Ministerstvo vnitra České republiky  

Přejdi na

Efektivní veřejná správa


Rychlé linky: Mapa serveru Textová verze English Rozšířené vyhledávání


 

Hlavní menu

 

 

Seznam nástrojů, u nichž byla vyslovena shoda

Ministerstvo vnitra zveřejňuje seznam všech nástrojů elektronického podpisu u nichž vyslovilo shodu v souladu s § 9 odst. 2 písm. f) zákona č. 227/2000 Sb. 

Poř. číslo Nástroj elektronického podpisu Výrobce
1. CSA8000;
Firmware Version 1.1,
Hardware Revision: G,
pracující ve FIPS módu
Eracom Technologies Australia, Pty. Ltd.
Burleigh Heads
Queensland
Austrálie
2. nShield F3 SCSI;
Firmware 5.0,
Hardware Version nC4032W-150,
pracující ve FIPS módu
nCipher Corporation Ltd.
Jupiter House
Station Road
Cambridge
CBI 2JD
United Kingdom
3. PrivateServer 3.0;
Firmware Version 3,
Hardware Version 3.0,
pracující ve FIPS módu
Algorithmic Research, Ltd.
10 Nevatim St., Kiryat Matalon
Petah Tikva
Israel
4. Luna CA3;
Firmware Version 3.2.,
Hardware
Chrysalis-ITS, Inc.
One Chrysalis Way
Ottawa
K2G6P9
Ontario
5. ACCE;
/Advanced Configurable Crypto Environment/
Firmware Version 2.2
Hardware 2640-G3
AEP Systems International Ltd.
Innovation House
39 Mark Road
Hemel Hemstead
Hertfordshire
HP2 7DN
United Kingdom
6. nShield F3 Ultrasign PCI;
Firmware Version 2.0.0 a 2.0.2
Hardware Version nC4032P-300
pracující v módu FIPS 140-2 level 3
nCipher Corporation Ltd.
Jupiter House
Station Road
Cambridge
CBI 2JD
United Kingdom
7. Luna CA3;
Firmware Version 3.9.,
Hardware
Chrysalis-ITS, Inc.
One Chrysalis Way
Ottawa
K2G6P9
Ontario
8. nShield F3 Ultrasign PCI;
Firmware Version 2.12.6-3
Hardware Version nC4032P-300
pracující v módu FIPS 140-2 level 3
nCipher Corporation Ltd.
Jupiter House
Station Road
Cambridge
CBI 2JD
United Kingdom
9. nShield F3 SCSI;
Hardware verze nC4032W-150,
Firmware verze 2.18.13-3,
pracující v módu FIPS 140-2 level 3
nCipher Corporation Ltd.
Jupiter House
Station Road
Cambridge
CBI 2JD
United Kingdom
10. nShield F3 Ultrasign SCSI;
Hardware verze nC4032W-400,
Firmware verze 2.18.13-3,
pracující v módu FIPS 140-2 level 3
nCipher Corporation Ltd.
Jupiter House
Station Road
Cambridge
CBI 2JD
United Kingdom
11. nShield F3 PCI;
Hardware verze nC4032P-150,
Firmware verze 2.18.13-3,
pracující v módu FIPS 140-2 level 3
nCipher Corporation Ltd.
Jupiter House
Station Road
Cambridge
CB1 2JD
United Kingdom
12. nShield F3 Ultrasign PCI;
Hardware verze nC4032P-300,
Firmware verze 2.18.13-3,
pracující v módu FIPS 140-2 level 3
nCipher Corporation Ltd.
Jupiter House
Station Road
Cambridge
CB1 2JD
United Kingdom
13. nShield 500;
Hardware verze nC4033P-500,
Firmware verze 2.22.6-3,
pracující v módu FIPS 140-2 level 3
nCipher Corporation Ltd.
Jupiter House
Station Road
Cambridge
CB1 2JD
United Kingdom
14. nShield F3 500;
Hardware verze nC4033P-500,
Firmware verze 2.33.60-3,
pracující v módu FIPS 140-2 level 3
nCipher Corporation Ltd.
Jupiter House
Station Road
Cambridge
CB1 2JD
United Kingdom
15. PrivateServer by ARX;
Firmware Version 4.2,
Hardware Version 4.0,
pracující v módu FIPS 140-2 Level 3
Algorithmic Research, Ltd.
10 Nevatim St., Kiryat Matalon
Petah Tikva 49561
Israel
16. nShield F3 500e;
Hardware verze nC4033E-500,
Firmware verze 2.33.82cam3-3
pracující v módu FIPS 140-2 level 3
Thales-nCipher Corporation Ltd.
Jupiter House
Station Road
Cambridge
CB1 2JD
United Kingdom
17. STARCOS 3.0;
with EU compliant Electronic Signature Application V3.0, Type 3B,
Giesecke & Devrient
45925 Horseshoe Dr
Dulles, Virginia 20166
USA
18. PrivateSever by ARX;
Hardware Version 4.7,
Firmware Version 4.7,
pracující v módu FIPS 140-2 Level 3
Algorithmic Research, Ltd.
10 Nevatim St., Kiryat Matalon
Petah Tikva 49561
Israel

CSA8000

Na základě žádosti Eracom Technologies Česká republika s. r. o., Rubešova 10, 120 00 Praha 2, www.eracom-tech.com ze dne 19. 12. 2001 vyhodnotil Odbor elektronického podpisu shodu nástroje elektronického podpisu CSA8000.

Nástroj představuje kryptografický PCI adaptér, který poskytuje široký rozsah kryptografických funkcí, s dedikovanými DES/3DES a RSA hardwarovými akcelerátory. Činnosti adaptéru CSA8000 jsou realizovány pomocí aplikačních funkcí, které komunikují s adaptérem prostřednictvím 32-bitové PCI sběrnice.

Nástroj elektronického podpisu CSA8000 lze používat jen při práci ve FIPS módu pro vytváření párových dat poskytovatele certifikačních služeb a pro podpis kvalifikovaných certifikátů a seznamu kvalifikovaných certifikátů, které byly zneplatněny. Odbor elektronického podpisu vyslovil shodu nástroje s požadavky stanovenými zákonem pro podpisová schémata 001, 003, 005 specifikovaná v příloze č. 2 vyhlášky č. 366/2001 Sb.

Nástroj elektronického podpisu CSA8000 s vlastnostmi uvedenými ve výroku rozhodnutí Úřadu pro ochranu osobních údajů *), jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. j) zákona o elektronickém podpisu.

nShield F3 SCSI

Na základě žádosti nCipher Corporation Ltd., Jupiter House, Station Road, Cambridge CBI 2JD, United Kingdom, England, sales@ncipher.com ze dne 17. 12. 2001 vyhodnotil Odbor elektronického podpisu shodu nástroje elektronického podpisu nShield F3 SCSI.

Nástroj představuje hardwarový akcelerátor, který poskytuje kompletní sadu protokolů pro správu klíčů, hardwarem podporované generování klíčů a připojení k hostitelskému počítači přes SCSI sběrnici.

Nástroj elektronického podpisu nShield F3 SCSI lze používat jen při práci ve FIPS módu pro vytváření párových dat poskytovatele certifikačních služeb a pro podpis kvalifikovaných certifikátů a seznamu kvalifikovaných certifikátů, které byly zneplatněny. Odbor elektronického podpisu vyslovil shodu nástroje s požadavky stanovenými zákonem pro podpisová schémata 001, 003, 005 specifikovaná v příloze č. 2 vyhlášky č. 366/2001 Sb.

Nástroj elektronického podpisu nShield F3 SCSI s vlastnostmi uvedenými ve výroku rozhodnutí Úřadu pro ochranu osobních údajů *), jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. j) zákona o elektronickém podpisu.

PrivateServer 3.0

Na základě žádosti společnosti Gesto Communications s. r. o., Korunní 106, 10100 Praha 10, ČR, http://www.gestocomm.cz ze dne 27. 12. 2001 vyhodnotil Odbor elektronického podpisu shodu nástroje elektronického podpisu PrivateServer 3.0.

Nástroj představuje vícečipový samostatný uzavřený kryptografický modul, ve kterém se provádějí kryptografické operace. Operace jsou prováděny na základě příkazů od aplikačního klienta, který s PrivateServer komunikuje v prostředí LAN.

Nástroj PrivateServer je velmi univerzální a poskytuje řadu funkcí, které lze provádět v zabezpečeném prostředí. Hlavním určením nástroje je provádění operací s klíči. Pro účel použití modulu jako nástroje elektronického podpisu jsou podporovány kryptografické operace generování a následné používání párových dat pro kryptografické algoritmy RSA s velikostí modulu klíče až 2048 bitů.Veškeré kryptografické operace se provádějí uvnitř modulu, klíče jsou v modulu bezpečně uloženy v zašifrované podobě a nikdy modul v otevřené podobě neopouštějí. Lze využít i funkce autentizace klienta k modulu PrivateServer a k šifrování přenášených dat na tomto spoji. Činnost modulu se automaticky zaznamenává v systémovém auditu. K činnosti modulu PrivateServer jsou generovány čtyři smartkarty, které obsahují vzájemně provázanou identifikaci instalace modulu, jejího kořenového certifikátora a administrátora. Bez příslušných karet není možné modul iniciovat.

Pro podepisování kvalifikovaných certifikátů a seznamu kvalifikovaných certifikátů, které byly zneplatněny, lze nástroj elektronického podpisu PrivateServer 3.0 používat jen při práci ve FIPS módu. Odbor elektronického podpisu vyslovil shodu nástroje s požadavky stanovenými zákonem pro podpisové schéma 001, specifikované v příloze č. 2 vyhlášky č. 366/2001 Sb.

Nástroj elektronického podpisu PrivateServer 3.0 s vlastnostmi uvedenými ve výroku rozhodnutí Úřadu pro ochranu osobních údajů *), jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. j) zákona o elektronickém podpisu.

Luna CA3 firmware verze 3.2

Na základě žádosti společnosti Hewlett-Packard s. r. o., Vyskočilova 1410/1, 140 00 Praha 4, ČR, www.hp.cz ze dne 11. dubna 2002 vyhodnotil Odbor elektronického podpisu shodu nástroje elektronického podpisu Luna CA3.

Toto kryptografické zařízení poskytuje fyzickou a logickou ochranu kryptografických funkcí použitých certifikační autoritou a certifikačním systémem. Typická konfigurace zahrnuje dva identicky konfigurované tokeny s implementovaným modulem generátoru náhodných čísel, speciálně konstruovanou čtečku čipových karet, zařízení pro zadání PIN, sadu klíčů určených pro uchování klíčových bezpečnostních parametrů nutných ke vstupu do zařízení pro zadání PIN, grafické uživatelské rozhraní pro konfiguraci zařízení a správu, knihovnu PKCS#11 API pro platformu Windows a Unix.

Luna CA3 uchovává bezpečně klíčová data a zajišťuje správu klíčového materiálu v rámci fyzického prostředí tokenu. Token podporuje rozdílná přístupová práva a podle odlišných identit – rozlišuje tři uživatelské role. Pro zajištění striktního oddělení rolí a zodpovědností v rámci skupiny uživatelů je v zařízení Luna CA3 implementována funkce (MN) tak, aby inicializace zařízení vyhovovala požadavku §3 odst. 3 vyhlášky č.366/2001 Sb.

Pro podepisování kvalifikovaných certifikátů a seznamu kvalifikovaných certifikátů, které byly zneplatněny, lze nástroj elektronického podpisu Luna CA3 používat jen v souladu s rozhodnutím Odboru elektronického podpisu, který vyslovil shodu nástroje s požadavky stanovenými zákonem pro: podpisová schémata 001 a 005, algoritmy pro generování klíčů 4.01 a 4.02, metody generování náhodných čísel 5.01 a 5.02, specifikované v příloze č. 2 vyhlášky č. 366/2001 Sb.

Nástroj elektronického podpisu Luna CA3 s vlastnostmi uvedenými ve výroku rozhodnutí Úřadu pro ochranu osobních údajů *), jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. j) zákona o elektronickém podpisu.

ACCE

Na základě žádosti společnosti ICZ a.s., V Olšinách 2300/75, 100 97 Praha 10, ze dne 30.ledna 2003 vyhodnotil Odbor elektronického podpisu shodu nástroje elektronického podpisu Advanced Configurable Crypto Environment (ACCE) ve smyslu §8 odst.3 vyhlášky č. 366/2001 Sb.

Nástroj ACCE je součástí kryptografického modulu AEP SureWare Keyper ProfessionalTM v 2.2. Nástroj AEP SureWare Keyper je samostatné kryptografické zařízení, které poskytuje kryptografické služby TTP aplikacím, které sídlí na hostitelských strojích a vyžadují bezpečnou úschovu klíčového materiálu (certifikační systémy a autority), a umožňuje tak bezpečné operace s klíči včetně klíčového hospodářství a možnosti generování náhodných čísel s použitím hardwarového zdroje šumu.

Nástroj ACCE je umístěn na základní desce, která zajišťuje připojení externích rozhraní (klávesnice, LCD, čtečka čipových karet, sériový konektor, Ethernet konektor, tlačítko a přední zámek), přičemž veškerý kryptografický materiál se zpracovává uvnitř ACCE.

Hostitelský systém a jeho aplikace komunikují s modulem SureWare Keyper přes PKCS#11 API nebo Microsoft CryptoAPI a jako komunikační protokol se využívá TCP/IP.

Nástroj ACCE získal certifikaci FIPS 140-1 úrovně 4, čímž nejenom splňuje požadavky kladené zákonem 227/2000 Sb. a vyhláškou 366/2001 Sb., a dále požadavky zveřejněné v souladu s § 8 odst. 2 písm. b) vyhlášky č. 366/2001 Sb., ale ve svých bezpečnostních parametrech je převyšuje. Jedná se především o zvýšenou odolnost proti teplotním útokům (chlad, teplo), útokům pomocí změny napájení a fyzickým útokům na ACCE. Detekce libovolného z těchto útoků způsobí destrukci klíčového materiálu uvnitř ACCE.

Pro podepisování kvalifikovaných certifikátů a seznamu kvalifikovaných certifikátů, které byly zneplatněny, lze nástroj elektronického podpisu ACCE používat jen při práci ve FIPS módu. Odbor elektronického podpisu vyslovil shodu nástroje s požadavky stanovenými zákonem pro podpisové schéma 001 a 005, specifikované v příloze č. 2 vyhlášky č. 366/2001 Sb.

Nástroj elektronického podpisu ACCE s vlastnostmi uvedenými ve výroku rozhodnutí Ministerstva informatiky České republiky, jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. j) zákona o elektronickém podpisu.

nShield F3 Ultrasign PCI

Na základě žádosti nCipher Corporation Ltd., Jupiter House, Station Road, Cambridge CBI 2JD, United Kingdom, sales@ncipher.com ze dne 16. 12. 2003 vyhodnotil Odbor elektronického podpisu shodu nástroje elektronického podpisu nShield F3 Ultrasign PCI.

Nástroj nShield F3 Ultrasign PCI (HSM) je hardwarový akcelerátor, schopný zpracovávat více úkolů ve stejném čase, který je optimalizován pro výkon běžných kryptografických primitiv. Poskytuje kompletní sadu protokolů pro správu klíčů, hardwarem podporované generování klíčů a bezpečné prostředí, které je nezávislé jak na aplikacích, tak i na platformách.

Administraci správy kryptografických klíčů a administraci nShield F3 Ultrasign PCI (HSM) je možno provádět prostřednictvím grafického uživatelského rozhraní KeySafe.

Do HSM se ukládají ACL (Access Control List) každého klíče, do ACL se zapisují všechna oprávnění k provádění kryptografických operací přidělená jednotlivým uživatelům.

Informace o všech událostech se zaznamenávají do logu. Signalizace stavu, ve kterém se nástroj nachází (zvláště chybových stavů), probíhá pomocí stavové LED diody, která je umístěna na zadním panelu HSM.

Pro podepisování kvalifikovaných certifikátů a seznamu kvalifikovaných certifikátů, které byly zneplatněny, lze nástroj elektronického podpisu nShield F3 Ultrasign PCI používat jen v souladu s rozhodnutím Odboru elektronického podpisu, který vyslovil shodu nástroje s požadavky stanovenými zákonem pro: podpisová schémata 001, 003 a 005, algoritmy pro generování klíčů 4.01 a 4.02, metodu generování náhodných čísel 5.03, specifikované v příloze č. 2 vyhlášky č. 366/2001 Sb. a již při uvedení do provozu musí nástroj pracovat v módu FIPS level 3.

Nástroj elektronického podpisu nShield F3 Ultrasign PCI s vlastnostmi uvedenými ve výroku rozhodnutí Ministerstva informatiky České republiky, jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. j) zákona o elektronickém podpisu.

Luna CA3 firmware verze 3.9

Na základě žádosti společnosti Hewlett-Packard s. r. o., Vyskočilova 1410/1, 140 00 Praha 4, ČR, www.hp.cz ze dne 16. prosince 2003 vyhodnotil Odbor elektronického podpisu shodu nástroje elektronického podpisu Luna CA3 firmware verze 3.9 od společnosti Chrysalis-ITS.

Zařízení Luna CA3 bylo již Odborem elektronického podpisu hodnoceno, ale šlo o firmware verze 3.2. Firmware verze 3.9 se od firmware verze 3.2 liší podporou delších kryptografických klíčů RSA (podporuje klíče dlouhé 4096 bitů), odstraňuje problém s updaty firmware, řeší generování SSL klíčů a MAC tajemství.

Nástroj LUNA® CA3 (firmware verze 3.9) je kryptografické zařízení poskytující fyzickou a logickou ochranu kryptografických funkcí (generování klíčů, uložení klíčů, šifrování a dešifrování, digitální podpis a verifikace) použitých certifikační autoritou a certifikačním systémem.

LUNA® CA3 uchovává bezpečně klíčová data a zajišťuje klíčové hospodářství v rámci fyzického prostředí LUNA® CA3 Tokenu. LUNA® CA3 také provádí kryptografické operace na datech poskytnutých externí aplikací s použitím klíčů uložených na Tokenech. Zařízení umožňuje provádět správu objektů, správu klíčů a kryptografické operace.

Zařízení LUNA® CA3 umožňuje díky mechanismu M z N sdíleného tajemství nastavit bezpečnostní parametry tak, aby plně vyhovovaly požadavku vyhlášky č. 366/2001 Sb. § 3 odst. 3. Tento mechanismus je nazýván LUNA® Activation protocol (MN) a umožňuje určit počet osob pro bezpečný přístup k Tokenu.

Pro podepisování kvalifikovaných certifikátů a seznamu kvalifikovaných certifikátů, které byly zneplatněny, lze nástroj elektronického podpisu LUNA® CA3 používat jen při práci ve FIPS módu. Odbor elektronického podpisu vyslovil shodu nástroje s požadavky stanovenými zákonem pro podpisové schéma 001 a 005, algoritmy generování klíčů 4.01 a 4.02 a pro generátory náhodných čísel 5.01 a 5.02 specifikované v příloze č. 2 vyhlášky č. 366/2001 Sb.

Nástroj elektronického podpisu Luna CA3 s vlastnostmi uvedenými ve výroku rozhodnutí Ministerstva informatiky České republiky, jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. j) zákona o elektronickém podpisu.

nShield F3 Ultrasign PCI

Na základě žádosti nCipher Corporation Ltd., Jupiter House, Station Road, Cambridge CBI 2JD, United Kingdom, sales@ncipher.com ze dne 14. července 2004 vyhodnotil Odbor elektronického podpisu shodu nástroje elektronického podpisu nShield F3 Ultrasign PCI.

Ministerstvo informatiky již vydalo 16. prosince 2003 rozhodnutí o shodě nástroje nShield F3 Ultrasign PCI (HSM), firmware verze 2.0.0 a 2.0.2. Rozdíl v dokumentaci proti předchozí verzi firmware je zanedbatelný, předložená žádost obsahuje takřka nezměněné údaje, hardwarová příručka a uživatelské příručky jsou totožné a dokument Security policy byl mírně pozměněn po stránce struktury, obsah je pouze rozšířen s ohledem na nové moduly, které však nejsou předmětem hodnocení.

Nástroj nShield F3 Ultrasign PCI (HSM) je hardwarový akcelerátor, schopný zpracovávat více úkolů ve stejném čase, který je optimalizován pro výkon běžných kryptografických primitiv. Poskytuje kompletní sadu protokolů pro správu klíčů, hardwarem podporované generování klíčů a bezpečné prostředí, které je nezávislé jak na aplikacích, tak i na platformách.

Administraci správy kryptografických klíčů a administraci nShield F3 Ultrasign PCI (HSM) je možno provádět prostřednictvím grafického uživatelského rozhraní KeySafe.

Do HSM se ukládají ACL (Access Control List) každého klíče, do ACL se zapisují všechna oprávnění k provádění kryptografických operací přidělená jednotlivým uživatelům.

Informace o všech událostech se zaznamenávají do logu. Signalizace stavu, ve kterém se nástroj nachází (zvláště chybových stavů), probíhá pomocí stavové LED diody, která je umístěna na zadním panelu HSM.

Pro podepisování kvalifikovaných certifikátů a seznamu kvalifikovaných certifikátů, které byly zneplatněny, lze nástroj elektronického podpisu nShield F3 Ultrasign PCI používat jen v souladu s rozhodnutím Odboru elektronického podpisu, který vyslovil shodu nástroje s požadavky stanovenými zákonem pro: podpisová schémata 001, 003 a 005, algoritmy pro generování klíčů 4.01 a 4.02, metodu generování náhodných čísel 5.03, specifikované v příloze č. 2 vyhlášky č. 366/2001 Sb. a již při uvedení do provozu musí nástroj pracovat v módu FIPS level 3.

Nástroj elektronického podpisu nShield F3 Ultrasign PCI s vlastnostmi uvedenými ve výroku rozhodnutí Ministerstva informatiky České republiky, jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. j) (resp. § 6 odst. 1 písm. c) po novelizaci) zákona o elektronickém podpisu.

nShield F3 SCSI

Na základě žádosti nCipher Corporation Ltd., Jupiter House, Station Road, Cambridge CBI 2JD, United Kingdom, sales@ncipher.com ze dne 29. července 2005 vyhodnotil Odbor koncepce a koordinace ISVS shodu nástroje elektronického podpisu nShield F3 SCSI.

Hlavní rozdíl mezi modulem nShield F3 Ultrasign PCI hodnoceným s pořadovým číslem 8. a nyní hodnoceným modulem spočívá ve skutečnosti, že nyní se jedná o zařízení SCSI. Firmware se změnil s ohledem na hodnocené oblasti jen minimálně. Dokumentace je podrobnější v oblasti fyzické bezpečnosti a v oblasti popisu samotného zařízení. Rozdíl v dokumentaci proti předchozí verzi firmware je zanedbatelný, informace v předložené žádosti se změnily minimálně, například je zařízení přizpůsobeno novým verzím některých operačních systémů. Algoritmy podporované nástrojem hodnocené FIPS jsou odlišné, ale použití schémat vyžadovaných vyhláškou č. 366/2001 Sb. tím není dotčeno. Dokument Security policy je odlišný, protože jsou různé security policy pro zařízení PCI a SCSI. Přesto jsou však příkazy pro moduly totožné s malými odchylkami, klíče podporované zařízeními jsou stejné, postup pro inicializaci a další nakládání s modulem v souladu s FIPS-140-2 level 3 je totožný. Další odlišnosti v security policy spočívají v popisu fyzické bezpečnosti.

Nástroj nShield F3 SCSI (HSM) je hardwarový akcelerátor, schopný zpracovávat více úkolů ve stejném čase, který je optimalizován pro výkon běžných kryptografických primitiv. Poskytuje kompletní sadu protokolů pro správu klíčů, hardwarem podporované generování klíčů a bezpečné prostředí, které je nezávislé jak na aplikacích, tak i na platformách.

Administraci správy kryptografických klíčů a administraci nShield F3 SCSI (HSM) je možno provádět prostřednictvím grafického uživatelského rozhraní KeySafe.

Do HSM se ukládají ACL (Access Control List) každého klíče, do ACL se zapisují všechna oprávnění k provádění kryptografických operací přidělená jednotlivým uživatelům.

Informace o všech událostech se zaznamenávají do logu. Signalizace stavu, ve kterém se nástroj nachází (zvláště chybových stavů), probíhá pomocí stavové LED diody, která je umístěna na zadním panelu HSM.

Pro vytváření párových dat poskytovatele a označování vydávaných kvalifikovaných certifikátů, kvalifikovaných systémových certifikátů, kvalifikovaných časových razítek, seznamu kvalifikovaných certifikátů, které byly zneplatněny a seznamu kvalifikovaných systémových certifikátů, které byly zneplatněny, pro podepisování kvalifikovaných certifikátů a seznamu kvalifikovaných certifikátů, které byly zneplatněny, lze nástroj elektronického podpisu nShield F3 SCSI používat jen v souladu s rozhodnutím Odboru koncepce a koordinace ISVS, který vyslovil shodu nástroje s požadavky stanovenými zákonem pro: podpisová schémata 001, 003 a 005, algoritmy pro generování klíčů 4.01 a 4.02, metodu generování náhodných čísel 5.03, specifikované v příloze č. 2 vyhlášky č. 366/2001 Sb. a již při uvedení do provozu musí nástroj pracovat v módu FIPS level 3.

Nástroj elektronického podpisu nShield F3 SCSI s vlastnostmi uvedenými ve výroku rozhodnutí Ministerstva informatiky České republiky, jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. j) (resp. § 6 odst. 1 písm. c) po novelizaci) zákona o elektronickém podpisu.

nShield F3 Ultrasign SCSI

Na základě žádosti nCipher Corporation Ltd., Jupiter House, Station Road, Cambridge CBI 2JD, United Kingdom, sales@ncipher.com ze dne 29. července 2005 vyhodnotil Odbor koncepce a koordinace ISVS shodu nástroje elektronického podpisu nShield F3 Ultrasign SCSI.

Nástroj nShield F3 Ultrasign SCSI se od nástroje hodnoceného s pořadovým číslem 9. liší pouze v rychlosti udávané v počtu elektronických podpisů vytvořených s využitím algoritmu RSA při délce klíče 1024 bitů.

Hlavní rozdíl mezi modulem nShield F3 Ultrasign PCI hodnoceným s pořadovým číslem 8. a nyní hodnoceným modulem spočívá ve skutečnosti, že nyní se jedná o zařízení SCSI. Firmware se změnil s ohledem na hodnocené oblasti jen minimálně. Dokumentace je podrobnější v oblasti fyzické bezpečnosti a v oblasti popisu samotného zařízení. Rozdíl v dokumentaci proti předchozí verzi firmware je zanedbatelný, informace v předložené žádosti se změnily minimálně, například je zařízení přizpůsobeno novým verzím některých operačních systémů. Algoritmy podporované nástrojem hodnocené FIPS jsou odlišné, ale použití schémat vyžadovaných vyhláškou č. 366/2001 Sb. tím není dotčeno. Dokument Security policy je odlišný, protože jsou různé security policy pro zařízení PCI a SCSI. Přesto jsou však příkazy pro moduly totožné s malými odchylkami, klíče podporované zařízeními jsou stejné, postup pro inicializaci a další nakládání s modulem v souladu s FIPS-140-2 level 3 je totožný. Další odlišnosti v security policy spočívají v popisu fyzické bezpečnosti.

 Nástroj nShield F3 Ultrasign SCSI (HSM) je hardwarový akcelerátor, schopný zpracovávat více úkolů ve stejném čase, který je optimalizován pro výkon běžných kryptografických primitiv. Poskytuje kompletní sadu protokolů pro správu klíčů, hardwarem podporované generování klíčů a bezpečné prostředí, které je nezávislé jak na aplikacích, tak i na platformách.

Administraci správy kryptografických klíčů a administraci nShield F3 Ultrasign SCSI (HSM) je možno provádět prostřednictvím grafického uživatelského rozhraní KeySafe.

Do HSM se ukládají ACL (Access Control List) každého klíče, do ACL se zapisují všechna oprávnění k provádění kryptografických operací přidělená jednotlivým uživatelům.

Informace o všech událostech se zaznamenávají do logu. Signalizace stavu, ve kterém se nástroj nachází (zvláště chybových stavů), probíhá pomocí stavové LED diody, která je umístěna na zadním panelu HSM.

Pro vytváření párových dat poskytovatele a označování vydávaných kvalifikovaných certifikátů, kvalifikovaných systémových certifikátů, kvalifikovaných časových razítek, seznamu kvalifikovaných certifikátů, které byly zneplatněny a seznamu kvalifikovaných systémových certifikátů, které byly zneplatněny, pro podepisování kvalifikovaných certifikátů a seznamu kvalifikovaných certifikátů, které byly zneplatněny, lze nástroj elektronického podpisu nShield F3 Ultrasign SCSI používat jen v souladu s rozhodnutím Odboru koncepce a koordinace ISVS, který vyslovil shodu nástroje s požadavky stanovenými zákonem pro: podpisová schémata 001, 003 a 005, algoritmy pro generování klíčů 4.01 a 4.02, metodu generování náhodných čísel 5.03, specifikované v příloze č. 2 vyhlášky č. 366/2001 Sb. a již při uvedení do provozu musí nástroj pracovat v módu FIPS level 3.

Nástroj elektronického podpisu nShield F3 Ultrasign SCSI s vlastnostmi uvedenými ve výroku rozhodnutí Ministerstva informatiky České republiky, jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. j) (resp. § 6 odst. 1 písm. c) po novelizaci) zákona o elektronickém podpisu.

nShield F3 PCI

Na základě žádosti nCipher Corporation Ltd., Jupiter House, Station Road, Cambridge CBI 2JD, United Kingdom, sales@ncipher.com ze dne 8. 9. 2005 vyhodnotil Odbor koncepce a koordinace ISVS shodu nástroje elektronického podpisu nShield F3 PCI.

Nástroj se od nástroje nShield F3 SCSI, vyhodnoceného pod pořadovým číslem 9, liší pouze ve způsobu připojení. Nástroj je připojen přes PCI (Standard Peripheal Component Interconnect) na rozdíl od nástroje nShield F3 SCSI, který je připojen přes SCSI (Small Computer System Interface).

Vzhledem k připojení nástroje se z hlediska provozní dokumentace tyto dva nástroje rozchází v pravidlech pro fyzickou bezpečnost. Nástroje mají různé funkce samokontroly.

Nástroj elektronického podpisu nShield F3 PCI s vlastnostmi uvedenými ve výroku rozhodnutí Ministerstva informatiky České republiky, jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. c) zákona o elektronickém podpisu.

nShield F3 Ultrasign PCI

Na základě žádosti nCipher Corporation Ltd., Jupiter House, Station Road, Cambridge CBI 2JD, United Kingdom, sales@ncipher.com ze dne 8. 9. 2005 vyhodnotil Odbor koncepce a koordinace ISVS shodu nástroje elektronického podpisu nShield F3 Ultrasign PCI.

Nástroj nCipher F3 Ultrasign PCI se od nástroje nCipher F3 PCI vyhodnoceného pod pořadovým číslem 11 liší pouze v rychlosti počtu vytvořených elektronických podpisů.

Nástroj elektronického podpisu nShield F3 Ultrasign PCI s vlastnostmi uvedenými ve výroku rozhodnutí Ministerstva informatiky České republiky, jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. c) zákona o elektronickém podpisu.

nShield 500

Na základě žádosti nCipher Corporation Ltd., Jupiter House, Station Road, Cambridge CBI 2JD, United Kingdom, sales@ncipher.com ze dne 30. 11. 2006 vyhodnotil Odbor koncepce a koordinace ISVS shodu nástroje elektronického podpisu nShield 500.

Nástroj nShield 500 (HSM) je hardwarový akcelerátor, schopný zpracovávat více úkolů ve stejném čase, který je optimalizován pro výkon běžných kryptografických primitiv. Poskytuje kompletní sadu protokolů pro správu klíčů, hardwarem podporované generování klíčů a bezpečné prostředí, které je nezávislé jak na aplikacích, tak i na platformách. Administraci správy kryptografických klíčů a administraci nShield 500 (HSM) je možno provádět prostřednictvím grafického uživatelského rozhraní KeySafe.

Do HSM se ukládají ACL (Access Control List) každého klíče, do ACL se zapisují všechna oprávnění k provádění kryptografických operací přidělená jednotlivým uživatelům.

Informace o všech událostech se zaznamenávají do logu. Signalizace stavu, ve kterém se nástroj nachází (zvláště chybových stavů), probíhá pomocí stavové LED diody, která je umístěna na zadním panelu HSM.

Pro podepisování kvalifikovaných certifikátů a seznamů kvalifikovaných certifikátů, které byly zneplatněny, lze nástroj elektronického podpisu nShield 500 používat jen v souladu s rozhodnutím Odboru koncepce a koordinace ISVS, který vyslovil shodu nástroje s požadavky stanovenými zákonem pro: podpisová schémata sha-1-with-rsa, sha-1-with-dsa, sha256-with-rsa, algoritmy pro generování klíčů 3.01, 3.02, 3.03, 3.04, metodu generování náhodných čísel 5.01 a 5.02, specifikované v technické normě ETSI TS 102 176-1 (viz Kryptografické algoritmy a jejich parametry podle vyhlášky č. 378/2006 Sb.). Nástroj již při uvedení do provozu musí pracovat v módu FIPS level 3.

Nástroj elektronického podpisu nShield 500 s vlastnostmi uvedenými ve výroku rozhodnutí Ministerstva informatiky České republiky, jež bylo zasláno žadateli, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. c) zákona o elektronickém podpisu.

nShield F3 500

Dne 12. prosince 2008 vyslovilo Ministerstvo vnitra shodu nástroje elektronického podpisu nShield F3 500, Hardware version: nC4033P-500, Firmware version: 2.33.60-3, pracující v módu FIPS 140-2 Level 3, s požadavky stanovenými zákonem č. 227/2000 Sb. (zákon o elektronickém podpisu) a vyhláškou č. 378/2006 Sb. (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb), na nástroje elektronického podpisu, a to za splnění následujících podmínek:

  • nShield F3 500 je používán k zajištění kvalifikovaných certifikačních služeb, a to tak, že již při uvedení do provozu pracuje v módu FIPS level 3, a to se schválenými šifrovacími algoritmy FIPS: (AES, AES GCM, Triple-DES, Triple-DES MAC, DSA, ECDSA, SHS, HMAC, RSA, RNG) a v souladu s podmínkami uvedenými v dokumentu TS 102 176-1 - ESI; Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms (ALGO paper);
  • nShield F3 500 je používán k zajištění kvalifikovaných certifikačních služeb v souladu s požadavky technické dokumentace výrobce nebo dodavatele, je opatřen plombou výrobce a přepínač režimu je nastaven tak, aby nástroj podporoval režim provádění kontroly, inicializace a údržby. V případě, že nástroj signalizuje chybu, nesmí být k zajišťování certifikačních služeb používán.

Nástroj s označením nShield F3 500 je hardwarový bezpečnostní modul ve formátu PCI karty, který dodává kryptografické zdroje a akceleraci jednomu hostitelskému serveru, vykonává kryptografické funkce a bezpečně uchovává kryptografické informace, včetně klíčů. Pracuje ve standardu PKCS #11.

V provozních podmínkách může být nástroj používán k zajištění kvalifikovaných certifikačních služeb za předpokladu, že je považován za bezpečný kryptografický modul a současně splňuje požadavky uvedené v § 20 výše uvedené vyhlášky. Nástroj, jako takový, s výše uvedenými vlastnostmi, které odpovídají požadavkům stanoveným zákonem a vyhláškou, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. c) zákona.

PrivateServer by ARX: Hardware Version 4.0, Firmware Version 4.2

Na základě žádosti společnosti První certifikační autorita, a. s. se sídlem Praha 9, Libeň, Podvinný mlýn 2178/6, PSČ 190 00, ze dne 28. 5. 2009 vyhodnotilo Ministerstvo vnitra ČR shodu nástroje elektronického podpisu PrivateServer by ARX od výrobce Algorithmic Research, Ltd., 10 Nevatim St., Kiryat Matalon, Petah Tikva 49561, Israel.

Ministerstvo vnitra jako orgán věcně a místně příslušný podle § 9 odst. 2 písm. f) zákona č. 227/2000 Sb.1), (dále jen „zákon“), ve svém rozhodnutí č.j. MV-41290-10 / OKK-2009 ze dne 19. června 2009 vyslovil shodu nástroje elektronického podpisu s požadavky stanovenými zákonem a vyhláškou č. 378/2006 Sb.2), (dále jen „vyhláška“), na nástroje elektronického podpisu, a to za následujících podmínek:

  • PrivateServer by ARX musí být používán k zajišťování kvalifikovaných certifikačních služeb tak, že již při uvedení do provozu musí pracovat v módu FIPS 140-2 level 3, a to se schválenými šifrovacími algoritmy FIPS: AES (Cert. #349); Triple-DES (Cert. #409); RSA (Cert. #118); SHS (Cert. #424);Triple-DES MAC (Cert. #409, vendor affirmed); RNG (Cert. #185) a v souladu s podmínkami uvedenými v bezpečnostní politice: „FIPS 140-2 Non-Proprietary Security Policy Level 3 Validation, February 2007“;
  • PrivateServer by ARX musí být používán k zajištění kvalifikovaných certifikačních služeb v souladu s požadavky technické dokumentace výrobce nebo dodavatele, zařízení musí být opatřeno plombou výrobce a přepínač režimu nastaven tak, aby nástroj podporoval režim provádění kontroly, inicializace a údržby. V případě, že nástroj signalizuje chybu, nesmí být k zajišťování certifikačních služeb používán;
  • PrivateServer by ARX musí při zajišťování kvalifikovaných certifikačních služeb ve smyslu zákona splňovat požadavky na bezpečné kryptografické moduly, musí odpovídat požadavkům na kryptografické algoritmy uvedené v ETSI SR 002 1763) nebo ETSI TS 102 176-14) a ETSI TS 102 176-25).

Nástroj s výše uvedenými vlastnostmi, které odpovídají požadavkům stanoveným zákonem o elektronickém podpisu a prováděcí vyhláškou, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. c) zákona o elektronickém podpisu. 

nShield F3 500e

Dne 11. února 2010 vyslovilo Ministerstvo vnitra shodu nástroje elektronického podpisu nShield F3 500e, Hardware version: nC4033E-500, Firmware version: 2.33.82cam3-3, pracující v módu FIPS 140-2 Level 3, s požadavky stanovenými zákonem č. 227/2000 Sb. (zákon o elektronickém podpisu) a vyhláškou č. 378/2006 Sb. (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb), na nástroje elektronického podpisu, a to za splnění následujících podmínek:

  • nShield F3 500e je používán k zajištění kvalifikovaných certifikačních služeb, a to tak, že již při uvedení do provozu pracuje v módu FIPS level 3, a to s ověřenými šifrovacími algoritmy FIPS 140-2: (AES, AES GCM, Triple-DES, Triple-DES MAC, DSA, ECDSA, SHS, HMAC, RSA, RNG) a v souladu s podmínkami uvedenými v dokumentu ETSI TS 102 176-1 - ESI; Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms (ALGO paper);
  • nShield F3 500e je používán k zajištění kvalifikovaných certifikačních služeb v souladu s požadavky technické dokumentace výrobce nebo dodavatele, je opatřen plombou výrobce a přepínač režimu je nastaven tak, aby nástroj podporoval režim provádění kontroly, inicializace a údržby. V případě, že nástroj signalizuje chybu, nesmí být k zajišťování certifikačních služeb používán.

Nástroj s označením nShield F3 500e je hardwarový bezpečnostní modul ve formátu PCI karty, který dodává kryptografické zdroje a akceleraci jednomu hostitelskému serveru, vykonává kryptografické funkce a bezpečně uchovává kryptografické informace, včetně klíčů. Pracuje ve standardu PKCS #11.

V provozních podmínkách může být nástroj používán k zajištění kvalifikovaných certifikačních služeb za předpokladu, že je považován za bezpečný kryptografický modul a současně splňuje požadavky uvedené v § 20 výše uvedené vyhlášky. Nástroj, jako takový, s výše uvedenými vlastnostmi, které odpovídají požadavkům stanoveným zákonem a vyhláškou, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. c) zákona.

STARCOS 3.0

Na základě žádosti společnosti První certifikační autorita, a. s., se sídlem Podvinný mlýn 2178/6, 190 00 Praha 9 – Libeň, IČ 26439395, zastoupené panem Ing. Petrem Budišem, Ph.D., předsedou představenstva, ze dne 9. července 2010 vyhodnotilo Ministerstvo vnitra ČR shodu nástroje elektronického podpisu STARCOS 3.0 with EU compliant Electronic Signature Application V3.0, Type 3B od výrobce Giesecke & Devrient, 45925 Horseshoe Dr, Dulles, Virginia 20166, USA.

Ministerstvo vnitra jako orgán věcně a místně příslušný podle § 9 odst. 2 písm. f) zákona č. 227/2000 Sb1), (dále jen „zákon“), ve svém rozhodnutí č.j. MV – 65472-2 /OKK-2010 ze dne 9. července 2010 vyslovilo shodu nástroje elektronického podpisu s požadavky stanovenými zákonem a vyhláškou č. 378/2006 Sb.2), (dále jen „vyhláška“), na prostředek pro bezpečné vytváření elektronického podpisu, a to za splnění následujících podmínek:

  • nástroj elektronického podpisu je používán v souladu s požadavky technické dokumentace výrobce nebo dodavatele a v souladu s uživatelskou dokumentací společnosti První certifikační autorita, a. s.

Dle certifikátu vydaného certifikačním úřadem TUV Informationtechnik GmbH dne 16. 9. 2005 v Essenu, označení certifikátu TUVIT-DSZ-CC-9232-2005, a další dodané dokumentace je nástroj elektronického podpisu s označením STARCOS 3.0 with EU compliant Electronic Signature Application V3.0, Type 3B (dále jen „posuzovaný nástroj“) ve shodě s bezpečnostním profilem Secure Signature-Creation Device Protection Profile Type 3, Version 1.05.

Posuzovaný nástroj byl certifikačním úřadem TUV Informationtechnik GmbH posuzován dle Common Criteria for ICT Security Evaluation, version 2.2 (ISO/IEC 15408 Information technology - Security techniques - Evaluation criteria for IT security) (dále jen „Common Criteria“), metodologií Common Methodology for IT Security Evaluation Part 1 version 0.6. TUV Informationtechnik GmbH, Essen, Německo je licencovaným certifikačním úřadem pro hodnocení dle Common Criteria.

Nástroj, jako takový, s výše uvedenými vlastnostmi, které odpovídají požadavkům, je považován za bezpečný a jako bezpečný může být používán v souladu s § 17 odst. 1 až 3 zákona.

PrivateServer by ARX: Hardware Version 4.7, Firmware Version 4.7

Na základě žádosti společnosti První certifikační autorita, a. s. se sídlem Praha 9, Libeň, Podvinný mlýn 2178/6, PSČ 190 00, ze dne 4. 7. 2011 vyhodnotilo Ministerstvo vnitra ČR shodu nástroje elektronického podpisu PrivateServer by ARX od výrobce Algorithmic Research, Ltd., 10 Nevatim St., Kiryat Matalon, Petah Tikva 49561, Israel.
 
Ministerstvo vnitra jako orgán věcně a místně příslušný podle § 9 odst. 2 písm. f) zákona č. 227/2000 Sb.1), (dále jen „zákon“), ve svém rozhodnutí č.j. MV-78353-7 / OKK-2011 ze dne 18. července 2011 vyslovil shodu nástroje elektronického podpisu s požadavky stanovenými zákonem a vyhláškou č. 378/2006 Sb.2), (dále jen „vyhláška“), na nástroje elektronického podpisu, a to za následujících podmínek:
 
  • PrivateServer by ARX musí být používán k zajišťování kvalifikovaných certifikačních služeb tak, že již při uvedení do provozu musí pracovat v módu FIPS 140-2 level 3, a to se schválenými šifrovacími algoritmy FIPS: AES (Cert. #1267); Triple-DES (Cert. #899); RSA (Cert. #608); SHS (Cert. #1167);Triple-DES MAC (Cert. #899, vendor affirmed); RNG (Cert. #708); ECDSA (Cert. #151); HMAC (Cert. #737) a v souladu s podmínkami uvedenými v bezpečnostní politice: „FIPS 140-2 Non-Proprietary Security Policy, Level 3 Validation, May 2010“;
  • PrivateServer by ARX musí být používán k zajištění kvalifikovaných certifikačních služeb v souladu s požadavky technické dokumentace výrobce nebo dodavatele, zařízení musí být opatřeno plombou výrobce a přepínač režimu nastaven tak, aby nástroj podporoval režim provádění kontroly, inicializace a údržby. V případě, že nástroj signalizuje chybu, nesmí být k zajišťování certifikačních služeb používán;
  • PrivateServer by ARX musí při zajišťování kvalifikovaných certifikačních služeb ve smyslu zákona splňovat požadavky na bezpečné kryptografické moduly, musí odpovídat požadavkům na kryptografické algoritmy uvedené v ETSI SR 002 1763) nebo ETSI TS 102 176-14) a ETSI TS 102 176-25).
Nástroj s výše uvedenými vlastnostmi, které odpovídají požadavkům stanoveným zákonem o elektronickém podpisu a prováděcí vyhláškou, je považován za bezpečný a jako bezpečný může být používán v souladu s § 6 odst. 1 písm. c) zákona o elektronickém podpisu.
________________________

1)   zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů
2)   vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb)
3)   ETSI SR 002 176 – Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures
4)   ETSI TS 102 176-1 – ESI; Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms
5)  ETSI TS 102 176-2 – ESI; Algorithms and Parameters for Secure Electronic Signatures; Part 2: Secure channel protocols and algorithms for signature creation device


*) Odbor elektronického podpisu byl do 31.12.2002 organizačně zařazen v Úřadu pro ochranu osobních údajů.

 

 

 


Odbor Hlavního architekta eGovernment, 1. 8. 2012

vytisknout  e-mailem