§ 15 Vyhláška k provedení zákona o občanských průkazech a některých ustanovení zákona o cestovních dokladech a zákona o základních registrech – Autentizační certifikát a jemu odpovídající kryptografické klíče

§ 15 Autentizační certifikát a jemu odpovídající kryptografické klíče (1) Autentizační certifikát slouží k autentizaci držitele občanského průkazu při dálkovém přístupu k informačnímu systému nebo elektronické aplikaci. (2) Autentizační certifikát musí být vydán kvalifikovaným poskytovatelem služeb vytvářejících důvěru. (3) Autentizační certifikát se musí vytvářet a užívat s využitím hashovací funkce SHA-2 v souladu se standardem FIPS PUB 180-4: Secure Hash Standard ze srpna 2015 a s využitím algoritmu RSA v souladu se standardem PKCS #1 v2.1: RSA Cryptography Standard ze dne 14. června 2002 nebo s využitím algoritmu ECC v souladu se standardy FIPS Publication 186-4 (July 2013): Digital Signature Standard (DSS) a IETF RFC 5753: Use of Elliptic Curve Cryptography (ECC) Algorithms in Cryptographic Message Syntax (CMS). (4) Autentizační certifikát se musí vytvářet, ukládat a užívat ve formátu stanoveném v souladu se standardem RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile z května 2008. (5) Délka hashe hashovací funkce SHA-2 musí být v souladu s doporučením uvedeným v technické specifikaci ETSI TS 119 312 V1.3.1: Electronic Signatures and Infrastructures (ESI); Cryptographic Suites. (6) V autentizačním certifikátu se musí uvést a) údaje o držiteli občanského průkazu, kterými jsou 1. jméno, popřípadě jména, a příjmení a 2. zvláštní znaky, vyžaduje-li to účel autentizačního certifikátu, b) údaje o vydavateli autentizačního certifikátu, kterými jsou 1. obchodní firma nebo název nebo jméno, popřípadě jména, a příjmení a 2. stát, ve kterém sídlí, a c) údaje o autentizačním certifikátu, kterými jsou 1. číslo jedinečné u vydavatele autentizačního certifikátu a 2. počátek a konec platnosti. (7) Kryptografické klíče odpovídající autentizačnímu certifikátu se musí vytvářet a užívat podle a) algoritmu RSA v souladu se standardem PKCS #1 v2.1: RSA Cryptography Standard ze dne 14. června 2002 nebo b) algoritmu ECC v souladu se standardy FIPS Publication 186-4 (July 2013): Digital Signature Standard (DSS) a IETF RFC 5753: Use of Elliptic Curve Cryptography (ECC) Algorithms in Cryptographic Message Syntax (CMS). (8) Délka kryptografických klíčů odpovídajících autentizačnímu certifikátu musí být v souladu s doporučením uvedeným v technické specifikaci ETSI TS 119 312 V1.3.1: Electronic Signatures and Infrastructures (ESI); Cryptographic Suites.