Kormányzati Hitelesítés Szolgáltató
-
Az ECC alapú technikai tanúsítványok bevezetésének és az RSA alapú technikai tanúsítványok kivezetésének részletei
2022-09-07 13:29
Ahogy arról a korábbi években már tájékoztattuk Ügyfeleinket, a vonatkozó nemzetközi ajánlásokra figyelemmel társaságunk a kormányzati hitelesítésszolgáltatás (GovCA) mint bizalmi szolgáltatás keretében eddigiekben használt, RSA algoritmusú tanúsítványokról hamarosan megkezdi az átállást az ún. ECC kulcsot tartalmazó tanúsítványokra. Első körben az ún. technikai tanúsítványok esetén lesz lehetőség ECC alapú tanúsítvány igénylésére.
A GovCA az algoritmusváltást több szakaszban tervezi megvalósítani, ami azt jelenti, hogy az egyes tanúsítványtípusok esetén lépcsőzetesen teszi elérhetővé az ECC tanúsítványok igénylését, az RSA alapú tanúsítványok igényelhetőségének átmeneti megtartása mellett.
A bevezetés és átállás első ütemében, 2022. szeptember 23-ától az ún. technikai, azaz azon nem eIDAS szerinti tanúsítványok érintettek, melyek a Titkosító Tanúsítványkiadó [SecureCA] alól származnak, és amelyekre vonatkozó szolgáltatói gyakorlatot a Szolgáltatási szabályzat titkosító és autentikációs tanúsítvány szolgáltatásokhoz című dokumentum szabályozza; ezek:
- autentikációs tanúsítványok (ideértve szervezeti és munkatársi típusút is);
- titkosító tanúsítványok (ideértve szervezeti és munkatársi típusút is);
- üzenethitelesítő tanúsítvány;
- eID szervertanúsítványok.
Az alábbiakban a fent sorolt technikai tanúsítványokkal kapcsolatos ECC bevezetés és RSA kivezetés tervezett menetéről tájékozódhat részletesen:
A GovCA 2022. szeptember 23-án indítja el az első éles ECC alapú tanúsítványkiadóját „GovCA Titkosító Tanúsítványkiadó” néven, mellyel párhuzamosan 2023. szeptemberéig még használatban marad a korábbi, azonos nevű RSA alapú tanúsítványkiadó is.
2023. szeptember 23-ig megmarad a lehetőség RSA alapú technikai tanúsítványok igénylésére:
2023. szeptember 23-ától a GovCA a technikai tanúsítványokat már kizárólag az új ECC-s környezetből bocsátja ki, ekkortól RSA alapú technikai tanúsítvány igénylése és használata nem lesz lehetséges.
Javasoljuk, hogy mérjék fel, melyek azok az Önök által használt (szak)rendszerek, amelyeket érinti a fenti tanúsítványtípusok algoritmusváltása. Tesztelések útján érdemes ellenőrizni, hogy a használt alkalmazások és (szak)rendszerek, illetve a kapcsolódó kriptográfiai eszközök (pl. HSM) támogatják-e az ECC-algoritmuson alapuló kriptográfiát. Azt is szükséges vizsgálni, hogy az adott alkalmazáshoz vagy szakrendszerhez kapcsolódó tűzfalak, load balancer-ek stb. beállításai engedik-e a kommunikációt a GovCA új ECC infrastruktúrájával. Ezekben elsődlegesen az adott alkalmazás fejlesztője tud segítséget nyújtani, így javasolt felvenni a kapcsolatot vele, hogy a szükséges módosításokat még időben elvégezhesse.
Azon alkalmazások és szakrendszerek esetén, melyek felkészítése az ECC alapú tanúsítványokra még nem történt meg és 2022. szeptember 23-ig vélhetően nem is fog megtörténni, 2022. szeptember 23-át követően is lesz lehetőség az RSA környzeteből tanúsítványt igényelni – ezek érvényességi ideje azonban egységesen 2023 szeptemberében lejár (lásd fentebb, az 1. pontban). Tehát az ECC alapú technikai tanúsítványok bevezetésétől számított közel egy évig – az RSA technikai tanúsítványok lejártáig – van lehetőség a rendszer ECC-re való felkészítését befejezni.
2023. szeptember 23-ig minden, a GovCA által kibocsátott technikai tanúsítványt használó szakrendszernek együtt kell tudnia működni az ECC alapú tanúsítványokkal, ekkortól ugyanis RSA alapú technikai tanúsítványok már nem lesznek használatban. Tehát az adott szakrendszernek vagy alkalmazásnak […]
- képesnek kell lennie az ECC alapú kriptográfia alkalmazására;
- megbízhatóként kell kezelnie az új ECC-s produktív CA-t és RootCA-t;
- a tanúsítványérvényesség ellenőrzését és tanúsítványlánc felépítését képesnek kell lennie ECC-s tanúsítványlánc esetén is elvégezni.
A tesztelések támogatása érdekében weboldalunkról ECC alapú teszt tanúsítványok tölthetőek le. A weboldalon közzétett teszttanúsítványok
- a végfelhasználói teszt tanúsítványok mellett tartalmazzák a teszt Root és teszt Produktív CA tanúsítványokat is;
- technikai paramétereikben mindenben megegyeznek a szeptember 23-ától igényelhető éles ECC alapú tanúsítványokkal.
2022. szeptember 23-tól a szakrendszerek, alkalmazások teszteléséhez már éles környezetből származó éles ECC alapú tanúsítványok is alkalmazhatók lesznek, amikor az éles Root és éles Produktív CA tanúsítványokat is közzétesszük.
A NISZ Zrt. által nyújtott kliens elektronikus aláíró szoftverek (KEAASZ, eKAT) támogatják az ECC alapú tanúsítványokat, tehát ha ezeket a szoftvereket használják, akkor ezek tekintetében teendőjük nincsen. Amennyiben nem a NISZ Zrt.-től származó aláíró alkalmazásokat használnak, akkor ezek tesztelését is el kell végezni.
Hasznos linkek az ECC bevezetéséről:
Hogyan érinti ügyfeleinket az ECC bevezetése?
Az ECC algoritmus bevezetésének és az RSA algoritmus kivezetésének várható ütemezése
Az ECC alapú kriptográfiáról általánosan