera privata nycklar för CA för att kunna återställa dem vid katastrofer och fel på utrustning i enlighet med denna certifikatpolicy. Privata nycklar för CA som säkerhetskopieras ska skyddas från obehörig ändring eller röjande genom fysiska eller kryptografiska skydd. Säkerhetskopior ska skyddas av en nivå av fysiskt eller kryptografiskt skydd motsvarande eller högre än det för de kryptografiska moduler, eller motsvarande, som de normalt lagrats i.

35 SID 35 (47) Privata nycklar för CA får inte säkerhetskopieras för annat syfte är katastrofåterställning Arkivering av privat nyckel Privata nycklar får inte arkiveras Överföring av privata nycklar till/från kryptografisk hårdvarumodul Överföring av en privat nyckel i en kryptografisk hårdvarumodul, eller motsvarande, ska använda mekanismer som förhindra förlust, stöld, modifiering, röjande eller otillåten användning av den privata nyckeln Lagring av privat nyckel på kryptografisk hårdvarumodul Privata nycklar för CA och RA ska lagras krypterade i en kryptografisk hårdvarumodul, eller motsvarande Metod för att aktivera privata nycklar Alla innehavare ska skydda aktiveringsdata för privata nycklar mot förlust, stöld, modifiering, obehörigt röjande eller obehörig användning Metod för att avaktivera privata nycklar Alla innehavare ska skydda sina privata nycklar. Sådana skyldigheter sträcker sig till skydd av den privata nyckeln även efter att en privat nyckel använts. Den privata nyckeln bör om möjligt avaktiveras efter varje användning Metod för destruktion av privata nycklar Privata nycklar ska destrueras på ett sätt som säkerställer att det inte finns några rester kvar av nyckeln som kan leda till återuppbyggnaden av nyckeln Gradering av kryptografisk modul Se avsnitt ANDRA ASPEKTER PÅ NYCKELPARSHANTERING Inga privata nycklar eller annan konfidentiell information får lämna sin utpekade skyddade miljö. Vid underhåll eller motsvarande scenario när skyddande åtgärder inte kan uppfyllas, måste alla nycklar, all konfidentiell information samt lagringsmedia förstöras i enlighet med denna certifikatpolicy Arkivering av publika nycklar CA ska arkivera sina publika nycklar i enlighet med avsnitt 5.