(ราง)

มาตรฐานขอมลในใบรบรองอเลกทรอนกส

และรายการเพกถอนใบรบรองอเลกทรอนกส

Standard for Certificate/CRL Profile

สารบญ

1. ขอบขาย ....................................................................................................................................... 1

2. บทนยาม ...................................................................................................................................... 2

2.1 ค านยาม (Definitions) .................................................................................................. 2

2.2 ค ายอ (Acronyms) ....................................................................................................... 5

3. โครงสรางพนฐานกญแจสาธารณะ (Public Key Infrastructure) ............................................... 6

3.1 ใบรบรองอเลกทรอนกส (Certificate) ........................................................................... 7

3.2 ขนตอนการขอใบรบรองอเลกทรอนกส .......................................................................... 8

4. โครงสรางขอมลในใบรบรองอเลกทรอนกสตามมาตรฐาน ISO/IEC 9594-8:2008 ....................... 9

4.1 โครงสรางขอมลในใบรบรองอเลกทรอนกส .................................................................... 9

4.1.1 ฟลดพนฐานของใบรบรองอเลกทรอนกส (Basic Fields) .......................................... 9

4.1.2 ฟลดเพมเตมของใบรบรองอเลกทรอนกส (Extension Fields) ............................... 10

4.2 ประเภทของใบรบรองอเลกทรอนกส ........................................................................... 15

4.3 การระบขอมลในใบรบรองอเลกทรอนกสล าดบชนบนสด (Root CA) .......................... 15

4.4 การระบขอมลใบรบรองอเลกทรอนกสในล าดบชนถดลงมา (Subordinate CA) .......... 16

5. ค าอธบายฟลดขอมลและการก าหนดคาใหกบฟลดขอมลในรายการเพกถอนใบรบรองอเลกทรอนกส ............................................................................................................................................... 18

5.1 โครงสรางขอมลในรายการเพกถอนใบรบรองอเลกทรอนกส ........................................ 18

5.1.1 ฟลดพนฐานของรายการเพกถอนใบรบรองอเลกทรอนกส (Basic Fields) ................. 18

5.1.2 ฟลดเพมเตมของรายการเพกถอนใบรบรองอเลกทรอนกส (Extension Fields) ........ 19

5.2 การระบขอมลในรายการเพกถอนใบรบรองอเลกทรอนกส ........................................... 21

6. แนวทางการก าหนดโครงสรางหมายเลข Object Identifier (OID) ............................................ 22

6.1 รปแบบของหมายเลข OID และตวอยางการน าหมายเลข OID ไปใชงาน ..................... 22

6.2 โครงสรางหมายเลข OID ทเหมาะสมส าหรบประเทศไทย ............................................ 24

7. การก าหนดระดบความเชอมนของใบรบรองอเลกทรอนกส (Assurance Level) ....................... 25

ภาคผนวก........................................................................................................................................ 31

ภาคผนวก ก. รายการอางองหมายเลข OID ของอลกอรทม (Algorithm Object Identifier) ........ 31

หนา 1

1. ขอบขาย

การออกใบรบรองอเลกทรอนกสใหกบผใชบรการ เพอท าธรกรรมอเลกทรอนกส ประเดนทตองค านงถงและระวงเมอมการใชขอมลอเลกทรอนกสกคอ การคกคามดานความปลอดภยของขอมล เนองจากขอมลทอยในรปอเลกทรอนกสสามารถถกเปดอานหรอแกไขเปลยนแปลงไดในขณะเกบรกษาหรอสอสารผานทางเครอขาย ดงนนจงมความจ าเปนอยางยงทตองมการน าระบบรกษาความปลอดภยของขอมลทมนคงและมประสทธภาพมาใชงาน ประเดนทควรค านงถงเพอเกดความมนใจในการตดตอสอสาร ม 4 ประการ อนไดแก

1) การธ ารงไวซงความลบ (Confidentiality) คอ การกระท าเพอมใหขอมลเปดเผยแกบคคลซงไมไดรบอนญาตหรอไมมสทธ

2) ความถกตองครบถวนของขอมล (Data Integrity) คอ ความสามารถทจะตรวจสอบไดวาขอมลทไดรบมความถกตอง ครบถวนและไมถกเปลยนแปลงแกไข

3) การยนยนตวบคคล (Authentication) คอ การระบตวตนทแทจรงของผสงขอมลอเลกทรอนกส 4) การหามปฏเสธความรบผด (Non-repudiation) คอ การปองกนไมใหบคคลผสงปฏเสธวาตนไมไดสง

ขอมลอเลกทรอนกส

จากปจจยดงกลาว จะท าใหคตดตอสอสารเกดความมนใจในธรกรรมอเลกทรอนกสทกระท าผานเครอขายอนเทอรเนต เนองจากขอมลขาวสารถกปกปดเปนความลบ ซงจะสามารถเปดอานโดยบคคลผมสทธเทานน และสามารถตรวจสอบความถกตองครบถวนของขอมล นอกจากนยงสามารถระบหรอทราบถงตวตนทแทจรงของบคคลผซงตดตอสอสารดวยได

ดงนน มาตรฐานกลางรปแบบขอมลในใบรบรองอเลกทรอนกสและรายการเพกถอนใบรบรองอเลกทรอนกสฉบบน จะใชในการก าหนดรปแบบและรายการขอมลทจะปรากฎในใบรบรองอเลกทรอนกสและรายการเพกถอนใบรบรองอเลกทรอนกส (Certificate Revocation List: CRL) ทออกโดยผใหบรการออกใบรบรองอเลกทรอนกส (Certification Authority: CA) ซงท าหนาทรบรองตวตนของบคคลหรอเอนทตอนใดในโลกอเลกทรอนกส เพอใหอยในรปแบบเดยวกน เพอใหเกดประสทธภาพในการใชงาน โดยสอดคลองตามเทคโนโลยโครงสรางพนฐานกญแจสาธารณะ (PKI)

หนา 2

2. บทนยาม

2.1 ค านยาม (Definitions)

ค าศพท ความหมาย

กญแจสวนตว (Private Key) กญแจทใชในการสรางลายมอชอดจทล และสามารถน าไปใชในการถอดรหสลบเมอมการเขารหสลบขอมลอเลกทรอนกส เพอใหสามารถเขาใจความหมายของขอมลอเลกทรอนกสทมการเขารหสลบนนได

กญแจสาธารณะ (Public Key)

กญแจทใชในการตรวจสอบลายมอชอดจทล และสามารถน าไปใชในการเขารหสลบขอมลอเลกทรอนกส เพอมใหสามารถเขาใจความหมายของขอมลอเลกทรอนกสทมการเขารหสลบนนได เพอประโยชนในการรกษาความลบของขอมลอเลกทรอนกสนน

ขอปฏบตการใหบรการออกใบรบรองอเลกทรอนกส (Certification Practice Statement: CPS)

เอกสารทอธบายขนตอน กระบวนการ และขอบเขตของการใหบรการออกใบรบรองของผใหบรการออกใบรบรองอเลกทรอนกส รวมถง การก าหนดหนาทและขอผกพนของบคคลตาง ๆ ทเกยวของกบใบรบรอง

คกรณทเกยวของ (Relying Party)

ผซงอาจกระท าการใด ๆ กบใบรบรองทออกโดยผใหบรการออกใบรบรองอเลกทรอนกส โดยอาจจะเปนผใชบรการหรอไมกได หรอผทกระท าการใด ๆ กบลายมอชอทสรางโดยผใหบรการออกใบรบรองอเลกทรอนกส หรอผใชบรการ

คกญแจ (Key Pair) กญแจสวนตวและกญแจสาธารณะในระบบการเขารหสลบแบบอสมมาตรทไดสรางขนโดยวธการทท าใหกญแจสวนตวมความสมพนธในทางคณตศาสตรกบกญแจสาธารณะในลกษณะทสามารถใชกญแจสาธารณะตรวจสอบไดวาลายมอชอดจทลไดสรางขนโดยใชกญแจสวนตวนนหรอไม และสามารถน ากญแจสาธารณะไปใชในการเขารหสลบขอมลอเลกทรอนกส ท าใหไมสามารถเขาใจความหมายของขอมลอเลกทรอนกสไดเพอประโยชนในการรกษาความลบของขอมลอเลกทรอนกส เวนแตบคคลทถอกญแจสวนตวซงสามารถน ากญแจสวนตวของตนใชในการถอดรหสลบของขอมลอเลกทรอนกส เพอใหเจาของกญแจสวนตวสามารถอานหรอเขาใจความหมายของขอมลอเลกทรอนกสนนได

เจาหนาทรบลงทะเบยน (Registration Authority: RA)

เจาหนาทซงท าหนาทประสานงานกบผใชบรการเมอผใชบรการยนค าขอสมครใชบรการ ตรวจสอบและยนยนความถกตองของขอมลของผใชบรการ รบแจงเพกถอนใบรบรองอเลกทรอนกส และรบค าขอรบรองคกญแจใหมของผใชบรการ

ไดเรกทอร (Directory Service)

ทเผยแพรขอมลใบรบรองประเภทหนง ซงมหนาทเผยแพรใบรบรอง รายการเพกถอนใบรบรองอเลกทรอนกสทเกยวของกบ NRCA โดยมการจดเกบขอมล

หนา 3

ตามมาตรฐาน X.500 หรอ LDAPISO/IEC 9594-8:2008

นโยบายการใชใบรบรอง (Certificate Policy: CP)

เอกสารทอธบาย นโยบายการใหบรการของผใหบรการออกใบรบรองอเลกทรอนกส รวมถงการประยกตใชงานใบรบรองทผใหบรการออกใบรบรองอเลกทรอนกสใหบรการ

ใบรบรองอเลกทรอนกส หรอ ใบรบรอง(Certificate)

เอกสารอเลกทรอนกสทรบรองความสมพนธระหวางผใชบรการกบกญแจสาธารณะ โดยเปนเอกสารอเลกทรอนกสทสอดคลองกบมาตรฐาน ISO/IEC 9594-8:2008 version 3 Certificate โดยมรายละเอยดอยางนอย ดงน ชอของผใชบรการ ชอของผใหบรการออกใบรบรองอเลกทรอนกส กญแจสาธารณะของผใชบรการ รายละเอยดของกญแจสาธารณะ วนหมดอายของใบรบรอง และลายมอชอดจทลของผใหบรการออกใบรบรองอเลกทรอนกส

ผใชบรการ (Subscriber) บคคล หรอเอนทตใด ๆ ทไดรบใบรบรองจากผใหบรการออกใบรบรองอเลกทรอนกส ซงในเอกสารฉบบนหมายถงผใหบรการออกใบรบรองอเลกทรอนกสภายในประเทศไทย

ผใหบรการออกใบรบรองอเลกทรอนกส หรอผใหบรการออกใบรบรองอเลกทรอนกส(Certification Authority: CA)

นตบคคลทท าหนาทใหบรการออกใบรบรองอเลกทรอนกส

ลายมอชอดจทล (Digital Signature)

ลายมอชออเลกทรอนกสทเชอถอไดประเภทหนงทสรางขนโดยการน าขอมลอเลกทรอนกส ไปค านวณ รวมกบกญแจสวนตวของเจาของลายมอชอ ในลกษณะทสามารถใชกญแจสาธารณะของเจาของลายมอชอตรวจสอบไดวาเปนลายมอชอดจทลทไดสรางขนโดยกญแจสวนตวของ เจาของลายมอชอดจทลหรอไม และยงสามารถตรวจสอบขอมลอเลกทรอนกสทไดมการลงลายมอชอดจทลวาไดถกเปลยนแปลงภายหลงการลงลายมอชอหรอไม

เอนทต (Entity) บคคล เครองใหบรการ (Server) หนวยปฏบตงาน (Operating Unit/Site) หรอเครองมออนใด (Device) ทอยภายใตการควบคมของบคคล

Certificate Revocation List (CRL)

รายการเพกถอนใบรบรองอเลกทรอนกส คอ รายการใบรบรองอเลกทรอนกสทถกเพกถอนการใชงาน

GeneralizedTime GeneralizedTime มรปแบบคอ YYYYMMDDHHMMSSZ มการก าหนดป ค.ศ. ดวยตวเลข 4 ตว (YYYY) ซงสามารถใชแกปญหาของ UTCTime ทใชถงป 2049 ได ดงนนหากใบรบรองมอายมากกวาป 2049 2049 ใหระบโดยใชรปแบบน

หมายเหต:

YYMMDD และ YYYYMMDD

หนา 4

YY: ระบ ป ค.ศ. จ านวน 2 หลกสดทาย

YYYY: ระบ ป ค.ศ. จ านวน 4 หลก

MM: ระบเดอนเปนตวเลขจ านวน 2 หลก

DD: ระบวนจ านวน 2 หลก

HHMMSS

HH: ระบคาชวโมงจ านวน 2 หลก

MM: ระบคานาทจ านวน 2 หลก

SS: ระบคาวนาทจ านวน 2 หลก

Object Identifier (OID) คาสมพนธซงบงบอกถงขอมลสารสนเทศของวตถ (Information Object) ใดๆ โดยเปนคาทสามารถบงชไดถงความเปนหนงเดยวของ Object นนๆ

Online Certificate Status Protocol (OCSP)

เกณฑวธ (Protocol) ส าหรบตรวจสอบสถานะของการเพกถอนใบรบรองอเลกทรอนกส หรอ วนเวลาทเรมตนและสนสดการใชใบรบรองอเลกทรอนกส

UTCTIME UTCTime มรปแบบคอ YYMMDDHHMMSSZ มการก าหนดป ค.ศ. ดวยตวเลข 2 ตว (YY) ซงท าใหสามารถระบไดจนถงป 2049 เทานน ดงนนหากใบรบรองมอายไมเกนป 2049 ใหระบโดยใชรปแบบน

หมายเหต:

YYMMDD และ YYYYMMDD

YY: ระบ ป ค.ศ. จ านวน 2 หลกสดทาย

YYYY: ระบ ป ค.ศ. จ านวน 4 หลก

MM: ระบเดอนเปนตวเลขจ านวน 2 หลก

DD: ระบวนจ านวน 2 หลก

HHMMSS

HH: ระบคาชวโมงจ านวน 2 หลก

MM: ระบคานาทจ านวน 2 หลก

SS: ระบคาวนาทจ านวน 2 หลก

หนา 5

2.2 ค ายอ (Acronyms)

ค ายอ ความหมาย

CA Certification Authority

ผใหบรการออกใบรบรองอเลกทรอนกส

CN Common Name

ชอสามญ

CP Certificate Policy

แนวทางการจดท าแนวนโยบาย

CPS Certification Practice Statement

แนวปฏบต

CRL Certificate Revocation List

รายการเพกถอนใบรบรองอเลกทรอนกส

DN Distinguished Name

ชอเฉพาะ

ITU-T ITU Telecommunication Standardization Sector

LDAP Lightweight Directory Access Protocol

PKI Public Key Infrastructure

เทคโนโลยโครงสรางพนฐานกญแจสาธารณะ

RA Registration Authority

เจาหนาทรบลงทะเบยน

OU Organization Unit

X.500 The ITU-T standard for Directory: overview of concepts, models and services

ISO/IEC 9594-8:2008 The ITU-T standard for Certificates and their corresponding authentication framework

หนา 6

3. โครงสรางพนฐานกญแจสาธารณะ (Public Key Infrastructure)

เทคโนโลยระบบรหสแบบกญแจสาธารณะ (Public Key Cryptography) หรอระบบรหสแบบอสมมาตร (Asymmetric Key Cryptography) เปนเทคโนโลยทใชในการรกษาความมนคงปลอดภยของขอมลในปจจบน ซงเทคโนโลยดงกลาวประกอบดวยกญแจ 2 ดอก คอ กญแจสวนตว (Private Key) และกญแจสาธารณะ (Public Key) โดยทบคคลหรอเอนทตหนงๆ จะมกญแจทง 2 ดอกดงกลาว แตเนองดวยตวของเทคโนโลยเพยงอยางเดยวนนไมสามารถระบไดวาบคคลนนเปนเจาของกญแจซงอางถงจรงหรอไม ดงนนโครงสรางพนฐานกญแจสาธารณะ (Public Key Infrastructure : PKI) จงเปนโครงสรางพนฐานทกอใหเกดความนาเชอถอในการระบถงความเปนเจาของกญแจสาธารณะวาเปนของบคคลนนจรง โดยมบคคลทสามเกดขนเพอรบรองตวตนและกญแจสาธารณะดงกลาว

โครงสรางพนฐานกญแจสาธารณะ ประกอบดวย 4 องคประกอบส าคญ ไดแก

1) ผใหบรการออกใบรบรองอเลกทรอนกส (Certification Authority) เปนองคกรซงท าหนาทในการใหบรการเกยวกบการออกใบรบรองอเลกทรอนกส เพอรบรองตวตนทแทจรงของบคคล นตบคคล หรอเอนทตใดๆ

2) เจาหนาทรบลงทะเบยน (Registration Authority) เปนผซงท าหนาทรบลงทะเบยน เมอมการยนขอใบรบรองอเลกทรอนกส แจงเพกถอนใบรบรองอเลกทรอนกส หรอตออายใบรบรองอเลกทรอนกส โดยการตรวจสอบและยนยนความถกตองของขอมลทผใชบรการใหไวตามแบบค าขอทผใหบรการก าหนดขน

3) ผใชบรการ (End Entity) เปนผซงประสงคจะขอใชบรการใบรบรองอเลกทรอนกส โดยยนค าขอผานทางเจาหนาทรบลงทะเบยน

4) ทบนทกขอมล (Repository) เปนระบบคอมพวเตอรทเปดใหบคคลอนสามารถสบคนใบรบรองอเลกทรอนกสของผใชบรการเพอใชในการตดตอสอสารอยางปลอดภย

รปท 1 องคประกอบของ Public Key Infrastructure

หนา 7

3.1 ใบรบรองอเลกทรอนกส (Certificate)

ใบรบรองอเลกทรอนกส (Certificate) เปนขอมลอเลกทรอนกสทประกอบไปดวยขอมลซงสามารถเชอมโยงไปยงบคคลหรอเอนทตหนงๆ และกญแจสาธารณะของบคคลหรอเอนทตนน โดยผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกสจะท าการรบรองขอมลดงกลาวดวยการลงลายมอชอดจทลก ากบ เปรยบเสมอนเปนการออกใบรบรองอเลกทรอนกสเพอเปนการรบรองตวตนของบคคลในโลกอเลกทรอนกส

การยนยนตวตนโดยใชใบรบรองอเลกทรอนกสนนประกอบดวยสองสง คอ ใบรบรองอเลกทรอนกสและรหสผาน ซงเปนสงทผใชมและร ดงนน ถาบคคลอนลวงรรหสผาน แตไมมใบรบรองอเลกทรอนกสกไมสามารถเขาใชงานระบบได ซงเปนการเพมระดบความปลอดภยอกระดบจากเดมทมแตการใชรหสผานเทานนใบรบรองอเลกทรอนกสทออกอางองตามมาตรฐาน ISO/IEC 9594-8:2008 Certificate ซงเปนมาตรฐานของใบรบรองอเลกทรอนกสทก าหนดโดย ITU-T ISO/IEC 9594-8:2008 International Standard โดยใบรบรองอเลกทรอนกสประกอบไปดวยขอมลหลก 3 สวน คอ

1) ขอมลของเจาของใบรบรองอเลกทรอนกส 2) กญแจสาธารณะ (Public Key) ของเจาของใบรบรองอเลกทรอนกส 3) ลายมอชอดจทลของผใหบรการออกใบรบรองอเลกทรอนกส โดยลายมอชอดจทลดงกลาวจะรบรอง

ขอมลในสวนท 1. และ 2. วาเปนของผถอใบรบรองอเลกทรอนกสและกญแจสวนตวจรง

รปท 2 สวนประกอบทส าคญของใบรบรองอเลกทรอนกส

หนา 8

3.2 ขนตอนการขอใบรบรองอเลกทรอนกส

การออกใบรบรองอเลกทรอนกสจะมขนตอนทแตกตางกนไปขนอยกบนโยบายของแตละผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส แตโดยหลกการทวไปจะมขนตอนดงแสดงในรปท 3 ซงประกอบไปดวยขนตอนตางๆ ดงตอไปน

รปท 3 แสดงขนตอนการขอใชใบรบรองอเลกทรอนกส

1) ผขอใชบรการแจงความจ านงในการขอใชใบรบรองอเลกทรอนกสไปยงเจาหนาทรบลงทะเบยน 2) เจาหนาทรบลงทะเบยนตรวจสอบและยนยนความถกตองของขอมลทผขอใชบรการไดใหไวตามแบบ

ค าขอใบรบรองอเลกทรอนกส 3) เจาหนาทรบลงทะเบยนสงค าขอใชใบรบรองอเลกทรอนกสของผขอใชบรการไปยงผใหบรการออก

ใบรบรองอเลกทรอนกสอเลกทรอนกส 4) ผขอใชบรการท าการสรางคกญแจสวนตวและกญแจสาธารณะ โดยกญแจสาธารณะทสรางขนนนจะ

ถกสงไปยงผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส 5) ผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกสท าการรบรองขอมลและกญแจสาธารณะของผ

ขอใชบรการ และสงผลทไดจากการรบรองกลบไปยงผขอใชบรการในรปแบบของใบรบรองอเลกทรอนกส

6) ผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกสน าใบรบรองอเลกทรอนกสทออกใหมเผยแพรในทบนทกขอมล เพอใหบคคลอนสามารถสบคนใบรบรองอเลกทรอนกสของผขอใชบรการได

หนา 9

4. โครงสรางขอมลในใบรบรองอเลกทรอนกสตามมาตรฐาน ISO/IEC 9594-8:2008

4.1 โครงสรางขอมลในใบรบรองอเลกทรอนกส

โครงสรางของรายการขอมลในใบรบรองอเลกทรอนกส ในเอกสารฉบบน แบงออกเปน 2 ประเภท ไดแก ฟลดพนฐาน (Basic Fields) อนไดแก ฟลดขอมลเบองตนทตองก าหนดไวในใบรบรองอเลกทรอนกสทกใบ และฟลดเพมเตม (Extension Fields) อนไดแก ฟลดขอมลทสามารถระบเพมเตมได ทงนจะปรากฎฟลดประเภทนเฉพาะใบรบรองอเลกทรอนกส เวอรชน 3 เทานน ในสวนของฟลดเพมเตมสามารถเพมฟลดใหมไดโดยโครงสรางของฟลดใหมนนๆ ตองไมดดแปลงนอกเหนอจากขอก าหนด ASN.1

4.1.1 ฟลดพนฐานของใบรบรองอเลกทรอนกส (Basic Fields)

ชอฟลด (Fields) รายละเอยด (Details)

version เวอรชนของใบรบรองอเลกทรอนกสตามมาตรฐาน ISO/IEC 9594-8:2008 ใหระบเปนเวอรชน 3 เนองจากม Extension field ทสามารถก าหนดเพมเตมเพอใหใบรบรองอเลกทรอนกสมความเหมาะสมกบการใชงาน

serialNumber หมายเลขอางองใบรบรองอเลกทรอนกสทมความเปนเอกลกษณตอผใหบรการออกใบรบรองอเลกทรอนกสแตละราย

signatureAlgorithm คา OID ทใชระบชนดของอลกอรทมทใชลงลายมอชออเลกทรอนกส

issuer ชอของผใหบรการออกใบรบรองอเลกทรอนกสทออกใบรบรองอเลกทรอนกสใบน โดยชอตองอยในรปแบบ Distinguished Name (DN) ตามมาตรฐาน ISO/IEC 9594-2

validity อายการใชงานของใบรบรองอเลกทรอนกสท ระบชวงเวลาทใบรบรองอเลกทรอนกสสามารถใชงานได โดยจะระบเปนวน -เ ว ล า เ ร ม ใ ช ง า น (notBefore) แล ะว น -เ ว ล าท ห มดอาย (notAfter)

subject ชอของเอนทตทผใหบรการออกใบรบรองอเลกทรอนกสรบรองวาเปนเจาของกญแจสวนตวทเปนคกบกญแจสาธารณะทระบอยในใบรบรองอเลกทรอนกส

subjectPublicKeyInformation คา OID ทใชระบชนดของอลกอรทมของกญแจสาธารณะ และกญแจสาธารณะของ subject

หนา 10

4.1.2 ฟลดเพมเตมของใบรบรองอเลกทรอนกส (Extension Fields)

ชอฟลด (Fields) รายละเอยด (Details)

AuthorityKeyIdentifier { id-ce 35}

ฟลดนสามารถใชไดทงในโครงสรางของใบรบรองอเลกทรอนกสและรายการเพกถอนใบรบรองอเลกทรอนกส เพอเชอมโยงไปยงกญแจสาธารณะเพอใชในการตรวจสอบลายมอชอดจทลทอยบนใบรบรองอเลกทรอนกส

SubjectKeyIdentifier {id-ce 14}

ฟลดนใชระบขอมลทเชอมโยงไปยงกญแจสาธารณะทไดรบการรบรอง จะชวยแยกความแตกตางของคกญแจ ในกรณทมใบรบรองอเลกทรอนกสหลายใบ ทม subject เหมอนกน

ทงน การระบคา Key Identifier สามารถใชวธการ 2 วธ ไดแก

1) การน าคา bit string ของกญแจสาธารณะ (ไมรวม tag, length, unused bit) มาผานกระบวนการ Hash โดยใชอลกอรทม SHA-1 ขนาด 160 bit

2) การน าคา 0100 รวมกบคา 60 bits สดทายของคา Hash ของคา bit string ของกญแจสาธารณะ (ไมรวม tag, length, unused bit) โดยใชอลกอรทม SHA-1 ขนาด 160 bits

keyUsage

{id-ce 15}

ขอมลวตถประสงคของกญแจทอยในใบรบรองอเลกทรอนกสวากญแจคสามารถน าไปใชงานในลกษณะใดไดบาง ซงภายในกญแจคสามารถระบวตถประสงคการใชงานกญแจคไดมากกวา 1 รายการ ดงน

1) digitalSignature : การใชกญแจในการสรางลายมอชอดจทลทนอกเหนอจากขอ 5) และ ขอ 6)

2) nonRepudiation : การใชกญแจในการตรวจสอบลายมอชอดจทลเพอปองกนการปฏเสธความรบผด

3) keyEncipherment : การใชกญแจในการเขารหสลบกญแจอนเพอประโยชนในการเคลอนยายกญแจ

4) dataEncipherment : การใชกญแจในการเขารหสลบขอมลโดยตรง

5) keyAgreement : การใชกญแจในขนตอนการท า Key Agreement เชน การใชอลกอรทม Diffie-Hellman เปนตน

6) keyCertSign : การใชกญแจในการตรวจสอบลายมอชอดจทลของใบรบรองอเลกทรอนกส

7) cRLSign : การใชกญแจในการตรวจสอบลายมอชอ

หนา 11

ดจทลของรายการเพกถอนใบรบรองอเลกทรอนกส 8) encipherOnly : การใชกญแจในการเขารหสลบขอมล

เทานน ซงจะใชรวมกบ keyAgreement 9) decipherOnly : การใชกญแจในการถอดรหสลบขอมล

เทานน ซงจะใชรวมกบ keyAgreement

privateKeyUsagePeriod

{id-ce 16}

ระบชวงเวลาในการอนญาตใหใชกญแจสวนตวทเปนคกบกญแจสาธารณะทอยในใบรบรองอเลกทรอนกส โดยระบเปน 2 สวน ไดแก

1) notBefore : ระบวากญแจสวนตวเรมใชไดตงแตเมอใด 2) notAfer : ระบเวลาทจะยตการใชกญแจสวนตว

certificatePolicies {id-ce 12}

ระบขอมลเกยวกบแนวนโยบายของผใหบรการออกใบรบรองอเลกทรอนกส โดยแบงออกเปน 2 สวน ไดแก

1) PolicyIdentifier : ระบหมายเลข OID (Object Identifier) ทระบถงแนวนโยบายของผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA)

2) PolicyQualifiers : ซงประกอบดวยตวบงชไปยงเอกสารแนวปฏบต (CPS Pointer) และขอความทตองการใหคกรณทเกยวของรบทราบเมอมการใชงานใบรบรองอเลกทรอนกสนน (User Notice Qualifier)

policyMappings {id-ce 33}

เปนฟลดทระบไวเฉพาะในใบรบรองอเลกทรอนกสของผใหบรการออกใบรบรองอเลกทรอนกสเพอใชแสดงรายการหมายเลข OID ของแนวนโยบายเปนคๆ เพอใชเปรยบเทยบความสอดคลองกน (Equivalent) ระหวางผใหบรการออกใบรบรองอเลกทรอนกสรายนน (Issuing CA) กบผใหบรการทตองการเปรยบเทยบทระบไวในฟลด subject (Subject CA)

subjectAltName {id-ce 17} ร ะบ ช อ ข อ ง เ จ า ข อ ง ใบ ร บ ร อ ง อ เ ล กท รอน ก ส เ พ ม เ ต ม นอกเหนอจากทระบไวในฟลด Subject โดยสามารถก าหนดรปแบบของชอไดดงน

1) rfc822Name: เปนรปแบบท ใชระบ emailAddress ตามมาตรฐาน RFC822

2) dNSName: เปนรปแบบทใชระบ Domain Name System ตามมาตรฐาน RFC1034 และมการ Encoding แบบ IA5String

3) uniformResourceIdentifier: เปนรปแบบทใชระบ URI ตามมาตรฐาน RFC1738 และมการ Encoding แบบ IA5String

หนา 12

4) otherName: เ ป น ร ปแบบของช อ แบบ อนๆ ซ ง มไวยากรณ และการตความหมายโดยระบเปนหมายเลข OID ของรปแบบขอมลนน

5) รปแบบอนๆ ไดแก x400Address, directoryName, ediPartyName, IPAddress, registeredID เปนตน

issuerAltName {id-ce 18}

ระบชอผออกใบรบรองอเลกทรอนกสเพมเตม นอกเหนอจากทระบไวในฟลด Issuer โดยสามารถก าหนดรปแบบของชอไดแบบเดยวกบ subjectAltName

subjectDirectoryAttributes {id-ce 9}

ระบขอมลอนๆ ของเจาของใบรบรองอเลกทรอนกสเพมเตม เพอใชในการระบตวตน เชน เชอชาต (Nationality) เปนตน

basicConstraints {id-ce 19}

ระบวาใบรบรองอเลกทรอนกสใบนเปนใบรบรองอเลกทรอนกสของ ผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA) จรงหรอไม ประกอบดวยขอมลดงน

1) CA : มรปแบบของขอมลเปน Boolean ซงจ าแนกไดดงน

หากมคาเปน True แสดงวาใบรบรองอเลกทรอนกสใบนเปนของผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA)

หากมคาเปน False แสดงวาใบรบรองอเลกทรอนกสไมใชของผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA)

2) Path Length Constraints: ระบจ านวนใบรบรองอเลกทรอ-นกสทมากทสดทไมใชใบรบรองอเลกทรอนกสแบบ Self-signed ใน Certificate Path ทสามารถยอมรบได โดยระบเปนเลขจ านวนเตม หากไมตองการก าหนดคาดงกลาว ใหระบ Path Length Constraints ใหเปนศนย

nameConstraints {id-ce 30} ระบกฎการก าหนดชอในใบรบรองอเลกทรอนกสภายใต Certification Path ซงฟลดนจะมเฉพาะในใบรบรองอเลกทรอนกสของผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA) เทานน โดยกฎการก าหนดชอจะมผลกบฟลด Subject และ Subject Alternative Name ดวยเทานน

policyConstraints {id-ce 36}

ระบขอมลท ใชในการก าหนดขอบเขตการเชอถอใบรบรองอเลกทรอนกสของผ ใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA) ทท าการ Cross Certificate กน โดยระบ

หนา 13

ขอมล 2 สวน ไดแก

1) inhibitPolicyMapping: ใชระบจ านวนชนทมากทสดของ Certification Path ทจะเชอถอเมอมการท า Cross Certification ระหวางกน

2) requireExplicitPolicy: ใชระบจ านวนใบรบรองอเลกทรอนกสเพมเตมใน Certification Path กอนทจะมการตรวจสอบ Policy Identifier ของใบรบรองอเลกทรอนกส

extKeyUsage {id-ce 37}

เ ป นข อม ลท บ อกถ ง ว ต ถ ป ระส งค ก า ร ใ ช ง าน ใบร บ รอ งอเลกทรอนกสเพมเตมจาก Key Usage ประกอบดวย

1) serverAuth

ใชส าหรบการท า Server Authentication

ตองระบ Key Usage เปน digitalSignature, keyEncipherment หรอ keyAgreement

2) clientAuth

ใชส าหรบการท า Client Authentication

ตองระบ Key Usage เปน digitalSignature, keyEncipherment or หรอ keyAgreement

3) codeSigning

ใชส าหรบการลงลายมอชอดจทลกบ Mobile Code

ตองระบ Key Usage เปน digitalSignature

4) emailProtection

ใชส าหรบการใชงานรวมกบ E-Mail

ตองระบ Key Usage เปน digitalSignature, nonRepudiation และ/หรอ (keyEncipherment หรอ keyAgreement)

5) timeStamping

ใชส าหรบประทบเวลา

ตองระบ Key Usage เปน digitalSignature และ/หรอnonRepudiation

6) OCSPSigning

ใชส าหรบการลงลายมอชอก ากบขอมล OCSP Response

หนา 14

ตองระบ Key Usage เปน digitalSignature และ/หรอ nonRepudiation

cRLDistributionPoints {id-ce 31}

ระบวธการเขาถงรายการเพกถอนใบรบรองอเลกทรอนกส (CRL) ส าหรบใบรบรองอเลกทรอนกสทก าลงตรวจสอบ โดยสามารถระบขอมลดงน

1) distributionPoint: แหลงทมการเผยแพรใบรบรองอเลกทรอนกส เชน URI เปนตน

2) reasons: เหตผลในการเพกถอนใบรบรอง 3) cRLIssuer: ผออกรายการเพกถอนใบรบรอง

อเลกทรอนกส โดยระบในรปของ X.500 หรอ LDAP Directory ฟลด extension ควรระบเปน non-critical

inhibitAnyPolicy {id-ce 54}

ระบจ านวนใบรบรองอเลกทรอนกสเพมเตมใน Certification Path กอนทจะมการตรวจสอบ Policy Identifier ของใบรบรองอเลกทรอนกสวาไมอนญาตใหเปน anyPolicy {2 5 2 32 0} จะน าฟลดนมาใชงานเมอใบรบรองอเลกทรอนกสถกออกใหกบผใหบรการออกใบรบรองอเลกทรอนกส

freshestCRL {id-ce 46}

ระบวธการในการเขาถงรายการเพกถอนใบรบรองอเลกทรอนกสแบบยอย (Delta CRL) ซงการระบขอมลจะมรปแบบเหมอนกบ CRL Distribution Points ฟลด extension จะตองถกระบเปน non-critical

Private Internet Extensions

authorityInformationAccess {id-pe 1}

ระบวธการเขาถงขอมลและบรการตางๆ ท ผ ใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA) ไดจดหาไว โดยอาจระบเกยวกบบรการตรวจสอบสถานะใบรบรองอเลกทรอนกสแบบออนไลน หรอขอมลเกยวกบแนวนโยบายของผใหบรการ เปนตน

หนา 15

4.2 ประเภทของใบรบรองอเลกทรอนกส

ใบรบรองอเลกทรอนกสทระบไวในเอกสารฉบบน ประกอบดวย 2 ประเภท ไดแก

1) ใบรบรองอเลกทรอนกสล าดบชนบนสด (Root CA Certificate) ซงเปนใบรบรองอเลกทรอนกสทออกโดยผใหบรการออกใบรบรองอเลกทรอนกสชนบนสด ท าหนาทออกใบรบรองใหกบผใหบรการออกใบรบรองอเลกทรอนกสในล าดบชนถดลงมา

2) ใบรบรองอเลกทรอนกสในล าดบชนถดลงมา (Subordinate CA Certificate) เปนใบรบรองอเลกทรอนกสทออกภายใตผใหบรการออกใบรบรองอเลกทรอนกสล าดบชนบนสด ท าหนาทออกใบรบรองใหกบผใชบรการ หรอผใหบรการออกใบรบรองอเลกทรอนกสในล าดบชนถดไป

4.3 การระบขอมลในใบรบรองอเลกทรอนกสล าดบชนบนสด (Root CA)

ชอฟลด (Fields) รายละเอยด (Details)

Certificate Basic Fields

version (Mandatory) V3

serialNumber (Mandatory) เปนเลขจ านวนเตม จ านวนสงสด 20 Octets

signature (Mandatory) 1.2.840.113549.1.1.5 (sha1WithRSAEncryption)

issuer (Mandatory) ระบชอ Root CA ของประเทศสมาชกตามมาตรฐาน X.500 DN

validity (Mandatory) UTCTime

subject (Mandatory) ระบเชนเดยวกบฟลด Issuer

subjectPublicKeyInfo (Mandatory)

1.2.840.113549.1.1.1 (rsaEncryption) ซงมความยาวกญแจไมต ากวา 2,048 บต

Certificate Extension Fields

authorityKeyIdentifier (Optional, non-critical)

KeyID (Mandatory) : น ากญแจสาธารณะของผออกใบรบรองอเลกทรอนกสมาผานกระบวนการ Hash ดวยอลกอรทม SHA-1

subjectKeyIdentifier (Optional, non-critical)

น ากญแจสาธารณะของใบรบรอง อ เล กทรอน กสมาผ านกระบวนการ Hash ดวยอลกอรทม SHA-1

keyUsage (Optional, critical or non-critical)

ตองประกอบดวย keyCertSign และ cRLSign เปนอยางนอย

หนา 16

BasicConstraints (Mandatory, critical or non-critical)

CA=TRUE pathLen=optional (เลขจ านวนเตม)

CRLDistributionPoints (Optional, non-critical)

ก าหนดในรปแบบของ directoryName, URI

4.4 การระบขอมลใบรบรองอเลกทรอนกสในล าดบชนถดลงมา (Subordinate CA)

ชอฟลด (Fields) รายละเอยด (Details)

Certificate Basic Fields

version (Mandatory) V3

serialNumber (Mandatory) เปนเลขจ านวนเตม จ านวนสงสด 20 Octets

Signature (Mandatory) 1.2.840.113549.1.1.5 (sha1WithRSAEncryption)

issuer (Mandatory) ระบชอ CA ทเปนผออกใบรบรองอเลกทรอนกสตามมาตรฐาน X.500 DN

Validity (Mandatory) UTCTime (อายขนอยกบแตละประเทศ)

Subject (Mandatory) ระบชอ Subordinate CA ตามมาตรฐาน X.500 DN

subjectPublicKeyInfo (Mandatory)

1.2.840.113549.1.1.1 (rsaEncryption)

ซงมความยาวกญแจไมต ากวา 2,048 บต

Certificate Extension Field

authorityKeyIdentifier

(Optional, non-critical)

KeyID (Mandatory) : น ากญแจสาธารณะของผออกใบรบรองอเลกทรอนกสมาผานกระบวนการ Hash ดวยอลกอรทม SHA-1

subjectKeyIdentifier (Optional, non-critical)

น ากญแจสาธารณะของใบรบรองอเลกทรอนกสมาผานกระบวนการ Hash ดวยอลกอรทม SHA-1

keyUsage (Optional, critical or non-critical)

ตองประกอบดวย keyCertSign และ cRLSign เปน อยางนอย

หนา 17

certificatePolicies (Optional, critical or non-critical)

ระบหมายเลข CP OID ตามระดบความนาเชอถอของใบรบรองอเลกทรอนกส (Assurance Level) ของผใหบรการออกใบรบรองอเลกทรอนกสแตละราย

BasicConstraints (Mandatory, critical or non-critical)

CA=TRUE pathLen=optional (เลขจ านวนเตม)

cRLDistributionPoints (Optional, non-critical)

ก าหนดในรปแบบของ directoryName, URI

หนา 18

5. ค าอธบายฟลดขอมลและการก าหนดคาใหกบฟลดขอมลในรายการเพกถอนใบรบรองอเลกทรอนกส

โครงสรางของรายการขอมลในรายการเพกถอนใบรบรองอเลกทรอนกสในเอกสารฉบบน แบงออกเปน 2 ประเภท ไดแก ฟลดพนฐาน (Basic Fields) อนไดแก ฟลดขอมลเบองตนทตองก าหนดไวในรายการเพกถอนใบรบรองอเลกทรอนกสทกใบ และฟลดเพมเตม (Extension Fields) อนไดแก ฟลดขอมลทสามารถระบเพมเตมได

5.1 โครงสรางขอมลในรายการเพกถอนใบรบรองอเลกทรอนกส

5.1.1 ฟลดพนฐานของรายการเพกถอนใบรบรองอเลกทรอนกส (Basic Fields)

ชอฟลด (Fields) รายละเอยด (Details)

version ระบเวอรชนของรายการเพกถอนใบรบรองอเลกทรอนกสตามมาตรฐาน ISO/IEC 9594-8:2008 ปจจบนเปนเวอรชน 2 (มคาเทากบ 1)

signatureAlgorithm ระบอลกอรทมทผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA) ใชในการลงลายมอชอดจทลใหกบ CRL เชน SHA1withRSAEncryption เปนตน

issuer ระบชอของผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA) ทสรางรายการเพกถอนใบรบรองอเลกทรอนกสนน ซงขอมลดงกลาวจะเกบอยในรปแบบ Distinguished Name (DN) ตามมาตรฐาน X.500 ซงการก าหนดรปแบบขอมลอกขระ สามารถก าหนดไดในลกษณะเดยวกบฟลด Issuer ในใบรบรองอเลกทรอนกส

thisUpdate ระบเวลาทสรางรายการเพกถอนใบรบรองอเลกทรอนกส

nextUpdate ระบเวลาทจะมการสรางรายการเพกถอนใบรบรองอเลกทรอนกสครงตอไป

revokedCertificates ระบรายการใบรบรองอเลกทรอนกสทถกเพกถอน โดยสามารถก าหนดฟลดตางๆ ของแตละรายการไดโดยดท CRL Entry Extensions

หนา 19

5.1.2 ฟลดเพมเตมของรายการเพกถอนใบรบรองอเลกทรอนกส (Extension Fields)

ชอฟลด (Fields) รายละเอยด (Details)

authorityKeyIdentifier {id-ce 35}

ระบขอมลทเชอมโยงไปยงกญแจสาธารณะทเปนคกบกญแจสวนตวทผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA) ใชในการสรางรายการเพกถอนใบรบรองอเลกทรอนกส เพอใชในการตรวจสอบวารายการเพกถอนใบรบรองอเลกทรอนกสใบนนออกโดยผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกสรายใดซงสามารถระบโดยใชรปแบบเดยวกบการก าหนดฟลด Authority Key Identifier ในใบรบรองอเลกทรอนกส

issuerAltName {id-ce 18}

ระบชอผออกรายการเพกถอนใบรบรองอเลกทรอนกส (CA) เพมเตม นอกเหนอจากทระบไวในฟลด Issuer โดยสามารถก าหนดรปแบบของชอไดในลกษณะเดยวกบฟลด Subject Alternative Name ในใบรบรองอเลกทรอนกส

BaseCRLNumber {id-ce 20}

ระบหมายเลขล าดบ (Sequence Number) ทผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA) ก าหนดใหกบรายการเพกถอนใบรบรองอเลกทรอนกสแตละใบเพอใหสามารถตรวจสอบไดวารายการเพกถอนใบรบรองอเลกทรอนกส ใบใดถกสรางตามล าดบกอน – หลง

deltaCRLIndicator {id-ce 27}

ระบวารายการเพกถอนใบรบรองอเลกทรอนกสใบนนเปนรายการเพกถอนใบรบรองอเลกทรอนกสยอย (Delta CRL) หรอไม

หมายเหต รายการเพกถอนใบรบรองอเลกทรอนกสยอย (Delta CRL) เปน CRL ทมขอมลเกยวกบการเพกถอนเพมเตมจากรายการเพกถอนใบรบรองอเลกทรอนกสหลก (Base CRL) ซงไดถกสรางขนกอนหนานเพอประโยชนในการชวยลดปรมาณการรบ – สงขอมล (Network Load) รายการเพกถอนใบรบรองอเลกทรอนกสแบบสมบรณ (Complete CRL) และชวยใหการประมวลผลเรวขนอกดวย

issuingDistributionPoint {id-ce 28}

ระบ แหล งท ส าม าร ถค นหา ร ายการ เ พ กถอน ใบร บ รอ งอเลกทรอนกสรายการนน (Distribution Point) และระบวารายการเพกถอนใบรบรองอเลกทรอนกส ใบนนใชส าหรบผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA) หรอผ ใชบรการ รวมทงใชจ ากดเหตผลในการเพกถอน (Reason Code) ไดอกดวย

หนา 20

freshestCRL {id-ce 46}

ระบวธการทจะเขาถงรายการเพกถอนใบรบรองอเลกทรอนกสยอย (Delta CRL) ใบลาสดของรายการเพกถอนใบรบรองอเลกทรอนกสหลก (Base CRL) รายการนน

CRL Entry Extensions

reasonCode {id-ce 21}

ระบหมายเลขส าหรบอธบายวาใบรบรองอเลกทรอนกสใบนนถก เพกถอนดวยสาเหตใด ประกอบดวยสาเหตดงน

Unspecified (0)

keyCompromise (1)

cACompromise (2)

affiliationChanged (3)

superseded (4)

cessationOfOperation (5)

certificateHold (6)

removeFromCRL (7)

privilegeWithdrawn (8)

aACompromise (9)

holdInstructionCode {id-ce 23}

ระบหมายเลขส าหรบอธบายกจกรรมทผตรวจสอบใบรบรองอเลกทรอนกสตองด าเนนการเมอไดรบใบรบรองอเลกทรอนกสทไดรบการเพกถอนใบนน ประกอบดวย

none (1)

callIssuer (2)

Reject (3)

invalidityDate {id-ce 24}

ระบเวลาทคาดวากญแจสวนตวทคกบใบรบรองอเลกทรอนกสทถ ก เ พกถอนน น ไมปลอดภย ซ งจะก าหนดโดยใช ร ปแบบ GeneralizeTime

certificateIssuer {id-ce 29}

ระบชอผใหบรการออกใบรบรองอเลกทรอนกส (CA) ทเปนผออกใบรบรองอเลกทรอนกสทปรากฎในรายการเพกถอนใบรบรองอเลกทรอนกส ซงจะถกใชในกรณทผใหบรการออกใบรบรองอเลกทรอนกสอเลกทรอนกส (CA) ไมไดเปนผสรางรายการเพกถอนใบรบรองอเลกทรอนกสเอง

หนา 21

5.2 การระบขอมลในรายการเพกถอนใบรบรองอเลกทรอนกส

ชอฟลด (Fields) รายละเอยด (Details)

ARL / CRL Basic Fields

version (Mandatory) v2

signatureAlgorithm (Mandatory)

1.2.840.113549.1.1.5 (sha1WithRSAEncryption)

issuer (Mandatory) ตามมาตรฐาน X.500 DN

thisUpdate (Mandatory) UTCTIME

nextUpdate (Mandatory) UTCTIME (อายขนอยกบนโยบายการใหบรการของแตละ CA)

revokedCertificates (Mandatory)

หมายเลขใบรบรองอเลกทรอนกสทงหมดทถกเพกถอน

ARL / CRL Extension Fields

authorityKeyIdentifier (Mandatory, non-critical)

KeyID (Mandatory) : น ากญแจสาธารณะของผออกใบรบรองอเลกทรอนกสมาผานกระบวนการ Hash ดวยอลกอรทม SHA-1

BaseCRLNumber (Mandatory, non-critical)

เปนเลขจ านวนเตมไมซ ากน จ านวนสงสด 20 Octets

ARL / CRL Entry Extensions

ReasonCode (Mandatory, noncritical)

ระบหมายเลข Reason Code (0-9)

invalidityDate (Optional, non-critical)

GeneralizedTime

หนา 22

6. แนวทางการก าหนดโครงสรางหมายเลข Object Identifier (OID)

6.1 รปแบบของหมายเลข OID และตวอยางการน าหมายเลข OID ไปใชงาน

นยามของ Object Identifier (OID)

เอกสาร X.680: Abstract Syntax Notation One: Specification of basic notation one ขอ 3.6.47 ไดใหค านยามของ Object Identifier (OID) ไววา “A globally unique value associated with an object to unambiguously identify it”

Object Identifier (OID) เปนคาสมพนธซงบงบอกถง Information Object ใดๆ โดยเปนคาทสามารถบงชไดถงความเปนหนงเดยวของ Object นนๆ

มาตรฐานการก าหนดโครงสรางและวธการใชงาน OID ในปจจบนคอกลมของมาตรฐาน ISO/IEC 8824 หรอ ASN.1 โดยมกลมของมาตรฐาน ISO/IEC 9834 ทก าหนดถงขนตอนการปฏบตงานของการเปนเจาหนาทรบจดทะเบยน OID (Registration Authority: RA) ซงก าหนดวธการตง OID โดยใชตวเลขและอาศยโครงสรางแบบล าดบขน หรอ Registration Hierarchical Name Tree (RH-name-tree) เชน 2.16.764.102.1003.10.1.2.1 เปน OID อางอง Certificate Policy ฉบบหนงในประเทศแคนาดา เปนตน

OID สามารถอางองขอมลไดทกประเภทขนอยกบขอบเขตความสนใจ มกจะใชกบขอมลทสามารถอางองถงมาตรฐานอน ๆ ทสามารถใชรวมกนได เชน ใช OID ส าหรบอางองชนดของไฟล แตจะไมใชอางองชอไฟล เปนตน

ตวอยางการใช OID อางขอมลประเภทตางๆ

1. ชอประเทศ, ชอหนวยงาน 2. ชอ Attribute ส าหรบ LDAP Directory 3. ASN.1 module 4. ก าหนด MIB1 ในการใชงานรวมกบ SNMP2 โปรโตคอล เพอบรหารจดการอปกรณเครอขาย 5. นโยบายการปฏบตงาน CA (Certificate Policy) 6. ชนดอลกอรธมการเขารหส 7. ชนดไฟลขอมล 8. เอกสารมาตรฐาน 9. อนๆ

ตวอยางการใชงาน OID

เนองจาก OID ถกก าหนดอยใน ASN.1 ดงนนการตดตอสอสารใดๆ กตามทอาศยมาตรฐาน ASN.1 จะมการใช OID เปนสวนหนงตามแตจดประสงคของการตดตอสอสาร หรอ โปรโตคอลนนๆ เชน การใชใบรบรองอเลกทรอนกส หรอ การใช SNMP เปนตน

หนา 23

รปท 4 แสดงรายละเอยดของใบรบรองอเลกทรอนกส ซงบรเวณทวงกลมไวแสดงถง OID ส าหรบอางอง Certificate Policy ของ CA ทออกใบรบรองอเลกทรอนกสนนๆ

รปท 4 OID อางอง Certificate Policy ในใบรบรองอเลกทรอนกส

รปท 5 แสดงรายละเอยดของใบรบรองอเลกทรอนกส ซงบรเวณทวงกลมไวแสดงถง OID ส าหรบอางองวตถประสงค หรอ ขอบเขต ในการใชงานของใบรบรองอเลกทรอนกสนนๆ

รปท 5 OID ส าหรบการอางองวตถประสงคของการใชงานใบรบรองอเลกทรอนกส

หนา 24

6.2 โครงสรางหมายเลข OID ทเหมาะสมส าหรบประเทศไทย

ตามขอเสนอแนะจาก ITU-T SG 17 OID Project leader ไดแนะน าใหประเทศไทยจดทะเบยนหมายเลข OID ภายใตกง {joint-iso-itu-t(2) country(16) th(764)} เนองจากหมายเลข OID จะถกใชงานทงในดานมาตรฐาน IT ทวไป และดานโทรคมนาคม ดงนนการจดทะเบยนหมายเลข OID ภายใตกง {joint-iso-itu-t(2)} นาจะเหมาะสมกวา อยางไรกตาม หนวยงานผมอ านาจในการจดทะเบยนหมายเลข OID ของประเทศไทย อาจมอบหมายใหหนวยงานใดหนวยงานหนงเปนผรบผดชอบด าเนนการรบจดทะเบยนหมายเลข OID ได

รปท 6 โครงสรางหมายเลข OID ทเหมาะสมส าหรบประเทศไทย

SecurityObjects (1)

PKI (1)

CertificatePolicy (1)

Thailand Registration Authority for

Object Identifier: THRAOID (1)

joint-iso-itu-t (2)

country (16)

TH (764)

CP-Level-2 (2)

CP-Level-3 (3)

CP-Level-1 (1)

หนา 25

7. การก าหนดระดบความเชอมนของใบรบรองอเลกทรอนกส (Assurance Level)

เพอใหการใชงานใบรบรองอเลกทรอนกสในประเทศมความมนคงปลอดภยตามระดบการใชงานทแตกตางกน จงควรมการก าหนดระดบความเชอมนของใบรบรองอเลกทรอนกส ในระดบตางๆ เพอใหสอดคลองกบความตองการของแอพพลเคชนทน าใบรบรองไปใชงาน โดยแตละระดบจะมการก าหนดรปแบบความมนคงปลอดภยทแตกตางกน เชน การตรวจสอบตวตนของผ ใชบรการ การเกบรกษากญแจสวนตว รวมไปถงการน าใบรบรองไปใชงาน เปนตน

ทงน ระดบความเชอมนของใบรบรองอเลกทรอนกส แบงออกเปน 4 ระดบ ไดแก ระดบทดสอบ (Test), ระดบเบองตน (Basic), ระดบปานกลาง (Medium) และ ระดบสง (High) ซงมรายละเอยดเกยวกบการรกษาความมนคงปลอดภยในแตละระดบดงน

รปแบบท 1

ระดบความเชอมน ค าอธบาย

ระดบทดสอบ (Test) ใบรบรองอเลกทรอนกสทอยในระดบนสามารถใชส าหรบการทดสอบเทานน

ระดบเบองตน (Basic) ใบรบรองอเลกทรอนกสทอยในระดบนใชในการยนยนตวตนของบคคล เพอท าธรกรรมทงภาครฐและเอกชน ทมความเสยงต า และผลกระทบทเกดขนมมลคาความเสยหายและจ านวนผไดรบผลกระทบนอยในกรณเกดเหตการณผดปกต

ระดบปานกลาง (Medium)

ใบรบรองอเลกทรอนกสทอยในระดบนใชในการยนยนตวตนของบคคล เพอท าธรกรรมทงภาครฐและเอกชน ทมความเสยงคอนขางสง และผลกระทบทเกดขนมมลคาความเสยหายอยในระดบปานกลางและจ านวนผไดรบผลกระทบอยในวงจ ากดในกรณเกดเหตการณผดปกต

ระดบสง (High) ใบรบรองอเลกทรอนกสทอยในระดบนใชในการยนยนตวตนของบคคล เพอท าธรกรรมทงภาครฐและเอกชน ทมความเสยงสง และผลกระทบทเกดขนมมลคาความเสยหายจ านวนมหาศาลและจ านวนผไดรบผลกระทบอยในวงกวางในกรณเกดเหตการณผดปกต

รปแบบท 2

ระดบความเชอมน ค าอธบาย

ระดบทดสอบ (Test) ใบรบรองอเลกทรอนกสทอยในระดบนสามารถใชส าหรบการทดสอบเทานน

ระดบเบองตน (Basic) ใบรบรองอเลกทรอนกสทอยในระดบนใชในการยนยนตวตนของบคคลหรอเอนทตอนใด เพอท าธรกรรมทงภาครฐและเอกชน ทมความเสยงต า และผลกระทบทเกดขนมมลคาความเสยหายไม เกนสามพนบาทตอหนงธรกรรม และไมมผใชบรการหรอผมสวนไดเสยไดรบผลกระทบตอชวต รางกายหรออนามย และ

หนา 26

จ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบผลกระทบไมเกนสบคน และไมมผลกระทบตอความมนคงของรฐ กรณเกดเหตการณผดปกต

ระดบปานกลาง (Medium)

ใบรบรองอเลกทรอนกสทอยในระดบนใชในการยนยนตวตนของบคคลหรอเอนทตอนใด เพอท าธรกรรมทงภาครฐและเอกชน ทมความเสยงคอนขางสง และผลกระทบทเกดขนมมลคาความเสยหายไมเกนหนงแสนบาทตอหนงธรกรรม และจ านวนผใชบรการหรอผมสวนไดเสยไดรบผลกระทบตอรางกายหรออนามยตงแตหนงคนแตไมเกนหนงพนคน และจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบผลกระทบเกนกวาหนงหมนคนแตไมเกนหนงแสนคน และไมมผลกระทบตอความมนคงของรฐ ในกรณเกดเหตการณผดปกต

ระดบสง (High) ใบรบรองอเลกทรอนกสทอยในระดบนใชในการยนยนตวตนของบคคลหรอเอนทตอนใด เพอท าธรกรรมทงภาครฐและเอกชน ทมความเสยงสง และผลกระทบทเกดขนมมลคาความเสยหายไมเกนสองลานบาทตอหนงธรกรรม และจ านวนผใชบรการหรอผมสวนไดเสยไดรบผลกระทบตอรางกายหรออนามยเกนกวาหนงพนคนหรอตอชวตตงแตหนงคน และจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบผลกระทบเกนกวาหนงแสนคน และมผลกระทบตอความมนคงของรฐ ในกรณเกดเหตการณผดปกต

รปแบบท 3

ระดบความเชอมนของใบรบรองอเลกทรอนกส ระดบ

ทดสอ

บ

ระดบ

เบอง

ตน

ระดบ

ปานป

ลาง

ระดบ

สง

1. ตองยนยนตวบคคล X X X 2. ความเสยง ไมมความเสยง X

ความเสยงต า X ความเสยงปานกลาง X

ความเสยงสง X 3. ผลกระทบดานมลคาความเสยหายทางการเงน

ไมมผลกระทบ X มลคาความเสยหายทางการเงนไมเกนสามพนบาท (ผลกระทบระดบต า) X X มลคาความเสยหายทางการเงนเกนสามพนบาท แตไมเกนหนงแสนบาท

(ผลกระทบระดบปานกลาง) X มลคาความเสยหายทางการเงนไมเกนสองลานบาท (ผลกระทบระดบสง)

4. ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอชวต รางกายหรออนามย ไมมผลกระทบ X ไมมผใชบรการหรอผมสวนไดเสยไดรบผลกระทบตอชวต รางกายหรออนามย X

หนา 27

(ผลกระทบระดบต า)

จ านวนผใชบรการหรอผมสวนไดเสยไดรบผลกระทบตอรางกายหรออนามยตงแตหนงคนแตไมเกนหนงพนคน (ผลกระทบระดบปานกลาง) X

จ านวนผใชบรการหรอผมสวนไดเสยไดรบผลกระทบตอรางกายหรออนามยเกนกวาหนงพนคนหรอตอชวตตงแตหนงคน (ผลกระทบระดบสง) X

5. ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความเสยหายอนใดนอกจากขอ 2 ไมมผลกระทบ X จ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบผลกระทบไมเกนหนงหมนคน

(ผลกระทบระดบต า) X จ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบผลกระทบเกนกวาหนงหมนคน

แตไมเกนหนงแสนคน (ผลกระทบระดบปานกลาง) X จ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบผลกระทบเกนกวาหนงแสนคน

(ผลกระทบระดบสง) X 6. ผลกระทบดานความมนคงของรฐ ไมมผลกระทบตอความมนคงของรฐ (ผลกระทบระดบต า) X X X

มผลกระทบตอความมนคงของรฐ (ผลกระทบระดบสง) X

เหตการณผดปกต คอ ผใหบรการออกใบรบรองอเลกทรอนกสระบชอเจาของใบรบรองอเลกทรอนกสผด เปนเหตใหคกรณทเกยวของเขาใจผด หรอกรณทกญแจสวนตวของผใหบรการออกใบรบรองอเลกทรอนกสสญหายหรอเสยหายเปนเหตใหผประสงครายลกลอบใชงานกญแจสวนตวดงกลาวในการออกใบรบรองอเลกทรอนกสใหแกบคคลอน หรอกรณทผใหบรการออกใบรบรองอเลกทรอนกสไมเพกถอน หรอไมประกาศรายการเพกถอนใบรบรองอเลกทรอนกสใหผใชบรการทราบอยางทนการ เปนตน

ขอ หวขอ ระดบความเชอมน รายละเอยด

1.4

การใชใบรบรองอเลกทรอนกส

ระดบทดสอบ ใชส าหรบการทดสอบเทานน ไมควรทจะน ามาใชงานจรง

ระดบเบองตน ใชในการท าธรกรรมทงภาครฐและเอกชนทมความเสยงต า และผลกระทบทเกดขนมมลคาความเสยหายและจ านวนผไดรบผลกระทบนอยในกรณเกดเหตการณ

ระดบปานกลาง ใชในการท าธรกรรมทงภาครฐและเอกชนทมความเสยงคอนขางสง และผลกระทบทเกดขนมมลคาความเสยหายอยในระดบปานกลาง และจ านวนผไดรบผลกระทบอยในวงจ ากดกรณเกดเหตการณ

ระดบสง ใชส าหรบการท าธรกรรมทงภาครฐและเอกชน ทมความเสยงสง และผลกระทบทเกดขนมมลคาความเสยหายจ านวนมหาศาลและจ านวนผไดรบผลกระทบอยในวงกวางในกรณเกดเหตการณ

ขอจ ากดการใชใบรบรองอเลกทรอนกส

ระดบทดสอบ 1. การท าธรกรรมทผดกฎหมายทเกยวของกบการใชงานใบรบรองอเลกทรอนกส หรอกฎหมายอนทเกยวของ 2. การน าไปใชงานทกประเภททไมใชการทดสอบ

ระดบเบองตน ระดบปานกลาง ระดบสง

การท าธรกรรมทผดกฎหมายทเกยวของกบการใชงานใบรบรองอเลกทรอนกส หรอกฎหมายอนทเกยวของ

หนา 28

ขอ หวขอ ระดบความเชอมน รายละเอยด

คาสนไหมทดแทน ระดบทดสอบ ไมมการชดเชยคาเสยหาย

ระดบเบองตน ตามคาเสยหายทเกดขนจรงแตไมเกน 3,000 บาท

ระดบปานกลาง ตามคาเสยหายทเกดขนจรงแตไมเกน 100,000 บาท

ระดบสง ตามคาเสยหายทเกดขนจรงแตไมเกน 2,000,000 บาท

3.2.2

การยนยนความมตวตนขององคกร (เชน ขอในนามนตบคคล หรอขอใช SSL ในนามองคกร)

ระดบทดสอบ 1. ส าเนาบตรประจ าตวประชาชน หรอส าเนาพาสปอรต (รบรองส าเนาถกตอง) การจดสง: ผานชองทาง E-mail หรอชองทางอนตามสมควร

ระดบเบองตน ระดบปานกลาง

1. ส าเนาเอกสารการจดตงหนวยงานหรอองคกร (รบรองส าเนาถกตองจากผมอ านาจ) 2. ส าเนาหนงสอรบรองการจดทะเบยนของบรษทหรอนตบคคลทออกโดยกรมพฒนาธรกจการคา กระทรวงพาณชย (รบรองส าเนาถกตองจากผมอ านาจ) การจดสง: ผมอ านาจกระท าการแทนหนวยงานหรอองคกรมาดวยตนเองหรอมอบอ านาจ

ระดบสง 1. ส าเนาเอกสารการจดตงหนวยงานหรอองคกร (รบรองส าเนาถกตองจากผมอ านาจ) 2. ส าเนาหนงสอรบรองการจดทะเบยนของบรษทหรอนตบคคลทออกโดยกรมพฒนาธรกจการคา กระทรวงพาณชย (รบรองส าเนาถกตองจากผมอ านาจ) การจดสง: ผมอ านาจกระท าการแทนหนวยงานหรอองคกรมาดวยตนเอง

3.2.3

การยนยนความมตวตนของบคคล (ขอในนามตวเอง)

ระดบทดสอบ ระดบเบองตน

1. ส าเนาบตรประจ าตวประชาชน หรอส าเนาพาสปอรต (รบรองส าเนาถกตอง) การจดสง: ผานชองทาง E-mail หรอชองทางอนตามสมควร

ระดบปานกลาง 1. ส าเนาบตรประจ าตวประชาชน หรอส าเนาพาสปอรต (รบรองส าเนาถกตอง) 2. ส าเนาทะเบยนบาน (รบรองส าเนาถกตอง) การจดสง: ผขอมาดวยตนเองหรอมอบอ านาจ

ระดบสง 1. ส าเนาบตรประจ าตวประชาชน หรอส าเนาพาสปอรต (รบรองส าเนาถกตอง) พรอมตนฉบบ 2. ส าเนาทะเบยนบาน (รบรองส าเนาถกตอง) พรอมตนฉบบ การจดสง: ผขอมาดวยตนเองเทานน

การยนยนความมตวตนของบคคล (ขอในนามบคคลอน)

ระดบทดสอบ 1. ส าเนาบตรประจ าตวประชาชน หรอส าเนาพาสปอรต (รบรองส าเนาถกตอง) การจดสง: ผานชองทาง E-mail หรอชองทางอนตามสมควร

ระดบเบองตน 1. ส าเนาบตรประจ าตวประชาชน หรอส าเนาพาสปอรต (รบรองส าเนาถกตอง) ทงของผมอบอ านาจและผรบมอบอ านาจ 2. เอกสารมอบอ านาจกระท าการแทน การจดสง: ผานชองทาง E-mail หรอชองทางอนตามสมควร

ระดบปานกลาง 1. ส าเนาบตรประจ าตวประชาชน หรอส าเนาพาสปอรต (รบรองส าเนาถกตอง) พรอมตนฉบบ ทงของผมอบอ านาจและผรบมอบอ านาจ 2. ส าเนาทะเบยนบาน (รบรองส าเนาถกตอง) ของผมอบอ านาจ 3. เอกสารมอบอ านาจกระท าการแทน การจดสง: ผรบมอบอ านาจมาดวยตนเอง

ระดบสง ไมอนญาต

3.3.1 การระบและยนยนตวบคคลในกรณขอรบรองกญแจสาธารณะใหม

กระบวนการเหมอนการขอใบรบรองใหม และจะมการแจงลวงหนากอนใบรบรองอเลกทรอนกสหมดอายดงน ใบรบรองส าหรบ End Entity แจงลวงหนาไมนอยกวา 2 เดอน

หนา 29

ขอ หวขอ ระดบความเชอมน รายละเอยด

ใบรบรองส าหรบ Sub-CA ใหพจารณาตามความเหมาะสม

4.4.1

ขอปฏบตทถอเปนการยอมรบใบรบรองอเลกทรอนกส

ใบรบรองฯ จะยงไมสามารถใชการไดหรอยงไมมการจดสงไปยง Sub-CA หรอ Entity จนกวาจะไดรบการตรวจสอบความถกตองและยอมรบในใบรบรองฯ ดงกลาวจาก Sub-CA หรอ Entity

ระดบทดสอบ ระดบเบองตน

ใชการรบ/สง email

ระดบปานกลาง ใชแบบฟอรมกระดาษ โดยสามารถสงกลบทาง Fax หรอ Email ไดกอนแลวจงสงฉบบจรงตามมาในภายหลง

ระดบสง ใชแบบฟอรมกระดาษ โดยจะตองสงกลบดวยฉบบจรงเทานน

4.6 การตออายใบรบรองอเลกทรอนกส

ไมม

4.9.5

ระยะเวลาทผใหบรการออกใบรบรองอเลกทรอนกสด าเนนการรายการขอเพกถอนใบรบรองอเลกทรอนกส

ระดบทดสอบ ไมม

ระดบเบองตน ภายใน 2 วนท าการ หลงจาก RA ไดรบเอกสารครบถวนแลว

ระดบปานกลาง ภายใน 1 วนท าการ หลงจาก RA ไดรบเอกสารครบถวนแลว

ระดบสง ภายใน 1 วนท าการ หลงจาก RA ไดรบเอกสารครบถวนแลว

4.9.7

ความถในการสรางรายการเพกถอนใบรบรอง

ระดบทดสอบ ไมม

ระดบเบองตน ส าหรบ End Entity: อยางนอยทกสปดาห หรอทนทเมอมการเพกถอนใบรบรอง

ระดบปานกลาง ส าหรบ End Entity: อยางนอยทก 3 วน หรอทนทเมอมการเพกถอนใบรบรอง

ระดบสง ส าหรบ End Entity: อยางนอยทก 6 ชวโมง หรอทนทเมอมการเพกถอนใบรบรอง ส าหรบ Sub-CA: อยางนอยทก 3-6 เดอน หรอทนทเมอมการเพกถอนใบรบรอง

Certificate Suspension

ส าหรบ End Entity: ม/ไมม ส าหรบ Sub-CA: ไมม

5.1.8

การส ารองขอมลไวทอน (เฉพาะระบบทมความส าคญ ไดแก ระบบทใชตรวจสอบสถานะใบรบรองฯ)

ระดบทดสอบ ไมม

ระดบเบองตน Backup site (Cold Site) - RPO <= 1 วน - RTO <= 7 วน คา availability ประมาณ 98%

ระดบปานกลาง Backup site (Warm Site) - RPO <= 1 วน - RTO <= 3 วน คา availability ประมาณ 99%

ระดบสง Backup site (Hot Site) - RPO <= 1 วน - RTO <= 6 ชวโมง คา availability ประมาณ 99.5%

5.5.2 ระยะเวลาเกบรกษาขอมลถาวร

ใบรบรองอเลกทรอนกส, ใบรบรองส าหรบ cross-certificate, self-signed certificate, ARLs, CRLs,ขอมลบนทกเหตการณตามขอ 5.4 กญแจสวนตวของผใหบรการออกใบรบรองหรอกญแจส าคญตาง ๆ ทเกยวของ รวมถงรหสผานทใชในการด าเนนการตาง ๆ เปนอยางนอย จะถกจดเกบตอไปอก อยางนอย 10 ป หลงจากทใบรบรองอเลกทรอนกสนนหมดอายหรอถกเพกถอน

5.7.4

ความสามารถในการตอเนองของการใหบรการอยางตอเนอง

ระดบทดสอบ ไมม

ระดบเบองตน CA ควรมการด าเนนการเกยวกบศนยส ารองขอมลในระดบ Cold Site ซงจะตองมการก าหนดหวขอดงตอไปนเปนอยางนอย

หนา 30

ขอ หวขอ ระดบความเชอมน รายละเอยด

ภายหลงจากเกดภยพบต

RPO จะตองยอนหลงไดไมเกน 1 วนท าการ RTO ไมควรเกนระยะเวลา 7 วน หรอทนชวงระยะเวลาตองออก CRL ขนอยกบระยะเวลาใดจะถงกอน

ระดบปานกลาง CA ควรมการด าเนนการเกยวกบศนยส ารองขอมลในระดบ Warm Site ซงจะตองมการก าหนดหวขอดงตอไปนเปนอยางนอย RPO จะตองยอนหลงไดไมเกน 1 วนท าการRTO ไมควรเกนระยะเวลา 3 วน หรอทนชวงระยะเวลาตองออก CRL ขนอยกบระยะเวลาใดจะถงกอน

ระดบสง CA ควรมการด าเนนการเกยวกบศนยส ารองขอมลในระดบ Hot Site ซงจะตองมการก าหนดหวขอดงตอไปนเปนอยางนอย RPO จะตองยอนหลงไดไมเกน 1 วนท าการ RTO ไมควรเกนระยะเวลา 6 ชวโมง

6.1.5 ความยาวของคกญแจ ควรใช คกญแจความยาวไมต ากวา 2048 bits RSA เปนอยางนอย ในทกระดบ

6.2.1

มาตรฐานและการควบคมอปกรณบรหารกญแจ

ระดบทดสอบ ไมก าหนด

ระดบเบองตน Certificate Authority ฮารดแวรหรอซอฟตแวร FIPS 140-2 Level 2 Registration Authority ฮารดแวรหรอซอฟตแวร FIPS 140-2 Level 2

ระดบปานกลาง Certificate Authority ฮารดแวรหรอซอฟตแวร FIPS 140-2 Level 3 Registration Authority ฮารดแวรหรอซอฟตแวร FIPS 140-2 Level 2

ระดบสง Certificate Authority ฮารดแวร FIPS 140-2 Level 3 Registration Authority ฮารดแวร FIPS 140-2 Level 3

6.2.5 การบนทกถาวรกญแจสวนตว

เกบไวอยางนอย 10 ป

6.3.2

ระยะเวลาใชงานของใบรบรองอเลกทรอนกสและคกญแจของผใชบรการ

ระดบทดสอบ เฉพาะชวงเวลาทดสอบเทานน

ระดบเบองตน Usage Period ไมเกน 2 ป (Company , Personal)

ระดบปานกลาง 8 ปส าหรบ certificate signing , 10 ป ส าหรบ CRL signing (Sub-CA Certificate) Key Usage Period <= 2 ป

ระดบสง 10 ปส าหรบ certificate signing , 20 ป ส าหรบ CRL signing (Root Certificate) 8 ปส าหรบ certificate signing , 10 ป ส าหรบ CRL signing (Sub-CA Certificate) Key Usage Period <= 2 ป

8 Compliance Audit And Other Assessments

ISO/IEC 27001:2005 ส าหรบกระบวนการของหอง Data Center ทระบบ CA ตดตงอย การตรวจประเมนโดยผตรวจประเมนภายในและภายนอก จะตองถกจดขนอยางนอยทกๆ 1 ป

หนา 31

ภาคผนวก

ภาคผนวก ก. รายการอางองหมายเลข OID ของอลกอรทม (Algorithm Object Identifier)

Parameters OID Parameters OID

aes 2.16.840.1.101.3.4.1 id-dsa 1.2.840.10040.4.1

ecdsa-with-SHA1 1.2.840.10045.4.1 id-dsa-with-sha1 1.2.840.10040.4.3

ellipticCurve 1.3.132.0.1 id-dsa-with-sha224 2.16.840.1.101.3.4.3.1

id-aes128-CBC 2.16.840.1.101.3.42 id-dsa-with-sha256 2.16.840.1.101.3.4.3.2

id-aes128-CCM 2.16.840.1.101.3.47 id-ecPublicKey 1.2.840.10045.2.1

id-aes128-CFB 2.16.840.1.101.3.44 id-ecSigType 1.2.840.10045.4.1.4

id-aes128-ECB 2.16.840.1.101.3.41 id-hmacWithSHA1 1.2.840.113549.2.7

id-aes128-GCM 2.16.840.1.101.3.46 id-hmacWithSHA224 1.2.840.113549.2.8

id-aes128-OFB 2.16.840.1.101.3.43 id-hmacWithSHA256 1.2.840.113549.2.9

id-aes128-wrap 2.16.840.1.101.3.45 id-hmacWithSHA384 1.2.840.113549.2.10

id-aes128-wrap-pad 2.16.840.1.101.3.48 id-hmacWithSHA512 1.2.840.113549.2.11

id-aes192-CBC 2.16.840.1.101.3.422 id-keyExchangeAlgorithm 2.16.840.1.101.2.1.1.22

id-aes192-CCM 2.16.840.1.101.3.427 id-sha1 1.3.14.3.2.26

id-aes192-CFB 2.16.840.1.101.3.424 id-sha224 2.15.840.1.101.3.4.2.4

id-aes192-ECB 2.16.840.1.101.3.421 id-sha256 2.16.840.1.101.3.4.2.1

id-aes192-GCM 2.16.840.1.101.3.426 id-sha384 2.16.840.1.101.3.4.3.2

id-aes192-OFB 2.16.840.1.101.3.423 id-sha512 2.16.840.1.101.3.4.3.3

id-aes192-wrap 2.16.840.1.101.3.425 id-sha512-224 2.16.840.1.101.3.4.3.5

id-aes192-wrap-pad 2.16.840.1.101.3.428 id-sha512-256 2.16.840.1.101.3.4.3.6

id-aes256-CBC 2.16.840.1.101.3.442 pkcs-1 1.2.840.113549.1.1.1

id-aes256-CCM 2.16.840.1.101.3.447 prime192v1 1.2.840.10045.3.1.1

id-aes256-CFB 2.16.840.1.101.3.444 prime192v2 1.2.840.10045.3.1.2

id-aes256-ECB 2.16.840.1.101.3.441 prime192v3 1.2.840.10045.3.1.33

id-aes256-GCM 2.16.840.1.101.3.446 prime239v1 1.2.840.10045.3.1.44

id-aes256-OFB 2.16.840.1.101.3.443 prime239v2 1.2.840.10045.3.1.55

id-aes256-wrap 2.16.840.1.101.3.445 prime239v3 1.2.840.10045.3.1.66

id-aes256-wrap-pad 2.16.840.1.101.3.448 prime256v1 1.2.840.10045.3.1.77

primeCurve 1.2.840.10045.3.1.81 rsaEncryption 1.2.840.113549.1.1.1

rsadsi 1.2.840. 113549 sha-1WithRSAEncryption 1.2.840.113549.1.1.5

หนา 32