Kormányzati Hitelesítés Szolgáltató

  • ECC alapú teszt tanúsítványok letölthetők

    2020-12-21 15:33

    Ahogy arról a korábbi években már tájékoztattuk ügyfeleinket, a vonatkozó nemzetközi ajánlások előírásai miatt társaságunk az eddigiekben használt, RSA algoritmusú tanúsítványokról 2021. első felében át fog állni az ún. ECC (Elliptic Curve Cryptography, Elliptikus Görbe alapú Kriptográfia) kulcsot tartalmazó tanúsítványokra. Az átállás az ügyfeleinket is érinteni fogja, ezért társaságunk elkészített egy teszt rendszert, melyből kiadott teszt tanúsítványokat ügyfeleink mostantól díjmentesen letölthetik és kipróbálhatják az általuk használt e-aláíró alkalmazásokban.

    ECC alapú minősített aláírás célú teszt tanúsítvány
    ECC alapú minősített bélyegzés célú teszt tanúsítvány
    ECC alapú fokozott aláírás célú teszt tanúsítvány
    ECC alapú fokozott bélyegzés célú teszt tanúsítvány
    ECC alapú autentikációs teszt tanúsítvány
    ECC alapú üzenethitelesítő teszt tanúsítvány
    ECC alapú titkosító teszt tanúsítvány

    A teszt tanúsítványok telepítéséhez szükséges jelszó: qwert

    Az átállás lényegében azt jelenti, hogy egy adott dátumtól kezdődően a NISZ Zrt. kormányzati hitelesítés szolgáltatásai (GovCA) keretében már csak új, ECC algoritmusú kulcsokat tartalmazó tanúsítványokat bocsájt ki ügyfelei számára, és ezzel egyidejűleg a régi (RSA) tanúsítványok kiadását megszűnteti, (ez utóbbiak már nem lesznek rendelhetők, de a korábban kiadott tanúsítványok a lejáratukig használhatók). Az átállás dátuma jelenleg még nem ismert, a pontos dátumról társaságunk előzetesen legalább 30 nappal tájékoztató közleményt fog kiadni; kérjük kövessék figyelemmel honlapunkat.

    Amennyiben ügyfeleink a NISZ által rendelkezésre bocsátott elektronikus aláíró alkalmazásokat használják (pl. KEAASZ, eKAT), akkor nincs különösebb teendőjük, ezek támogatják az ECC alapú tanúsítványokat. Azon ügyfeleink, akik saját (nem a NISZ-től származó) aláíró alkalmazásokat használnak, fel kell készülniük az ECC algoritmusú kulcsok, tanúsítványok használatára. Ennek keretében meg kell vizsgálniuk, hogy az általuk használt alkalmazások, szakrendszerek támogatják-e az ECC algoritmusú teszt tanúsítványokat. Ehhez nyújtanak segítséget a fenti teszt tanúsítványok, hiszen ezeket letöltve ügyfeleink kipróbálhatják azok működését a saját szakrendszereikben. A teszt tanúsítványok telepítéséhez szükséges jelszó: qwert. A teszt tanúsítványok tartalmazzák a teszt Root és teszt Produktív CA tanúsítványokat is. Amennyiben egy szakrendszer nem támogatja az ECC algoritmusú kulcsokat, javasolt felvenni a kapcsolatot a szakrendszer fejlesztőjével, hogy a szükséges módosításokat még időben, az átállásig, biztosítani lehessen.

    További információk, technológiai háttér

    Az e-aláírással kapcsolatos bizalmi szolgáltatások különféle jogszabályokon és nemzetközi szabványokon alapulnak. Ezek egyike az ETSI TS 119 312 V1.3.1 (2019-02): Electronic Signatures and Infrastructures (ESI); Cryptographic Suites (a továbbiakban: "AlgoPaper") nemzetközi ajánlás, mely a biztonságosan használható kriptográfiai algoritmusokról szól. Az "AlgoPaper" szerint 2022. december 31. után már nem javasolt a bizalmi szolgáltatók által kiadott, RSA algoritmussal képzett kulcsok és tanúsítványok használata, át kell térni a biztonságosabb – pl. ECC algoritmussal képzett - kulcsokra, tanúsítványokra.

    Az átállás céljából folyamatban van a NISZ Zrt. új, ECC alapú GovCA műszaki rendszerének létrehozása, melynek keretében új főtanúsítványkiadó (Root CA) és köztes tanúsítványkiadók (produktív CA-k) kerülnek üzembeálltásra, melyek szolgáltatói tanúsítványai már ECC alapú kulcsokat tartalmaznak, csakúgy, mint az ezekből kiadandó végfelhasználói (ügyfél) tanúsítványok.

    Az új, ECC alapú GovCA műszaki rendszerben az ECC alapú tanúsítványok hitelesítéséhez a NISZ Zrt. az sha2-with-ecdsa algoritmuskészletet fogja használni, a fenti szabvány („AlgoPaper”) alapján. A tanúsítványokban foglalt EC-DSA kulcsok mérete 256 bit lesz, a kulcsok képzéséhez pedig az „AlgoPaper” 12. táblázata szerinti P-256 (secp256r1) görbét fogjuk alkalmazni. A fenti változások az előzetes tervek szerint minden – a NISZ által a GovCA keretében kibocsátott - tanúsítványtípusra vonatkoznak: aláírás/bélyegzés célú tanúsítványok beleértve az eSzemélyihez kiadott tanúsítványt, weboldal-hitelesítő tanúsítványok, titkosító/autentikációs/üzenethitelesítő tanúsítványok, speciális (eID) tanúsítványok.

    A változások érintik a minősített időbélyegzés szolgáltatást is. A tanúsítványokra vonatkozó átállást követően, egy másik időpontban, előzetes értesítést követően elindul a NISZ új, ECC alapú minősített időbélyegző rendszere, melyből a kiadott időbélyegzők ECC alapú kulcsokkal kerülnek hitelesítésre. Az új rendszer indulásával párhuzamosan még egy ideig elérhető lesz a korábbi, RSA alapú időbélyegzés szolgáltatás is.