RFCs, תקנים ואלגוריתמים

תקנים, אלגוריתמים ו- RFCs (Requests For Comments שמפרסם ה- Internet Engineering Task Force) הם חלק בלתי נפרד מהתקנות שהוצאו מכוח חוק חתימה אלקטרונית. הם מורים מהן רמות האבטחה הנדרשות, כיצד תערך תעודה אלקטרונית ועוד. במדור זה ריכזנו חלק ממסמכים אלה: חלקם מוגן בזכויות יוצרים ולא יכולנו להביאו כאן. במקרים אלה ציינו את שמו של התקן ביחד עם קישורית לאתר האינטרנט של האירגון המתאים, המאפשר לרוב לרוכשו במקוון.


התקן הארגון היכן נזכר הדרישה נושא התקן

תקן ישראלי (ת"י) 7799 מכון התקנים הישראלי תקנה 2(2) לתקנות חתימה אלקטרונית(רישום גורם מאשר וניהולו) גורם מאשר נדרש להמציא תעודה בדבר עמידתו בתקן תקן לניהול אבטחת מידע מטפל, בראיה כלל ארגונית בכל ההיבטים הנדרשים למתן פתרונות שלמים לנושאי אבטחת המידע. התקן מתווה שיטה להקמה, לניהול ולתחזוקת כל הבקרות הנדרשות, לנטר אותן בשיטתיות, למנוע תקלות מראש ולהכין דרכי תגובה לאירועים אפשריים. מצגת Power Point ודברי הסבר לתקן של שוקי פרייס ממכון התקנים הישראלי.

ISO-9000 אירגון התקינה הבינלאומי (ISO) תקנה 2(3) לתקנות חתימה אלקטרונית(רישום גורם מאשר וניהולו) על גורם מאשר להמציא תעודה המעידה על התאמתו לדרישות התקן כתנאי לרישומו במירשם הגורמים המאשרים סדרת תקנים בינלאומית לניהול ולהבטחת איכות. למעלה מ- 90 מדינות ברחבי תבל אימצו את התקן כתקן לאומי, ובכללן ישראל (ת"י 9000).

CWA 14167-1 ועדת התקינה האירופאית התקן לא נזכר כלשעצמו בתקנות, אבל... גורם מאשר נדרש להמציא תעודה בדבר עמידתו בתקן תקן לניהול אבטחת מידע מטפל, בראיה כלל ארגונית תקן להוכחת עמידת גורם מאשר בדרישות החוק והתקנות לפיו, ולעניין סטנדרט אבטחת המידע והמהימנות הנדרשים לניהולה ולהפעלתה של מערכת המשמשת לפעולות חיוניות בגורם מאשר. סייגים לתחולת התקן: דרישות אבטחה מהמודול הקריפטוגרפי, הוראות בנושא אלגוריתמים, מגבלות על שימוש במפתחות ומבנה תעודה, הצפנה של מידע קריטי, איסוף מידע הנדרש בדירקטיבה האירופית להנפקת תעודה, תוכן שדה "שם" בתעודה, הוראות בעניין אלגוריתמים לחתימה, מבנה תעודה, עדכון רשימת תעודות בטלות, הוראות בנושא אלגוריתמים.

התקן הארגון היכן נזכר הדרישה נושא התקן

CWA 14172-3 ועדת התקינה האירופאית התקן לא נזכר כלשעצמו בתקנות, אבל... גורם מאשר נדרש להמציא תעודה בדבר עמידתו בתקן תקן עזר לCWA 14167-1

RFC 2527 Internet Engineering Task Force (IETF) תקנה 1 לתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) גורם מאשר נדרש לערוך את הוראות הנוהל, שלפיהן הוא פועל ("מסמך הנהלים") לפי תקן זה "This document presents a framework to assist the writers of certificate policies or certification practice statements for certification authorities and public key infrastructures."

* החל מיום 1.3.04 יוחלף בתקן RFC 3647

ת"י 1495 חלק 3 מכון התקנים הישראלי תקנה 8(1)(ג) לתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) אם הפעלת אמצעי החתימה כרוכה בשימוש בסיסמה, עליה לעמוד בדרישות אבטחה ברמה הגבוהה לפי תקן זה: הווה אומר, שישה תווים לפחות, הכוללים ספרות, סימנים, אותיות רישיות ואותיות רגילות, אסורים תווים חוזרים על עצמם ותווים סמוכים זה לזה במקלדת. הוראות בדבר דרישות אבטחה מסיסמאות שונות.
* מטרת הדרישה לוודא כי הפעלת אמצעי החתימה והגישה אליו תיעשה רק בידי מי שיש לו ההרשאה לשימוש באמצעי החתימה. כאשר מדובר על סיסמת גישה לכרטיס חכם או לאמצעי פיזי אחר, דרישות האבטחה לפי ת"י 1495 חלק 3 עשויות להיות חמורות מדי משום שהן מתעלמות מכך שהמידע מוגן על גבי אמצעי פיזי המצוי בשליטת בעליו, ולא במערכת מידע רגילה. הנחיית הרשם לעניין דרישות חלופיות לת"י 1495 עפ"י תקנה 8(ג) הינה:
1. אורך סיסמא (6 תווים לפחות)
2. נעילת סיסמא (חסימה אחרי 7 נסיונות כושלים)
3. שחרור מנעילה (ע"י הקלדת סיסמת שחרור או ע"י מנגנון יעודי שיאושר ע"י הרשם)
4. מורכבות סיסמא (שילוב תווים באותיות וקטנות, סימנים מיוחדים וספרות ואפשר שימוש בסיסמאות ארוכות המאפשרות רישום משפטים)
התקן הארגון היכן נזכר הדרישה נושא התקן

FIPS 140-2 National Institute of Standards and Technology (NIST) תקנות 4(2) ו- 8(1)(ב) לתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) אמצעי החתימה של הגורם המאשר - והן האמצעי, שחזקה כי הוא מחולל חתימה אלקטרונית מאובטחת - צריכים לעמוד בדרישות האבטחה של התקן Security Requirements For Cryptographic Modules: "This publication provides a standard that will be used by Federal organizations when these organizations specify that cryptographic-based security systems are to be used to provide protection for sensitive or valuable data....This standard specifies the security requirements that will be satisfied by a cryptographic module. The standard provides four increasing, qualitative levels of security intended to cover a wide range of potential applications and environments..."

Common Criteria EAL - Parts 1, 2 & 3 International Common Criteria Project ראה עוד ב- אירגון התקינה הבינלאומי (ISO) תקנות 5 ו- 8(1)(ב) לתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) מערכות המחשב של גורם מאשר המשמשות לזיהוי מבקש, להנפקת תעודה אלקטרונית ולביטולה יעמדו ברמות הבטחון של common criteria EAL4. האמצעים המשמשים להגנה על אמצעי חתימה יעמדו ברמות בטחון של common criteria EAL2 מדרג של רמות אבטחת מידע, אשר אומץ על בידי ארגון התקינה הבין לאומי, בתקן IS0 15408.

התקן הארגון היכן נזכר הדרישה נושא התקן

ISO/IEC 9594-8 אירגון התקינה הבינלאומי (ISO) תקנה 13(ג) לתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) תעודה אלקטרונית תהיה בהתאם לתקן ISO/IEC 9594-8. תקן לתעודות אלקטרוניות. פורסם גם כתקן X509v.3 של הארגון הבינלאומי IETF, צוות המשימה להנדסת אינטרנט.

FIPS 186-2 National Institute of Standards and Technology (NIST) התקן לא נזכר כלשעצמו בתקנות, אבל...... ....תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) קובעות כי חזקה שאלגוריתמים מסוימים מפיקים חתימה אלקטרונית מאובטחת (בהתקים תנאים נוספים). הגדרת אלגוריתמים אלה הינה "RSA", "DSA" ו- "Elliptic Curve DSA" - אלגוריתמים להפקת חתימה אלקטרונית מאובטחת, שהכיר בהם אחד הגופים המפורטים בתוספת. NIST הוא אחד הגופים הללו והתקן מכיר באלגוריתמים הללו. "This standard specifies a suite of algorithms which can be used to generate a digital signature. Digital signatures are used to detect unauthorized modifications to data and to authenticate the identity of the signatory. In addition, the recipient of signed data can use a digital signature in proving to a third party that the signature was in fact generated by the signatory. This is known as nonrepudiation since the signatory cannot, at a later time, repudiate the signature."