ISO 21188 infrastruktur kunci publik

ISO 21188 adalah Standar Internasional mengenai praktik dan kerangka kebijakan pada infrastruktur kunci publik atau Public key infrastructure untuk layanan keuangan.

Standar versi terbaru yang masih berlaku adalah terbitan tahun 2018 dengan judul berikut :

• ISO 21188:2018 Public key infrastructure for financial services — Practices and policy framework

Standar ISO 21188:2018

Sebagaimana tercantum dalam “Klausa Scope : Lingkup”, bahwa :

ISO 21188:2018 menetapkan kerangka persyaratan untuk mengelola PKI (Public key infrastructure) melalui kebijakan sertifikat dan pernyataan praktik sertifikasi dan untuk memungkinkan penggunaan sertifikat kunci publik di industri jasa keuangan.

Ini juga mendefinisikan tujuan pengendalian dan prosedur pendukung untuk mengelola risiko.

Meskipun dokumen ini membahas pembuatan sertifikat kunci publik yang mungkin digunakan untuk tanda tangan digital atau pembuatan kunci, dokumen ini tidak membahas metode otentikasi, persyaratan non-penolakan, atau protokol manajemen kunci.

ISO 21188:2018 membedakan antara sistem PKI yang digunakan di lingkungan tertutup, terbuka, dan kontraktual.

Ini lebih lanjut mendefinisikan praktik operasional relatif terhadap tujuan pengendalian sistem informasi yang diterima industri jasa keuangan.

Dokumen ini dimaksudkan untuk membantu pelaksana untuk menentukan praktik PKI yang dapat mendukung beberapa kebijakan sertifikat yang mencakup penggunaan tanda tangan digital, otentikasi jarak jauh, pertukaran kunci, dan enkripsi data.

ISO 21188:2018 memfasilitasi penerapan operasional, praktik pengendalian PKI dasar yang memenuhi persyaratan untuk industri jasa keuangan dalam lingkungan kontrak.

Sementara fokus dokumen ini adalah pada lingkungan kontrak, penerapan dokumen ini ke lingkungan lain tidak secara khusus dihalangi.

Untuk keperluan dokumen ini, istilah “sertifikat” mengacu pada sertifikat kunci publik. Sertifikat atribut berada di luar cakupan dokumen ini

ISO 21188:2018 ditargetkan untuk beberapa audiens dengan kebutuhan yang berbeda dan oleh karena itu penggunaan dokumen ini akan memiliki fokus yang berbeda untuk masing-masing.

Manajer dan analis bisnis adalah mereka yang membutuhkan informasi mengenai penggunaan teknologi PKI dalam bisnis mereka yang berkembang (misalnya perdagangan elektronik); lihat Klausul 1 sampai 6.

Perancang dan pelaksana teknis adalah mereka yang menulis kebijakan sertifikat dan pernyataan praktik sertifikasi mereka; lihat Klausul 6 sampai 7 dan Lampiran A sampai G.

Manajemen operasional dan auditor adalah mereka yang bertanggung jawab atas operasi sehari-hari PKI dan memvalidasi kepatuhan terhadap dokumen ini; lihat Pasal 6 sampai 7.

Penerbitan Standar ISO 21188:2018

Standar ini diterbitkan dan dipublikasikan pada April 2018, berupa dokumen edisi 2 dengan jumlah halaman sebanyak 108 lembar.

Disusun oleh :

• Technical Committee ISO/TC 68/SC 2 Financial Services, security, atau : Komite Teknis ISO/TC 68/SC 2 Layanan Keuangan, keamanan.

ICS :

• 35.240.40 IT applications in banking, atau : 35.240.40 Aplikasi IT di perbankan

Dengan terbitnya standar ini, maka standar sebelumnya dinyatakan tidak berlaku dan ditarik yakni :

• ISO 15782-1:2009
• ISO 15782-2: 2001
• ISO 21188:2006

Sebagaimana standar ISO lainnya, ISO 21188:2018 ini juga ditinjau setiap 5 tahun dan peninjauan sudah mencapai tahap 60,60.

Isi Standar ISO 21188:2018

Berikut adalah kutipan isi Standar ISO 21188:2018 yang diambil dari Online Browsing Platform (OBP) dari situs resmi iso.org.

Yang ditambah dengan berbagai keterangan dan informasi untuk mempermudah pemahaman pembaca.

Hanya bagian standar yang informatif yang tersedia untuk umum, OBP hanya menampilkan hingga klausa 3 saja.

Oleh karena itu, untuk melihat konten lengkap dari standar ini, maka pembaca harus membeli standar dari ISO ini secara resmi.

Daftar Isi Standar ISO 21188:2018

• Foreword
• Introduction
• 1 Scope
• 2 Normative references
• 3 Terms and definitions
• 4 Abbreviated terms
• 5 Public key infrastructure (PKI)
• 5.1 General
• 5.2 What is PKI?
• 5.3 Business requirement impact on PKI environment
• 5.4 Certification authority (CA)
• 5.5 Business perspectives
• 5.6 Certificate policy (CP)
• 5.7 Certification practice statement (CPS)
• 5.8 Agreements
• 5.9 Time-stamping
• 5.10 Trust models
• 6 Certificate policy and certification practice statement requirements
• 6.1 Certificate policy (CP)
• 6.2 Certification practice statement (CPS)
• 7 Certification authority control procedures
• 7.1 General
• 7.2 CA environmental controls
• 7.3 CA key life cycle management controls
• 7.4 Subject key life cycle management controls
• 7.5 Certificate life cycle management controls
• 7.6 Controlled CA termination
• 7.7 CA certificate life cycle management controls – subordinate CA certificate

Lampiran

• Annex A Management by certificate policy
• A.1 Introduction and purpose of certificate policies
• A.2 Definition of a certificate policy
• A.3 Establishing policies in certificates
• A.4 Certificate applicability under a named certificate policy
• A.5 Cross-certification, certificate chains, policy mapping and certificate policies
• A.6 Types of certificate
• A.7 Certificate classes and naming
• A.8 Certificate policy provisions
• A.9 Certificate policy management
• Annex B Elements of a certification practice statement
• B.1 General
• B.2 Introduction
• B.3 General provisions
• B.4 Identification and authentication
• B.5 Operational requirements
• B.6 Physical, procedural and personnel security controls
• B.7 Technical security controls
• B.8 Certificate and CRL profiles
• B.9 Practices administration
• Annex C Object identifiers (OID)
• C.1 Why have an OID?
• C.2 What is an OID?
• C.3 Registration of OIDs
• C.4 Why do you need an OID and how should they be managed?
• Annex D CA key generation ceremony
• D.1 General
• D.2 Roles and responsibilities
• D.3 CA key generation ceremony script
• D.4 CA key generation ceremony procedures
• Annex E Mapping of RFC 2527 to RFC 3647
• Annex F Certification authority audit journal contents and use
• F.1 CA and RA audit journal contents and protection
• Annex G Alternative trust models
• G.1 Introduction
• G.2 Hierarchical trust model
• G.3 Non-hierarchical trust model
• G.4 Hybrid trust model
• G.5 Certificate trust levels
• G.6 Short-term certificate (STC)
• G.7 Long-term certificate (LTC)
• G.8 Monitoring considerations
• Bibliography

Kata pengantar

Sebagaimana tercantum dalam “Klausa 0 Foreword”, bahwa :

ISO (Organisasi Internasional untuk Standardisasi) adalah federasi badan standar nasional (badan anggota ISO) di seluruh dunia.

Pekerjaan mempersiapkan Standar Internasional biasanya dilakukan melalui komite teknis ISO.

Setiap badan anggota yang tertarik pada suatu topik yang untuknya komite teknis telah dibentuk berhak untuk diwakili dalam komite tersebut.

Organisasi internasional, pemerintah dan non-pemerintah, bekerja sama dengan ISO, juga ambil bagian dalam pekerjaan tersebut.

ISO bekerja sama erat dengan International Electrotechnical Commission (IEC) dalam semua masalah standardisasi elektroteknik.

Prosedur yang digunakan untuk mengembangkan dokumen ini dan yang dimaksudkan untuk pemeliharaan lebih lanjut dijelaskan dalam Arahan ISO/IEC, Bagian 1.

Secara khusus, kriteria persetujuan yang berbeda yang diperlukan untuk berbagai jenis dokumen ISO harus diperhatikan.

Dokumen ini disusun sesuai dengan aturan editorial Arahan ISO/IEC, Bagian 2 (lihat www.iso.org/directives).

Perhatian diberikan pada kemungkinan bahwa beberapa elemen dari dokumen ini dapat menjadi subyek hak paten.

ISO tidak bertanggung jawab untuk mengidentifikasi salah satu atau semua hak paten tersebut.

Rincian hak paten apa pun yang diidentifikasi selama pengembangan dokumen akan ada di Pendahuluan dan/atau pada daftar pernyataan paten ISO yang diterima (lihat www.iso.org/patents).

Setiap nama dagang yang digunakan dalam dokumen ini adalah informasi yang diberikan untuk kenyamanan pengguna dan bukan merupakan suatu dukungan.

Tersedia pula halaman Foreword – Supplementary information untuk :

• penjelasan tentang arti istilah dan ekspresi khusus ISO yang terkait dengan penilaian kesesuaian,
• informasi tentang kepatuhan ISO terhadap prinsip-prinsip WTO dalam Technical Barriers to Trade (TBT).

Penyusunan Standar

Dokumen ini disiapkan oleh :

• Technical Committee ISO/TC 68, Financial services, Subcommittee SC 2, Security,
• atau : Komite Teknis ISO/TC 68, Layanan keuangan, Subkomite SC 2, Keamanan.

Edisi kedua ini membatalkan dan menggantikan edisi pertama, ISO 21188:2006, yang telah direvisi secara teknis, dan menggabungkan ISO 15782-1:2009 dan ISO 15782-2:2001.

Perubahan utama pada edisi sebelumnya adalah:

• — Klausul 2, ISO/IEC 7811 dihapus karena merupakan standar untuk strip magnetik;
• — 3.21, ‘hold’ dihapus dari definisi ‘otoritas sertifikasi’;
• — 7.3.6 dan D.4, referensi ke ISO 15782-1, Lampiran J dihapus;
• — 7.4.1, “dilakukan oleh personel yang berwenang” diubah menjadi “dilakukan dalam proses yang dimulai oleh personel yang berwenang”;
• — semua contoh ‘harus’, ‘harus’ dan ‘mungkin’ diperiksa dan diperbarui jika perlu;
• — paragraf ditambahkan ke 5.4:
  • ‘Dua atau lebih CA dapat bergabung dengan skema umum untuk saling pengakuan, misalnya dilaksanakan oleh daftar kepercayaan. Sertifikat yang diterbitkan oleh satu CA kemudian dapat divalidasi oleh pihak yang mengandalkan yang merupakan pelanggan dari CA lain yang termasuk dalam skema tersebut.’;
• — kontrol ditambahkan ke 7.2.2:
  • ‘Manajemen CA yang bertanggung jawab harus dapat menunjukkan bahwa kebijakan keamanan informasi diterapkan dan dipatuhi.’;
• — proposal ditambahkan ke 7.2.2:
  • ‘Prosedur harus ada untuk melakukan penilaian risiko untuk mengidentifikasi, menganalisis, dan mengevaluasi risiko layanan kepercayaan, dengan mempertimbangkan masalah bisnis dan teknis. Hasil penilaian risiko harus dikomunikasikan kepada kelompok manajemen atau komite yang bertanggung jawab atas keamanan informasi dan manajemen risiko.’;
• — perubahan editorial umum.

Mengenal ISO, IEC, WTO dan TBT Agreement

ISO (International Organization for Standardization) adalah suatu organisasi atau lembaga nirlaba internasional,

Tujuan dari ISO adalah untuk membuat dan memperkenalkan standar dan standardisasi internasional untuk berbagai tujuan.

Sebagaimana ISO, IEC juga merupakan suatu organisasi standardisasi internasional yang menyusun dan menerbitkan standar-standar internasional.

Namun ruang lingkupnya adalah untuk seluruh bidang elektrik, elektronik dan teknologi yang terkait atau bidang teknologi elektro (electrotechnology).

TBT Agreement (Technical Barriers to Trade) adalah perjanjian internasional mengenai hambatan teknis perdagangan di bawah kerangka Organisasi WTO (World Trade Organization).

WTO (World Trade Organization) adalah sebuah organisasi resmi internasional yang mengatur standar sistem perdagangan bebas di dunia.

Lebih jelas mengenai ISO, IEC, WTO dan TBT Agreement dapat dibaca pada artikel lain dari standarku.com berikut :

• Mengenal organisasi ISO, standardisasi internasional
• Standar IEC
• TBT Agreement, Standar Teknis Perdagangan
• Standar World Trade Organization

Pengantar Standar

Sebagaimana tercantum dalam “Klausa 0 Introduction”, bahwa :

Lembaga dan perantara sedang membangun infrastruktur untuk menyediakan kemampuan transaksi keuangan elektronik baru bagi konsumen, perusahaan, dan entitas pemerintah.

Seiring dengan pertumbuhan volume transaksi keuangan elektronik, teknologi keamanan canggih menggunakan tanda tangan digital dan layanan kepercayaan dapat menjadi bagian dari proses transaksi keuangan.

Sistem transaksi keuangan yang menggabungkan teknologi keamanan canggih memiliki persyaratan untuk memastikan privasi, keaslian, dan integritas transaksi keuangan yang dilakukan melalui jaringan komunikasi.

Industri jasa keuangan bergantung pada beberapa metode lama untuk mengidentifikasi, mengesahkan, dan mengautentikasi entitas secara elektronik dan melindungi transaksi keuangan.

Metode ini termasuk, tetapi tidak terbatas pada, nomor identifikasi pribadi atau personal identification numbers (PIN) dan kode otentikasi pesan atau message authentication codes (MAC) untuk transaksi keuangan eceran dan grosir, ID pengguna dan kata sandi untuk akses jaringan dan komputer, dan manajemen kunci untuk konektivitas jaringan.

Selama 30 tahun terakhir, industri jasa keuangan telah mengembangkan proses dan kebijakan manajemen risiko untuk mendukung penggunaan teknologi ini dalam aplikasi keuangan.

Penggunaan layanan online di mana-mana di jaringan publik oleh industri keuangan dan kebutuhan industri secara umum untuk menyediakan sistem komputasi dan transaksi keuangan yang aman, pribadi, dan andal telah memunculkan teknologi keamanan canggih yang menggabungkan kriptografi kunci publik.

Kriptografi kunci publik memerlukan infrastruktur teknologi, manajemen, dan kebijakan yang dioptimalkan untuk bisnis (infrastruktur kunci publik atau public key infrastructure atau PKI, sebagaimana didefinisikan dalam dokumen ini) untuk memenuhi persyaratan identifikasi elektronik, otentikasi, perlindungan integritas pesan, dan otorisasi dalam sistem aplikasi keuangan.

Praktik

Penggunaan praktik standar untuk identifikasi, otentikasi, dan otorisasi elektronik dalam PKI memastikan keamanan yang lebih konsisten dan dapat diprediksi dalam sistem ini dan kepercayaan dalam komunikasi elektronik.

Keyakinan (misalnya kepercayaan) dapat dicapai ketika kepatuhan terhadap praktik standar dapat dipastikan.

Aplikasi yang melayani industri jasa keuangan dapat dikembangkan dengan tanda tangan digital dan kemampuan PKI.

Keamanan dan kesehatan aplikasi ini sebagian didasarkan pada implementasi dan praktik yang dirancang untuk memastikan integritas infrastruktur secara keseluruhan.

Pengguna sistem berbasis otoritas yang secara elektronik mengikat identitas individu dan entitas lain ke materi kriptografi (misalnya kunci kriptografi) mendapat manfaat dari sistem manajemen risiko standar dan dasar praktik yang dapat diaudit yang didefinisikan dalam dokumen ini.

Anggota ISO/TC 68 telah membuat komitmen terhadap teknologi kunci publik dengan mengembangkan standar teknis dan pedoman untuk tanda tangan digital, manajemen kunci, manajemen sertifikat, dan enkripsi data.

Dokumen ini memberikan kerangka kerja untuk mengelola PKI melalui kebijakan sertifikat, pernyataan praktik sertifikasi, tujuan pengendalian, dan prosedur pendukung.

Untuk pelaksana dokumen ini, sejauh mana setiap entitas dalam transaksi keuangan dapat mengandalkan penerapan standar infrastruktur kunci publik dan tingkat interoperabilitas antara sistem berbasis PKI yang menggunakan dokumen ini akan bergantung sebagian pada faktor-faktor yang terkait dengan kebijakan dan praktik yang ditetapkan. dalam dokumen ini.

ISO 21188:2018 Klausa 1-3

1 Scope :  Lingkup

Bagian ini sudah tercantum di bagian awal artikel ini, pada paragraf “Standar ISO 21188:2018”.

2 Normative references : Referensi normatif

Dokumen-dokumen berikut dirujuk dalam teks sedemikian rupa sehingga sebagian atau seluruh isinya merupakan persyaratan dokumen ini.

Untuk referensi bertanggal, hanya edisi yang dikutip yang berlaku. Untuk referensi yang tidak bertanggal, berlaku edisi terbaru dari dokumen yang diacu (termasuk amandemennya).

• ISO/IEC 9594-8, Information technology — Open Systems Interconnection — The Directory — Part 8: Public-key and attribute certificate frameworks
• ISO 13491-1, Financial Services — Secure cryptographic devices (retail) — Part 1: Concepts, requirements and evaluation methods
• ISO/IEC 19790, Information technology — Security techniques — Security requirements for cryptographic modules
• ISO/IEC 18032, Information technology — Security techniques — Prime number generation
• ISO/IEC 18033-1, Information technology — Security techniques — Encryption algorithms — Part 1: General
• ISO/IEC 18033-2, Information technology — Security techniques — Encryption algorithms — Part 2: Asymmetric ciphers
• ISO/IEC 18033-3, Information technology — Security techniques — Encryption algorithms — Part 3: Block ciphers
• ISO/IEC 18033-4, Information technology — Security techniques — Encryption algorithms — Part 4: Stream ciphers

3 Terms and definitions :  Istilah dan definisi

Untuk tujuan dokumen ini, istilah dan definisi berikut berlaku.

ISO dan IEC memelihara database terminologi untuk digunakan dalam standardisasi di alamat berikut:

• — Platform penjelajahan ISO Online: tersedia di https://www.iso.org/obp/3.1
• — IEC Electropedia: tersedia di http://www.electropedia.org/

Klausa 3.1 – 3.10

3.1 access point : jalur akses

titik di mana pengguna dapat terhubung ke jaringan atau fasilitas

3.2 activation data : data aktivasi

nilai data, selain kunci, yang diperlukan untuk mengoperasikan modul kriptografi

• Catatan 1 : Nilai data ini harus dilindungi.

Contoh:

• PIN, frasa sandi, biometrik, atau pembagian kunci yang dipegang secara manual.

3.3 authentication : autentikasi

ketentuan jaminan bahwa identitas yang diklaim dari suatu entitas adalah benar

• Catatan 1 : a) pada saat pendaftaran, tindakan mengevaluasi identitas entitas akhir (yaitu pelanggan) dan memverifikasi bahwa itu benar untuk penerbitan sertifikat; b) selama penggunaan, tindakan membandingkan identitas dan kredensial yang dikirimkan secara elektronik (yaitu ID pengguna dan kata sandi) dengan nilai yang disimpan untuk membuktikan identitas.

3.4 authentication data : data otentikasi

informasi yang digunakan untuk memverifikasi identitas yang diklaim dari suatu entitas, seperti individu, peran tertentu, perusahaan atau institusi

3.5 CA certificate : sertifikat CA

sertifikat kunci publik yang subjeknya adalah CA (3.21) dan yang kunci pribadi terkaitnya digunakan untuk menandatangani sertifikat dan informasi terkait CA lainnya (misalnya, tanggapan CRL, OCSP)

3.6 card bureau : biro kartu

agen CA (3.21) atau RA (3.49) yang mempersonalisasi ICC (3.35) yang berisi kunci pribadi pelanggan (minimal)

3.7 cardholder : pemegang kartu

tunduk pada siapa kartu sirkuit terpadu yang berisi pasangan kunci privat dan publik dan sertifikat (3.8) telah diterbitkan

3.8 certificate : sertifikat

kunci publik dan identitas entitas (data otentikasi (3.4)), bersama dengan beberapa informasi lain, tidak dapat dipalsukan dengan menandatangani informasi sertifikat dengan kunci pribadi dari otoritas sertifikasi yang mengeluarkan sertifikat kunci publik tersebut

3.9 certificate suspension : penangguhan sertifikat

certificate hold : pemegang sertifikat

penangguhan validitas sertifikat (3.8)

3.10 certificate issuer : penerbit sertifikat

organisasi yang namanya muncul di bidang penerbit sertifikat (3.8)

Klausa 3.11 – 3.22

3.11 certificate management : manajemen sertifikat

pengelolaan sertifikat kunci publik yang mencakup siklus hidup lengkap dari fase inisialisasi hingga fase penerbitan hingga fase pembatalan

3.12 certificate manufacturer : produsen sertifikat

agen yang melakukan tugas menerapkan tanda tangan digital ke permintaan penandatanganan sertifikat atas nama penerbit sertifikat (3.10)

3.13 certificate policy (CP) : kebijakan sertifikat

seperangkat aturan bernama yang menunjukkan penerapan sertifikat untuk komunitas tertentu dan/atau kelas aplikasi dengan persyaratan keamanan umum

3.14 certificate profile : profil sertifikat

spesifikasi format yang diperlukan (termasuk persyaratan untuk penggunaan bidang standar dan ekstensi) untuk jenis sertifikat tertentu (3.8)

3.15 certificate rekey : rekey sertifikat

proses dimana entitas dengan pasangan kunci dan sertifikat yang ada (3.8) menerima sertifikat baru untuk kunci publik baru, mengikuti pembuatan pasangan kunci baru

3.16 certificate renewal : perpanjangan sertifikat

rollover : berputar

menerbitkan entitas dengan versi baru dari sertifikat yang ada dengan masa berlaku baru

3.17 certificate revocation list (CRL) : daftar pencabutan sertifikat

daftar sertifikat yang dicabut (3.8)

3.18 certificate validation service : layanan validasi sertifikat

layanan yang disediakan oleh CA (3.21) atau agennya yang melakukan tugas mengonfirmasi validitas sertifikat (3.8) kepada pihak yang mengandalkan (3.52)

3.19 certificate validation service provider (CVSP) : penyedia layanan validasi sertifikat

entitas (3.32) yang menyediakan layanan validasi sertifikat kepada pelanggan pihak yang mengandalkannya

3.20 certification : sertifikasi

pembuatan sertifikat kunci publik untuk suatu subjek (3.58)

3.21 certification authority (CA) : otoritas sertifikasi

entitas (3.32) dipercaya oleh satu atau lebih entitas untuk membuat, menetapkan, dan mencabut sertifikat kunci publik

3.22 certification path : jalur sertifikasi

urutan sertifikat entitas yang berurutan yang, bersama dengan kunci publik entitas awal di jalur, dapat diproses untuk mendapatkan kunci publik entitas akhir di jalur

Klausa 3.23 – 3.32

3.23 certification practice statement (CPS) : pernyataan praktik sertifikasi

pernyataan praktik yang digunakan oleh otoritas sertifikasi (3.21) dalam menerbitkan, mengelola, mencabut dan memperbarui sertifikat dan yang mendefinisikan peralatan, kebijakan dan prosedur yang digunakan CA untuk memenuhi persyaratan yang ditentukan dalam kebijakan sertifikat yang didukung olehnya

3.24 certification request : permintaan sertifikasi

pengajuan permintaan pendaftaran yang divalidasi oleh RA (3.49), agennya atau subjek ke CA (3.21) untuk mendaftarkan kunci publik subjek untuk ditempatkan dalam sertifikat (3.8)

3.25 certification response : tanggapan sertifikasi

pesan dikirim, mengikuti sertifikasi, dari CA (3.21) sebagai tanggapan atas permintaan sertifikat

3.26 certificate validity : validitas sertifikat

validity : keabsahan

penerapan (kesesuaian untuk penggunaan yang dimaksudkan) dan status (valid, tidak diketahui, dicabut atau kedaluwarsa) sertifikat (3.8)

3.27 compromise : kompromi

pelanggaran keamanan sistem sehingga modifikasi pengungkapan yang tidak sah atau pemalsuan informasi sensitif dapat terjadi

3.28 cross certification : sertifikasi silang

sertifikasi timbal balik dari kunci publik masing-masing oleh dua CA (3.21)

• Catatan 1: Proses ini mungkin atau mungkin tidak otomatis.

3.29 cryptographic hardware : perangkat keras kriptografi

cryptographic device : perangkat kriptografi

hardware security module : modul keamanan perangkat keras

hardware cryptographic module : modul kriptografi perangkat keras

perangkat keras yang menyediakan serangkaian layanan kriptografi yang aman, mis. pembuatan kunci, pembuatan kriptogram, terjemahan PIN, dan penandatanganan sertifikat

3.30 digital signature : tanda tangan digital

transformasi kriptografi yang, bila dikaitkan dengan unit data, menyediakan layanan integritas data keaslian asal dan penandatangan non-penyangkalan

3.31 end entity : entitas akhir

subjek sertifikat yang menggunakan kunci pribadinya untuk tujuan selain menandatangani sertifikat

3.32 entity : kesatuan

orang, kemitraan, organisasi atau bisnis yang memiliki keberadaan yang sah dan dapat diidentifikasi secara terpisah

Contoh:

• Badan hukum atau individu atau entitas akhir (3.31), seperti otoritas sertifikasi (3.21), otoritas registrasi (3.49) atau entitas akhir (3.31).

Klausa 3.33 – 3.42

3.33 audit journal : jurnal audit

audit log : log audit

event journal : jurnal acara

catatan kronologis aktivitas sistem yang cukup untuk memungkinkan rekonstruksi, peninjauan, dan pemeriksaan urutan lingkungan dan aktivitas di sekitar atau yang mengarah ke setiap peristiwa di jalur transaksi dari awal hingga keluaran hasil akhir

3.34 functional testing : pengujian fungsional

bagian dari pengujian keamanan di mana fitur sistem yang diiklankan diuji untuk operasi yang benar

3.35 integrated circuit card (ICC) : kartu sirkuit terpadu

kartu yang telah dimasukkan satu atau lebih komponen elektronik dalam bentuk sirkuit mikro untuk melakukan fungsi pemrosesan dan memori

3.36 issuing CA : menerbitkan CA

CA (3.21) yang menerbitkan sertifikat dalam konteks sertifikat tertentu (3.8)

3.37 key escrow : escrow kunci

fungsi manajemen yang memungkinkan akses oleh pihak yang berwenang ke kunci penyandian pribadi yang direplikasi

3.38 key recovery : pemulihan kunci

kemampuan untuk memulihkan kunci pribadi entitas atau kunci penyandian simetris dari penyimpanan aman jika kunci tersebut hilang, rusak, atau menjadi tidak tersedia

3.39 multiple control : kontrol ganda

kondisi di mana dua (ganda) atau lebih pihak secara terpisah dan rahasia memiliki hak asuh komponen kunci tunggal yang, secara individual, tidak menyampaikan pengetahuan tentang kunci kriptografi yang dihasilkan

3.40 object identifier (OID) :pengenal objek

serangkaian bilangan bulat unik yang secara jelas mengidentifikasi objek informasi

3.41 online certificate status mechanism : mekanisme status sertifikat online

mekanisme yang memungkinkan pihak yang mengandalkan (3.52) untuk meminta dan memperoleh informasi status sertifikat tanpa memerlukan penggunaan CRL (3.17)

3.42 online certificate status protocol (OCSP) : protokol status sertifikat online

protokol untuk menentukan status sertifikat saat ini sebagai pengganti atau sebagai pelengkap pemeriksaan terhadap CRL berkala (3.17) dan yang menetapkan data yang perlu dipertukarkan antara aplikasi yang memeriksa status sertifikat dan server yang menyediakan status tersebut

Klausa 3.43 – 3.48

3.43 operating period : periode operasi

periode sertifikat yang dimulai pada tanggal dan waktu sertifikat tersebut diterbitkan oleh CA (3.21) (atau pada tanggal dan waktu berikutnya, jika dinyatakan dalam sertifikat), dan berakhir pada tanggal dan waktu sertifikat tersebut kedaluwarsa atau dicabut

3.44 PKI disclosure statement : Pernyataan pengungkapan PKI

dokumen yang melengkapi CP (3.13) atau CPS (3.23) dengan mengungkapkan informasi penting tentang kebijakan dan praktik CA (3.21)/PKI (3.48)

• Catatan 1 : Pernyataan pengungkapan PKI adalah sarana untuk mengungkapkan dan menekankan informasi yang biasanya dicakup secara rinci oleh dokumen CP dan/atau CPS terkait. Akibatnya, tidak dimaksudkan untuk menggantikan CP atau CPS.

3.45 policy authority (PA) : otoritas kebijakan

pihak atau badan dengan otoritas dan tanggung jawab final untuk menetapkan kebijakan sertifikat (3.13) dan memastikan praktik dan kontrol CA (3.21) sebagaimana didefinisikan oleh CPS (3.23) sepenuhnya mendukung kebijakan sertifikat yang ditentukan

3.46 policy mapping : pemetaan kebijakan

pengakuan bahwa ketika CA (3.21) di satu domain mensertifikasi CA di domain lain, kebijakan sertifikat tertentu (3.13) di domain kedua dapat dianggap oleh otoritas domain pertama setara (tetapi tidak harus identik dalam segala hal ) ke kebijakan sertifikat tertentu di domain pertama

• Catatan 1 : Lihat sertifikasi silang (3.28).

3.47 policy qualifier : kualifikasi kebijakan

informasi yang bergantung pada kebijakan yang menyertai pengidentifikasi kebijakan sertifikat (3.13) dalam sertifikat X.509

3.48 public key infrastructure  (PKI) : infrastruktur kunci publik

struktur perangkat keras, perangkat lunak, orang, proses, dan kebijakan yang menggunakan teknologi tanda tangan digital untuk memfasilitasi asosiasi yang dapat diverifikasi antara komponen publik dari pasangan kunci publik asimetris dengan pelanggan tertentu yang memiliki kunci pribadi yang sesuai

• Catatan 1 : Kunci publik dapat diberikan untuk verifikasi tanda tangan digital, otentikasi subjek dalam dialog komunikasi, dan/atau untuk pertukaran atau negosiasi kunci enkripsi pesan

Klausa 3.49 – 3.59

3.49 registration authority (RA) : Otoritas Registrasi

entitas yang peran dan tanggung jawab fungsional utamanya mencakup validasi identitas subjek untuk menyetujui permintaan sertifikat (3.24) yang diserahkan ke CA (3.21)

• Catatan 1 : RA dapat membantu dalam proses aplikasi sertifikat, proses pencabutan atau keduanya. RA tidak perlu menjadi badan yang terpisah, tetapi dapat menjadi bagian dari CA.

3.50 registration request : permintaan pendaftaran

pengajuan oleh entitas ke RA (3.49) (atau CA (3.21)) untuk mendaftarkan kunci publik entitas dalam sertifikat

3.51 registration response : tanggapan pendaftaran

pesan yang dikirim oleh RA (3.49) (atau CA (3.21)) ke entitas sebagai tanggapan atas permintaan pendaftaran

3.52 relying party (RP) : pihak yang mengandalkan

penerima sertifikat yang bertindak dengan mengandalkan sertifikat itu, tanda tangan digital yang diverifikasi menggunakan sertifikat itu, atau keduanya

3.53 relying party agreement (RPA) : perjanjian pihak yang mengandalkan

pernyataan yang mengikat secara hukum yang diberikan oleh CA (3.21) tentang tanggung jawab yang diharapkan antara pihak yang mengandalkan, subjek, dan CA

• Catatan 1 : RPA mungkin disertakan dalam CPS (3.23) atau disediakan sebagai satu atau lebih dokumen eksternal.

3.54 repository : gudang

sistem untuk penyimpanan dan distribusi sertifikat dan informasi terkait

Contoh:

• Penyimpanan sertifikat, distribusi sertifikat, kebijakan sertifikat (3.13) penyimpanan dan pengambilan, status sertifikat.

3.55 root CA : akar CA

trust anchor : jangkar kepercayaan

CA (3.21) di puncak hierarki CA

3.56 signature validation : validasi tanda tangan

verifikasi dan konfirmasi bahwa tanda tangan digital valid

• Catatan 1 : Lihat juga validitas sertifikat (3.26).

3.57 signature verification : verifikasi tanda tangan

memeriksa nilai kriptografi tanda tangan menggunakan data

3.58 subject : subjek

entitas yang memiliki pasangan kunci asimetris dan juga dapat menjadi pihak yang mengandalkan (3.52)

3.59 subject CA : subjek CA

CA (3.21) yang disertifikasi oleh CA penerbit (3.36) dan karenanya mematuhi kebijakan sertifikat (3.13) dari CA penerbit

Klausa 3.60 – 3.67

3.60 subordinate CA : CA bawahan

sub-CA : sub-CA

intermediate CA : CA menengah

CA (3.21) yang lebih rendah relatif terhadap CA lain dalam hierarki CA

3.61 subscriber : pelanggan

entitas yang berlangganan dengan otoritas sertifikasi (3.21) atas nama satu atau lebih subjek

3.62 superior CA : CA unggul

CA (3.21) yang lebih tinggi relatif terhadap CA bawahan lain (3.60) dalam hierarki CA, tetapi bukan CA root (3.55)

3.63 tamper-evident : terbukti rusak

memberikan bukti bahwa serangan telah dicoba

3.64 tamper-resistant : tahan kerusakan

memberikan perlindungan fisik pasif terhadap serangan

3.65 trusted role : peran terpercaya

fungsi pekerjaan yang menjalankan fungsi kritis yang, jika dilakukan dengan tidak memuaskan, dapat berdampak buruk pada tingkat kepercayaan yang diberikan oleh CA (3.21)

3.66 trust services provider (TSP) : penyedia layanan kepercayaan

organisasi yang disetujui (sebagaimana ditentukan oleh peserta kontrak) yang menyediakan layanan kepercayaan, melalui sejumlah otoritas sertifikasi (3.21), kepada pelanggan mereka yang dapat bertindak sebagai pelanggan atau pihak yang mengandalkan (3.52)

• Catatan 1 : Penyedia layanan kepercayaan juga dapat menyediakan layanan validasi sertifikat.

3.67 validation service request : permintaan layanan validasi

pertanyaan oleh pihak yang mengandalkan (3.52) ke layanan validasi untuk memeriksa validitas sertifikat (3.8)

Daftar Pustaka atau Bibliography :

1-15

• [1] ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls
• [2] RFC 822, Standard for the format of ARPA Internet text messages, Internet Request for Comments 822, D. Croker, August 1982
• [3] RFC 2459, Internet X.509 Public Key Infrastructure Certificate and CRL Profile, Internet Request for Comments 2459, R. Housley, W. Ford, W. Polk, D. Solo, January 1999
• [4] RFC 2527, Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, Internet Request for Comments 2527, S. Chokhani, W. Ford, March 1999
• [5] RFC 2560, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP, Internet Request for Comments 2560, M. Myers, R. Ankney, A. Malpani, S. Galperin, C. Adams, June 1999
• [6] RFC 3647, Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, Internet Request for Comments 3647, S. Chokhani, W. Ford, R. Sabett, C. Merrill, S. Wu, November 2003
• [7] Federal Information Processing Standard 140-2, Security Requirements for Cryptographic Modules, 2001
• [8] ETSI TS 102 042 V2.4.1 (2013-02), Policy Requirements for Certification Authorities Issuing Public Key Certificates
• [9] WebTrust for Certification Authorities www.webtrust.org WebTrust Principles and Criteria for Certification Authorities v2.0
• [10  Certificate Authority Browser Forum (CAB Forum) https://cabforum.org
• [11 Guidelines For The Issuance And Management Of Extended Validation Certificates, CA/Browser Forum, v1.6.0, © 2007-2016 https://cabforum.org/extended-validation/
• [12] Guidelines For The Issuance And Management Of Extended Validation Code Signing Certificates, CA/Browser Forum, v1.3, © 2007-2014 https://cabforum.org/ev-code-signing-certificate-guidelines
• [13] ISO/IEC 8824, Information technology — Abstract Syntax Notation One (ASN.1) (parts 1 to 4)
• [14] ISO/IEC 10118-3, Information technology — Security techniques — Hash-functions — Part 3: Dedicated hash-functions
• [15] ISO/TR 13569, Financial services — Information security guidelines

16-30

• [16] ISO/IEC 15945, Information technology — Security techniques — Specification of TTP services to support the application of digital signatures
• [17] ETSI TS 101 456 V1.4.3 (2007-05), Policy Requirements for Certification Authorities Issuing Qualified Certificates
• [18] CWA 14168, Secure Signature-Creation Devices “EAL4”
• [19] CWA 14169, Secure Signature-Creation Devices “EAL4+”
• [20] CWA 14170, Security requirements for signature creation applications
• [21] Guidelines Digital Signature, Legal Infrastructure for Certification Authorities and Secure Electronic Commerce, August 1, 1996
• [22] Assessment Guidelines PKI, 2002
• [23] ISO/IEC 7810, Identification cards — Physical characteristics
• [24] ISO/IEC 7813, Information technology — Identification cards — Financial transaction cards
• [25] ISO/IEC 7816, Identification cards — Integrated circuit cards
• [26] ISO/IEC 9834-1:2012, Information technology — Procedures for the operation of object identifier registration authorities: General procedures and top arcs of the international object identifier tree — Part 1
• [27] ISO/IEC 10646-1, Information technology — Universal Multiple-Octet Coded Character Set (UCS) — Part 1: Architecture and Basic Multilingual Plane
• [28] ISO/IEC 15408, Information technology — Security techniques — Evaluation criteria for IT security
• [29] ISO 18014-2, Information technology — Security techniques — Time-stamping services — Part 2: Mechanisms producing independent tokens
• [30] ISO 18014-3, Information technology — Security techniques — Time-stamping services — Part 3: Mechanisms producing linked tokens

Penutup

Demikian artikel dari standarku.com mengenai Standar ISO 21188:2018.

Mohon saran dari pembaca untuk kelengkapan isi artikel ini, silahkan saran tersebut dapat disampaikan melalui kolom komentar.

Baca artikel lain :

• International Organization for Standardization
• Memahami apa itu Standar ISO
• Memahami Standard atau Standar

Sumber referensi :

• https://www.iso.org/obp/ui/#iso:std:iso:21188:ed-2:v1:en
• https://www.iso.org/standard/63134.html