Artykuły

Sprawdzenie z posiedzenia #36 komitetu ESI

Nov 28


11/28/2012 9:53 AM  RssIcon

Informacje podstawowe

Posiedzenie komitetu odbyło się w dniach 05-06 czerwca 2012 w siedzibie ETSI (Sophia-Antipolis; Francja). Instytut Maszyn Matematycznych był reprezentowany na posiedzeniu przez Daniela Wachnika.

 

Agenda posiedzenia

Posiedzenie przebiegało zgodnie z następującym planem:

1.       Przegląd statusu stałych czynności wykonywanych w ramach komitetu

2.       Przyjęcie zmian w raporcie z posiedzenia #35

3.       Przyjęcie raportu z prac grupy STF 427

4.       Omówienie i akceptacja nowych zadań (Work Items)

5.       Omówienie zgłoszonych komentarzy do dokumentów standaryzacyjnych

6.       Omówienie rezultatów testów XAdES

7.       Przyjęcie raportu z prac grupy STF 428

8.       Omówienie zagadnień przedstawionych na spotkaniu dotyczącym list TSL

9.       Ustalenie harmonogramu kolejnych spotkań

Przegląd stałych czynności wykonywanych w ramach komitetu

Do stałych czynności realizowanych w ramach komitetu można zaliczyć:

·         monitorowanie informacji dotyczących konieczności aktualizacji algorytmów kryptograficznych

·         status rozmów nad porozumieniami z innymi ciałami standaryzacyjnymi

·         współpraca z innymi jednostkami takimi jak przedstawicielstwa dużych projektów (PEPPOL, eCODEX, STORK)

·         rozliczenie zadań postawionych przed członkami komitetu na poprzednich posiedzeniach

Ze względu na fakt, że wymienione czynności są związane z działalnością operacyjną ETSI, a nie z działalnością standaryzacyjną, sprawozdanie nie obejmuje tych czynności.

Przyjęcie zmian w raporcie z posiedzenia #35

Ze względu na nieznaczne zmiany w raporcie z poprzedniego posiedzenia, które odbyło się w Waszyngtonie (USA), na posiedzeniu #36 zostały przyjęte zmiany w raporcie.

 

Raport z prac grupy STF 427

Grupa STF 427 jest odpowiedzialna za wprowadzanie poprawek do istniejących dokumentów odnoszących się do podpisu elektronicznego oraz za utworzenie dokumentu opisującego procedury walidacji podpisu elektronicznego. Na chwilę obecną większość zadań grupy została zakończona. Jedynymi bieżącymi zadaniami są:

·         Przygotowanie dokumentu opisującego procedury weryfikacji/walidacji podpisu elektronicznego.

·         Przeprowadzenie dokumentów standaryzacyjnych przez proces podniesienia statusu do rangi normy europejskiej EN.

Dokument dotyczący procedury weryfikacji i walidacji podpisu elektronicznego został przedstawiony do akceptacji. Po wprowadzeniu poprawek dotyczących danych wejściowych do procesu walidacji podpisu pochodzących z listy TSL, dokument został zaakceptowany. W ramach wprowadzonych poprawek dodano trzy dodatkowe statusy, będące odpowiednikami QCWithSSCD, QCWithoutSSCD, QCForLegalPerson. Dodatkowe statusy zostały dedykowane zwykłym certyfikatom.

Ze względu na fakt, iż dokumenty EN w wersji draft zostały przedstawione do publicznych konsultacji, na ten moment nie podlegają one modyfikacjom. Do zakończenia procesu konsultacji, wszelkie uwagi są nanoszone na kopie dokumentów.

Omówienie rezultatów testów XAdES

W dniach od 14-03-2012 do 19-04-2012 ETSI przeprowadziło testy interoperacyjności dla formatu XAdES (remote Plugtests).

W trakcie testów zrealizowano następujące rodzaje testów:

·         Testy generacji i weryfikacji podpisu elektronicznego

·         Zweryfikowano negatywne przypadki testowe (przygotowano podpisy i przekazano je aplikacjom z prośbą o wykrycie potencjalnych problemów)

·         Udostępniono testowanym narzędzie do weryfikacji zgodności z profilem bazowym (baseline profile)

W trakcie dyskusji dotyczącej testu XAdES podniesiono następujące tematy:

·         Propozycja udostępnienia narzędzia do weryfikacji zgodności bez ograniczeń (obecnie jest ono dostępne wyłącznie dla uczestników Plugtestów) – w tej kwestii nie została podjęta decyzja;

·         Utworzenie bazy podpisów dostępnej przynajmniej dla członków ETSI. Na ten moment ograniczenia związane z przeprowadzaniem testów powodują, że tego rodzaju baza nie jest tworzona. W tej sprawie podjęto decyzję, że w kolejnej edycji testów uczestnikom zostanie zaproponowana możliwość złożenia kilku podpisów w celu umieszczenia ich w tego rodzaju bazie danych.

 

Omówienie i akceptacja nowych zadań (Work Items)

Ze względu na zbliżające się zakończenie pierwszej fazy prac standaryzacyjnych, na podstawie dokumentu opisującego zracjonalizowaną platformę podpisu elektronicznego zaproponowano zestaw zadań do realizacji w fazie drugiej prac standaryzacyjnych.

Faza druga została podzielona na kilka faz:

Numer fazy

Opis

Uwagi

2a

Utworzenie finalnej wersji zracjonalizowanej platformy podpisu elektronicznego uzupełnionej o zagadnienia IAS

Utworzenie dokumentów z zaleceniami (Business Driven Guidance) odnoszących się do obszarów:

·         Tworzenia i weryfikacji podpisu

·         Urządzeń SSCD

·         Algorytmów kryptograficznych

·         Dostawców usług zaufanych (Trust Service Providers)

·         Dostawców usług wspierających podpis elektroniczny

·         Dostawców list TSL

 

2b

Faza jest realizowana w całości przez CEN

 

2c część A

Utworzenie dokumentów EN dla obszaru składania i weryfikacji podpisu:

·         Procedur składania i weryfikacji podpisu

·         Formatu podpisu CAdES

·         Formatu podpisu XAdES

·         Formatu podpisu PAdES

·         Dokumentu odnoszącego się do zaawansowanych podpisów elektronicznych w środowisku mobilnym

·         Formatu ASiC

·         Polityk podpisu

Utworzenie dokumentów EN dla obszaru dostawców usług wspierających podpis elektroniczny:

·         Polityka i wymagania bezpieczeństwa dla:

o   CA wydających certyfikaty kwalifikowane

o   CA wydających certyfikaty klucza publicznego

o   CA wydających certyfikaty TLS/SSL

o   CA wydających certyfikaty atrybutu

o   Podmiotów świadczących usługi znakowania czasem

·         Profile dla podmiotów wydających certyfikaty (obejmie profile dla osób prawnych, profile dla certyfikatów SSL/TLS)

·         Profil dla podmiotów świadczących usługi znakowania czasem

·         Wymagania i zalecenia dla oceny zgodności podmiotów świadczących zaufane usługi

·         Wymagania i zalecenia dla oceny zgodności podmiotów wydających certyfikaty obejmująca:

o   Certyfikaty kwalifikowane

o   Certyfikaty klucza publicznego

o   Certyfikaty TLS/SSL

o   Certyfikaty atrybutu

·         Wymagania i zalecenia dotyczące oceny zgodności podmiotów świadczących usługi znakowania czasem

Wymagania i procedury są kluczowymi dokumentami dla podmiotów nadzorujących usługodawców (np. Ministerstwo Gospodarki), oraz dla samych usługodawców (np. firm wydających certyfikaty kwalifikowane)

2c część B

Utworzenie specyfikacji technicznych dotyczących oceny zgodności podpisów:

·         Testy zgodności i interoperacyjności dla CAdES

·         Testy zgodności i interoperacyjności dla XAdES

·         Specyfikacja testów dla list TSL

Utworzenie raportu dotyczącego zracjonalizowanej platformy standardów dla obszaru eDelivery

 

 

Podczas posiedzenia wszystkie zadania uzyskały niezbędną ilość wspierających je organizacji (minimum 4).

Omówienie zgłoszonych komentarzy do dokumentów standaryzacyjnych

Do omówienia na posiedzeniu zgłoszono komentarze do następujących dokumentów standaryzacyjnych:

·         Specyfikacji technicznej CAdES (TS 101 733)

·         Profilu bazowego dla PAdES (TS 103 172)

·         Profilu bazowego dla XAdES (TS 103 171)

·         Profilu certyfikatu kwalifikowanego (EN 319 412)

Do dokumentu TS 101 733 zgłoszono uwagi dotyczące specyfikacji ArchiveTimestamp w wersji 2.  Ze względu na problemy związane z reorganizacją kolejności elementów branych pod uwagę podczas wyliczania skrótu dla archiwalnego znacznika czasu.  Zaproponowano rozwiązanie polegające na wprowadzeniu indeksu funkcji skrótu umożliwiającego odtworzenie kolejności wyliczania funkcji skrótu na potrzeby archiwalnego znacznika czasu. Zaproponowano także wprowadzenie nowego identyfikatora polityki podpisu wprowadzającego możliwość dołączenia polityki podpisu jako dodatkowego elementu niezbędnego do zapewnienia możliwości weryfikacji archiwalnej podpisu w wersji EPES.

W trakcie dyskusji zdecydowano, że problem związany z archiwalnym znacznikiem czasu wymaga dodatkowej dyskusji pomiędzy zgłaszającym problem, a osobą odpowiedzialną za wprowadzanie zmian w standardzie CAdES. Decyzja dotycząca wprowadzenia wersji 3 archiwalnego znacznika czasu została przesunięta na kolejne spotkanie ESI.

Do profilu bazowego PAdES (TS 103 172) zgłoszono poprawkę polegającą na błędnym odwołaniu do specyfikacji bazowej. Poprawka została wprowadzona i zaakceptowana.

Do profilu bazowego XAdES (TS 103 171) zgłoszono uwagę wskazującą na brak wyraźnego wskazania w jaki sposób powinny być traktowane manifesty (element ds:Manifest). Na ten moment wskazano dwie główne możliwości:

·         Zabronienie używania manifestów w ramach profilu bazowego

·         Opisanie warunków akceptacji w przypadku, gdy tylko jeden ze skrótów zawartych w manifeście jest liczony niepoprawnie.

Decyzję odnośnie odpowiedniego zaadresowania problemu pozostawiono nierozstrzygniętą.

Do profilu certyfikatu kwalifikowanego (EN 319 412) zgłoszono propozycję dołączenia dodatkowego rozszerzenia QCVerifiedSignature. Rozszerzenie tego typu miałoby wskazywać, że w momencie tworzenia podpisu weryfikowanego certyfikatem je zawierającym została przeprowadzona weryfikacja ważności certyfikatu. Po dyskusji obejmującej potencjalne możliwości implementacji tego rodzaju funkcjonalności zdecydowano, że wprowadzenie wymienionego rozszerzenia będzie poddane pod dyskusję na liście ESI.

Przyjęcie raportu z prac grupy STF 438

Grupa STF 438 jest zaangażowana w tworzenie alternatywy dla systemu oceny zgodności WebTrust realizowanego przez firmę Microsoft. Na chwilę obecną jest przygotowywany dokument z zaleceniami dla audytorów i dostawców usług certyfikacyjnych odnośnie dokumentu TS 102 042.

Podczas posiedzenia została przyjęta wersja „stable draft” dokumentu.  Dokument oprócz wymagań zawiera listę kontrolną wskazującą audytorom wymagane czynności w ramach weryfikacji zgodności.

Proponowany harmonogram prac obejmuje prezentację dokumentu przed CAB Forum na koniec czerwca i akceptację dokumentu w październiku bieżącego roku.

W ramach prac grupy 438 przygotowano również plan migracji specyfikacji technicznych do poziomu normy europejskiej. Na chwilę obecną wszystkie uwagi są nanoszone na kopię dokumentu, ze względu na konieczność zakończenia procesu konsultacji.

Ustalenie harmonogramu kolejnych spotkań

Ostatnim punktem agendy posiedzenia było ustalenie harmonogramu spotkań:

09-10 Październik 2012 – Londyn (Wielka Brytania)

Ustalono, że w przypadku konieczności przygotowania jednodniowego spotkania w grudniu br. jego data zostanie ustalona drogą mailową.

Tagi: ESI , sprawozdanie
Kategorie:
IMM
Instytut Maszyn Matematycznych
2014 Instytut Maszyn Matematycznych. Prawa autorskie zastrzeżone.