Za pristup kompletnom i ažurnom tekstu ovog dokumeta, molimo vas:

Na osnovu člana 12 stav 2 i člana 33 stav 2 Zakona o elektronskom potpisu ("Službeni list RCG", broj 55/03), Sekretarijat za razvoj donosi

PRAVILNIK

O MJERAMA I POSTUPCIMA UPOTREBE I ZAŠTITE ELEKTRONSKOG POTPISA, SREDSTAVA ZA IZRADU ELEKTRONSKOG POTPISA I SISTEMA CERTIFIKOVANjA

(Objavljen u "Sl. listu RCG", br. 25 od 22. aprila 2005)

IOPŠTE ODREDBE

Član 1

Ovim pravilnikom utvrđuju se mjere, postupci i oblici zaštite elektronskog potpisa i naprednog elektronskog potpisa, sredstava za izradu elektronskih potpisa, zaštite sistema certifikovanja i podataka o potpisniku, kao i postupci provjere identiteta potpisnika prilikom izdavanja elektronskih certifikata u Republici Crnoj Gori (u daljem tekstu: Republika).

Član 2

Postupci za izradu elektronskog potpisa, kriterijumi koje treba da ispunjavaju sredstva za izradu i provjeru elektronskog potpisa, kao i izdavanje certifikata, moraju biti usklađeni sa odgovarajućim međunarodnim standardima i preporukama, i to:
1) tehničkim standardima Evropske organizacijeETSI (European Telecommunications Standards Institute) iESI (Electronic Signatures and Infrastructures);
2) evropskim standardimaCEN/ISSSi dokumentimaCWA (CEN Workshop Agreement);
3) standardimaEESSI (European Electronic Signatures Standardisation Inititaive Steering Group);
: 52;4:4) IETF RFC (Request for Comments) dokumentima;
5)PKCS (Public Key Cryptographic Standards) dokumentima i preporukama kompanijeRSA Data Security;
6) evropskim standardimaCommon Criteria (for Information Technology Security Evaluation) u odjeljkuEAL (Evaluation Assurance Level);
7) američkim standardimaFIPS140-1 (koje je utvrdilo tijelo za standardizaciju:National Institute of Standards and Technology - Federal Information Processing Standards), kao i standardimaFIPS140-2.

IIELEKTRONSKI POTPIS

Član 3

Potpisnik izrađuje i koristi elektronski potpis i napredni elektronski potpis u skladu sa uslovima utvrđenim Zakonom o elektronskom potpisu (u daljem tekstu: Zakon), ovim pravilnikom, kao i uslovima utvrđenim ugovorom sa davaocem usluga certifikovanja.

Član 4

Podaci za izradu elektronskog potpisa ne čine sastavni dio elektronskog potpisa. Potpisnik je dužan zaštiti podatke za izradu elektronskog potpisa od neovlašćenog pristupa, otuđivanja i nepravilne upotrebe. Zaštita se mora dodatno obezbijediti primjenom lozinke, biometrijskih postupaka ili drugim zaštitnim tehnikama.

Član 5

Podaci za izradu elektronskog potpisa moraju se u potpunosti razlikovati od podataka za provjeru elektronskog potpisa.
Postupak izrade elektronskog potpisa ne smije izmijeniti podatke koji se potpisuju niti spriječiti prikaz tih podataka potpisniku prije čina potpisivanja.
Potpisnik u elektronski potpis ugrađuje osnovne podatke o postupku, algoritmu i sadržaju potpisa kako bi korisnik elektronskog potpisa mogao provjeriti potpis na osnovu iste ili slične tehnologije i postupaka.
Napredni elektronski potpis mora se izrađivati primjenom standardizovanih algoritama iz grupeRSA (rsagenl) odnosnoDSA (dsagenl).
Kod izrade naprednog elektronskog potpisa obavezno se koristihashfunkcija iz grupe ZNA-1 (Secure Hash Algorithm), odnosnoRIPEMD160.

Član 6

Korisnik elektronskog potpisa (u daljem tekstu: korisnik) sprovodi provjeru elektronskog potpisa u skladu sa uputstvima potpisnika.
Ako je uz potpis ugrađen i certifikat, korisnik provjeru sprovodi u skladu sa uputstvima davaoca usluga certifikovanja koji je izdao certifikat, odnosno drugog davaoca usluga certifikovanja koji punopravno odgovara i priznaje certifikat.
Korisnik prilikom provjere naprednog elektronskog potpisa, pored podataka o potpisniku, mora provjeriti:
1) podatke o davaocu usluga certifikovanja koji je izdao kvalifikovani certifikat;
2) rok važenja kvalifikovanog certifikata;
3) valjanost certifikata u odnosu na davaoca usluga koji je izdao kvalifikovani certifikat (certification path up to a trust point, vidjetiRFC2459 iliRFC 3280 Certification Path Validation);
4) nepostojanje u registru opozvanih certifikata.

IIISREDSTVA ZA IZRADU ELEKTRONSKOG POTPISA

Član 7

Potpisnik je dužan zaštititi sredstva za izradu elektronskog potpisa od neovlašćenog pristupa, krađe i oštećenja.
U slučajevima kada sredstva za izradu elektronskog potpisa sadrže podatke za izradu naprednog elektronskog potpisa potrebno je sredstva za izradu elektronskog potpisa uskladiti sa zahtjevima za zaštitu i sigurnost opreme neophodne za izradu naprednog elektronskog potpisa.
Usklađivanje iz stava 2 ovog člana mora se sprovoditi primjenom najmanje jednog od zajedničkih međunarodnih obrazaca zaštite sredstava za izradu naprednog elektronskog potpisa:
1)ISO/IEC15408-1: 1999 - opšti sistem mjera zaštite uređaja i opreme koje su zajednički prihvatili međunarodno (ISO) i evropsko (IEC) tijelo u oblasti standardizacije, kojim je definisan skup uslova za funkcionalnost i sigurnost sredstava za izradu elektronskog potpisa u dokumentu "Common Criteria2.1" u odjeljkuEAL4+ (5), kojim se posebno utvrđuju sigurnosni zahtjevi na najvišem nivou, i kojima mora odgovarati funkcionisanje sredstava za izradu naprednog elektronskog potpisa (SOF-high)
2)CEN/ISSS SSCD-PP (Secure Signature Creation Device - Protection Profile) opšti obrazac zaštite sredstava za izradu naprednog elektronskog potpisa koji je Evropska unija prihvatila saglasno preporukama sadržanim u Smjernicama o elektronskom potpisu (Directive1999/93) u dodatkuIIkojim se bliže opisuju zahtjevi koje moraju ispunjavati sredstva za izradu naprednog elektronskog potpisa kroz dokumentCWA 14169;
3) opšti obrazac za sigurnost kriptografskih modulaFIPS140-1, dovoljno visokog nivoa - ne nižeg od nivoa 3.

Član 8

Kod izrade naprednog elektronskog potpisa u slučaju primjene sistema dva kriptografska ključa, dužina ključa za izradu naprednog elektronskog potpisa mora biti najmanje 1024 bita, uz primjenu kriptografskih algoritama iz grupeRSA/DSAi usklađeno sa međunarodnim standardomPKCS#1 (najmanjev(verzija) 2.1.).
Kriptografski moduli moraju se zasnivati na algoritmima i parametrima koji predstavljaju radno okruženje za izradu naprednog elektronskog potpisa saglasno trenutno važećim obrascima ugrađenim u dokumentAlgorithms and Parameters for Secure Electronic Signatures(najmanjev2.1,2001-10), koji za potrebe Evropske unije izrađujeEESSI/SG.
Kod ugrađivanja kriptografskih algoritama u sredstvo za izradu naprednog elektronskog potpisa mora se obezbijediti modularnost kojom se omogućava naknadna ugradnja novih algoritama.

Član 9

Programska oprema kojom se sprovodi provjera elektronskog potpisa mora u potpunosti onemogućiti dobijanje podataka za izradu elektronskog potpisa, pomoću podataka za njegovu provjeru.
Programska oprema koja generiše podatke za izradu elektronskog potpisa mora obezbijediti zaštitu tih podataka od neželjenog ili neovlašćenog pristupa, primjenom postojeće tehnologije.

Član 10

Programska oprema za izradu naprednog elektronskog potpisa mora imati ugrađene osnovne oblike zaštite, saglasno dokumentima o osnovnim pravilima zaštite i sigurnosti sredstva za izradu naprednog elektronskog potpisa -CWA14168 i 14169ed a Common Criteria Protection Profile (PP) for