Kérdés:
Szükséges az, hogy az SSL kapcsolatot is az AEE kezelje (certificate megegyezés, folyam aláírása, rejtjelezése) vagy elengedő, ha csak a naplóállományokat írja alá (amit aztán PKCS7-be csomagolunk)?
Rendelet 3. melléklet I. rész FD alcím 22. pont gc) alpont:
"Az AEE eszközzel szemben elvárás, hogy a kriptográfiai funkciók (rejtjelezés,
hitelesítés, kulcstárolás) megvalósításában legalább olyan biztonsági modulra támaszkodjon,
amelynek áramköri (chip) szinten FIPS 140-2 szabvány szerint két szintHvagy common
criteria EAIL3 szintű értékeléssel rendelkezik."
Válasz:
Az SSL kapcsolatot a NAV szervere építi fel, az AEE csak ellenőrzi, hogy az adott tanúsítványt mutatja-e a szerver.
A NAV honlapján, az Online Pénztárgép menüpont alatt lesz.
Ez elégséges, annyi kiegészítéssel, hogy az authentikáció során is ez a chip ír alá.
A tanúsítványok privát kulcsait a rendelet szerint egy, a fenti szabványnak megfelelő chip-ben kell tárolni.
A válasz az általános tájékoztató részben található. Továbbá: a 140-2 szabványos eszközök képesek a privát kulcs kívülről történő beimportálására. Lehet olyan eszközt használni, ami ezt a szabványt túlteljesíti, de be kell tudja importálni a NAV-tól érkező authentikációs tanúsítvány privát kulcsát.
Az eszköz élettartama alatt a tanúsítványok nem fognak lejárni. További információk az általános információk között találhatóak.
A SIM és PKI modulok integrációja kapcsán van kérdésünk. A 3/2013. (II. 15.) NGM rendelet (a 13/2013. (III. 29.) NGM rendeletben megjelent kiegészítésekkel) a SIM esetében egyértelművé teszi, hogy az „áramkörbe eltávolíthatatlanul integrált” modulnak kell lennie. Ez a kitétel pontosan mit jelent? A PKI esetében ilyen szintű integrációs követelményt nem találtunk, de szeretnénk egy írásos megerősítést is erről! Kérdés: Jó-e, ha a PKI modult ISO/IEC 7816 interfészen keresztül érjük el (pl. a NYÁK-on levő foglalatba egy SIM-kártya méretű PKI kártya kerül)? Magyarázat: A rendeletben szereplő követelmények a PKI esetében csak arról szólnak, hogy a kripto-chip rendelkezzen a megfelelő terméktanúsítással, illetve, hogy az egész AEE és a pénztárgép együtt (azaz nem a PKI és a NYÁK!) legyen megbonthatatlan egység. A SIM esetében a rendelet szerint chip-szinten kell integrálni, de ott könnyebbség is, hogy perszonalizálva érkeznek a hardver elemek a mobilszolgáltatókon keresztül a gyártóktól. A PKI esetében azonban a NAV adja a kulcsokat, illetve lehet olyan eset, hogy még magát a JavaCard applet-et is az AEE-gyártó rakja fel, azaz mindenképpen az AEE-gyártó oldalán kell még végrehajtani a PKI perszonalizációs folyamatok részét vagy egészét. Ez jelentősen megnehezítené az AEE-gyártók és a NAV dolgát is.“Az AEE eszközzel szemben elvárás, hogy a kriptográfiai funkciók (rejtjelezés, hitelesítés, kulcstárolás) megvalósításában legalább olyan biztonsági modulra támaszkodjon, amelynek áramköri (chip) szinten FIPS 140-2 szabvány szerint kétszintű vagy common criteria EAL3 szintű értékeléssel rendelkezik. [...] Biztosítani kell a pénztárgép és AEE megbonthatatlan egységét és egyedi azonosíthatóságát.”
Műszakilag rendben van az is, ha a FIPS chip nem beforrasztott, hanem belső kártya (mint az SD is). Műszakilag, ha nem vehető ki az AEE-ből, mert az zárt, akkor indifferens, hogy forrasztva van, vagy pedig kártya.
3. sz. melléklet, FD) 22. gc): „Az AEE eszközzel szemben elvárás, hogy a kriptográfiai funkciók (rejtjelezés, hitelesítés, kulcstárolás) megvalósításában legalább olyan biztonsági modulra támaszkodjon, amelynek áramköri (chip) szinten FIPS 140-2 szabvány szerint kétszintű vagy commoncriteria EAIL3 szintű értékeléssel rendelkezik. “A fenti előírás teljesítésének vizsgálata specializált laboratóriumokban, amelyeket a FIPS 140-2 és a commoncriteria szabványok előírnak, csak akkor lehetséges, ha feltételezzük, hogy létezik a „ProtectionProfile“ dokumentum, amely nem publikált.
Nem az AEE modul egészének, csak a benne alkalmazott kriptográfiai chipnek kell FIPS 140-2 minősítéssel rendelkeznie. A jogszabály célja a FIPS chippel a tanúsítványok privát kulcsának védelme, exportálhatatlansága, ezért a NAV nem tervezi Protection Profile kiadását az AEE modulokra vonatkozóan.
Erre vonatkozóan nincs megkötés a rendeletben, így minden olyan megoldás elfogadható, amely nem rontja le a rendelet egyéb előírásait, így többek között nem veszélyezteti az adatok sértetlenségét és a kommunikációt.
A kérdésben szereplő, rendeletben lévő kulcs az eszköz authentikációra vonatkozó kulcs. Az aláírókulcs a jogszabályban nincs kifejtve, de szintén ugyanígy 2048 bites RSA.