Disig Validation Authority

Centralizované overovanie platnosti certifikátov

Systém Disig Validation Authority predstavuje nadstavbu nad aplikáciou Disig OCSP Responder, ktorá poskytuje výkonnú a ľahko dostupnú službu potvrdenia platnosti certifikátu. Systém je určený predovšetkým pre organizácie, ktoré potrebujú centralizovať informácie o platnosti certifikátov, napríklad pri prevádzke elektronických podateľní alebo archívov.

Disig Validation Authority zhromažďuje a poskytuje informácie o platnosti certifikátov od ľubovoľného počtu certifikačných autorít. Využíva pri tom buď online synchronizáciu so systémami certifikačných autorít alebo autoritami publikované zoznamy zrušených certifikátov.

V závislosti od použitého zdroja údajov môže systém poskytovať aj informácie o platnosti exspirovaných certifikátov, alebo poskytovať informácie k aktuálnemu času, čím pri overovaní elektronického podpisu môže eliminovať nutnosť čakať na vydanie nasledujúceho CRL.



Základná charakteristika

  • zhromažďuje a dlhodobo uchováva informácie o platnosti certifikátov a kvalifikovaných certifikátov
  • vytvára a sprístupňuje archív zoznamov zrušených certifikátov (CRL)
  • poskytuje informácie o stave nielen aktuálne platných ale aj exspirovaných certifikátov
  • obsluhuje ľubovoľné množstvo
  • podporuje protokol OCSP a všetky jeho kľúčové transportné mechanizmy a rozšírenia
  • poskytuje robustné integračné rozhranie a expertné možnosti konfigurácie
  • spĺňa vysoké nároky na zabezpečenie vysokej dostupnosti i na rozloženie záťaže
  • podpisový komponent vyvíjaný v zmysle požiadaviek Common Criteria EAL4+ a certifikovaný NBÚ SR

OCSP / TCP

OCSP / HTTP (POST a GET)

HTTP prístup k archívu CRL

Common PKI CertHash (Positive Statement)

RFC 2560 Archive Cutoff

HSM moduly s podporou OpenSSL engine

PEM súbor s kľúčovým párom vo formáte PKCS#8 chránený symetrickou šifrou

RSA s veľkosťou kľúča do 4096 bit

MD2, MD4, MD5

RIPEMD128, RIPEMD160, RIPEMD256, RIPEMD320

SHA-1, SHA-224, SHA-256, SHA-384, SHA-512

Uvedená množina algoritmov môže byť zúžená alebo rozšírená v závislosti od použitého HSM modulu

RFC 5280 – Internet X.509 Public Key Infrastructure - Certificate and Certificate Revocation List (CRL) Profile

RFC 6960 – X.509 Internet Public Key Infrastructure - Online Certificate Status Protocol – OCSP

RFC 5019 – The Lightweight Online Certificate Status Protocol (OCSP) Profile for High-Volume Environments

RFC 4387 – Internet X.509 Public Key Infrastructure - Operational Protocols: Certificate Store Access via HTTP

MySQL

PostgreSQL

SQLite

Operačný systém GNU/Linux (Ubuntu 8.04 a vyšší alebo RedHat 5)

HSM modul dostupný cez rozhranie OpenSSL engine

Minimálne 1-jadrové CPU, 512MB RAM a 50 MB miesta na HDD (bez databázy)

Odporúčané aspoň 2-jadrové CPU, 2GB RAM a 50 MB miesta na HDD (bez databázy)

Kompletné riešenie vo forme hardvérového zariadenia s osvedčenými HW komponentmi

Operačný systém GNU/Linux

HSM modul THALES nShield Solo certifikovaný v zmysle FIPS 140-2 Level 3

Viacjadrový Intel kompatibilný procesor

Prevedenie ako 1U sieťové zariadenie montovateľné do štandardného stojanu

Veľkosť diskového priestoru prispôsobiteľná počtu obsluhovaných CA

Samostatné sieťové rozhrania určené pre spracúvanie požiadaviek, auditné správy a manažment zariadenia

Máte záujem?