Dispozitive criptografice pentru crearea semnăturii electronice

Cerințele pentru dispozitivele de creare a semnăturii electronice sunt stabilite în conformitate cu cerințele cadrului normativ în domeniul serviciilor de încredere, în special art. 14 și art. 27 din Legea nr. 124/2022 privind identificarea electronică și serviciile de încredere, cap. VI din Regulamentul privind activitatea prestatorilor de servicii de încredere calificați, aprobat prin Hotărârea Guvernului nr. 184/2023. De menționat, Cerințe tehnice în domeniul serviciilor de încredere calificate, aprobate prin Ordinul directorului SIS al RM nr. 57/2024, la care se referă în demers, nu stabilesc cerințele pentru dispozitive de creare a semnăturii electronice. Totodată, implementarea unor tehnologii și standarde, de exemplu standardului FIDO duce la creșterea încrederii în servicii prestate și extinde funcționalul dispozitivelor. De menționat, set de standarde FIDO nu este unul privat sau special, și nu se referă și nu favorizează un producător anumit. Lungimea menționată este necesară pentru generarea și stocarea cheilor criptografice. În ceea ce ține de interzicerea stocării altor certificate decât cele ale titularului, STISC respectă prevederile Legii nr. 124/2022 potrivit cărei persoana fizică sau juridică poate fi titular al unui număr nelimitat de chei private și chei publice; cheia privată este utilizată exclusiv de către titular, într-un mod ce exclude accesul la aceasta al altei persoane, ca urmare comunicăm că memoria menționată nu se referă la tipul certificatului înscris pe dispozitiv și apartenența acestui certificat către un titular. Reiterăm, cheile pe dispozitive sunt create cu respectarea prevederilor stabilite în pct. 3-7 din Cerințele tehnice în domeniul serviciilor de încredere calificate, aprobate prin Ordinul directorului SIS nr. 57/2024, potrivit căror lungimea minimă a cheilor publice şi cheilor private constituie: 1) a utilizatorilor serviciilor de încredere calificate – 2048 biţi pentru algoritmul RSA şi 256 de biţi pentru algoritmul ECC; 2) a prestatorilor de servicii de încredere calificaţi – 4096 biţi pentru algoritmul RSA şi 384 biţi pentru algoritmul ECC. 4. Termenul de valabilitate al cheii private a utilizatorului serviciilor de încredere calificate şi al certificatului cheii publice, ce corespunde cheii private, constituie: 1) până la 2 ani inclusiv – pentru lungimea cheilor publice şi private minimum de 2048 biţi, pentru algoritmul RSA; 2) până la 3 ani inclusiv – pentru lungimea cheilor publice şi private minimum de 3072 biţi, pentru algoritmul RSA şi 256 de biţi pentru algoritmul ECC; 3) până la 5 ani – pentru lungimea cheilor publice şi private minimum de 4096 biţi, pentru algoritmul RSA şi 384 biţi pentru algoritmul ECC. 5. Cheile private şi cheile publice ale prestatorului de servicii de încredere calificate se administrează în conformitate cu recomandările: 1) IETF RFC 4210 Internet X.509 Public Key Infrastructure; Certificate Management Protocol (CMP); 2) IETF RFC 6712 Internet X.509 Public Key Infrastructure – HTTP Transfer for the Certificate Management Protocol (CMP); 3) IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF). 6. Cheile private ale prestatorilor de servicii de încredere calificate se creează şi se păstrează pe suporturi materiale ce realizează funcţii criptografice – dispozitive de creare a semnăturilor sau a sigiliilor electronice calificate. Operaţiunile criptografice de creare a cheii publice şi a cheii private a prestatorilor de servicii de încredere calificaţi şi de creare a semnăturii electronice calificate cu utilizarea cheii private a prestatorului trebuie să fie efectuate în microcipul suportului material. 7. Cheile private ale utilizatorilor serviciilor de încredere calificate se creează şi se păstrează pe dispozitive de creare a semnăturilor electronice sau a sigiliilor electronice calificate.

Autoritatea contractantă a analizat cu atenție observațiile formulate și subliniază că documentația de atribuire a fost elaborată cu respectarea prevederilor legale în vigoare, având în vedere atât cadrul normativ aplicabil în domeniul serviciilor de încredere, cât și necesitățile operaționale ale instituției. Totodată, vă comunicăm următoarele. La întrebare: „ Care este temeiul legal și tehnic al includerii cerinței de suport FIDO în contextul achiziției de dispozitive de creare a semnăturii electronice calificate (QSCD), în condițiile în care acest standard nu este menționat în niciun act normativ național și nici în Ordinul SIS nr. 57/2024, iar funcționalitatea sa nu are nicio legătură cu procesul de semnare calificată?”. Menționarea suportului FIDO nu vizează procesul de creare a semnăturii electronice calificate în sine, ci răspunde unei eventuale nevoi funcționale de integrare cu sisteme moderne de autentificare și control al accesului, în cadrul infrastructurii IT. Întrucât dispozitivele calificate (QSCD) vor fi utilizate și în contexte care presupun interacțiunea cu sisteme ce implementează standarde de autentificare FIDO (de exemplu, acces securizat în medii cloud sau aplicații interne), această funcționalitate este relevantă din punct de vedere operațional. Suportul FIDO nu a fost impus ca unicul criteriu de eligibilitate și nu elimină dispozitivele conforme din piață, ci asigură un nivel suplimentar de interoperabilitate, fără a restricționa nelegal concurența. Menționarea FIDO nu contravine legislației aplicabile, iar absența acestui standard din Ordinul SIS nr. 57/2024 nu implică imposibilitatea de a solicita funcționalități suplimentare, atâta vreme cât acestea sunt justificate de cerințe operaționale. Care este justificarea tehnică și operațională a impunerii unei memorii de minim 400KB, în condițiile în care dispozitivele conforme aflate pe piață, cu memorie de 32KB, permit stocarea eficientă a peste 10 perechi de chei și certificate RSA 2048, iar legislația prevede explicit că pe un dispozitiv nu pot fi stocate certificate decât cele ale titularului? Capacitatea minimă de memorie internă solicitată pentru dispozitivele QSCD a fost stabilită ca urmare a unei analize tehnico-funcționale, ținând cont de următorii factori: eventuală necesitatea stocării a multiple perechi de chei (semnătură + autentificare) și a certificatelor aferente; utilizarea algoritmilor criptografici de generație nouă (ex: ECC, ECDSA, EdDSA), care presupun metadate suplimentare și structuri criptografice extinse; Deși este adevărat că pentru stocarea unui certificat calificat RSA 2048 este suficientă o memorie de 32KB, memoria minimă de 400KB a fost determinată pe baza unui scenariu de utilizare extinsă, care presupune funcționalități adiționale și scalabilitate pe termen mediu și lung. Această cerință nu limitează în mod nejustificat accesul pieței, având în vedere că mai mulți producători consacrați de QSCD oferă dispozitive care respectă această specificație. Cerința este proporțională și adaptată unui context tehnologic actualizat. Cu privire la aplicabilitatea ordinului SIS nr. 57/2024 autoritatea contractantă respectă în integralitate prevederile Ordinului SIS nr. 57/2024, inclusiv punctele de la punctele 2, 6 și 7, care stabilesc cerințele pentru cheile publice şi cheile private aferente serviciilor de încredere calificate. Cerințele suplimentare, sunt formulate în completarea și nu în contradicție cu acest Ordin.