Vad är en Certifikatspolicy och utfärdardeklaration

Relevanta dokument
UTFÄRDARDEKLARATION (CPS) SJÖFARTSVERKET

CERTIFIKATPOLICY SJÖFARTSVERKET

VGC RA Policy Västra Götalandsregionens Registration Authority Policy intern PKI

Telias CPS för certifikatutfärdande under SITHS CA-Policy (ver )

VGC CA Policy Certifikatspolicy för utgivande av certifikat inom Västra Götalandsregionens interna PKI

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Policy Underskriftstjänst Svensk e-legitimation

Telias policy för utfärdande av företagskort med e-legitimation

Modul 3 Föreläsningsinnehåll

Termer och begrepp. Identifieringstjänst SITHS

Termer och begrepp. Identifieringstjänst SITHS

Telias Utfärdardeklaration, CPS, för Telia e-legitimation Version 1.3. Datum:

Behörighetsanmälan för Alectas internetkontor Företag

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

SITHS Anslutningsavtal RA Policy

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Allmänna Villkor för Tjänsten

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

C. Mot bakgrund av ovanstående har Parterna ingått detta Avtal.

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Behörighet i Alectas internetkontor - Ombud

Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation

ANVÄNDARVILLKOR FÖR SKATTEFÖRVALTNINGENS OCH INKOMSTREGISTRETS GRÄNSSNITTSTJÄNSTER

ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt

Tillitsramverk ÄRENDENUMMER: Tillitsramverk. för kvalitetsmärket Svensk e-legitimation. Version digg.se 1

PERSONUPPGIFTSBITRÄDESAVTAL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

PERSONUPPGIFTSBITRÄDESAVTAL

2.3 För att ditt medlemskap skall beviljas måste du vara över 18 år och vara registrerad kund på Webbplatsen

Tillitsregler för Valfrihetssystem 2018 E-legitimering

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Policy för användande av IT

BILAGA 3 Tillitsramverk Version: 1.3

Sekretesspolicy för privatkunder

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Allmänna villkor för Alectas internetkontor för företag

ANVÄNDARVILLKOR ILLUSIONEN

1.1 Allt innehåll i Tjänsten, såsom grafik, bilder, logotyper och mjukvara omfattas av Leverantörens eller tredje mans upphovsrätt.

HEIDELBERG SVERIGE AB ALLMÄNNA VILLKOR FÖR ANVÄNDNING AV WEBBPLATS/ON-LINE SHOP

2.1 Reflectus AB, org nr , nedan kallad Reflectus eller Leverantören.

Riktlinjer för informationssäkerhet

Tillitsramverk. Identifieringstjänst SITHS

ANVÄNDARVILLKOR. 1.1 Allt innehåll i Tjänsten, såsom grafik, bilder, logotyper och mjukvara omfattas av Finditys eller tredje mans upphovsrätt

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Policy. SITHS Certifikatspolicy för utgivande av certifikat inom vård och omsorg Version

Tillägg om Zervants behandling av personuppgifter

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

AVTAL FÖR ADVITUMS DOKUMENTPORTAL

Försäkringskassans principer för e- tjänstelegitimationer

WHOIS policy för.eu-domännamn

Bilaga 3c Informationssäkerhet

SITHS RAPS för Region Skåne Version

Användning av PRI Pensionsgarantis webbtjänst

Bilaga. Särskilda villkor för Molntjänst. Programvaror och tjänster Systemutveckling

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

256bit Security AB Offentligt dokument

PERSONUPPGIFTSBITRÄDESAVTAL

Skåne läns författningssamling

Allmänna villkor för Arbetsgivare vid nyttjande av AFA Försäkrings kundwebb FÖRSÄKRING

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Vårdval tandvård Västernorrland. Bilaga 2 Ansökan. Allmän barn- och ungdomstandvård. Version

Avtalet avser leverans av molntjänsten Keysourcingtool, som är en digital marknadsplats för aktörer inom konsultinköp.

Standardbolag Internet

PALAVER VILLKOR FÖR GÄSTER

Anslutningsavtal. inom Identitetsfederationen för offentlig sektor. för Leverantör av eid-tjänst

PERSONUPPGIFTSBITRÄDESAVTAL

Tillitsramverk för E-identitet för offentlig sektor

Riktlinjer för dataskydd

Internetsäkerhet. banktjänster. September 2007

Avtal om PRI Pensionsgarantis webbtjänst

Transkript:

Certifikatspolicy och Utfärdardeklaration Innehåll Certifikatpolicy Migrationsverket Filcertifikat Version1 Certifikatpolicy Migrationsverket Smarta Kort Version 1 Utfärdardeklaration (CPS) Migrationsverket Version 3.0 Vad är en Certifikatspolicy och utfärdardeklaration Vad är ett certifikat Ett certifikat kan jämföras med en fotoförsedd legitimationshandling. Skillnaden är att identifieringen sker genom att man sammanför två olika digitala nycklar i stället för att titta på ett foto. Nycklarna produceras i en server och nyckelparet är en unik kombination som när de förs samman kan kryptera, dekryptera, autenticera vid inloggning och producera ett elektroniskt sigill. En nyckel går till användaren och den är hemlig. Den andra finns på nätet och kallas publik nyckel. Systemet kallas PKI (Public Key Infrastructure). Myndigheten har använt denna typ av elektroniska identitetshandlingar sedan vi fick Wilma. Vid anslutning till ett IT-system kontrolleras identiteten genom att den hemliga nyckeln sammanförs med den publika som finns på nätet. Om nycklarna passar så öppnas programmet. Vill man kryptera dokument så hämtar man en eller flera personers publika nycklar och krypterar dokumentet. De kan sedan dekryptera med sin hemliga nyckel. Slutligen när det gäller elektroniska sigill så måste den hemliga nyckeln förvaras på ett smart kort. När jag skriver under elektroniskt händer följande. Min hemliga nyckel låser dokumentet genom att av innehållet skapa en kontrollsumma. Minsta förändring i dokumentet efter detta innebär att summan ändras. Med den publika nyckeln kan man kontrollera att summan har tagits fram med motsvarande hemliga nyckel. Därmed verifieras att dokumentet är underskrivet och oförändrat av den person som är innehavare av den hemliga nyckeln. Varför behöver vi Certifikatpolicy och utfärdardeklaration PKI en internationell standard. Den kräver att den som utfärdar ett certifikat har en certifikatpolicy. Policyn beskriver hur man skyddar systemet, regelverk och hur man utfärdar certifikat. Vår policy måste publiceras på vår webbplats för att våra externa användare ska kunna ta del. Vår policy är skriven för att hålla i en domstol. Det kan handla om ett tvistemål. Exempelvis om äktheten på ett elektroniskt sigill ifrågasätts. Även i brottmål vid bevisprövning när någon använt en elektronisk legitimation utfärdad av oss. I båda fallen är det trovärdigheten i vårt utfärdande av certifikat som avgör. Språk och urval i vår policy följer gällande standard samma gäller utfärdardeklarationen som beskriver hur vi arbetar mot vår policy. En kortversion med användares ansvar följer med utfärdade certifikat.

Certifikatpolicy Migrationsverket Filcertifikat Version 1

Innehåll 1 Introduktion...5 1.1 Allmänt...5 1.2 Identifiering...5 1.3 Målgrupp och tillämplighet...5 1.3.1 Utfärdare...5 1.3.2 Registration authorities (ra)...6 1.3.3 Filbaserade certifikat...6 1.3.4 Tillämplighet...6 1.3.4.1 Lämpliga användningsområden...6 1.4 Kontaktuppgifter...6 1.4.1 Administrationsansvarig...6 1.4.2 Kontaktperson...6 1.4.3 Överensstämmelse mellan denna policy och utfärdardeklaration (cps)...7 2 Allmänna bestämmelser...7 2.1 Åtaganden...7 2.1.1 Utfärdarens åtaganden...7 2.1.1.1 Allmänna bestämmelser...7 2.1.1.2 Beställning av certifikat...7 2.1.1.3 Distribution...7 2.1.1.4 Skydd av CA-systemets privata nycklar...7 2.1.1.5 Begränsningar av användandet av Utfärdarens privata nycklar...8 2.1.2 Ra:s åtaganden...8 2.1.2.1 Allmänna bestämmelser...8 2.1.3 Certifikatsinnehavarens åtaganden...8 2.1.3.1 Ansökan om certifikat...8 2.1.3.2 Mottagande av certifikat...8 2.1.3.3 Skydd av certifikatsinnehavarens privata nyckel...8 2.1.4 Förlitande parts åtaganden...8 2.1.4.1 Användande av certifikat för lämpliga ändamål...9 2.1.4.2 Skyldighet att verifiera och kontrollera...9 2.2 Ansvar...9 2.2.1 Utfärdarens ansvar...9 2.2.1.1 Garantier och ansvarsbegränsningar...9 2.2.2 Ansvar för ra...9 2.3 Finansiellt ansvar...9 2.3.1 Fullmaktsförhållanden...9 2.4 Tolkning och genomförande...9 2.4.1 Tillämplig lag...9 2.4.2 Tvistelösning...9 2.5 Avgifter...10 2.6 Publicering och åtkomst av information...10 2.6.1 Publicering av information...10 2.6.2 Periodicitet för publicering...10 2.6.3 Behörighetskontroll...10 2.7 Granskning...10 2.7.1 Utföranden...10 2.7.2 Information om resultatet av granskning...10 2.8 Konfidentialitet...11 2

2.8.1 Typ av information som skall hållas konfidentiell...11 2.8.2 Typ av information som inte anses vara konfidentiell...11 2.8.3 Tillhandahållande av information om anledning till spärrning av certifikat...11 2.8.4 Tillhandahållande av konfidentiell information till polis, åklagare eller annan myndighet...11 2.9 Immateriella rättigheter...11 2.10 Avtalsvillkor för certifikatsinnehavare...11 2.11 Tillgänglighet och svarstid...12 3 Identifiering och autenticering...12 3.1 Initial registrering...12 3.1.1 Typer av namn...12 3.1.2 Namnsättning...12 3.1.3 Fastställande av sökandens identitet...13 3.1.3.1 Metod för att styrka sökandens identitet...13 3.1.3.2 Kontroll av identitetsuppgifter...13 3.2 Förnyelse av nycklar och certifikat...13 3.2.1 Förnyelse av nycklar och certifikat...13 3.3 Begäran om spärrning...13 4 Operationella krav...13 4.1 Ansökan om certifikat...13 4.2 Utfärdande av certifikat...14 4.3 Utlämnade av certifikat...14 4.4 Spärrning av certifikat...14 4.4.1 Anledning till spärrning...14 4.4.2 Behörig att begära spärrning...14 4.4.3 Rutin för begäran om spärrning...15 4.4.4 Behandlingstid vid begäran om spärrning...15 4.4.5 Öppettid för spärrtjänsten... Fel! Bokmärket är inte definierat. 4.4.6 Periodicitet för utgivning av spärrlista...15 4.4.7 Krav på spärrkontroll...15 4.5 Loggning...15 4.5.1 Händelser som loggas...16 4.5.2 Kontroll av loggar...16 4.5.3 Skydd av loggar...16 4.6 Arkivering...16 4.6.1 Information som arkiveras...16 4.6.2 Lagringstid...17 4.6.3 Skydd av arkiv...17 4.6.4 Rutiner för åtkomst och verifiering av arkivmaterial...17 4.7 Byte av utfärdarnyckel...17 4.8 Katastrofplan vid misstanke om röjda utfärdarnycklar...17 4.9 Upphörande av utfärdarens verksamhet...18 5 Säkerhetskontroller...18 5.1 Fysisk säkerhet...18 5.2 Procedurorienterad säkerhet...18 5.2.1 Betrodda roller inom CA-funktionen...19 5.2.2 Krav på antal personer per uppgift...19 5.2.3 Identifiering och autenticering av personer i betrodda roller...20 5.3 Personorienterad säkerhet...20 5.3.1 Bakgrund och kvalifikationer...20 5.3.2 Krav på utbildning...20 5.3.3 Personorienterad säkerhet för RA...20 3

6 Teknisk säkerhet...20 6.1 Generering och installation av nyckelpar...20 6.1.1 Generering av nyckelpar...20 6.1.1.1 Utfärdarnycklar för signering av certifikat och spärrlistor...20 6.1.1.2 Nyckelpar för certifikatsinnehavare...21 6.1.2 Leverans av certifikat...21 6.1.3 Nyckelstorlek...21 6.1.4 Generering av publik nyckel...21 6.2 Skydd av privata nycklar...21 6.2.1 Säkerhetsmodul och certifikat...21 6.2.2 Flerpersonskontroll av privata nycklar...22 6.2.3 Säkerhetskopiering av privata nycklar...22 6.2.4 Arkivering av privata nycklar...22 6.2.5 Lagring av certifikatens privata nyckel...22 6.2.6 Aktivering av privata nycklar...22 6.2.7 Förstörelse av utfärdarens privata nycklar...22 6.3 Andra aspekter på nyckelhantering...23 6.3.1 Arkivering av publika nycklar...23 6.3.2 Privata nycklars livslängd...23 6.3.3 Certifikatens giltighetstid...23 6.4 Aktiveringsdata...23 6.4.1 Generering och installation av aktiveringsdata...23 6.4.2 Skydd av aktiveringsdata...23 6.5 Säkerhet i datorsystem...23 6.5.1 Tekniska krav...23 6.6 Kontroll av säkerhet hos systemet under livscykeln...24 6.6.1 Kontroller av systemutveckling...24 6.6.2 Kontroller av säkerhetsadministration...24 6.7 Kontroll av nätverkssäkerhet...24 7 Profiler för certifikat och spärrlistor...24 7.1 Certifikatens profil och version...24 7.2 Profil för spärrlista...24 8 Förvaltning av policyn...24 8.1 Förändring av policyn...24 8.1.1 Förändringar som kan ske utan underrättelse...24 8.1.2 Förändringar som kan ske med underrättelse...25 8.1.2.1 Underrättelse...25 8.2 Publicering och distribution av policy och utfärdardeklaration (CPS)..25 8.2.1 Publicering och distribution av policy...25 4

1 Introduktion 1.1 Allmänt Detta dokument ägs och förvaltas av Migrationsverket, nedan kallad Utfärdaren. Dokumentet utgör en Certifikatpolicy för utfärdande av filbaserade certifikat för Migrationsverkets personal eller annan person som ska ges tillgång till Migrationsverkets interna system, nedan endast kallad policy. Denna policy beskriver rutiner och säkerhetskrav vid utfärdande och användning av filbaserade certifikat. Dokumentet har försetts med namn och objektidentifierare (OID). (Se avsnitt 1.2.) I de fall relationen mellan Utfärdare, RA, certifikatsinnehavare, och Förlitande Part bygger på ett avtal, skall hänvisning till denna policy anges. Policyn skall, oberoende av om avtal upprättas eller inte, användas av en Förlitande Part för att bedöma om ett certifikat är tillförlitligt. Denna policy ger möjlighet att utfärda följande certifikat. filbaserade certifikat Utfärdande av certifikat i enlighet med denna policy innebär att: certifikatet ställs ut till en anställd inom Migrationsverket eller annan person som ska ges tillgång till Migrationsverkets interna system utfärdade certifikat följer den internationella versionen av X.509- standarden Privata nycklar som är knutna till utfärdade certfikat lagras i en krypterad fil skyddad av ett lösenord. 1.2 Identifiering Namn på policyn: Certifikatpolicy Migrationsverket filcertifikat version 1 Objektidentifierare: 1.2.752.111.4.2.2 OID införs i skapade certifikat som "Certificate Policy Extension" enligt X.509 version 3 1.3 Målgrupp och tillämplighet Detta kapitel anger vilka som berörs av policyn samt dess tillämpningsområde. 1.3.1 Utfärdare Ansvarig utfärdare för denna policy är Migrationsverket, nedan kallad Utfärdaren. Utfärdaren skall upprätta och publikt publicera en utfärdardeklaration (CPS), som beskriver den praktiska implementeringen av denna policy. 5

1.3.2 Registration authorities (ra) Registration Authority utses av Utfärdaren och skall arbeta i enlighet med denna policy, och avtal upprättade med Utfärdaren. Avtal behöver endast upprättas om en extern leverantör anlitas som RA 1.3.3 Filbaserade certifikat Filbaserade certifikat är ett elektroniskt certifikat lagrad i en krypterad fil för identifiering, kryptering och signering av elektroniska transaktioner. certifikatet är utfärdat till en person inom Migrationsverket eller annan person som ska ges tillgång till Migrationsverkets interna system med en giltighetstid på 3 år. 1.3.4 Tillämplighet Denna policy är relevant för Utfärdaren, RA, certifikatsinnehavare, samt för Förlitande Part. Det är Förlitande Part eller dennes organisation som avgör för vilka ändamål de utställda certifikaten kan godtas. 1.3.4.1 Lämpliga användningsområden Certifikat utställda enligt denna policy används normalt för att säkerställa äkthet och trovärdigheten för vissa dokument/system/tjänster. Primärt kommer Migrationsverkets filbaserade certifikat att användas för: Legitimering (Autenticering), vid tillträde och uppgiftslämnande till Migrationsverkets interna nät och e-tjänster Insynsskydd (kryptering) för kommunikation Filbaserade certifikat är inte lämpade för elektronisk underskrift Denna policy anger inte skydd för bedrägeri, eller annat oönskat nyttjande av certifikat. 1.4 Kontaktuppgifter 1.4.1 Administrationsansvarig Policyn är registrerad av Migrationsverket (Utfärdaren). Utfärdaren är fullt ansvarig för att administrera och uppdatera denna policy. 1.4.2 Kontaktperson Frågor angående policyn adresseras till: Migrationsverket Biträdande Säkerhetschef Erik Kihl SE 601 70 Norrköping Sweden Telefon: +46 11 15 60 00 E-post: erik.kihl@migrationsverket.se 6

1.4.3 Överensstämmelse mellan denna policy och utfärdardeklaration (cps) Utfärdaren är ansvarig för granskning av policyn enligt 2.7. 2 Allmänna bestämmelser Detta kapitel redogör bestämmelserna för Utfärdaren, RA certifikatsinnehavare, och Förlitande Parts åtaganden. 2.1 Åtaganden En och samma juridiska person, nedan kallad Utfärdaren, är ansvarig som Certifikatutfärdare (CA). Om någon eller några delar av utgivarprocessen utförs av en eller flera underleverantörer är Utfärdaren ansvarig för dessa åtgärder som om han hade utfört dem själv. Det åligger Utfärdaren att tillse att underleverantörer följer denna policy i tillämpliga delar. 2.1.1 Utfärdarens åtaganden 2.1.1.1 Allmänna bestämmelser Utfärdaren åtar sig enligt denna policy att: a) utfärda certifikat i enlighet med policy b) tillhandahålla kontrollåtgärder enligt kapitel 4 till och med 6 c) upprätta och publicera en utfärdardeklaration (CPS) d) spärra certifikat och tillhandahålla spärrtjänst enligt 4.4. e) Tillföra tillräckliga finansiella resurser för att kunna driva verksamheten i enlighet med policyn. 2.1.1.2 Beställning av certifikat Utfärdaren skall tillse att: a) beställning av certifikat sker enligt bestämmelserna i denna policy, b) avtalet om och ansökningshandling för certifikat innehåller de uppgifter som krävs enligt kapitel 3 och kapitel 4, c) kontroller av sökandens identitet sker enligt bestämmelserna i 3.1.3 2.1.1.3 Distribution Utfärdaren skall tillse att: * Ett filbaserat certifikat inte kan aktiveras förrän det har levererats till dess innehavare 2.1.1.4 Skydd av CA-systemets privata nycklar Utfärdaren åtar sig att skydda de privata nycklarna enligt bestämmelserna i 6.2.6 7

2.1.1.5 Begränsningar av användandet av Utfärdarens privata nycklar Utfärdarens privata nycklar, som används för att ge ut certifikat i enlighet med denna policy, får endast användas för att signera certifikat, spärrlistor och loggar, eller andra funktioner i anslutning till dessa. 2.1.2 Ra:s åtaganden 2.1.2.1 Allmänna bestämmelser RA åtar sig att: a) utlämningen av filbaserade certfikat endast sker efter vedertagen identifiering av certifikatsinnehavaren enligt 3.1.3 samt 6.1.2, b) tillhandahålla kontrollåtgärder enligt kapitel 3 till och med 6, c) skydda sin privata nyckel i enlighet med avtal med denna policy och avtal med Utfärdaren. 2.1.3 Certifikatsinnehavarens åtaganden 2.1.3.1 Ansökan om certifikat Sökanden skall vid ansökan om certifikat åta sig att följa tillämpliga rutiner som anges i kapitel 3 och 4, samt avtalet för ansökan om certifikat och att lämna sanningsenliga uppgifter. 2.1.3.2 Mottagande av certifikat Mottagaren ska bekräfta mottagandet av certifikatet enligt rutiner som anges i kapitel 3 och 4, samt avtalet för ansökan om certifikat. 2.1.3.3 Skydd av certifikatsinnehavarens privata nyckel Certifikatsinnehavaren skall tillse att denne har kontroll över sina privata nycklar och skydda dessa i enlighet med relevanta delar ur kapitel 6 i denna policy. Certifikatsinnehavaren skall vidta åtgärder att förhindra obehörigt utnyttjande av den privata nyckeln genom att: a) byta eventuella transportlösenord som medföljer från Utfärdaren innan certfikatet/nyckeln tas i bruk. b) lösenord eller annan säkerhetsrutin som används inte avslöjas för annan, c) Den privata nyckeln skyddas på motsvarande sätt som värdeföremål, d) lösenord aldrig förvaras tillsammans med den privata nyckeln, e) en aktiverad privat nyckel aldrig lämnas oskyddat. Certifikatsinnehavaren skall omedelbart om det föreligger anledning enligt avtal eller enligt punkt 4.4.1 anmäla om spärrning av certifikat. 2.1.4 Förlitande parts åtaganden 8

2.1.4.1 Användande av certifikat för lämpliga ändamål Det är Förlitande Parts eget ansvar att säkerställa att certifikaten används för lämpliga ändamål. Till vägledning för beslutet har Förlitande Part certifikaten och denna policy. Punkten om lämpliga användningsområden 1.3.4.1 skall särskilt beaktas. 2.1.4.2 Skyldighet att verifiera och kontrollera Det är Förlitande Parts eget ansvar att verifiera certifikatens äkthet och tillämplighet, samt dess giltighet i enlighet med 4.4. 2.2 Ansvar 2.2.1 Utfärdarens ansvar 2.2.1.1 Garantier och ansvarsbegränsningar Genom att signera ett certifikat som innehåller objektidentifierare för denna policy, intygar Utfärdaren att denne har kontrollerat informationen i certifikatet i enlighet med de rutiner som fastslagits i denna policy. Utfärdaren ansvarar inte för skada som uppkommit på grund av uppgifterna i ett certifikat eller spärrlista är felaktiga så vida Utfärdaren inte gjort sig skyldig till grov vårdslöshet. 2.2.2 Ansvar för ra Utfärdaren ansvar för de tjänster som RA utför på uppdrag av Utfärdaren. Avtal mellan Utfärdaren och RA skall återspegla RA:s ansvars och förpliktelser i enlighet med denna policy. 2.3 Finansiellt ansvar 2.3.1 Fullmaktsförhållanden Utfärdande av certifikat i enlighet med denna policy medför inte att Utfärdaren skall betraktas som agent, fullmäktig, eller på annat sätt som representant för certifikatsinnehavaren eller Förlitande Part. 2.4 Tolkning och genomförande 2.4.1 Tillämplig lag Svensk rätt skall äga tillämpning på denna policy samt därur uppkomna rättsförhållanden. 2.4.2 Tvistelösning Tvist i anledning av denna policy skall slutligt avgöras genom skiljedom vid och enligt Regler för Stockholms Handelskammares Skiljedomsinstitut (Institutet). 9

Överstiger inte tvisteföremålets värde vid tvistens påkallande ett belopp som motsvarar 25 gånger prisbasbeloppet enligt lagen (1962:381) om allmän försäkring skall Institutets Regler för förenklat skiljeförfarande tillämpas. 2.5 Avgifter Certifikaten är avgiftsfria för Migrationsverkets personal. 2.6 Publicering och åtkomst av information 2.6.1 Publicering av information Utfärdare skall tillhandahålla följande: a) denna policy, och tillhörande utfärdardeklaration (CPS), b) spärrlistor (CRL), c) samtliga utfärdarcertifikat som utfärdats, d) resultat av granskningar i enlighet med 2.7.2, med undantag för säkerhetskänslig information, e) villkor för certifikatsinnehavare. Policy, utfärdardeklaration (CPS), spärrlistor, utfärdarcertifikat och resultat av granskningar skall vara tillgängliga via http://www.migrationsverket.se/pki 2.6.2 Periodicitet för publicering Spärrlistor skall publiceras enligt 4.4.7. 2.6.3 Behörighetskontroll Det förekommer inte någon behörighetskontroll för att läsa denna policy. Behörighetskontroll tillämpas däremot vid förändring av denna policy. 2.7 Granskning 2.7.1 Utföranden Utfärdaren skall löpande (min var 36:e månad) göra interna granskningar för att säkerställa att denna policy efterlevs. Vid granskning skall speciellt följande undersökas: utfärdardeklaration (CPS) lämplighet och överensstämmelse med policy Den praktiska implementeringen av utfärdardeklaration (CPS) Avtal och samverkansförhållanden som rör underleverantörer och RA 2.7.2 Information om resultatet av granskning Redovisningen skall innehålla information om samtliga upptäckta brister som är av sådan art att de kan anses påverka en Förlitande Parts förtroende för ett utfärdat certifikat och innefatta uppgifter om typ av brister samt bedömning av eventuella 10

risker och konsekvenser. Däremot skall redovisningen inte innehålla detaljerade uppgifter om brister som kan tänkas äventyra säkerheten i systemet. Redovisningar från de senaste granskningarna skall finnas tillgängliga enligt 2.6.1 2.8 Konfidentialitet 2.8.1 Typ av information som skall hållas konfidentiell Rutiner för Migrationsverkets skapande-, utgivnings- och återkallande processer av certifikat kan sekretessbeläggas enligt sekretesslagen 5 kap 3 2 p. Loggar skall inte göras tillgängliga i sin helhet, såvida inte annat är föreskrivet i lag. Endast händelser beträffande enstaka transaktioner får utlämnas enligt 4.6.4. 2.8.2 Typ av information som inte anses vara konfidentiell Följande uppgifter anses inte vara konfidentiella: a) utfärdade certifikat, b) uppgift om spärrade certifikat, c) publika nycklar, d) redovisning av granskning enligt 2.7.2, med undantag för säkerhetskänslig information, e) denna policy, och tillhörande utfärdardeklaration (CPS), f) villkor för certifikatsinnehavare. 2.8.3 Tillhandahållande av information om anledning till spärrning av certifikat Anges i spärrlista i enlighet med X.509 standarden. 2.8.4 Tillhandahållande av konfidentiell information till polis, åklagare eller annan myndighet Konfidentiell information kan lämnas till polis, åklagare eller annan myndighet i enlighet med lag eller beslut i domstol. 2.9 Immateriella rättigheter Policy och dokument tillhörande certifikatstjänsten får endast reproduceras och spridas i sin helhet, under förutsättningarna att detta sker utan avgift. Ingen information får förändras, tas bort, eller läggas till. 2.10 Avtalsvillkor för certifikatsinnehavare Olika avtal kan användas för certifikat och tillhörande privat nyckel, i och med detta kan handhavande, beställning etc. ske på ett varierande sätt. Avtalsvillkor för certifikatsinnehavare reglerar: a) rättigheter och skyldigheter för båda parterna, 11

b) erkännande av certifikat och riktigheten av den information som har lämnats, c) att certifikatsinnehavaren accepterar de villkor och förutsättningar som gäller för användningen av certifikaten, d) villkor för hantering av personuppgifter. Utfärdaren ansvarar för att avtal utarbetas med eventuella underleverantörer. I avtalet skall klart framgå rättigheter och skyldigheter för båda parterna. 2.11 Tillgänglighet och svarstid Spärrlistor och utfärdarcertifikat kan hämtas under avtalad drifttid, dvs. 24 timmar om dygnet 7 dagar i veckan med undantag för avbrott. 3 Identifiering och autenticering Detta kapitel beskriver regler och rutiner som gäller vid identifiering och autenticering av fysiska personer och organisationer involverade i certifieringsprocessen. Personuppgifter hanteras i enlighet med personuppgiftslagen, eller annan gällande rätt/avtal som ger stöd till behandling av personuppgifterna. 3.1 Initial registrering 3.1.1 Typer av namn Följande uppgifter är obligatoriska: Uppgift Förnamn Efternamn Adress Identifierare 1 Identifierare 2 Unik identifierare E-postadress Krav på innehåll Certifikatetinnehavarens förnamn. Pseudonymer är inte tillåtna. Certifikatetinnehavarens efternamn. Pseudonymer är inte tillåtna. Adress till sökandes tjänsteställe. Användarnamn inom Migrationsverket. Sökandens personnummer. Skapas av Utfärdaren. Till innehavare av certifikatet. Certifikat kan innehålla andra typer av uppgifter om certifikatsinnehavaren (se 7.1). 3.1.2 Namnsättning De obligatoriska uppgifterna enligt 3.1.1 skall på ett unikt sätt identifiera certifikatsinnehavaren. Endast officiellt registrerade identitetsuppgifter där sådana finns om den sökande accepteras. 12

3.1.3 Fastställande av sökandens identitet RA ansvarar för att vidta de åtgärder som här beskrivs i syfte att fastställa att de uppgifter som sökanden uppger och som ligger till grund för det certifikat som skall utfärdas är korrekta. 3.1.3.1 Metod för att styrka sökandens identitet Sökandens identitet säkerställs via kontroller i Migrationsverkets register samt att beställning och utlämning av certifikat hanteras av sökandes närmsta chef. Vid utlämnande av certfikat till personer ej anställda av Migrationsverket ska separat avtal tecknas med mottagande organisation med liknande krav på identifiering. 3.1.3.2 Kontroll av identitetsuppgifter Obligatoriska uppgifter samt adress för den sökande kontrolleras gentemot Migrationsverkets befintliga register samt SPAR. 3.2 Förnyelse av nycklar och certifikat 3.2.1 Förnyelse av nycklar och certifikat Om personens förhållande till Migrationsverket inte har förändrats och om dennes övriga uppgifter inte ändrats kan en förnyelse av certifikat och nycklar ske med det gamla certifikatet som identifieringsmekanism. 3.3 Begäran om spärrning Spärrningsbegäran skall hanteras i enlighet med 4.4. 4 Operationella krav Detta kapitel beskriver de operationella krav som gäller för Utfärdaren, RA, sökanden och certifikatsinnehavaren. Kraven omfattar ansökan, utfärdande, spärrning, arkivering och loggning. 4.1 Ansökan om certifikat Nedanstående rutiner skall tillämpas vid ansökan om certifikat Sökanden skall identifiera sig i enlighet med kapitel 3, samt att: a) sökande skall fylla i ansökan och underteckna avtal där alla villkor enligt 2.10 accepteras, b) sökanden skall skriftligen instrueras att byta eventuellt transportlösenord till personligt vid första användningstillfälle, c) utfärdaren arkiverar ansökningshandlingar enligt 4.6. Ansökan får innehålla mer än certifikatsansökan och avtala om mer än själva certifikatet. 13

4.2 Utfärdande av certifikat Utfärdandet av certifikat bekräftar Utfärdarens acceptans av ansökan samt av de uppgifter som sökanden lämnat. Registrering och hantering av den information som krävs för att utfärda certifikaten skall ske i system och miljöer som är väl skyddade och utformade så att det förhindrar sammanblandning av identitetsuppgifter, certifikat och nycklar. Varje godkänd beställning av certifikat hos Utfärdaren eller RA, ska kunna spåras individuellt till den person som begärt beställningen. 4.3 Utlämnade av certifikat Nedanstående rutiner skall tillämpas vid utlämnande av certifikat. Sökanden skall identifiera sig i enlighet med kapitel 3, samt att: a) sökanden skall skriftligen instrueras att byta eventuellt transportlösenord till personligt vid första användningstillfälle. b) sökanden accepterar utfärdandet av certifikat/ och gällande villkor genom ansökan enligt 4.1. c) Sökanden bekräftar att certifikat är mottaget genom användande av certifikatet och tillhörande privata nycklar. 4.4 Spärrning av certifikat Utfärdaren tillhandahåller tjänst för att spärra certfikat, som säkerställer information om spärrade certifikat under hela certifikatens livslängd. Publicering och spärrkontrollen görs mot en spärrlista (CRL). Vid spärr av certifikat informeras innehavaren enligt avtalen i 2.10. 4.4.1 Anledning till spärrning Certifikat ska spärras om någon uppgift i certifikatet är eller misstänks vara inkorrekt, eller om den privata nyckel som är kopplad till certifikatet är röjd eller att det finns anledning att misstänka att den är röjd. Exempel på sådana situationer är: förlust av privata nycklar, ändring av någon av de uppgifter eller förhållanden som certifikatet innehåller t.ex. ändring av namn, nycklarna är röjda, eller det finns anledning att misstänka att nycklarna är röjda. Utfärdaren kan på eget initiativ spärra certifikat om certifikatsinnehavaren inte anses fullgöra sina åtaganden. 4.4.2 Behörig att begära spärrning Spärrning av certifikat kan endast begäras av certifikatsinnehavaren, eller på initiativ av Utfärdaren vid misstanke om obehörigt nyttjande av certifikat. Övriga möjligheter till spärring regleras i separata avtal med respektive avtalspart. 14

4.4.3 Rutin för begäran om spärrning Spärrning skall begäras snarast om anledning föreligger enligt 4.4.1. Identifiering av den som begär spärrning skall ske på lämpligt sätt. Utfärdaren kan besluta om spärrning även om identifiering inte kan utföras i de fall det föreligger risk för missbruk av certifikat Mottagen spärrningsbegäran arkiveras tillsammans med information om: a) datum och tidpunkt, b) anledning till spärr c) mottagande handläggare, vid manuell spärrning. 4.4.4 Behandlingstid vid begäran om spärrning Relevant information om spärrning skall publiceras i spärrlista senast tjugofyra (24) timmar efter beslut om spärrning. Beslut om spärrning sker vanligtvis i direkt anslutning till spärrbegäran, vid eventuella oklarheter eller brister i begäran kan försening uppstå. 4.4.5 Öppettider för spärrtjänsten Den som är i behov av att akut spärra sitt Certifikat utfärdat av Migrationsverket kan spärra det måndag till fredag oberoende av om dessa är helgdagar mellan klockan 06.00-21.00 och lördag och söndag från 08.00-17.00 svensk tid. Varje användare kan ringa +46 11 156560 eller från Sverige 011 156560. Detta täcker in arbetstiden för samtliga utlandsmyndigheter. 4.4.6 Periodicitet för utgivning av spärrlista Nya spärrlistor (CRL eller DeltaCRL) skall publiceras var 24:e timme, dygnet runt med en giltighetstid på 26 timmar. 4.4.7 Krav på spärrkontroll Det är Förlitande Parts eget ansvar att kontrollera om ett certifikat är spärrat eller inte. Kontrollen skall utföras på följande sätt: a) Förlitande Part som hämtar spärrlista från lagringsplats skall försäkra sig om dess äkthet genom att verifiera dess digitala signatur och certifieringskedja. b) Förlitande Part skall även kontrollera spärrlistans giltighetstid för att försäkra sig om att den är aktuell. c) Om ett certifikat är spärrat eller spärrkontroll enligt ovan inte kan genomföras, skall certifikatet inte accepteras. Användandet av certifikatet i sådana fall sker helt på Förlitande Parts egen risk. 4.5 Loggning Här specificeras rutiner för loggning av händelser samt därtill relaterad granskning av säkerheten i CA-systemet på systemnivå och operativsystemnivå. 15

Regler och krav för säkerhetsmoduler som används i CA-systemet specificeras i kapitel 6. 4.5.1 Händelser som loggas I CA-miljön skall minst följande händelser loggas: a) Skapande, förändring och borttagning av användarkonton, b) initiering av transaktioner, med information om vem som begärde transaktionen, tidpunkt, vilken typ av transaktion som initierats samt uppgift om resultatet av initieringen, c) installation och uppdatering av mjukvara, d) relevant information om säkerhetskopiering, e) start och stopp av systemet eller tjänster i systemet, f) datum och tid för uppgradering av hårdvara, g) datum och tid för tömning av loggar, 4.5.2 Kontroll av loggar Loggarna granskas kontinuerligt och analyseras för att upptäcka oönskade händelser. 4.5.3 Skydd av loggar Samliga loggar ska skyddas med lämpligt integritetsskydd samt tidstämpel. Samtliga händelser förses med individuella tidstämplar. 4.6 Arkivering 4.6.1 Information som arkiveras Utfärdaren arkiverar följande: a) transaktioner innehållande av behörig operatör signerad begäran om certifikatproduktion och spärrning av certifikat, b) avtal rörande certifikat, c) certifikatens innehåll, d) historik rörande tidigare utfärdarnycklar, e) uppgifter om korscertifiering inklusive grunderna på vilka korscertifiering beslutats, f) begäran om spärrning enligt 4.4.3, g) protokoll från granskningar enlig 2.7.5, h) gällande och föregående version av policyn, i) säkerhetsloggar både från passersystem till drifthall och CA-system. 16

4.6.2 Lagringstid Arkiverad information skall lagras och skyddas mot förändring och förstörelse under en tid av minst 10 år. Utfärdaren kan lagra informationen längre om lagar så kräver. 4.6.3 Skydd av arkiv Utfärdaren följer normal standard för skydd av värdehandling. 4.6.4 Rutiner för åtkomst och verifiering av arkivmaterial Arkiverat material som är klassat som konfidentiellt skall inte vara tillgängligt för externa parter i sin helhet annat än vad som krävs genom lag och beslut i domstol. Information om enskilda händelser kan erhållas efter begäran av någon involverad part eller representant för involverad part eller annan behörig. Arkiverat material som inte anses konfidentiellt enligt 2.8.2 kan lämnas ut utan prövning. Arkiverad information skall lagras under sådana förhållanden att de är läsbara för granskning under den angivna lagringstiden. 4.7 Byte av utfärdarnyckel Nya utfärdarnycklar genereras minst tre månader innan de gamla nycklarnas giltighetstid gått ut. Vid byte av utfärdarnyckel sker följande: a) nytt egensignerat certifikat utfärdas för den nya publika utfärdarnyckeln, b) korscertifikat utfärdas genom att den gamla utfärdarnyckeln signeras med den nya och den nya med den gamla utfärdarnyckeln. 4.8 Katastrofplan vid misstanke om röjda utfärdarnycklar Utfärdaren genomför följande åtgärder om det föreligger misstanke om att de privata utfärdarnycklarna skulle vara röjda: a) göra en menbedömning för att bedöma omfattning och lämpliga åtgärder, b) informera certifikatsinnehavarna, korscertifierade CA och andra parter med vilka Utfärdaren har överenskommelser eller andra etablerade relationer, c) i de fall den utfärdarnyckel som misstänks vara röjd används vid tjänst för spärrkontroll skall denna tjänst omedelbart upphöra. Detta medför att certifikaten inte accepteras av Förlitande Part som utövar spärrkontroll enligt. 4.4.8, d) omedelbart spärra samtliga certifikat i de fall annan utfärdarnyckel används vid tjänst för spärrkontroll av certifikat utfärdade med den utfärdarnyckel som misstänks vara komprometterad. e) spärra samtliga utfärdarcertifikat för den röjda utfärdarnyckeln, som utfärdats med annan utfärdarnyckel, 17

f) säkerställa att spärrinformation finns tillgänglig för utfärdarcertifikat enligt punkten e) fram till dess att de spärrade certifikatens giltighetstid löpt ut. 4.9 Upphörande av utfärdarens verksamhet Med upphörande av Utfärdarens verksamhet avses en situation där samtliga tjänster kopplade till Utfärdaren upphör. Innan Utfärdaren upphör med sin verksamhet skall minst följande åtgärder vidtas: a) Specifikt informera samtliga certifikatsinnehavare, och alla parter utfärdaren har en relation med, mins sex månader innan verksamheten upphör. b) Öppet informera om att verksamheten upphör minst tre månader i förväg. c) Upphöra med tjänst för spärrkontroll av certifikat. Detta medför att certifikaten inte accepteras av Förlitande Part som utövar spärrkontroll enligt. 4.4.8. d) Avsluta alla rättigheter för underleverantörer att agera i den upphörande Utfärdarens namn. e) Säkerställa att alla arkiv och loggar kan bevaras på ett betryggande sätt under 10 år eller enligt överenskommen arkiveringstid. 5 Säkerhetskontroller Detta kapitel beskriver fysiska, procedurorienterade och personella kontroller som utförs av Utfärdaren, och RA. 5.1 Fysisk säkerhet Tillträdeskontroll skall tillämpas för att kontrollera tillträde till driftutrymme för CA-systemet. En logg skall föras över alla som bereds tillträde till detta område. Utrymmet är försett med nödvändiga larm för att säkerställa upptäckt av varje typ av obehörigt intrång. Utfärdaren skall säkerställa att arkiv- och säkerhetskopior samt distributionsmedia förvaras på ett sådant sätt att förlust, manipulation eller obehörig användning av lagrad information förhindras. Säkerhetskopior skall förvaras på annat ställe än i den anläggning där Utfärdarens centrala funktioner finns, för att möjliggöra återställande vid en eventuell katastrofsituation vid Utfärdarens centrala anläggning. Förvaringen av säkerhetskopiorna följer Migrationsverkets ordinarie rutiner. Säkerhetskontroll skall ske kontinuerligt vid Utfärdarens centrala anläggning för att säkerställa ovanstående. 5.2 Procedurorienterad säkerhet Utfärdaren ansvarar för administration och rutiner för utfärdande av certifikat och spärrlistor. Rutiner för spårbarhet skall finnas, så att missbruk och fel i olika led av denna procedur kan upptäckas och korrigeras. 18

5.2.1 Betrodda roller inom CA-funktionen Utfärdaren har definierat tre olika roller. En annan organisation kan accepteras under förutsättning att de har en god förmåga att förhindra insiderattacker. Följande roller finns inom Utfärdarens organisation: Certification Authority Administrator (CAA), utför centrala operationer på CAsystemet. Dessa är samtliga personer som hos Utfärdaren har behörighet att utföra registreringar och andra administrativa operationer. Typiska uppgifter är: utfärda certifikat, generera manuella spärrlistor, spärra certifikat, logganalys. System Administrator (SA) utgörs av driftspersonal. Detta är driftspersonal som utför installationer, systemunderhåll, byte av media för säkerhetskopiering, m.m. Dessa behöver inte alltid ha behörighet enligt CAA, men har lämplig behörighet på operativsystemnivå i systemen beroende på uppgifterna. Typiska uppgifter är: installation under övervakning av ISSO (se nedan)/caa, konsolidering av loggar tillsammans med ISSO, systemunderhåll, byte av media med säkerhetskopior och transport för lagring. Information Systems Security Officer (ISSO) ansvarar för alla operativa roller. Dessa personer har högsta ansvaret och ska t.ex. närvara vid särskilt säkerhetskritiska operationer. Typiska uppgifter är: Övervaka installationer och generering av CA-nycklar samt konsolidering av loggar, godkänna tilldelning av roller, ansvara för att alla agerar inom ramen för sina roller. 5.2.2 Krav på antal personer per uppgift Vissa känsliga moment och arbetsuppgifter skall kräva närvaro av fler än en person. Denna policy föreskriver ett antal sådana moment, exempelvis; Vid initieringen av CA-systemet krävs närvaro av minst två olika personer som innehar ISSO eller CAA-rollen. För konsolidering av loggar av det centrala CA-systemet, krävs två personer med SA och/eller ISSO-roll, För fysisk åtkomst till den inlåsta säkerhetskopian av CA:s privata nyckel krävs två personer med SA och/eller ISSO-roll. 19

5.2.3 Identifiering och autenticering av personer i betrodda roller Det skall finnas tekniska möjligheter att identifiera och autenticera ovan nämnda roller i CA-systemet. 5.3 Personorienterad säkerhet 5.3.1 Bakgrund och kvalifikationer Personal som innehar roller som ur säkerhetssynpunkt betraktas som kritiska skall vara särskilt utvalda och pålitliga personer som uppvisat lämplighet för sådana befattningar. Personal får inte ha några andra uppgifter som kan vara i konflikt med de åligganden och ansvar som följer av de roller som de har i CA-systemet. 5.3.2 Krav på utbildning All personal hos Utfärdaren som berörs av CA-systemet skall ha erforderlig utbildning och kunskap för att utföra sina arbetsuppgifter. 5.3.3 Personorienterad säkerhet för RA Ansvarig personal hos RA/underleverantör utses inom den organisation som är utsedda av Utfärdaren att utföra arbetsuppgiften. RA organisation ansvarar för att lämplig personalkontroll görs. Separata avtal reglerar säkerheten för RA (om denna är extern) och underleverantörer. 6 Teknisk säkerhet Detta kapitel innehåller regler för generering och installation av nyckelpar, skydd av nycklar samt andra tekniska säkerhetskontroller. 6.1 Generering och installation av nyckelpar 6.1.1 Generering av nyckelpar Indata till samtliga nyckelgenereringsprocesser skall vara ett slumptal skapat på sådant sätt och av sådan längd att det är beräkningsmässigt ogörligt att återskapa detsamma även med kunskap om när och i vilken utrustning det genererades. Nyckelgenereringsprocessen skall vara så beskaffad att ingen information om den privata nyckeln hanteras utanför nyckelgenereringssystemet annat än genom säker överföring till avsedd plats. Publika nycklar skall även de hanteras på ett sådant sätt att deras integritet garanteras. 6.1.1.1 Utfärdarnycklar för signering av certifikat och spärrlistor Utfärdarnycklar som används för signering av certifikat och spärrlistor skall genereras och användas i en skyddad miljö enligt 5.1. De ska också endast användas i separat hårdvara speciellt utvecklad för detta. 20

6.1.1.2 Nyckelpar för certifikatsinnehavare Nycklar för certifikat kan genereras både centralt hos utfärdaren och lokalt hos certifikatsinnehavaren. Nycklar som används för digital signatur får endast genereras lokalt hos certifikatsinnehavaren. Certifikatsinnehavarens privata nycklar skall lagras skrivskyddade i en krypterad fil. Vid certifieringen skall nycklarnas integritet kontrolleras. Nyckelgenereringen och tillhörande kontroller (före certifiering) skall ske på sådant sätt att sannolikheten för att nyckelpar dubbleras är försumbar eller obefintlig. 6.1.2 Leverans av certifikat Det är certifikatsinnehavarens närmsta chef som ansvarar för utlämning av certifikaten/privata nycklarna. Certifikaten/privata nycklarna kan skyddas av transportlösenord, detta skall distribueras till innehavaren på sådant sätt att det inte uppträder tillsammans med certifikatet/privata nycklarna förrän hos innehavaren. Certifikatsinnehavaren skall bekräfta mottagande av certifikat/privata nycklar genom användning Certifikatsinnehavaren skall instrueras tydligt att vid första användningstillfälle byta eventuellt transportlösenord. 6.1.3 Nyckelstorlek Nyckelstorleken skall ha en längd och styrka som är tillförlitliga enligt vid var tid gällande praxis. Gällande nyckelstorlek för RSA-nyckelpar som genereras i CA-systemet är 2048 bitar. 6.1.4 Generering av publik nyckel Certifikatstinnehavarens nycklar som i certifikaten markeras med användningsområdena kryptering, autentisering, och/eller verifiering av oavvislig digital information (dokument) ges publika exponenter som förhindrar kända attacker. Utfärdarens nycklar ges publika exponenter som förhindrar kända attacker. Det förutsätts att Utfärdaren håller sig ajour med teknikutvecklingen inom PKI och anpassar sina kryptoalgoritmer i enlighet med den för att bibehålla en hög skyddsnivå. 6.2 Skydd av privata nycklar 6.2.1 Säkerhetsmodul och certifikat Privata utfärdarnycklar avsedda att signera certifikat, spärrlistor, utfärdarcertifikat och korscertifikat, samt andra privata nycklar i CA-systemet, säkras av starka fysiska skydd samt lagras och används på ett smart kort eller annan säkerhetsmodul (HSM). 21

Övriga privata nycklar i Utfärdareprocessen som används utanför CA-systemets miljö och som påverkar certifikatutgivnings- och spärrkontrolltjänster skall lagras och användas i ett smart kort eller annan säkerhetsmodul (HSM). 6.2.2 Flerpersonskontroll av privata nycklar Vissa känsliga moment och arbetsuppgifter skall kräva närvaro av fler än en person, se 5.2.2. 6.2.3 Säkerhetskopiering av privata nycklar Personliga nycklar för certifikatsinnehavare säkerhetskopieras ej. Privata krypteringsnycklar lagras dock för att säkerställa dekryptering av krypterad data. Privata utfärdarnycklar avsedda att signera certifikat, spärrlistor, utfärdarcertifikat och korscertifikat, samt andra privata nycklar i CA-systemet säkerhetskopieras. Dessa nycklar säkerhetskopieras på ett sådant sätt att kopiorna erhåller minst samma skydd som nycklar som används i produktionsmiljö. Säkerhetskopiorna förvaras inlåst i byggnad som är fysiskt skild från platsen där originalet förvaras. 6.2.4 Arkivering av privata nycklar Certifikatsinnehavarens privata krypteringsnycklar kan arkiveras. Avseende säkerhetskopiering av privata utfärdarnycklar samt andra privata nycklar i CA-miljön, se 6.2.3. 6.2.5 Lagring av certifikatens privata nyckel Den privata nyckeln för certifikaten lagras i en krypterad fil som skyddas av ett lösenord. 6.2.6 Aktivering av privata nycklar De privata nycklarna aktiveras genom att rätt lösenord anges. 6.2.7 Förstörelse av utfärdarens privata nycklar När användningsperioden för privata utfärdarnycklar gått ut skall alla exemplar av nycklarna förstöras. Utfärdarnycklarna får ej förstöras om de står i strid med arkiverings krav i denna policy eller krav i lagstiftning. Säkerhetskopior förstörs genom att förbrukat lagringsmedium förstörs fysiskt. Utfärdarnycklar som lagras i det centrala CA-systemet gäller följande: Om lagringsmedia skall användas vidare i samma skyddande miljö sker överskrivning på sådant sätt att återskapande av nycklar försvåras. Om utrustning innehållande lagringsmedia skall användas utanför den skyddade miljön skall lagringsmedia demonteras och förstöras fysisk för att förhindra återskapande av nycklar. 22

6.3 Andra aspekter på nyckelhantering Ingen känslig information från CA-, nyckelgenererings- eller personaliseringsprocessen får lämna systemen på ett sätt som är i konflikt med denna policy. Lagringsmedia som är utrangerad skall exempelvis förstöras fysiskt, vid service skall aldrig lagringsmedia skickas med utanför CA-miljön. 6.3.1 Arkivering av publika nycklar Alla publika nycklar skall arkiveras av Utfärdaren. Arkiveringstid enligt 4.6.2. 6.3.2 Privata nycklars livslängd Privat nyckels livslängd begränsas av certifikatets giltighetstid. 6.3.3 Certifikatens giltighetstid certifikat utfärdas med en livslängd på högst 5 år. Utfärdarcertifikat utfärdas med en livslängd på högst 20 år. Självsignerat rotcertifikat utfärdas med en giltighetstid på 20 år 6.4 Aktiveringsdata 6.4.1 Generering och installation av aktiveringsdata Indata till samtliga genereringsprocesser, t ex nyckelgenerering skall vara ett slumptal. 6.4.2 Skydd av aktiveringsdata Aktiveringsdata skall lagras i certifikaten på sådant sätt att aktiveringsdata aldrig exponeras. Utformningen av denna miljö skall säkerställa att ingen kan få kontroll över aktiveringsdata. 6.5 Säkerhet i datorsystem CA-systemet skall ha säkerhetsfunktioner för att säkerställa rollfördelningen beskriven i 5.2. Säkerhetsfunktionerna skall säkerställa åtkomstkontroll och spårbarhet för varje operatör på individuell nivå för de funktioner som påverkar användning av privata utfärdarnycklar. 6.5.1 Tekniska krav Initiering av det system som utnyttjar privata utfärdarnycklar skall kräva samverkan av minst två betrodda operatörer. En detaljerad logg skall föras över alla manuella steg i processen. Installation av operativsystem och CA-system skall ske i direkt anslutning till formatering av diskar och med leverantörens originalutgåva av programmen. Vid registrering av initiala användare och behörigheter i CA-systemet skall minst två 23

personer i betrodda roller samverka. Ett protokoll över installations- och konfigureringsprocessen skall signeras av samtliga deltagare och arkiveras. 6.6 Kontroll av säkerhet hos systemet under livscykeln 6.6.1 Kontroller av systemutveckling Utveckling av programvara som implementerar funktionalitet hos CA-systemet, skall utföras i en kontrollerad miljö där leverantören tillämpar ett kvalitetssystem för skydd mot införande av obehörig kod. 6.6.2 Kontroller av säkerhetsadministration Rollerna enligt 5.2 skall implementeras i Utfärdarens processer och deras tillämpning skall säkerställas. 6.7 Kontroll av nätverkssäkerhet Utfärdarens CA-system är anslutet till ett internt nätverk och skyddas av en brandvägg med tillräcklig styrka för att motstå angrepp som kan hota systemet. Brandväggen är konfigurerad för att tillåta passage endast av de protokoll som är nödvändiga för att realisera CA-funktionen. Kommunikation till och från CA-miljön utnyttjar kryptering av en styrka som är tillförlitligt enligt vid var tid gällande praxis. 7 Profiler för certifikat och spärrlistor Certifikat och spärrlistor skall utformas enligt X.509-standarden. 7.1 Certifikatens profil och version Förekomst och användning av dataelement i certifikaten skall ske i enlighet med denna policy och tillhörande utfärdardeklaration (CPS). Certifikatsstandard är X.509 version 3 7.2 Profil för spärrlista I de fall spärrlista utfärdas skall denna följa CRL version 2 enligt X.509. 8 Förvaltning av policyn Detta kapitel innehåller bestämmelser avseende förändringar och publiceringar av policyn. 8.1 Förändring av policyn 8.1.1 Förändringar som kan ske utan underrättelse De förändringar som kan göras av denna policy utan underrättelse till berörda parter är språkliga justeringar och omdispositioner som inte påverkar säkerhetsnivån i beskrivna rutiner och regler. 24

8.1.2 Förändringar som kan ske med underrättelse Administrationsansvarig för policyn avgör om förändringar av policyn skall ske efter underrättelse till berörda parter inom 90 dagar eller 30 dagar enligt nedan. Administrationsansvarig avgör också om förändringarna är så omfattande att ny policy skall upprättas. Alla typer av förändringar kan företas i denna policy 90 dagar efter underrättelse. Mindre förändringar som endast berör ett fåtal certifikatsinnehavare eller Förlitande Parter kan göras 30 dagar efter underrättelse. 8.1.2.1 Underrättelse Underrättelse om förändringarna sker av Administrationsansvarig inom den tidsperiod som anges i 8.1.1 genom att omedelbart informera om förändringarna på http://www.migrationsverket.se/pki. Utfärdaren skall så snart som möjligt genom e-post informera certifikatsinnehavare om de förändringar som kan ha reell betydelse för denne. 8.2 Publicering och distribution av policy och utfärdardeklaration (CPS) 8.2.1 Publicering och distribution av policy Publicering av aktuell policy och eventuella föreslagna förändringar hålls tillgänglig på http://www.migrationsverket.se/pki. Dan Eliasson, Generaldirektör 25

Certifikatpolicy Migrationsverket Smarta Kort Version 1

Innehåll 1 Introduktion...5 1.1 Allmänt...5 1.2 Identifiering...5 1.3 Målgrupp och tillämplighet...5 1.3.1 Utfärdare...5 1.3.2 Registration authorities (ra)...5 1.3.3 Kortbaserade certifikat...6 1.3.4 Tillämplighet...6 1.3.4.1 Lämpliga användningsområden...6 1.4 Kontaktuppgifter...6 1.4.1 Administrationsansvarig...6 1.4.2 Kontaktperson...6 1.4.3 Överensstämmelse mellan denna policy och utfärdardeklaration (cps)...6 2 Allmänna bestämmelser...7 2.1 Åtaganden...7 2.1.1 Utfärdarens åtaganden...7 2.1.1.1 Allmänna bestämmelser...7 2.1.1.2 Beställning av certifikat/kort...7 2.1.1.3 Distribution...7 2.1.1.4 Skydd av CA-systemets privata nycklar...7 2.1.1.5 Begränsningar av användandet av Utfärdarens privata nycklar...8 2.1.2 Ra:s åtaganden...8 2.1.2.1 Allmänna bestämmelser...8 2.1.3 Kortinnehavarens åtaganden...8 2.1.3.1 Ansökan om certifikat/kort...8 2.1.3.2 Mottagande av certifikat/kort...8 2.1.3.3 Skydd av kortinnehavarens privata nyckel...8 2.1.4 Förlitande parts åtaganden...8 2.1.4.1 Användande av certifikat för lämpliga ändamål...9 2.1.4.2 Skyldighet att verifiera och kontrollera...9 2.2 Ansvar...9 2.2.1 Utfärdarens ansvar...9 2.2.1.1 Garantier och ansvarsbegränsningar...9 2.2.2 Ansvar för ra...9 2.3 Finansiellt ansvar...9 2.3.1 Fullmaktsförhållanden...9 2.4 Tolkning och genomförande...9 2.4.1 Tillämplig lag...9 2.4.2 Tvistelösning...9 2.5 Avgifter...10 2.6 Publicering och åtkomst av information...10 2.6.1 Publicering av information...10 2.6.2 Periodicitet för publicering...10 2.6.3 Behörighetskontroll...10 2.7 Granskning...10 2.7.1 Utföranden...10 2.7.2 Information om resultatet av granskning...10 2.8 Konfidentialitet...11 2

2.8.1 Typ av information som skall hållas konfidentiell...11 2.8.2 Typ av information som inte anses vara konfidentiell...11 2.8.3 Tillhandahållande av information om anledning till spärrning av certifikat...11 2.8.4 Tillhandahållande av konfidentiell information till polis, åklagare eller annan myndighet...11 2.9 Immateriella rättigheter...11 2.10 Avtalsvillkor för kortinnehavare...11 2.11 Tillgänglighet och svarstid...12 3 Identifiering och autentisering...12 3.1 Initial registrering...12 3.1.1 Typer av namn...12 3.1.2 Namnsättning...12 3.1.3 Fastställande av sökandens identitet...13 3.1.3.1 Metod för att styrka sökandens identitet...13 3.1.3.2 Kontroll av identitetsuppgifter...13 3.2 Förnyelse av nycklar och certifikat/kort...13 3.2.1 Förnyelse av nycklar och certifikat/kort...13 3.3 Begäran om spärrning...13 4 Operationella krav...13 4.1 Ansökan om certifikat/kort...13 4.2 Utfärdande av certifikat...14 4.3 Utlämnade av certifikat/kort...14 4.4 Spärrning av certifikat/kort...14 4.4.1 Anledning till spärrning...14 4.4.2 Behörig att begära spärrning...15 4.4.3 Rutin för begäran om spärrning...15 4.4.4 Behandlingstid vid begäran om spärrning...15 4.4.5 Öppettid för spärrtjänsten...15 4.4.6 Periodicitet för utgivning av spärrlista...15 4.4.7 Krav på spärrkontroll...15 4.5 Loggning...16 4.5.1 Händelser som loggas...16 4.5.2 Kontroll av loggar...16 4.5.3 Skydd av loggar...16 4.6 Arkivering...16 4.6.1 Information som arkiveras...16 4.6.2 Lagringstid...17 4.6.3 Skydd av arkiv...17 4.6.4 Rutiner för åtkomst och verifiering av arkivmaterial...17 4.7 Byte av utfärdarnyckel...17 4.8 Katastrofplan vid misstanke om röjda utfärdarnycklar...17 4.9 Upphörande av utfärdarens verksamhet...18 5 Säkerhetskontroller...18 5.1 Fysisk säkerhet...18 5.2 Procedurorienterad säkerhet...18 5.2.1 Betrodda roller inom ca-funktionen...19 5.2.2 Krav på antal personer per uppgift...19 5.2.3 Identifiering och autentisering av personer i betrodda roller...20 5.3 Personorienterad säkerhet...20 5.3.1 Bakgrund och kvalifikationer...20 5.3.2 Krav på utbildning...20 5.3.3 Personorienterad säkerhet för ra...20 3

6 Teknisk säkerhet...20 6.1 Generering och installation av nyckelpar...20 6.1.1 Generering av nyckelpar...20 6.1.1.1 Utfärdarnycklar för signering av certifikat och spärrlistor...20 6.1.1.2 Nyckelpar för kortinnehavare...21 6.1.2 Leverans av certifikat/kort...21 6.1.3 Nyckelstorlek...21 6.1.4 Generering av publik nyckel...21 6.2 Skydd av privata nycklar...21 6.2.1 Säkerhetsmodul och certifikat...22 6.2.2 Flerpersonskontroll av privata nycklar...22 6.2.3 Säkerhetskopiering av privata nycklar...22 6.2.4 Arkivering av privata nycklar...22 6.2.5 Lagring av certifikatens privata nyckel...22 6.2.6 Aktivering av privata nycklar i korten...22 6.2.7 Förstörelse av utfärdarens privata nycklar...22 6.3 Andra aspekter på nyckelhantering...23 6.3.1 Arkivering av publika nycklar...23 6.3.2 Privata nycklars livslängd...23 6.3.3 Certifikatens giltighetstid...23 6.4 Aktiveringsdata...23 6.4.1 Generering och installation av aktiveringsdata...23 6.4.2 Skydd av aktiveringsdata...23 6.5 Säkerhet i datorsystem...23 6.5.1 Tekniska krav...24 6.6 Kontroll av säkerhet hos systemet under livscykeln...24 6.6.1 Kontroller av systemutveckling...24 6.6.2 Kontroller av säkerhetsadministration...24 6.7 Kontroll av nätverkssäkerhet...24 7 Profiler för certifikat och spärrlistor...24 7.1 Certifikatens profil och version...24 7.2 Profil för spärrlista...24 8 Förvaltning av policyn...25 8.1 Förändring av policyn...25 8.1.1 Förändringar som kan ske utan underrättelse...25 8.1.2 Förändringar som kan ske med underrättelse...25 8.1.2.1 Underrättelse...25 8.2 Publicering och distribution av policy och utfärdardeklaration (cps)...25 8.2.1 Publicering och distribution av policy...25 4

1 Introduktion 1.1 Allmänt Detta dokument ägs och förvaltas av Migrationsverket, nedan kallad Utfärdaren. Dokumentet utgör en Certifikatpolicy för utfärdande av Kortbaserade certifikat för Migrationsverkets personal, nedan endast kallad policy. Denna policy beskriver rutiner och säkerhetskrav vid utfärdande och användning av kortbaserade certifikat. Dokumentet har försetts med namn och objektidentifierare (OID). (Se avsnitt 1.2.) I de fall relationen mellan Utfärdare, RA, kortinnehavare, och Förlitande Part bygger på ett avtal, skall hänvisning till denna policy anges. Policyn skall, oberoende av om avtal upprättas eller inte, användas av en Förlitande Part för att bedöma om ett certifikat är tillförlitligt. Denna policy ger möjlighet att utfärda följande certifikat. Kortbaserade certifikat Utfärdande av certifikat i enlighet med denna policy innebär att: certifikatet ställs ut till en anställd inom Migrationsverket. utfärdade certifikat följer den internationella versionen av X.509- standarden utfärdade certifikat lagras på smart kort skyddat av en eller flera pinkoder. 1.2 Identifiering Namn på policyn: Certifikatpolicy Migrationsverket Smarta Kort version 1 Objektidentifierare: 1.2.752.111.4.2.1 OID införs i skapade certifikat som "Certificate Policy Extension" enligt X.509 version 3 1.3 Målgrupp och tillämplighet Detta kapitel anger vilka som berörs av policyn samt dess tillämpningsområde. 1.3.1 Utfärdare Ansvarig utfärdare för denna policy är Migrationsverket, nedan kallad Utfärdaren. Utfärdaren skall upprätta och publikt publicera en utfärdardeklaration (CPS), som beskriver den praktiska implementeringen av denna policy. 1.3.2 Registration authorities (ra) Registration Authority utses av Utfärdaren och skall arbeta i enlighet med denna policy, och avtal upprättade med Utfärdaren. Avtal behöver endast upprättas om en extern leverantör anlitas som RA 5

1.3.3 Kortbaserade certifikat Kortbaserade certifikat är ett elektroniskt certifikat lagrat på smart kort för identifiering, kryptering och signering av elektroniska transaktioner. certifikatet är utfärdat till en person inom Migrationsverket med en giltighetstid på 5 år. 1.3.4 Tillämplighet Denna policy är relevant för Utfärdaren, RA, kortinnehavare, samt för Förlitande Part. Det är Förlitande Part eller dennes organisation som avgör för vilka ändamål de utställda certifikaten kan godtas. 1.3.4.1 Lämpliga användningsområden Certifikat utställda enligt denna policy används normalt för att säkerställa äkthet och trovärdigheten för vissa dokument/system/tjänster. Primärt kommer Migrationsverkets kortbaserade certifikat att användas för: Legitimering (Autenticering), vid tillträde och uppgiftslämnande till Migrationsverkets interna nät och e-tjänster Elektronisk underskrift Insynsskydd (kryptering) för kommunikation Denna policy anger inte skydd för bedrägeri, eller annat oönskat nyttjande av certifikat. Certifikat utfärdade enligt denna policy kan i framtiden godkännas för sk kvalificerade elektroniska underskrifter. 1.4 Kontaktuppgifter 1.4.1 Administrationsansvarig Policyn är registrerad av Migrationsverket (Utfärdaren). Utfärdaren är fullt ansvarig för att administrera och uppdatera denna policy. 1.4.2 Kontaktperson Frågor angående policyn adresseras till: Migrationsverket Biträdande Säkerhetschef Erik Kihl SE 601 70 Norrköping Sweden Telefon: +46 11 15 60 00 E-post: erik.kihl@migrationsverket.se 1.4.3 Överensstämmelse mellan denna policy och utfärdardeklaration (cps) Utfärdaren är ansvarig för granskning av policyn enligt 2.7. 6

2 Allmänna bestämmelser Detta kapitel redogör bestämmelserna för Utfärdaren, RA kortinnehavare, och Förlitande Parts åtaganden. 2.1 Åtaganden En och samma juridiska person, nedan kallad Utfärdaren, är ansvarig som Certifikatutfärdare (CA). Om någon eller några delar av utgivarprocessen utförs av en eller flera underleverantörer är Utfärdaren ansvarig för dessa åtgärder som om han hade utfört dem själv. Det åligger Utfärdaren att tillse att underleverantörer följer denna policy i tillämpliga delar. 2.1.1 Utfärdarens åtaganden 2.1.1.1 Allmänna bestämmelser Utfärdaren åtar sig enligt denna policy att: a) utfärda certifikat i enlighet med policy b) tillhandahålla kontrollåtgärder enligt kapitel 4 till och med 6 c) upprätta och publicera en utfärdardeklaration (CPS) d) spärra certifikat och tillhandahålla spärrtjänst enligt 4.4. e) Tillföra tillräckliga finansiella resurser för att kunna driva verksamheten i enlighet med policyn. 2.1.1.2 Beställning av certifikat/kort Utfärdaren skall tillse att: a) beställning av certifikat/kort sker enligt bestämmelserna i denna policy, b) avtalet om och ansökningshandling för certifikat/kort innehåller de uppgifter som krävs enligt kapitel 3 och kapitel 4, c) kontroller av sökandens identitet sker enligt bestämmelserna i 3.1.3 2.1.1.3 Distribution Utfärdaren skall tillse att: a) kontroller av beställda och levererade smarta kort före nyckelinitiering och personalisering sker enligt bestämmelserna i 6.1, b) personaliserade kort förvaras och levereras på sätt som beskrivs i 6.1. 2.1.1.4 Skydd av CA-systemets privata nycklar Utfärdaren åtar sig att skydda de privata nycklarna enligt bestämmelserna i 6.2.6 7

2.1.1.5 Begränsningar av användandet av Utfärdarens privata nycklar Utfärdarens privata nycklar, som används för att ge ut certifikat i enlighet med denna policy, får endast användas för att signera certifikat, spärrlistor och loggar, eller andra funktioner i anslutning till dessa. 2.1.2 Ra:s åtaganden 2.1.2.1 Allmänna bestämmelser RA åtar sig att: a) utlämningen av smart kort endast sker efter vedertagen identifiering av kortinnehavaren enligt 3.1.3 samt 6.1.2, b) leverans av smart kort bekräftas av mottagaren genom en skriftlig kvittens som arkiveras hos RA. c) tillhandahålla kontrollåtgärder enligt kapitel 3 till och med 6, d) skydda sin privata nyckel i enlighet med avtal med denna policy och avtal med Utfärdaren. 2.1.3 Kortinnehavarens åtaganden 2.1.3.1 Ansökan om certifikat/kort Sökanden skall vid ansökan om certifikat/kort åta sig att följa tillämpliga rutiner som anges i kapitel 3 och 4, samt avtalet för ansökan om certifikat/kort och att lämna sanningsenliga uppgifter. 2.1.3.2 Mottagande av certifikat/kort Mottagaren ska bekräfta mottagandet av certifikatet enligt rutiner som anges i kapitel 3 och 4, samt avtalet för ansökan om certifikat/kort. 2.1.3.3 Skydd av kortinnehavarens privata nyckel Kortinnehavaren skall tillse att denne har kontroll över sitt kort och skydda den i enlighet med relevanta delar ur kapitel 6 i denna policy. Kortinnehavaren skall vidta åtgärder att förhindra obehörigt utnyttjande av kortet med tillhörande privata nyckel genom att: a) byta den pinkod som medföljer från Utfärdaren innan kortet tas i bruk. b) pinkod eller annan säkerhetsrutin som används inte avslöjas för annan, c) kortet skyddas på motsvarande sätt som värdeföremål, d) pinkod aldrig förvaras tillsammans med kortet, e) ett aktiverat kort aldrig lämnas oskyddat. Kortinnehavaren skall omedelbart om det föreligger anledning enligt avtal eller enligt punkt 4.4.1 anmäla om spärrning av kort. 2.1.4 Förlitande parts åtaganden 8

2.1.4.1 Användande av certifikat för lämpliga ändamål Det är Förlitande Parts eget ansvar att säkerställa att certifikaten används för lämpliga ändamål. Till vägledning för beslutet har Förlitande Part certifikaten och denna policy. Punkten om lämpliga användningsområden 1.3.4.1 skall särskilt beaktas. 2.1.4.2 Skyldighet att verifiera och kontrollera Det är Förlitande Parts eget ansvar att verifiera certifikatens äkthet och tillämplighet, samt dess giltighet i enlighet med 4.4. 2.2 Ansvar 2.2.1 Utfärdarens ansvar 2.2.1.1 Garantier och ansvarsbegränsningar Genom att signera ett certifikat som innehåller objektidentifierare för denna policy, intygar Utfärdaren att denne har kontrollerat informationen i certifikatet i enlighet med de rutiner som fastslagits i denna policy. Utfärdaren ansvarar inte för skada som uppkommit på grund av uppgifterna i ett certifikat eller spärrlista är felaktiga så vida Utfärdaren inte gjort sig skyldig till grov vårdslöshet. 2.2.2 Ansvar för ra Utfärdaren ansvar för de tjänster som RA utför på uppdrag av Utfärdaren. Avtal mellan Utfärdaren och RA skall återspegla RA:s ansvars och förpliktelser i enlighet med denna policy. 2.3 Finansiellt ansvar 2.3.1 Fullmaktsförhållanden Utfärdande av certifikat i enlighet med denna policy medför inte att Utfärdaren skall betraktas som agent, fullmäktig, eller på annat sätt som representant för kortinnehavaren eller Förlitande Part. 2.4 Tolkning och genomförande 2.4.1 Tillämplig lag Svensk rätt skall äga tillämpning på denna policy samt därur uppkomna rättsförhållanden. 2.4.2 Tvistelösning Tvist i anledning av denna policy skall slutligt avgöras genom skiljedom vid och enligt Regler för Stockholms Handelskammares Skiljedomsinstitut (Institutet). 9

Överstiger inte tvisteföremålets värde vid tvistens påkallande ett belopp som motsvarar 25 gånger prisbasbeloppet enligt lagen (1962:381) om allmän försäkring skall Institutets Regler för förenklat skiljeförfarande tillämpas. 2.5 Avgifter Korten är avgiftsfria för Migrationsverkets personal. 2.6 Publicering och åtkomst av information 2.6.1 Publicering av information Utfärdare skall tillhandahålla följande: a) denna policy, och tillhörande utfärdardeklaration (CPS), b) spärrlistor (CRL), c) samtliga utfärdarcertifikat som utfärdats, d) resultat av granskningar i enlighet med 2.7.2, med undantag för säkerhetskänslig information, e) villkor för kortsinnehavare. Policy, utfärdardeklaration (CPS), spärrlistor, utfärdarcertifikat och resultat av granskningar skall vara tillgängliga via http://www.migrationsverket.se/pki 2.6.2 Periodicitet för publicering Spärrlistor skall publiceras enligt 4.4.7. 2.6.3 Behörighetskontroll Det förekommer inte någon behörighetskontroll för att läsa denna policy. Behörighetskontroll tillämpas däremot vid förändring av denna policy. 2.7 Granskning 2.7.1 Utföranden Utfärdaren skall löpande (min var 36:e månad) göra interna granskningar för att säkerställa att denna policy efterlevs. Vid granskning skall speciellt följand undersökas: utfärdardeklaration (CPS) lämplighet och överensstämmelse med policy Den praktiska implementeringen av utfärdardeklaration (CPS) Avtal och samverkansförhållanden som rör underleverantörer och RA 2.7.2 Information om resultatet av granskning Redovisningen skall innehålla information om samtliga upptäckta brister som är av sådan art att de kan anses påverka en Förlitande Parts förtroende för ett utfärdat certifikat och innefatta uppgifter om typ av brister samt bedömning av eventuella 10

risker och konsekvenser. Däremot skall redovisningen inte innehålla detaljerade uppgifter om brister som kan tänkas äventyra säkerheten i systemet. Redovisningar från de senaste granskningarna skall finnas tillgängliga enligt 2.6.1 2.8 Konfidentialitet 2.8.1 Typ av information som skall hållas konfidentiell Rutiner för Migrationsverkets skapande-, utgivnings- och återkallande processer av certifikat/kort kan sekretessbeläggas enligt sekretesslagen 5 kap 3 2 p. Loggar skall inte göras tillgängliga i sin helhet, såvida inte annat är föreskrivet i lag. Endast händelser beträffande enstaka transaktioner får utlämnas enligt 4.6.4. 2.8.2 Typ av information som inte anses vara konfidentiell Följande uppgifter anses inte vara konfidentiella: a) utfärdade certifikat, b) uppgift om spärrade certifikat, c) publika nycklar, d) redovisning av granskning enligt 2.7.2, med undantag för säkerhetskänslig information, e) denna policy, och tillhörande utfärdardeklaration (CPS), f) villkor för kortinnehavare. 2.8.3 Tillhandahållande av information om anledning till spärrning av certifikat Anges i spärrlista i enlighet med X.509 standarden. 2.8.4 Tillhandahållande av konfidentiell information till polis, åklagare eller annan myndighet Konfidentiell information kan lämnas till polis, åklagare eller annan myndighet i enlighet med lag eller beslut i domstol. 2.9 Immateriella rättigheter Policy och dokument tillhörande certifikatstjänsten får endast reproduceras och spridas i sin helhet, under förutsättningarna att detta sker utan avgift. Ingen information får förändras, tas bort, eller läggas till. 2.10 Avtalsvillkor för kortinnehavare Olika avtal kan användas för certifikat och tillhörande kort, i och med detta kan handhavande, beställning etc. ske på ett varierande sätt. Avtalsvillkor för kortinnehavare reglerar: a) rättigheter och skyldigheter för båda parterna, b) erkännande av certifikat/kort och riktigheten av den information som har lämnats, 11

c) att kortinnehavaren accepterar de villkor och förutsättningar som gäller för användningen av certifikaten, d) villkor för hantering av personuppgifter. Utfärdaren ansvarar för att avtal utarbetas med eventuella underleverantörer. I avtalet skall klart framgå rättigheter och skyldigheter för båda parterna. 2.11 Tillgänglighet och svarstid Spärrlistor och utfärdarcertifikat kan hämtas under avtalad drifttid, dvs. 24 timmar om dygnet 7 dagar i veckan med undantag för avbrott. 3 Identifiering och autentisering Detta kapitel beskriver regler och rutiner som gäller vid identifiering och autentisering av fysiska personer och organisationer involverade i certifieringsprocessen. Personuppgifter hanteras i enlighet med personuppgiftslagen, eller annan gällande rätt/avtal som ger stöd till behandling av personuppgifterna. 3.1 Initial registrering 3.1.1 Typer av namn Följande uppgifter är obligatoriska: Uppgift Förnamn Efternamn Adress Identifierare 1 Identifierare 2 Unik identifierare E-postadress Krav på innehåll Certifikatetinnehavarens förnamn, Pseudonymer är inte tillåtna Certifikatetinnehavarens efternamn. Pseudonymer är inte tillåtna Adress till sökandes tjänsteställe Användarnamn inom Migrationsverket Sökandens personnummer Skapas av Utfärdaren Till innehavare av certifikatet Certifikat kan innehålla andra typer av uppgifter om kortinnehavaren (se 7.1). 3.1.2 Namnsättning De obligatoriska uppgifterna enligt 3.1.1 skall på ett unikt sätt identifiera kortinnehavaren. Endast officiellt registrerade identitetsuppgifter där sådana finns om den sökande accepteras. 12

3.1.3 Fastställande av sökandens identitet RA ansvarar för att vidta de åtgärder som här beskrivs i syfte att fastställa att de uppgifter som sökanden uppger och som ligger till grund för det certifikat/kort som skall utfärdas är korrekta. Den person hos RA som ansvarar för identifieringen skall personligen signera att identiteten har fastställts och hur detta skett. Denna signering kan ske digitalt. 3.1.3.1 Metod för att styrka sökandens identitet Sökandens identitet säkerställs med visuell ID-kontroll. Verifiering av IDhandlingens innehåll ska framgå av ansökan. Godkända ID-handlingar är, SIS-godkända ID-kort, samt godkända nationella IDhandlingar. 3.1.3.2 Kontroll av identitetsuppgifter Obligatoriska uppgifter samt adress för den sökande kontrolleras gentemot Migrationsverkets befintliga register samt SPAR. 3.2 Förnyelse av nycklar och certifikat/kort 3.2.1 Förnyelse av nycklar och certifikat/kort Om personens förhållande till Migrationsverket inte har förändrats och om dennes övriga uppgifter inte ändrats kan en förnyelse av certifikat och nycklar ske med det gamla certifikatet som identifieringsmekanism. Vid förnyelse av Smart kort krävs en ny kortansökan. 3.3 Begäran om spärrning Spärrningsbegäran skall hanteras i enlighet med 4.4. 4 Operationella krav Detta kapitel beskriver de operationella krav som gäller för Utfärdaren, RA, sökanden och kortinnehavaren. Kraven omfattar ansökan, utfärdande, spärrning, arkivering och loggning. 4.1 Ansökan om certifikat/kort Nedanstående rutiner skall tillämpas vid ansökan om certifikat/kort. Sökanden skall identifiera sig i enlighet med kapitel 3, samt att: a) sökande skall fylla i ansökan och underteckna avtal där alla villkor enligt 2.10 accepteras, b) sökanden skall skriftligen instrueras att byta initial pinkod till personlig vid första användningstillfälle, c) utfärdaren arkiverar ansökningshandlingar enligt 4.6. 13

Ansökan får innehålla mer än bara certifikatsansökan och avtala om mer än bara själva certifikatet/kortet. 4.2 Utfärdande av certifikat Utfärdandet av certifikat bekräftar Utfärdarens acceptans av ansökan samt av de uppgifter som sökanden lämnat. Registrering och hantering av den information som krävs för att utfärda certifikaten skall ske i system och miljöer som är väl skyddade och utformade så att det förhindrar sammanblandning av identitetsuppgifter, certifikat och nycklar. Varje godkänd beställning av certifikat hos Utfärdaren eller RA, ska kunna spåras individuellt till den person som begärt beställningen. 4.3 Utlämnade av certifikat/kort Nedanstående rutiner skall tillämpas vid utlämnande av certifikat/kort. Sökanden skall identifiera sig i enlighet med kapitel 3, samt att: a) sökanden skall skriftligen instrueras att byta initial pinkod till personlig vid första användningstillfälle. b) sökanden accepterar utfärdandet av certifikat/kort och gällande villkor genom ansökan enligt 4.1. c) Sökande ska bekräfta att certfikaten/kortet är mottaget genom en skriftlig namnteckning. 4.4 Spärrning av certifikat/kort Spärrning av ett kort innebär att samtliga certifikat knutna till kortinnehavaren spärras. Utfärdaren tillhandahåller tjänst för att spärra kort, som säkerställer information om spärrade kort under hela certifikatens livslängd. Publicering och spärrkontrollen görs mot en spärrlista (CRL). Vid spärr av kort informeras innehavaren enligt avtalen i 2.10. 4.4.1 Anledning till spärrning Certifikat ska spärras om någon uppgift i certifikatet är eller misstänks vara inkorrekt, eller om den privata nyckel som är kopplad till certifikatet är röjd eller att det finns anledning att misstänka att den är röjd. Exempel på sådana situationer är: förlust av kort, ändring av någon av de uppgifter eller förhållanden som kortet innehåller t.ex. ändring av namn, nycklarna är röjda, eller det finns anledning att misstänka att nycklarna är röjda. Utfärdaren kan på eget initiativ spärra kort om kortinnehavaren inte anses fullgöra sina åtaganden. 14

4.4.2 Behörig att begära spärrning Spärrning av kort kan endast begäras av kortinnehavaren, eller på initiativ av Utfärdaren vid misstanke om obehörigt nyttjande av certifikat/kort. Övriga möjligheter till spärring regleras i separata avtal med respektive avtalspart. 4.4.3 Rutin för begäran om spärrning Spärrning skall begäras snarast om anledning föreligger enligt 4.4.1. Identifiering av den som begär spärrning skall ske på lämpligt sätt. Utfärdaren kan besluta om spärrning även om identifiering inte kan utföras i de fall det föreligger risk för missbruk av certifikat/kort Mottagen spärrningsbegäran arkiveras tillsammans med information om: a) datum och tidpunkt, b) anledning till spärr c) mottagande handläggare, vid manuell spärrning. 4.4.4 Behandlingstid vid begäran om spärrning Relevant information om spärrning skall publiceras i spärrlista senast tjugofyra (24) timmar efter beslut om spärrning. Beslut om spärrning sker vanligtvis i direkt anslutning till spärrbegäran, vid eventuella oklarheter eller brister i begäran kan försening uppstå. 4.4.5 Öppettid för spärrtjänsten Den som är i behov av att akut spärra sitt Certifikat utfärdat av Migrationsverket kan spärra det måndag till fredag oberoende av om dessa är helgdagar mellan klockan 06.00-21.00 och lördag och söndag från 08.00-17.00 svensk tid. Varje användare kan ringa +46 11 156560 eller från Sverige 011 156560. Detta täcker in arbetstiden för samtliga utlandsmyndigheter. 4.4.6 Periodicitet för utgivning av spärrlista Nya spärrlistor (CRL eller DeltaCRL) skall publiceras var 24:e timme, dygnet runt med en giltighetstid på 26 timmar. 4.4.7 Krav på spärrkontroll Det är Förlitande Parts eget ansvar att kontrollera om ett certifikat är spärrat eller inte. Kontrollen skall utföras på följande sätt: a) Förlitande Part som hämtar spärrlista från lagringsplats skall försäkra sig om dess äkthet genom att verifiera dess digitala signatur och certifieringskedja. b) Förlitande Part skall även kontrollera spärrlistans giltighetstid för att försäkra sig om att den är aktuell. c) Om ett certifikat är spärrat eller spärrkontroll enligt ovan inte kan genomföras, skall certifikatet inte accepteras. Användandet av certifikatet i sådana fall sker helt på Förlitande Parts egen risk. 15

4.5 Loggning Här specificeras rutiner för loggning av händelser samt därtill relaterad granskning av säkerheten i CA-systemet på systemnivå och operativsystemnivå. Regler och krav för säkerhetsmoduler som används i CA-systemet specificeras i kapitel 6. 4.5.1 Händelser som loggas I CA-miljön skall minst följande händelser loggas: a) Skapande, förändring och borttagning av användarkonton, b) initiering av transaktioner, med information om vem som begärde transaktionen, tidpunkt, vilken typ av transaktion som initierats samt uppgift om resultatet av initieringen, c) installation och uppdatering av mjukvara, d) relevant information om säkerhetskopiering, e) start och stopp av systemet eller tjänster i systemet, f) datum och tid för uppgradering av hårdvara, g) datum och tid för tömning av loggar, 4.5.2 Kontroll av loggar Loggarna granskas kontinuerligt och analyseras för att upptäcka oönskade händelser. 4.5.3 Skydd av loggar Samliga loggar ska skyddas med lämpligt integritetsskydd samt tidstämpel. Samtliga händelser förses med individuella tidstämplar. 4.6 Arkivering 4.6.1 Information som arkiveras Utfärdaren arkiverar följande: a) transaktioner innehållande av behörig operatör signerad begäran om certifikatproduktion och spärrning av certifikat, b) avtal rörande certifikat/kort, c) certifikatens innehåll, d) historik rörande tidigare utfärdarnycklar, e) uppgifter om korscertifiering inklusive grunderna på vilka korscertifiering beslutats, f) begäran om spärrning enligt 4.4.3, g) protokoll från granskningar enlig 2.7.5, h) gällande och föregående version av policyn, i) säkerhetsloggar både från passersystem till drifthall och CA-system. 16

4.6.2 Lagringstid Arkiverad information skall lagras och skyddas mot förändring och förstörelse under en tid av minst 10 år. Utfärdaren kan lagra informationen längre om lagar så kräver. 4.6.3 Skydd av arkiv Utfärdaren följer normal standard för skydd av värdehandling. 4.6.4 Rutiner för åtkomst och verifiering av arkivmaterial Arkiverat material som är klassat som konfidentiellt skall inte vara tillgängligt för externa parter i sin helhet annat än vad som krävs genom lag och beslut i domstol. Information om enskilda händelser kan erhållas efter begäran av någon involverad part eller representant för involverad part eller annan behörig. Arkiverat material som inte anses konfidentiellt enligt 2.8.2 kan lämnas ut utan prövning. Arkiverad information skall lagras under sådana förhållanden att de är läsbara för granskning under den angivna lagringstiden. 4.7 Byte av utfärdarnyckel Nya utfärdarnycklar genereras minst tre månader innan de gamla nycklarnas giltighetstid gått ut. Vid byte av utfärdarnyckel sker följande: a) nytt egensignerat certifikat utfärdas för den nya publika utfärdarnyckeln, b) korscertifikat utfärdas genom att den gamla utfärdarnyckeln signeras med den nya och den nya med den gamla utfärdarnyckeln. 4.8 Katastrofplan vid misstanke om röjda utfärdarnycklar Utfärdaren genomför följande åtgärder om det föreligger misstanke om att de privata utfärdarnycklarna skulle vara röjda: a) göra en menbedömning för att bedöma omfattning och lämpliga åtgärder, b) informera certifikatsinnehavarna, korscertifierade CA och andra parter med vilka Utfärdaren har överenskommelser eller andra etablerade relationer, c) i de fall den utfärdarnyckel som misstänks vara röjd används vid tjänst för spärrkontroll skall denna tjänst omedelbart upphöra. Detta medför att certifikaten inte accepteras av Förlitande Part som utövar spärrkontroll enligt. 4.4.8, d) omedelbart spärra samtliga certifikat i de fall annan utfärdarnyckel används vid tjänst för spärrkontroll av certifikat utfärdade med den utfärdarnyckel som misstänks vara komprometterad. e) spärra samtliga utfärdarcertifikat för den röjda utfärdarnyckeln, som utfärdats med annan utfärdarnyckel, 17

f) säkerställa att spärrinformation finns tillgänglig för utfärdarcertifikat enligt punkten e) fram till dess att de spärrade certifikatens giltighetstid löpt ut. 4.9 Upphörande av utfärdarens verksamhet Med upphörande av Utfärdarens verksamhet avses en situation där samtliga tjänster kopplade till Utfärdaren upphör. Innan Utfärdaren upphör med sin verksamhet skall minst följande åtgärder vidtas: a) Specifikt informera samtliga kortinnehavare, och alla parter utfärdaren har en relation med, mins sex månader innan verksamheten upphör. b) Öppet informera om att verksamheten upphör minst tre månader i förväg. c) Upphöra med tjänst för spärrkontroll av certifikat. Detta medför att certifikaten inte accepteras av Förlitande Part som utövar spärrkontroll enligt. 4.4.8. d) Avsluta alla rättigheter för underleverantörer att agera i den upphörande Utfärdarens namn. e) Säkerställa att alla arkiv och loggar kan bevaras på ett betryggande sätt under 10 år eller enligt överenskommen arkiveringstid. 5 Säkerhetskontroller Detta kapitel beskriver fysiska, procedurorienterade och personella kontroller som utförs av Utfärdaren, och RA. 5.1 Fysisk säkerhet Tillträdeskontroll skall tillämpas för att kontrollera tillträde till driftutrymme för CA-systemet. En logg skall föras över alla som bereds tillträde till detta område. Utrymmet är försett med nödvändiga larm för att säkerställa upptäckt av varje typ av obehörigt intrång. Utfärdaren skall säkerställa att arkiv- och säkerhetskopior samt distributionsmedia förvaras på ett sådant sätt att förlust, manipulation eller obehörig användning av lagrad information förhindras. Säkerhetskopior skall förvaras på annat ställe än i den anläggning där Utfärdarens centrala funktioner finns, för att möjliggöra återställande vid en eventuell katastrofsituation vid Utfärdarens centrala anläggning. Förvaringen av säkerhetskopiorna följer Migrationsverkets ordinarie rutiner. Säkerhetskontroll skall ske kontinuerligt vid Utfärdarens centrala anläggning för att säkerställa ovanstående. 5.2 Procedurorienterad säkerhet Utfärdaren ansvarar för administration och rutiner för utfärdande av certifikat och spärrlistor. Rutiner för spårbarhet skall finnas, så att missbruk och fel i olika led av denna procedur kan upptäckas och korrigeras. 18

5.2.1 Betrodda roller inom ca-funktionen Utfärdaren har definierat tre olika roller. En annan organisation kan accepteras under förutsättning att de har en god förmåga att förhindra insiderattacker. Följande roller finns inom Utfärdarens organisation: Certification Authority Administrator (CAA), utför centrala operationer på CAsystemet. Dessa är samtliga personer som hos Utfärdaren har behörighet att utföra registreringar och andra administrativa operationer. Typiska uppgifter är: utfärda certifikat, generera manuella spärrlistor, spärra certifikat, logganalys. System Administrator (SA) utgörs av driftspersonal. Detta är driftspersonal som utför installationer, systemunderhåll, byte av media för säkerhetskopiering, m.m. Dessa behöver inte alltid ha behörighet enligt CAA, men har lämplig behörighet på operativsystemnivå i systemen beroende på uppgifterna. Typiska uppgifter är: installation under övervakning av ISSO (se nedan)/caa, konsolidering av loggar tillsammans med ISSO, systemunderhåll, byte av media med säkerhetskopior och transport för lagring. Information Systems Security Officer (ISSO) ansvarar för alla operativa roller. Dessa personer har högsta ansvaret och ska t.ex. närvara vid särskilt säkerhetskritiska operationer. Typiska uppgifter är: Övervaka installationer och generering av CA-nycklar samt konsolidering av loggar, godkänna tilldelning av roller, ansvara för att alla agerar inom ramen för sina roller. 5.2.2 Krav på antal personer per uppgift Vissa känsliga moment och arbetsuppgifter skall kräva närvaro av fler än en person. Denna policy föreskriver ett antal sådana moment, exempelvis; Vid initieringen av CA-systemet krävs närvaro av minst två olika personer som innehar ISSO eller CAA-rollen. För konsolidering av loggar av det centrala CA-systemet, krävs två personer med SA och/eller ISSO-roll, För fysisk åtkomst till den inlåsta säkerhetskopian av CA:s privata nyckel krävs två personer med SA och/eller ISSO-roll. 19

5.2.3 Identifiering och autentisering av personer i betrodda roller Det skall finnas tekniska möjligheter att identifiera och autentisera ovan nämnda roller i CA-systemet. 5.3 Personorienterad säkerhet 5.3.1 Bakgrund och kvalifikationer Personal som innehar roller som ur säkerhetssynpunkt betraktas som kritiska skall vara särskilt utvalda och pålitliga personer som uppvisat lämplighet för sådana befattningar. Personal får inte ha några andra uppgifter som kan vara i konflikt med de åligganden och ansvar som följer av de roller som de har i CA-systemet. 5.3.2 Krav på utbildning All personal hos Utfärdaren som berörs av CA-systemet skall ha erforderlig utbildning och kunskap för att utföra sina arbetsuppgifter. 5.3.3 Personorienterad säkerhet för ra Ansvarig personal hos RA/underleverantör utses inom den organisation som är utsedda av Utfärdaren att utföra arbetsuppgiften. RA organisation ansvarar för att lämplig personalkontroll görs. Separata avtal reglerar säkerheten för RA (om denna är extern) och underleverantörer. 6 Teknisk säkerhet Detta kapitel innehåller regler för generering och installation av nyckelpar, skydd av nycklar samt andra tekniska säkerhetskontroller. 6.1 Generering och installation av nyckelpar 6.1.1 Generering av nyckelpar Indata till samtliga nyckelgenereringsprocesser skall vara ett slumptal skapat på sådant sätt och av sådan längd att det är beräkningsmässigt ogörligt att återskapa detsamma även med kunskap om när och i vilken utrustning det genererades. Nyckelgenereringsprocessen skall vara så beskaffad att ingen information om den privata nyckeln hanteras utanför nyckelgenereringssystemet annat än genom säker överföring till avsedd plats. Publika nycklar skall även de hanteras på ett sådant sätt att deras integritet garanteras. 6.1.1.1 Utfärdarnycklar för signering av certifikat och spärrlistor Utfärdarnycklar som används för signering av certifikat och spärrlistor skall genereras och användas i en skyddad miljö enligt 5.1. De ska också endast användas i separat hårdvara speciellt utvecklad för detta. 20

6.1.1.2 Nyckelpar för kortinnehavare Nycklar för certifikat genereras hos Migrationsverkets kortleverantör i samband med fysisk tillverkning av kortet. Nycklar kan genereras hos kortlevernatören med process godkänd av Utfärdaren. Användarens nycklar kan också genereras hos användaren alternativt i Migrationsverkets CA-system. Genereringsprocessen ska då vara godkänd av Migrationsverkets Säkerhetsenhet. Kortinnehavarens privata nycklar skall lagras läs- och skrivskyddade i ett smart kort. Vid certifieringen skall nycklarnas integritet kontrolleras. Nyckelgenereringen och tillhörande kontroller (före certifiering) skall ske på sådant sätt att sannolikheten för att nyckelpar dubbleras är försumbar eller obefintlig. 6.1.2 Leverans av certifikat/kort Det är Utfärdaren/RA som ansvarar för utlämning av korten. Korten skyddas av en initial pinkod, denna skall distribueras till innehavaren på sådant sätt att det inte uppträder tillsammans med kortet förrän hos innehavaren. Kortinnehavaren skall identifiera sig enligt 3.1.3. Identifieringsmetoden skall noteras på handling, som också undertecknas av den person som överlämnar certifikaten/korten. Kortinnehavaren skall bekräfta mottagande av certifikat/kort genom en skriftlig underskrift. Kortinnehavaren skall instrueras tydligt att vid första användningstillfälle byta initial pinkod mot en personlig. Leverans av certifikaten/korten sker till innehavarens anställningsort. 6.1.3 Nyckelstorlek Nyckelstorleken skall ha en längd och styrka som är tillförlitliga enligt vid var tid gällande praxis. Gällande nyckelstorlek för RSA-nyckelpar som genereras i CA-systemet är 2048 bitar. 6.1.4 Generering av publik nyckel Kortinnehavarens nycklar som i certifikaten markeras med användningsområdena kryptering, autentisering, och/eller verifiering av oavvislig digital information (dokument) ges publika exponenter som förhindrar kända attacker. Utfärdarens nycklar ges publika exponenter som förhindrar kända attacker. Det förutsätts att Utfärdaren håller sig ajour med teknikutvecklingen inom PKI och anpassar sina kryptoalgoritmer i enlighet med den för att bibehålla en hög skyddsnivå. 6.2 Skydd av privata nycklar 21

6.2.1 Säkerhetsmodul och certifikat Privata utfärdarnycklar avsedda att signera certifikat, spärrlistor, utfärdarcertifikat och korscertifikat, samt andra privata nycklar i CA-systemet, säkras av starka fysiska skydd samt lagras och används på ett smart kort eller annan säkerhetsmodul (HSM). Övriga privata nycklar i Utfärdareprocessen som används utanför CA-systemets miljö och som påverkar certifikatutgivnings- och spärrkontrolltjänster skall lagras och användas i ett smart kort eller annan säkerhetsmodul (HSM). 6.2.2 Flerpersonskontroll av privata nycklar Vissa känsliga moment och arbetsuppgifter skall kräva närvaro av fler än en person, se 5.2.2. 6.2.3 Säkerhetskopiering av privata nycklar Personliga nycklar för kortinnehavare säkerhetskopieras ej. Privata utfärdarnycklar avsedda att signera certifikat, spärrlistor, utfärdarcertifikat och korscertifikat, samt andra privata nycklar i CA-systemet säkerhetskopieras. Dessa nycklar säkerhetskopieras på ett sådant sätt att kopiorna erhåller minst samma skydd som nycklar som används i produktionsmiljö. Säkerhetskopiorna förvaras inlåst i byggnad som är fysiskt skild från platsen där originalet förvaras. 6.2.4 Arkivering av privata nycklar Kortinnehavarens privata nycklar arkiveras ej. Avseende säkerhetskopiering av privata utfärdarnycklar samt andra privata nycklar i CA-miljön, se 6.2.3. 6.2.5 Lagring av certifikatens privata nyckel Den privata nyckeln för certifikaten lagras på ett smart kort och skyddas av en eller flera pinkoder. 6.2.6 Aktivering av privata nycklar i korten De privata nycklarna i korten är skyddade mot exponering och obehörig användning. Endast de algoritmiska funktionerna i korten som utför operationer hänförliga till den asymmetriska krypteringen, skall ha åtkomst till dessa nycklar. Användning av nycklarna i korten skall kräva att den först aktiveras med en korrekt pinkod. 6.2.7 Förstörelse av utfärdarens privata nycklar När användningsperioden för privata utfärdarnycklar gått ut skall alla exemplar av nycklarna förstöras. Utfärdarnycklarna får ej förstöras om de står i strid med arkiverings krav i denna policy eller krav i lagstiftning. Säkerhetskopior förstörs genom att förbrukat lagringsmedium förstörs fysiskt. 22

Utfärdarnycklar som lagras i det centrala CA-systemet gäller följande: Om lagringsmedia skall användas vidare i samma skyddande miljö sker överskrivning på sådant sätt att återskapande av nycklar försvåras. Om utrustning innehållande lagringsmedia skall användas utanför den skyddade miljön skall lagringsmedia demonteras och förstöras fysisk för att förhindra återskapande av nycklar. 6.3 Andra aspekter på nyckelhantering Ingen känslig information från CA-, nyckelgenererings- eller personaliseringsprocessen får lämna systemen på ett sätt som är i konflikt med denna policy. Lagringsmedia som är utrangerad skall exempelvis förstöras fysiskt, vid service skall aldrig lagringsmedia skickas med utanför CA-miljön. 6.3.1 Arkivering av publika nycklar Alla publika nycklar skall arkiveras av Utfärdaren. Arkiveringstid enligt 4.6.2. 6.3.2 Privata nycklars livslängd Privat nyckels livslängd begränsas av certifikatets giltighetstid. 6.3.3 Certifikatens giltighetstid certifikat utfärdas med en livslängd på 5 år. Utfärdarcertifikat utfärdas med en livslängd på högst 20 år. Självsignerat rotcertifikat utfärdas med en giltighetstid på 20 år. 6.4 Aktiveringsdata 6.4.1 Generering och installation av aktiveringsdata Indata till samtliga genereringsprocesser, t ex nyckelgenerering skall vara ett slumptal. 6.4.2 Skydd av aktiveringsdata Aktiveringsdata skall lagras i certifikaten på sådant sätt att aktiveringsdata aldrig exponeras. Utformningen av denna miljö skall säkerställa att ingen kan få kontroll över aktiveringsdata. 6.5 Säkerhet i datorsystem CA-systemet skall ha säkerhetsfunktioner för att säkerställa rollfördelningen beskriven i 5.2. Säkerhetsfunktionerna skall säkerställa åtkomstkontroll och spårbarhet för varje operatör på individuell nivå för de funktioner som påverkar användning av privata utfärdarnycklar. 23

6.5.1 Tekniska krav Initiering av det system som utnyttjar privata utfärdarnycklar skall kräva samverkan av minst två betrodda operatörer. En detaljerad logg skall föras över alla manuella steg i processen. Installation av operativsystem och CA-system skall ske i direkt anslutning till formatering av diskar och med leverantörens originalutgåva av programmen. Vid registrering av initiala användare och behörigheter i CA-systemet skall minst två personer i betrodda roller samverka. Ett protokoll över installations- och konfigureringsprocessen skall signeras av samtliga deltagare och arkiveras. 6.6 Kontroll av säkerhet hos systemet under livscykeln 6.6.1 Kontroller av systemutveckling Utveckling av programvara som implementerar funktionalitet hos CA-systemet, skall utföras i en kontrollerad miljö där leverantören tillämpar ett kvalitetssystem för skydd mot införande av obehörig kod. 6.6.2 Kontroller av säkerhetsadministration Rollerna enligt 5.2 skall implementeras i Utfärdarens processer och deras tillämpning skall säkerställas. 6.7 Kontroll av nätverkssäkerhet Utfärdarens CA-system är anslutet till ett internt nätverk och skyddas av en brandvägg med tillräcklig styrka för att motstå angrepp som kan hota systemet. Brandväggen är konfigurerad för att tillåta passage endast av de protokoll som är nödvändiga för att realisera CA-funktionen. Kommunikation till och från CA-miljön utnyttjar kryptering av en styrka som är tillförlitligt enligt vid var tid gällande praxis. 7 Profiler för certifikat och spärrlistor Certifikat och spärrlistor skall utformas enligt X.509-standarden. 7.1 Certifikatens profil och version Förekomst och användning av dataelement i certifikaten skall ske i enlighet med denna policy och tillhörande utfärdardeklaration (CPS). Certifikatsstandard är X.509 version 3 7.2 Profil för spärrlista I de fall spärrlista utfärdas skall denna följa CRL version 2 enligt X.509. 24

8 Förvaltning av policyn Detta kapitel innehåller bestämmelser avseende förändringar och publiceringar av policyn. 8.1 Förändring av policyn 8.1.1 Förändringar som kan ske utan underrättelse De förändringar som kan göras av denna policy utan underrättelse till berörda parter är språkliga justeringar och omdispositioner som inte påverkar säkerhetsnivån i beskrivna rutiner och regler. 8.1.2 Förändringar som kan ske med underrättelse Administrationsansvarig för policyn avgör om förändringar av policyn skall ske efter underrättelse till berörda parter inom 90 dagar eller 30 dagar enligt nedan. Administrationsansvarig avgör också om förändringarna är så omfattande att ny policy skall upprättas. Alla typer av förändringar kan företas i denna policy 90 dagar efter underrättelse. Mindre förändringar som endast berör ett fåtal kortinnehavare eller Förlitande Parter kan göras 30 dagar efter underrättelse. 8.1.2.1 Underrättelse Underrättelse om förändringarna sker av Administrationsansvarig inom den tidsperiod som anges i 8.1.1 genom att omedelbart informera om förändringarna på http://www.migrationsverket.se/pki. Utfärdaren skall så snart som möjligt genom e-post informera kortinnehavare om de förändringar som kan ha reell betydelse för denne. 8.2 Publicering och distribution av policy och utfärdardeklaration (cps) 8.2.1 Publicering och distribution av policy Publicering av aktuell policy och eventuella föreslagna förändringar hålls tillgänglig på http://www.migrationsverket.se/pki. Dan Eliasson, Generaldirektör 25

Utfärdardeklaration (CPS) Migrationsverket (Version 3.0) Copyright Migrationsverket, 2007, doc ver 3.0 The information contained in this documentation is subject to change without notice. Migrationsverket (Swedish Migration Board) or affiliates, shall not be liable for errors contained herein or for incidental or consequential damages in connection with use of this material. DOKUMENTSTRUKTUR OCH TOLKNINGAR Nedan anges vilken grundstruktur som används för detta dokument samt riktlinjer för hur dokumentet skall tolkas: Rubriker och underrubriker i detta dokument är utformade för att till stor del överensstämma med internationell praxis. Vid tolkning av detta dokument skall texten under rubriken ges företräde före texten i rubriken Strukturen i denna Utfärdardeklaration (CPS) faller i sin helhet tillbaka på följande policies: Certifikatpolicy Migrationsverket filcertifikat Version 1 Certifikatpolicy Migrationsverket Smarta Kort Version 1. Definitioner Auktorisationskod Den kod som skickas krypterad med e-post till beställande chef eller den person som angetts på beställningsblanketten. Denna kod och referensnumret behövs för att skapa en ny PKIprofil eller att återskapa en gammal. Endast online. Referenskod Den sifferkod som en användare får genom e-post, värdepost, kurir eller annan säker distributionsväg och som sedan tillsammans med auktorisationskoden används vid skapandet av PKI-profilen. Endast on-line. 1

Innehåll 1 INTRODUKTION...5 1.1 Allmänt...5 1.2 Identifiering...5 1.3 Målgrupp och tillämplighet...5 1.3.1 utfärdare...5 1.3.2 Registration authorities (ra)...6 1.3.3 Certifikat...6 1.3.4 Tillämplighet...6 1.3.4.1 Lämpliga användningsområden...6 1.4 Kontaktuppgifter...6 1.4.1 Administrationsansvarig...6 1.4.2 Kontaktperson...6 1.4.3 Överensstämmelse mellan policies och denna utfärdardeklaration (CPS) 6 2 ALLMÄNNA BESTÄMMELSER...7 2.1 Åtaganden...7 2.1.1 Utfärdarens åtaganden...7 2.1.1.1 Allmänna bestämmelser...7 2.1.1.2 Beställning av certifikat/kort...7 2.1.1.3 Distribution...7 2.1.1.4 Skydd av CA-systemets privata nycklar...7 2.1.1.5 Begränsningar av användandet av Utfärdarens privata nycklar 7 2.1.2 Ra:s åtaganden...7 2.1.2.1 Allmänna bestämmelser...7 2.1.3 Kortinnehavarens åtaganden...7 2.1.3.1 Ansökan om certifikat/kort...7 2.1.3.2 Mottagande av certifikat/kort...8 2.1.3.3 Skydd av innehavarens privata nyckel...8 2.1.4 Förlitande parts åtaganden...8 2.1.4.1 Användande av certifikat för lämpliga ändamål...8 2.1.4.2 Skyldighet att verifiera och kontrollera...8 2.2 Ansvar...8 2.2.1 Utfärdarens ansvar...8 2.2.1.1 Garantier och ansvarsbegränsningar...8 2.2.2 Ansvar för RA...8 2.3 Finansiellt ansvar...8 2.3.1 Fullmaktsförhållanden...8 2.4 Tolkning och genomförande...8 2.4.1 Tillämplig lag...8 2.4.2 Tvistelösning...9 2.5 Avgifter...9 2.6 Publicering och åtkomst av information...9 2.6.1 Publicering av information...9 2.6.2 Periodicitet för publicering...9 2.6.3 Behörighetskontroll...9 2.7 Revision...9 2.7.1 Utföranden...9 2.7.2 Information om resultatet av granskningen...9 2.8 Konfidentialitet...9 2

2.8.1 Typ av information som ska hållas konfidentiell...9 2.8.2 Typ av information som inte anses vara konfidentiell...9 2.8.3 Tillhandahållande av information till polis, åklagare eller annan myndighet...10 2.9 Immateriella rättigheter...10 2.10 Avtalsvillkor för certifikats innehavare...10 2.11 Tillgänglighet och svarstid...10 3 IDENTIFIERING...10 3.1 Initial registrering...10 3.1.1 Typer av namn...10 3.1.2 Namnsättning...10 3.1.3 Fastställande av sökandens identitet...10 3.1.3.1 Metod för att styrka sökandens identitet...10 3.1.3.2 Kontroll av identitetsuppgifter...10 3.2 Förnyelse av nycklar och certifikat/kort...10 3.2.1 Förnyelse av nycklar och certifikat/kort...11 Byte av användanycklar...11 3.3 Begäran om spärrning...11 4 Operationella krav...11 4.1 Ansökan om certifikat/kort...11 4.2 Utfärdande av certifikat...12 4.3 Utlämmande av certifikat/kort...13 Acceptans av Certifikat...13 4.4 Spärrning av certifikat/kort...13 Spärra Certifikat...13 4.4.1 Anledning till spärrning...13 4.4.2 Behörig att begära spärrning...14 4.4.3 Rutin för begäran om spärrning...14 4.4.4 Behandlingstid vid begäran om spärrning...14 Avaktivering (suspension)...14 4.4.5 Öppettider för spärrtjänsten...14 4.4.6 Periodicitet för utgivning av spärrlista...14 4.4.7 Krav på spärrkontroll...14 4.5 Loggning...14 4.5.1 Händelser som loggas...14 4.5.2 Kontroll av loggar...15 4.5.3 Skydd av loggar...15 4.6 Arkivering...15 4.6.1 Information som arkiveras...15 4.6.2 Lagringstid...15 4.6.3 Skydd av arkiv...15 4.6.4 Rutiner för åtkomst och verifiering av arkivmaterial...15 4.7 Byte av utfärdarnyckel...15 4.8 Katastrofplan vid misstanke om röjda utfärdarnycklar...15 4.9 Upphörande av utfärdarens verksamhet...15 5 Säkerhetskontroller...15 5.1 Fysisk säkerhet...15 Lokaler larm mm...15 5.2 Systemorienterad säkerhet...16 5.2.1 Betrodda roller inom ca-funktionen...16 5.2.2 Krav på antal personer per uppgift...16 5.2.3 Identifiering och autenticering av personer i betrodda roller...16 5.3 Personorienterad säkerhet...16 5.3.1 Bakgrund och kvalifikationer...16 3

5.3.2 Krav på utbildning...16 6 Teknisk säkerhet...16 6.1 Generering och installation av nyckelpar...16 6.1.1 Generering av nyckelpar...16 6.1.1.1 Utfärdarnycklar för signering av certifikat och spärrlistor...16 6.1.1.2 Nyckelpar för certifikatsinnehavare...16 6.1.2 Leverans av certifikat...17 6.1.3 Nyckelstorlek...17 6.1.4 Generering av publik nyckel...17 6.2 Skydd av privata nycklar...17 6.2.1 Säkerhetsmodul och certifikat...17 6.2.2 Flerpersonskontroll av privata nycklar...17 6.2.3 Säkerhetskopiering av privata nycklar...17 6.2.4 Arkivering av privata nycklar...17 6.2.5 Lagring av certifikatens privata nyckel...17 6.2.6 Förstörelse av utfärdarens privata nycklar...17 6.3 Andra aspekter på nyckelhantering...17 6.3.1 Arkivering av publika nycklar...17 6.3.2 Privata nycklars livslängd...17 6.3.3 Certifikatens giltighetstid...17 6.4 Aktiveringsdata...18 6.4.1 Generering och installation av aktiveringsdata...18 6.4.2 Skydd av aktiveringsdata...18 6.4.3 Upphörande som CA...18 6.4.4 Andra aspekter på hantering av nyckelpar...18 6.4.5 Arkivering av publika nycklar...18 6.4.6 Användningsperiod för publika och privata nycklar...18 6.5 Säkerhet i datorsystem...18 6.5.1 Tekniska krav...18 6.6 Kontroll av säkerhet hos systemet under livscykeln...18 6.6.1 Kontroller av systemutveckling...18 6.6.2 Kontroller av säkerhetsadministration...18 6.6.3 Systemets fortlevnad...18 7 Profiler för certifikat och spärrlistor...19 7.1 Certifikatens profil och version...19 7.2 Profil för spärrlista...19 8 Förvaltning av CPS...19 8.1 Förändringar som kan ske utan underrättelse...19 8.2 Förändringar som kan ske med underrättelse...19 8.2.1 Underrättelse...19 8.3 Publicering och distribution av policy och utfärdardeklaration (cps)...19 8.3.1 Publicering och distribution av utfärdardeklaration (cps)...19 4

1 INTRODUKTION 1.1 Allmänt Denna utfärdardeklaration (CPS) beskriver de rutiner som Migrationsverket tillämpar vid utfärdandet av certifikat enligt följande policies: Namn: Certifikatpolicy Migrationsverket Smarta Kort Version 1 OID: 1.2.752.111.4.2.1 Namn: Certifikatpolicy Migrationsverket Filcertifikat Version 1 OID: 1.2.752.111.4.2.2 Detta dokument beskriver hur Migrationsverket (nedan kallad Utfärdaren) i praktiken som utfärdande CA uppfyller och efterlever de krav som ställts i ovan agivna policies. Dokumentet ägs och förvaltas av Migrationsverket. 1.2 Identifiering Namn: Utfärdardeklaration (CPS) Migrationsverket. Denna utfärdardeklaration (CPS) har en dokumentversion angiven på första sidan (sida 1). Namn på detta dokument: Utfärdardeklaration (CPS) Migrationsverket Objektidentifierare för detta dokument: 1.2.752.111.4.2.3 Denna utfärdardeklaration (CPS) refererar till följande certifikatpolicy och objektidentifierare: Namn på policy: Certifikatpolicy Migrationsverket Smarta Kort Version 1 OID: 1.2.752.111.4.2.1 Namn på policy: Certifikatpolicy Migrationsverket Filcertifikat Version 1 OID: 1.2.752.111.4.2.2 OID (för använd policy) införs i skapade certifikat som "Certificate Policy Extension" enligt X.509 version 3 1.3 Målgrupp och tillämplighet 1.3.1 Utfärdare Ansvarig utfärdare för denna Utfärdardeklaration är Migrationsverket, nedan kallad Utfärdaren. 5

1.3.2 Registration authorities (RA) RA är Migrationsverkets centrala behörighetsadministration (BKS). 1.3.3 Certifikat Utöver de i angivna policies beskrivna certifikat används även speciella CAcertifikat internt med egna RSA-nyckelpar. Certifikat som identifierar användare kan endast utfärdas till fysiska personer som identifieras med en unik identitet. För svenska medborgare eller bosatta i Sverige är denna identitet namn och personnummer. För övriga ska respektive lands id-nummer för att registrera medborgare användas i stället för personnummer. 1.3.4 Tillämplighet Utfärdare, RA, spärrtjänsten, förlitande parter samt användare och därmed anslutna myndigheter är skyldiga att följa denna utfärdardeklaration (CPS). 1.3.4.1 Lämpliga användningsområden I enlighet med angivna policies 1.4 Kontaktuppgifter 1.4.1 Administrationsansvarig Utfärdardeklarationen (CPS) är upprättad av Migrationsverket (Utfärdaren). Utfärdaren är fullt ansvarig för att administrera och uppdatera denna utfärdardeklaration. 1.4.2 Kontaktperson Frågor angående policyn adresseras till: Migrationsverket Biträdande Säkerhetschef Erik Kihl SE 601 70 Norrköping Sweden Telefon: +46 11 15 60 00 E-post: erik.kihl@migrationsverket.se 1.4.3 Överensstämmelse mellan policies och denna utfärdardeklaration (CPS) Utfärdaren är ansvarig för granskning av överensstämmelse med angivna policies enligt 2.7 6

2 ALLMÄNNA BESTÄMMELSER Detta kapitel redogör bestämmelserna för Utfärdaren, RA kortinnehavare, och Förlitande Parts åtaganden. 2.1 Åtaganden En och samma juridiska person, nedan kallad Utfärdaren, är ansvarig som Certifikatutfärdare (CA). Om någon eller några delar av utgivarprocessen utförs av en eller flera underleverantörer är Utfärdaren ansvarig för dessa åtgärder som om han hade utfört dem själv. Det åligger Utfärdaren att tillse att underleverantörer följer denna policy i tillämpliga delar. 2.1.1 Utfärdarens åtaganden 2.1.1.1 Allmänna bestämmelser I enlighet med angivna policies 2.1.1.2 Beställning av certifikat/kort I enlighet med angivna policies 2.1.1.3 Distribution I enlighet med angivna policies 2.1.1.4 Skydd av CA-systemets privata nycklar I enlighet med angivna policies 2.1.1.5 Begränsningar av användandet av Utfärdarens privata nycklar I enlighet med angivna policies 2.1.2 Ra:s åtaganden 2.1.2.1 Allmänna bestämmelser I enlighet med angivna policies 2.1.3 Kortinnehavarens åtaganden 2.1.3.1 Ansökan om certifikat/kort I enlighet med angivna policies 7

2.1.3.2 Mottagande av certifikat/kort I enlighet med angivna policies 2.1.3.3 Skydd av innehavarens privata nyckel I enlighet med angivna policies 2.1.4 Förlitande parts åtaganden 2.1.4.1 Användande av certifikat för lämpliga ändamål I enlighet med angivna policies 2.1.4.2 Skyldighet att verifiera och kontrollera I enlighet med angivna policies 2.2 Ansvar 2.2.1 Utfärdarens ansvar I enlighet med angivna policies Utfärdaren ansvarar inte för skada som uppkommit på grund av uppgifterna i ett kundcertifikat eller spärrlista är felaktiga så vida Utfärdaren inte gjort sig skyldig till grov vårdslöshet. 2.2.1.1 Garantier och ansvarsbegränsningar I enlighet med angivna policies 2.2.2 Ansvar för RA I enlighet med angivna policies 2.3 Finansiellt ansvar I enlighet med angivna policies 2.3.1 Fullmaktsförhållanden I enlighet med angivna policies 2.4 Tolkning och genomförande I enlighet med angivna policies 2.4.1 Tillämplig lag 8

I enlighet med angivna policies 2.4.2 Tvistelösning I enlighet med angivna policies 2.5 Avgifter I enlighet med angivna policies 2.6 Publicering och åtkomst av information I enlighet med angivna policies 2.6.1 Publicering av information I enlighet med angivna policies Utfärdardeklaration publiceras på följande adress http://www.migrationsverket.se/pki 2.6.2 Periodicitet för publicering I enlighet med angivna policies 2.6.3 Behörighetskontroll Det förekommer inte någon behörighetskontroll för att läsa denna utfärdardeklaration. Behörighetskontroll tillämpas däremot vid förändring av denna utfärdardeklaration. 2.7 Revision Säkerhetschefen vid Migrationsverket ansvarar för att revision av Migrationsverkets CA-system genomförs enligt angivna policies. 2.7.1 Utföranden I enlighet med angivna policies 2.7.2 Information om resultatet av granskningen I enlighet med angivna policies 2.8 Konfidentialitet 2.8.1 Typ av information som ska hållas konfidentiell I enlighet med angivna policies 2.8.2 Typ av information som inte anses vara konfidentiell 9

I enlighet med angivna policies 2.8.3 Tillhandahållande av information till polis, åklagare eller annan myndighet I enlighet med angivna policies 2.9 Immateriella rättigheter Utfärdardeklarationen får endast reproduceras och spridas i sin helhet, under förutsättningarna att detta sker utan avgift. Ingen information får förändras, tas bort, eller läggas till. 2.10 Avtalsvillkor för certifikats innehavare I enlighet med angivna policies De allmänna villkoren kan ingå som en del i andra avtal mellan Migrationsverket och certifikatsinnehavaren. 2.11 Tillgänglighet och svarstid I enlighet med angivna policies 3 IDENTIFIERING 3.1 Initial registrering 3.1.1 Typer av namn I enlighet med angivna policies 3.1.2 Namnsättning I enlighet med angivna policies 3.1.3 Fastställande av sökandens identitet I enlighet med angivna policies 3.1.3.1 Metod för att styrka sökandens identitet I enlighet med angivna policies 3.1.3.2 Kontroll av identitetsuppgifter I enlighet med angivna policies 3.2 Förnyelse av nycklar och certifikat/kort 10

3.2.1 Förnyelse av nycklar och certifikat/kort Följande gäller för användare online. När en nyckel, för kryptering eller signering, närmar sig sista giltighetsdag utfärdas automatiskt ett nytt nyckelpar. Det nya nyckelparet ersätter det gamla och ett nytt Certifikat för den publika nyckeln skapas. Det nya nyckelparet har ingen koppling till det gamla. Programvaran på användarens arbetsstation tar emot det nya certifikatet på ett säkert sätt och användaren märker inte att en nyckeluppdatering har skett. För att uppdatering ska ske för användare av smarta kort, måste användaren aktivt välja att uppdatera vid påminnelse samt ange sin PIN-kod. Det sistnämnda för att ge programvaran rätt att spar ned certifikat och nycklar på kortet. Följande gäller för användare i Alma Nyckellivslängden är två år. Användare av detta system ska i god tid före utgången anmäla att Certifikatet går ut och begära nya nycklar. Byte av användanycklar Borttappad, förstörd eller röjd privat nyckel innebär ny ansökan. Har en on-line användare glömt sitt lösenord finns en möjlighet att återskapa profilen. Efter anmälan till Migrationsverkets centrala behörighetsadministration (BKS). De kan skicka nya aktiveringskoder på samma vis som vid skapandet av ny användare. Dessa koder återskapar profilen men med nya signeringsnycklar. För Alma-användare gäller endast ansökan om nytt certifikat. För användare med Smarta kort kan ej PIN-koderna låsas upp via CA-systemet. PIN-koderna hanteras lokalt på det smarta kortet. 3.3 Begäran om spärrning 4 Operationella krav 4.1 Ansökan om certifikat/kort Certifikat från Migrationsverkets CA kan endast utfärdas för anställda vid anslutna myndigheter. Vid ansökan om certifikat gäller följande. Ansvarig chef eller annan behörig person begär att en användare ska erhålla certifikat från migrationsverkets CA. Denna ansökan ska skrivas in på Migrationsverkets blankett som tillhandahålls hos varje berörd myndighet i elektronisk form. På begäran kan blanketten också erhållas från Migrationsverkets centrala behörighetsadministration (BKS). 11

Adress är GB-BKSfunktionen@migrationsverket.se Blanketten ska fyllas i enligt anvisningarna och därefter skrivas ut och undertecknas av ansvarig chef. Handskrivna blanketter ska endast användas i undantagsfall och de måste då textas tydligt. Blanketten kontrolleras och skickas sedan till Migrationsverket. Migrationsverket Centrala Behörighetsadministrationen 601 70 Norrköping Innan någon tilldelas certifikat från Migrationsverkets CA ska ansvarig chef kontrollera följande. att användaren har utbildning och kompetens för arbetsuppgiften och känner till nedanstående krav. När användaren är inloggad på en arbetsstation med Migrationsverkets Certifikat får den inte lämnas utan uppsikt. När användaren lämnar sin arbetsstation ska hon/han logga ut från sitt certifikat, används kort för lagring av certifikat ska kortet tas ur kortläsarn, vid kortare frånvaro räcker det att låsa arbetsstationen. I andra fall av frånvaro ska användaren även logga ut från datorn. Lösenordet får inte lämnas ut till någon. Det får inte skrivas upp och lagras så att utomstående kan se det. Observera särskilt risken att röja lösenorden vid inloggning. Lösenordet ska vara mellan åtta och tio tecken långt och bestå av en blandning av siffror, tecken, samt stora och små bokstäver. Man kan använda alla små och stora bokstäver mellan A och Z. Med "tecken" avses alla de tecken man får genom att först trycka ner shift-tangenten och därefter trycka på en siffra, dvs.! " # % & / ( ) = samt? och`. PIN-koden (om användaren har ett smart kort) ska bestå av minst 4 valfria tecken. I övrigt gäller samma villkor som för lösenord. 4.2 Utfärdande av certifikat När kraven enligt 4.1 är uppfyllda utfärdar Migrationsverkets CA ett certifikat. Utfärdandet omfattar följande steg. Registrera användaren i CA-systemet Skapa koder (och för Alma-användare certifikat och nycklar) för utskick till användarna Signera Certifikat Hantering av alla centrala system sker i en väl skyddad miljö. Alla transaktioner vid produktion av certifikat kan spåras genom loggsystemet. 12

4.3 Utlämmande av certifikat/kort Off-line användare i Alma Användare i Alma behöver inte installera certifikatet utan det kommer med post lagrat i ett USB-minne. Det tillfälliga lösenordet ska bytas till ett som passar användaren bättre och som endast han/hon känner till. On-line användare anslutna till Migrationsverkets nätverk skapas på följnande sätt. När en användare läggs in i CA-systemet så skapas två koder. De behövs för att skapa en certifikat och privata nycklar som laddas ner på ett minne. Minnet kan vara en diskett, hårddisken, USB-minne eller smart kort. Den ena koden auktorisationskoden skickas krypterad med e-post till beställande chef eller den person som angetts på beställningen. Den läggs in först och öppnar programmet för nedladdning. Den andra koden referenskoden skickas med e-post, kurir, värdepost eller annan säker försändelse till användaren. Koderna skickas till olika personer på olika vägar. När auktorisationskoden är inskriven tar användaren ensam hand om resten av installationen. Referenskoden aktiverar användaren i CA-systemet och skapar nycklar och certifikat på användarens dator. Om användaren ska ha ett smart kort kommer lagringen av nycklar och certifikat ske på det smarta kortet automatiskt. Under denna process måste även användaren ange sin PIN-kod. Ansvarig chef vid myndighet ansvarar också för att Migrationsverkets centrala behörighetsadministration (BKS). meddelas när behov av certifikat och/eller behörighet upphör. Acceptans av Certifikat När en ansökan förses med underskrift av ansvarig chef accepterar han/hon också de regler som finns nedskrivna i denna utfärdardeklaration och angivna policies. Användaren accepterar genom att skapa sitt certifikat med hjälp av referenskoden. 4.4 Spärrning av certifikat/kort Spärra Certifikat. Spärr för användare som slutat, bytt namn eller fått nya arbetsuppgifter administreras som vid begäran eller ändring av behörigheter eftersom där krävs mer än en enkel spärr av ett certifikat. 4.4.1 Anledning till spärrning Förändrade arbetsuppgifter som innebär att behovet upphör Namnbyte Anställningen upphör eller användaren går på en lång tjänstledighet Vid misstanke om att den privata nyckeln är röjd Ex. Någon har lämnat sin dator inloggad och en utomstående har kommit över den privata nyckeln i profilen. Om lösenordet är bortglömt eller röjt räcker det i normalfallet att byta lösenord. 13

Ett Certifikat kan också spärras om det kommer till Migrationsverkets kännedom att det brukas i strid med gällande lag, avtal eller denna utfärdardeklaration. 4.4.2 Behörig att begära spärrning Användare eller den som är användarens chef samt säkerhetschefen vid Migrationsverket. För spärr av Certifikat där Migrationsverket spärrar för användare utanför myndigheten ska samråd med berörd myndighet ske innan åtgärden utförs. Vid risk för skada kan dock Migrationsverket alltid spärra med omedelbar verkan. 4.4.3 Rutin för begäran om spärrning 4.4.4 Behandlingstid vid begäran om spärrning Spärrlistan uppdateras omedelbart i Migrationsverkets LDAP-katalog. Spärr lista externt publiceras inom 24 timmar. Avaktivering (suspension) Tjänsten innebär att Certifikatet fortfarande är giltigt men obrukbart. Genom att aktivera Certifikatet görs det brukbart igen. Funktionen kan användas där osäkerhet uppstår om ett certifikat behöver spärras eller ej eller om det föreligger ett behov av att göra det tillfälligt obrukbart. Funktionen kan också användas vid kortare tjänstledigheter. Ansvarig chef beslutar om avaktivering. Rutinerna är samma som vid begäran om behörighet. Funktionen ska endast användas för en kort tid. Undantaget är vid tjänstledigheter där det förekommer långa avbrott som tex barnledighet. 4.4.5 Öppettider för spärrtjänsten Den som är i behov av att akut spärra sitt Certifikat utfärdat av Migrationsverket kan spärra det måndag till fredag oberoende av om dessa är helgdagar mellan klockan 06.00-21.00 och lördag och söndag från 08.00-17.00 svensk tid. Varje användare kan ringa +46 11 156560 eller från Sverige 011 156560. Detta täcker in arbetstiden för samtliga utlandsmyndigheter 4.4.6 Periodicitet för utgivning av spärrlista Spärrlistan från Migrationsverkets utfärdande CA-system ges ut var 24 timme. 4.4.7 Krav på spärrkontroll 4.5 Loggning 4.5.1 Händelser som loggas 14

4.5.2 Kontroll av loggar 4.5.3 Skydd av loggar 4.6 Arkivering 4.6.1 Information som arkiveras 4.6.2 Lagringstid 4.6.3 Skydd av arkiv 4.6.4 Rutiner för åtkomst och verifiering av arkivmaterial 4.7 Byte av utfärdarnyckel Enligt angivna polices 4.8 Katastrofplan vid misstanke om röjda utfärdarnycklar Enligt angivna polices 4.9 Upphörande av utfärdarens verksamhet 5 Säkerhetskontroller 5.1 Fysisk säkerhet Lokaler larm mm Migrationsverkets CA-enhet finns väl skyddad i datahall. Om den slutar fungera finns ytterligare en server förberedd att ta över rollen i annan datahall. Endast betrodda personer med roller enligt denna CPS har tillgång till dessa servrar. Hallarna har klimatanläggning, larm för vätska, klimat, brand och inbrott. Hallarna har passagekontroll och ligger skalskyddat i egna brandceller innanför Migrationsverkets administrativa lokaler. Dessa 15

lokaler är också larmade och tillträde sker med kortläsare där alla passager loggas. Närmare detaljer än detta kan inte lämnas av säkerhetsskäl. Datamedia lagras i datamedieskåp som är godkända enligt DIS-standard. 5.2 Systemorienterad säkerhet 5.2.1 Betrodda roller inom ca-funktionen 5.2.2 Krav på antal personer per uppgift Enligt angivna polices 5.2.3 Identifiering och autenticering av personer i betrodda roller Identifiering av rollerna sker i CA-systemets applikationer och operativsystem. 5.3 Personorienterad säkerhet 5.3.1 Bakgrund och kvalifikationer Enligt angivna polices 5.3.2 Krav på utbildning 6 Teknisk säkerhet 6.1 Generering och installation av nyckelpar 6.1.1 Generering av nyckelpar 6.1.1.1 Utfärdarnycklar för signering av certifikat och spärrlistor 6.1.1.2 Nyckelpar för certifikatsinnehavare Användare i Alma Nycklar genereras centralt och lagras på ett USB-minne som skickas ut till användaren. Användare anslutna till Migrationsverkets nätverk Nyckelgenerering sker lokalt på användarens PC och i förekommande fall på Smart kort. 16

6.1.2 Leverans av certifikat 6.1.3 Nyckelstorlek Enligt angivna polices 6.1.4 Generering av publik nyckel 6.2 Skydd av privata nycklar 6.2.1 Säkerhetsmodul och certifikat 6.2.2 Flerpersonskontroll av privata nycklar 6.2.3 Säkerhetskopiering av privata nycklar 6.2.4 Arkivering av privata nycklar 6.2.5 Lagring av certifikatens privata nyckel 6.2.6 Förstörelse av utfärdarens privata nycklar 6.3 Andra aspekter på nyckelhantering 6.3.1 Arkivering av publika nycklar 6.3.2 Privata nycklars livslängd 6.3.3 Certifikatens giltighetstid 17

6.4 Aktiveringsdata 6.4.1 Generering och installation av aktiveringsdata 6.4.2 Skydd av aktiveringsdata 6.4.3 Upphörande som CA 6.4.4 Andra aspekter på hantering av nyckelpar 6.4.5 Arkivering av publika nycklar 6.4.6 Användningsperiod för publika och privata nycklar 6.5 Säkerhet i datorsystem 6.5.1 Tekniska krav 6.6 Kontroll av säkerhet hos systemet under livscykeln 6.6.1 Kontroller av systemutveckling 6.6.2 Kontroller av säkerhetsadministration 6.6.3 Systemets fortlevnad 18

7 Profiler för certifikat och spärrlistor 7.1 Certifikatens profil och version 7.2 Profil för spärrlista 8 Förvaltning av CPS 8.1 Förändring av Utfärdardeklaration (CPS) 8.1.1 Förändringar som kan ske utan underrättelse 8.1.2 Förändringar som kan ske med underrättelse Enligt angivna polices 8.1.3 Underrättelse Enligt angivna polices 8.2 Publicering och distribution av policy och utfärdardeklaration (cps) 8.2.1 Publicering och distribution av utfärdardeklaration (cps) Publicering av aktuell utfärdardeklaration (CPS) och eventuella föreslagna förändringar hålls tillgänglig på http://www.migrationsverket.se/pki Denna Utfärdardeklaration (CPS) kan även erhållas från adminstrationsansvarig kontaktperson se 1.4.2. Dan Eliasson, Generaldirektör 19

2026 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss