الدخول من خلال النفاذ الوطني الموحد
تعد الهيئة الوطنية للأمن السيبراني الجهة المختصة في المملكة العربية السعودية بالأمن السيبراني، والمرجع الوطني في شؤونه، وتهدف الى تعزيزه؛ حمايةً للمصالح الحيوية للدولة وأمنها الوطني والبنى التحتية الحساسة والقطاعات ذات الأولوية العالية والخدمات والأنشطة الحكومية وذلك كما ورد في تنظيم الهيئة الصادر بالأمر الملكي الكريم رقم 6801، وتاريخ 11/2/1439هـ. وقد اشتمل تنظيم الهيئة على اختصاصها بوضع السياسات والمعايير الوطنية للتشفير، وتحديثها، ومتابعة الالتزام بها.
ومن هذا المنطلق، قامت الهيئة الوطنية للأمن السيبراني بإصدار وثيقة المعيار الوطني للتشفير للجذر السعودي ومزودي خدمات إصدار الشهادات الرقمية (NSCA-1:2025) وذلك بهدف وضع الحد الأدنى لمتطلبات التشفير للجذر السعودي ومزودي خدمات إصدار الشهادات الرقمية. وتهدف هذه المعايير الى تسهيل التعرف وتوثيق وحماية الجهات والمستخدمين والبيانات والأنظمة والشبكات الوطنية. وتوضح هذه الوثيقة معايير التشفير الخاصة بإدارة الشهادات الرقمية وأحدث تطبيقاتها، وإدارة دورة المفاتيح، والأمن المادي.
إن وثيقة المعايير هذه تسلط الضوء على تفاصيل معايير التشفير للجذر السعودي ومزودي خدمات إصدار الشهادات الرقمية (NSCA-1:2025). تم اعداد وبناء هذه الوثيقة استنادًا على أحدث وثيقة للمعايير الوطنية للتشفير (NCS-1:2020) وهي متوافقة معها بشكل كامل .
قامت الهيئة الوطنية للأمن السيبراني (ويشار لها في هذه الوثيقة بـ "الهيئة") بإصدار المعيار الوطني للتشفير للجذر السعودي ومزودي خدمات إصدار الشهادات الرقمية (NSCA-1:2025) بعد دراسة معايير وأطر عمل دولية للتشفير، ودراسة متطلبات التشريعات والتنظيمات والقرارات الوطنية ذات العلاقة، وبعد الاطلاع على أفضل الممارسات والتجارب في مجال التشفير والاستفادة منها.
يهدف المعيار الوطني للتشفير للجذر السعودي ومزودي خدمات إصدار الشهادات الرقمية لوضع الحد الأدنى من متطلبات التشفير التقنية والإجرائية التي يجب الالتزام بها من قبل الجذر السعودي ومزودي خدمات إصدار الشهادات الرقمية (ويشار لها في هذه الوثيقة بـ "هيئة الشهادات"). كما تعد هذه الوثيقة استكمالًا لوثيقة المعايير الوطنية للتشفير فيما يتعلق بجوانب إدارة الشهادات الرقمية وتطبيقاتها المشتركة، وإدارة دورة حياة المفاتيح، والأمن المادي. . وعليه، فان هذه الوثيقة تفترض الالتزام المسبق للمعايير الوطنية للتشفير.
على الرغم من ان هذه الوثيقة تحدد الحد الأدنى المقبول لمتطلبات التشفير، فإنه من المهم جداً أن يضمن الملتزمون بهذا المعيار التطبيق الصحيح والآمن لها، وذلك لتفادي الثغرات الناتجة عن أخطاء التطبيق. سيتم تحديث هذه الوثيقة عند الحاجة بحسب المستجدات في مجال التشفير. ويلغي كل إصدار جديد من هذه الوثيقة كافة الإصدارات السابقة.
يهدف المعيار الوطني للتشفير للجذر السعودي ومزودي خدمات إصدار الشهادات الرقمية إلى:
ينطبق هذا المعيار على الجهات الحكومية والخاصة داخل المملكة العربية السعودية المشارِكة في بنية المفاتيح العامة التحتية الوطنية (PKI) وتشمل مصدري الشهادات الجذرية، والثانوية (CAs) والتي تُصدر وتُخزن وتدير الشهادات الرقمية؛ والمشار اليها في هذه الوثيقة بـ "الجهة". عند الإشارة للمعايير الوطنية للتشفير، ستكون الإشارة الى اخر نسخة محدثة من وثيقة المعايير الوطنية للتشفير.
تم تطوير هذا المعيار لتحديد متطلبات التشفير اللازمة في عمليات التشغيل لمزودي خدمات إصدار الشهادات الرقمية والمنشآت ذات العلاقة بها والتي تعمل في بنية المفاتيح العامة التحتية الوطنية (PKI). يوضح المعيار الحد الأدنى من متطلبات التشفير لتحقق بيئة آمنة لمزودي خدمات إصدار الشهادات الرقمية، وإدارة دورة حياة الشهادات الرقمية، وحماية أصول التشفير، والحفاظ على قابلية المراجعة. يجب على الشهادات الجذرية، والثانوية (CAs) الالتزام بجميع المتطلبات المذكورة في هذه الوثيقة.
تشجع الهيئة الجهات على تبني إجراءات أمنية وتشغيلية أخرى إضافية على ما تم ذكره في هذه الوثيقة بما يتناسب مع مستوى المخاطر الخاص بهم وذلك لتحسين وتعزيز صمود عملياتهم.
شكل (1) يوضح الاجزاء الرئيسية لهذه الوثيقة (يمكن الرجوع للملف المرفق للصورة)
شكل (1) أجزاء الوثيقة (يمكن الرجوع للملف المرفق للصورة)
جدول (1) يستعرض الأجزاء الفرعية للمعيار الوطني للتشفير لهيئة شهادات الامن السيبراني (يمكن الرجوع للملف المرفق للصورة)
هيكلة ترميز الوثيقة
شكل (2) يستعرض مخطط ترميز وثيقة المعايير ويليه شكل (3) يبين مخطط ترميز بنود المعايير في الوثيقة: (يمكن الرجوع للملف المرفق للصورة)
شكل (2) مخطط ترميز وثيقة المعايير (يمكن الرجوع للملف المرفق للصورة)
تفاصيل المعيار الوطني للتشفير للجذر السعودي ومزودي خدمات إصدار الشهادات الرقمية (NSCA)
1 الشهادات الرقمية
1.1 التدقيق والتسجيل
1.1 يجب تسجيل كل الأحداث المرتبطة بدورة حياة الشهادات الرقمية بشكل مناسب وآمن يمكّن من التتبع والتدقيق، وتشمل طلب الشهادات، وتوليدها، وتجديدها، وتعديلها، وإلغائها، وانتهاء صلاحيتها.
1.1 يجب ألا تقل مدة الاحتفاظ بسجلات التدقيق عن 24 شهراً.
1.1 يجب تخزين سجلات التدقيق بشكل آمن، وأخذ نسخ احتياطية كاملة وحفظ هذه النسخ في مكان احتياطي مناسب حسب ما ذكر في القسم رقم 3,2 من هذه الوثيقة.1.2 هيكلية الشهادات والحقول المطلوبة
1.2.1 يجب أن تمتثل الشهادات الرقمية مع صيغة وامتدادات الشهادة القياسية (Standard Certificate Extensions) كما ورد في X.509 v3.
1.3 اتفاقيات التسمية
يجب ترميز حقل المُصدِّر في الشهادات تماماً كما تم ترميزه في اسم المُصدَّر له في شهادة الجذر الموقِّعة، وذلك لتفادي التعقيدات المرتبطة بسلسلة الأسماء وتطبيق قيودها.
يجب ان يكون ترميز القيود المفروضة على الأسماء موحداً ضمن مسار شهادة الجذر. كما يجب ان يتم مقارنة قيود الأسماء المذكورة في شهادة الجذر مع حقل المُصدِّر في مسار الشهادة وذلك لضمان التطبيق الصحيح. 1.4 الخوارزميات المقبولة
1.4.1 يجب أن تكون الخوارزميات المستخدمة في توليد مفاتيح مالك الشهادة، والمستخدمة في إنشاء وتوقيع الشهادات الرقمية، ملتزمة ومتوافقة مع المعايير الوطنية للتشفير.
1.4.2 يجب دعم جميع خوارزميات التشفير المقبولة والمذكورة في معايير التشفير الوطنية الخاصة بتوليد ونشر الشهادات الرقمية، وذلك لتمكين المستفيدين من التحقق من الشهادات والتواصل مع ملاكها باستخدام أياً من الخوارزميات المقبولة. 1.5 التحقق وتوثيق هوية ملّاك الشهادة
1.5.1 يجب أن يتم التحقق من هوية مقدم الطلب على الشهادة قبل إصدار الشهادة حسب التالي:
1.5.1.1 في حال أن مقدم الطلب شخص، يجب أن يتم التحقق على الأقل باستخدام وثائق هوية مقدم الطلب الرسمية.
1.5.1.2 في حال أن مقدم الطلب جهة، يجب أن يتم التحقق على الأقل باستخدام الوثائق القانونية الخاصة بالجهة بالإضافة الى بيانات المصادقة (الهوية) للشخص المقدم للطلب.
1.5.2 يجب أن يتم التحقق من أن مقدم الطلب يحمل المفتاح الخاص المتوافق مع المفتاح العام، خلال عملية طلب الشهادة.1.6 توليد وإصدار الشهادة
1.6.1 يجب أن يتم التحقق من صلاحيات مالك الشهادة المرشح لامتلاك الشهادة وسلامة البيانات الواردة في طلب إصدار الشهادة. كما يجب التحقق من جميع البيانات التي تم استلامها من مالك الشهادة المحتمل قبل تضمينها في الشهادة.
1.6.2 يجب إنشاء وتوقيع شهادة حال استيفاء جميع متطلبات الشهادة.
1.6.3 يجب إبلاغ مالك الشهادة فور توليدها، وإتاحتها لمالك الشهادة. ويجب الاحتفاظ بسجل يحتوي على إقرار مالك الشهادة باستلامها. فيما يخص الشهادات المخصصة للأجهزة، يجب على مزود خدمات إصدار الشهادات الرقمية أن يبلغ الفرد المسؤول عن الجهاز وكذلك الجهة المالكة للجهاز.1.7صلاحية الشهادة
1.7.1 يجب ان تكون مدة صلاحيات الشهادات الرقمية متوافقة وممتثلة مع فترات الصلاحية المحددة في المعايير الوطنية للتشفير.
1.7.2 يجب أن يتم الاحتفاظ بأرشيف يحتوي على جميع الشهادات الرقمية التي تم إصدارها آخر خمس سنوات، شاملاً الشهادات منتهية الصلاحية والملغاة، وذلك لإتاحة التحقق من العمليات التي تمت خلال فترة صلاحية الشهادة.1.8 إيصال شهادة الجذر
1.8.1 يجب أن تنقل شهادة الجذر الموقعة ذاتياً إلى الأطراف الناقلة بشكل آمن وذلك لمنع هجمات الاستبدال (Substitution Attacks). وتشمل طرق النقل المقبولة التالي
1.8.1.1 النقل الآمن للشهادة باستخدام آلية آمنة (Out-of-Band) لنقل البيانات. على سبيل المثال، تضمين قائمة شهادات الجذر ضمن قائمة الشهادات الموثوقة في أنظمة التشغيل أو متصفح الويب.
1.8.1.2 تحميل الشهادة من موقع إنترنت بشكل مشفر وموثق حسب ما ذكر بمعايير التشفير الوطنية وذلك باستخدام شهادة سارية الصلاحية. في هذه الحالة، يجب أن يتم التحقق من قيمة الاختزال (Hash Value) الخاصة بشهادة الجذر من خلال مقارنتها بقيمة الاختزال التي تم إتاحتها عبر قناة آمنة وموثوقة خارج النطاق (Out-of-Band).
1.9 تجديد الشهادات وتعديلها، وإعادة إصدارها باستخدام مفاتيح جديدة
1.9.1 يمكن تجديد الشهادة فقط إذا كانت مفاتيح مالك الشهادة لا تزال سارية الصلاحية ومتوافقة مع فترة الصلاحية المحددة في المعايير الوطنية للتشفير.
1.9.2 يجب ألا تتجاوز فترة صلاحية الشهادة المجددة فترة صلاحية مفاتيح مالك الشهادة.
1.9.3 يجب إعادة إصدار الشهادة باستخدام مفاتيح جديدة في الحالات التالية:
1.9.3.1 بلوغ الحد الأقصى لفترة استخدام المفاتيح.
1.9.3.2 انكشاف أو فقدان المفتاح الخاص بمالك الشهادة.
1.9.4 يجب ألا يتجاوز تاريخ انتهاء الصلاحية المحدث للشهادة المعدلة تاريخ انتهاء صلاحية مفاتيح مالك الشهادة.
1.9.5 يجب التحقق من استخدام مفاتيح تم توليدها حديثاً في حال تم إعادة إصدار الشهادة باستخدام مفاتيح جديدة أو تم التعديل على الشهادة بشكل يشمل تغيير مفتاح مالك الشهادة العام.1.10إلغاء الشهادة
1.10.1 يجب إلغاء الشهادة في كل من الحالات التالية:
1.10.1.1 التعديل على الشهادة أو إعادة إصدار الشهادة باستخدام مفاتيح جديدة.
1.10.1.2 فقد الارتباط بين الشهادة وهيئة الشهادات المُصدرة لها.
1.10.1.3 مخالفة الضوابط والشروط التي وُضعت من قبل هيئة الشهادات.
1.10.2 يجب أن يتم إلغاء الشهادة من قبل هيئة الشهادات المُصدّرة لها، أو من طرف ثالث مخول من قبل ذات هيئة الشهادات فقط.
1.10.3 يجب أن يتم إلغاء الشهادة باستخدام أحد الطرق الثلاثة التالية: قائمة إلغاء الشهادات (CRL)، بروتوكول حالة الشهادة عبر الإنترنت (OCSP)، أو طريقة مزدوجة تجمع بين (CRL) و(OCSP).
1.10.4 في حال إلغاء الشهادة باستخدام قائمة إلغاء الشهادات (CRL)، يجب:
1.10.4.1 أن يكون مُصَدّر قائمة إلغاء الشهادات هو هيئة الشهادات المصدرة لها أو طرف آخر مخول من قبل ذات الهيئة لإصدار قائمة الغاء الشهادات.
1.10.4.2 أن يكون مفتاح توقيع قائمة إلغاء الشهادات مختلفاً عن المفتاح المستخدم من قبل هيئة الشهادات المصدرة لتوقيع الشهادات.
1.10.4.3 تأمين الاتصال بين الخادم الخاص بقائمة إلغاء الشهادات والطرف الطالب للشهادة من حيث السرية والموثوقية حسب ما ورد في المعايير الوطنية للتشفير.
1.10.4.4 أن يقوم مُصَدّر قائمة إلغاء الشهادات بتوليد قائمة دورية موقعة تحتوي على الأرقام التسلسلية للشهادات الملغاة. ويجب نشر هذه القائمة لتكون متاحة لجميع المستخدمين والأجهزة.
1.10.4.5 أن تحتوي قائمة إلغاء الشهادات على طابع زمني (Timestamp) يشير إلى وقت التحديث الأخير، المذكور في القسم 1,14 من هذه الوثيقة.
1.10.4.6 إصدار قائمة إلغاء شهادات (CRL) جديدة بشكل دوري. على ان لا تتجاوز الفترة شهرا واحدا للشهادات الثانوية (CAs) و12 شهرا للشهادة الجذرية (CA)
1.10.4.7 تحديث قائمة إلغاء الشهادات خلال 12 ساعة كحد أقصى بعد كل عملية إلغاء شهادة.
1.10.4.8 إزالة الشهادات الملغاة من قائمة إلغاء الشهادات عند انتهاء فترة صلاحيتها.
1.10.4.9 إتاحة قائمة إلغاء الشهادات عبر الإنترنت للأجهزة الطرفية التي تستخدم الشهادات الرقمية.
1.10.5 في حال إلغاء الشهادة باستخدام بروتوكول حال الشهادة عبر الإنترنت (OCSP)، يجب:
1.10.5.1 تأمين الاتصال بين الخادم الخاص ببروتوكول حال الشهادة عبر الإنترنت والطرف الطالب من حيث السرية والموثوقية حسب ما ورد في المعايير الوطنية للتشفير.
1.10.5.2 تضمين الشهادات الملغاة في قواعد بيانات بروتوكول حال الشهادة عبر الإنترنت خلال 12 ساعة كحد أقصى.
1.10.5.3 أن يكون مُصدِّر بروتوكول حال الشهادة عبر الإنترنت هو هيئة الشهادات المصدرة لها أو طرف آخر مخول من قبل ذات الهيئة لإصدار بروتوكول حال الشهادة عبر الإنترنت.
1.10.5.4 إزالة الشهادة الملغاة من قواعد بيانات بروتوكول حال الشهادة عبر الإنترنت عند انتهاء فترة صلاحيتها. 1.11 مصادقة مواقع الإنترنت
1.11.1 يجب أن تكون الشهادات الرقمية المستخدمة في مصادقة مواقع الإنترنت ملتزمة بالمتطلبات الواردة في هذه الوثيقة.
1.11.2 يجب أن يتحقق مُصدّر الشهادة الرقمية من ملكية الطرف الطالب للشهادة لنطاق الويب (Web Domain) قبل إصدارها.
1.11.3 يجب أن تحتوي الشهادة الرقمية على اسم النطاق واسم مالك الشهادة. يمكن للشهادة ان تحتوي على اسم نطاق واحد أو أكثر.
1.11.4 يجب تمكين زوار موقع الإنترنت من فحص الشهادة والتحقق من موثوقيتها.1.12 التواقيع الالكترونية
1.12.1 يجب ان تستخدم التواقيع الالكترونية شهادات رقمية ملتزمة بالمتطلبات الواردة في هذه الوثيقة.
1.12.2 يجب أن تكون الشهادات الرقمية المستخدمة في التواقيع الالكترونية بمستوى أمان مماثل أو أعلى من مستوى أمان أساسيات التشفير (Cryptographic Primitives) المستخدمة في توليد التواقيع الالكترونية. على سبيل المثال، دوال الاختزال والخوارزميات غير المتماثلة.
1.12.3 يجب أن يحتوي العنصر الرقمي المراد توقيعه على طابع زمني كما ورد تفصيله في القسم 1,14 ن هذه الوثيقة وذلك لتحديد تواريخ وأوقات كل من التوليد والتوقيع.
1.12.4 يجب أن تكون الشهادة الرقمية مخصصة للمُوَقِّع بشكل فريد.
1.12.5 يجب أن يحتوي التوقيع الالكتروني على معرِّفات خاصة وفريدة تخص المُوَقِّع والشهادة الرقمية المستخدمة.1.13 الأختام الالكترونية
1.13.1 يجب أن يكون الختم الالكتروني ملتزما بمتطلبات التوقيع الالكتروني في هذه الوثيقة.
1.13.2 يجب أن يحتوي كل عنصر رقمي مختوم الكترونياً على توقيعين: (1) التوقيع الالكتروني الخاص بالمنظمة و(2) التوقيع الالكتروني الخاص بالموظف. وذلك لتمكين التعرف على الطرف الذي قام بختم الوثيقة.
1.13.3 يجب أرشفة الوثائق المختومة الكترونياً بالإضافة الى الشهادات الرقمية المستخدمة وذلك لإتاحة التحقق منها مستقبلاً.1.14 الطوابع الزمنية الالكترونية
1.14.1 يجب أن تربط الطوابع الزمنية الالكترونية التاريخ والوقت بعنصر رقمي بطريقة تمنع إمكانية تغيير العنصر الرقمي بشكل غير قابل للكشف.
1.14.2 يجب أن تُضَمَّن الطوابع الزمنية في الشهادات وقائمة إلغاء الشهادات (CRL) وسجلات النظام بالإضافة لأي قواعد بيانات خاصة بالإلغاء.
1.14.3 يجب أن يؤخذ التاريخ والوقت المستخدم في الطوابع الزمنية من مزودين معتمدين من الهيئة السعودية للمواصفات والمقاييس والجودة (SASO) ومتزامنين مع ساعة دقيقة مثل ساعة نظام التموضع العالمي (GPS). بالإضافة الى المحافظة على وقت متزامن، يجب أن يكون هناك إجراءات للتحقق وتعديل الاختلافات الزمنية.
1.14.4 يجب أن تكون الطوابع الزمنية الالكترونية موقعة بتوقيع الكتروني أو مختومة بختم الكتروني مبنية على شهادة رقمية قابلة للتحقق.
1.14.5 يجب أن تكون أساسيات وتصاميم التشفير المستخدمة في توليد الطوابع الزمنية الالكترونية ملتزمة بمستوى الأمان المناسب والمتوافق مع المعايير الوطنية للتشفير .1.15 خدمات التوصيل المسجلة الكترونياً
1.15.1 يجب أن تكون خدمات التوصيل المسجلة الكترونياً مقدمة من قبل واحد أو أكثر من مزوّدي الخدمة الموثوق بهم والمؤهلين.
1.15.2 يجب أن تحتوي خدمات التوصيل المسجلة الكترونياً على هوية المرسل وتكون ضامنة لها.
1.15.3 يجب على خدمات التوصيل المسجلة الكترونياً أن تتحقق من هوية المستقبل قبل توصيل العنصر الرقمي.
1.15.4 يجب أن تكون عمليات نقل واستقبال العناصر الرقمية محمية بتوقيع الكتروني أو ختم الكتروني من قبل مزودي خدمات الثقة المؤهلين وذلك لضمان قابلية كشف ومنع أي تعديل على العنصر الرقمي.
1.15.5 يجب تنبيه المرسل والمستقبل معاً بأي تعديل مطلوب على العنصر الرقمي لأغراض الارسال أو الاستقبال.
1.15.6 يجب استخدام طابع زمني إلكتروني (Timestamp) للدلالة على تواريخ وأوقات الإرسال والاستقبال وتعديل البيانات.
1.15.7 يجب الالتزام بالمتطلبات الواردة في هذه الوثيقة عند نقل العنصر الرقمي بين اثنين وأكثر من مزودي خدمات الثقة.1.16 صلاحيات الشهادة الرقمية
1.16.1 يجب على جميع مصدري الشهادات الامتناع عن إصدار أي شهادة لنطاق معيّن إلا في حال عدم وجود أي سجلات صلاحيات هيئة الشهادات (CAA) للنطاق، أو توافق طلب الشهادة مع السجلات المعتمدة لذلك النطاق.
1.2 توليد المفتاح
2.1.1 يجب توليد مفاتيح هيئات الشهادات بمنشأة آمنة حسب متطلبات القسم 3 في هذه الوثيقة، وبحضور شخصين مخوَّلين.
2.1.2 يجب استخدام وحدة أمن الأجهزة (HSM) ممتثلة بمتطلبات المستوى 3 على الأقل من وثيقة (FIPS 140-3) وكذلك المستوى 4 (EAL 4) على الأقل من وثيقة (Common Criteria) لتوليد مفاتيح هيئة الشهادات.
2.1.3 يجب استخدام مولدات آمنة للأعداد العشوائية (RNGs) لتوليد مفاتيح التوقيع لهيئات الشهادات. على سبيل المثال، مولدات الأعداد تامة العشوائية (TRNG) أو المولدات الكمية للأعداد العشوائية (QRNG) كما هو مذكور في المعايير الوطنية للتشفير.
2.1.4 يجب أن تضمن هيئة الشهادات تدمير مفاتيح التوقيع الخاصة بها في حال انتهاء صلاحيتها أو في حال تعطل خدمات هيئة الشهادات لأي سبب كان.
2.1.5 يجب تفعيل دوال التصفير واستخدامها في جميع وحدات أمن الأجهزة (HSM) المستخدمة في توليد وتخزين مفاتيح التوقيع لمزودي خدمات إصدار الشهادات الرقمية.
2.1.6 يجب أن يتم توليد مفاتيح المستخدم من قِبل المستخدم نفسه أو من قِبل هيئة الشهادات الثانوية المصدرة لشهادة المستخدم.
2.1.7 يجب أن تكون عملية توليد المفاتيح ملتزمة بمعايير توليد المفاتيح ذات العلاقة والمذكورة في المعايير الوطنية للتشفير 2.2 فترة صلاحية المفتاح
2.2.1 يجب أن تكون فترة صلاحية المفاتيح ملتزمة بمعايير حماية المفاتيح وصلاحيتها المذكورة في المعايير الوطنية للتشفير.2.3 نقل المفتاح
2.3.1 في حال تم توليد المفاتيح العامة والخاصة من قبل هيئة الشهادات الجذرية أو هيئة الشهادات الثانوية بالنيابة عن مالك الشهادة، فيجب نقلها إلى مالك الشهادة بطريقة آمنة بحسب ماورد بمعايير توزيع المفاتيح وتثبيتها في المعايير الوطنية للتشفير.
2.3.2 في حال تسليم المفاتيح الخاصة الكترونياً، يجب تشفير مادة المفاتيح (Key Material) باستخدام خوارزمية تشفير وحجم مفتاح لا يقل مستوى أمانه عن مستوى أمان المفتاح الخاص.
2.3.3 في حال تسليم المفاتيح الخاصة بواسطة جهاز مادي، يجب الحفاظ على مسؤولية موقع الجهاز المادي وحالته من قبل الجهة المسلمة للمفاتيح حتى يقبل مالك الشهادة المحتمل استلامها.
2.3.4 يجب حماية المفاتيح الخاصة أثناء عملية التوصيل ضد التفعيل أو الاختراق أو التعديل.
2.3.5 يجب إتاحة مفاتيح التفعيل لمالك الشهادة باستخدام قناة آمنة ومختلفة عن تلك التي استخدمت لتوصيل المفاتيح الخاصة، على سبيل المثال، التوصيل بواسطة قناة خارج النطاق (out-of-Band).
2.3.6 يجب على مالك الشهادة المحتمل أن يؤكد استلامه للمفاتيح الخاصة.
2.3.7 يجب توصل المفاتيح العامة وهوية مالك الشهادة المحتمل الى هيئة الشهادات بطريقة موثوقة وآمنة وذلك لإصدار الشهادة. كذلك يجب ان تربط قناة التسليم هوية مالك الشهادة المحتمل المتحقق منها بالمفتاح العام. في حال استعمال التشفير لتحقيق هذا الربط، فانه يجب ألا يقل مستوى أمان التشفير المستخدم عن مستوى أمان مفاتيح مالك الشهادة المحتمل.
2.3.8 يجب ان تضمن طريقة التسليم أن أداة التوثيق وبيانات التفعيل (Tokens) الصحيحة سلمت الى مالك الشهادة المحتمل الصحيح.
2.3.9 يجب على هيئة الشهادات الاحتفاظ بسجل يثبت إقرار مالك الشهادة المحتمل باستلامه لأداة التوثيق.2.4 تخزين المفتاح
2.4.1 يجب تخزين مفاتيح توقيع هيئة الشهادات بطريقة آمنة في وحدة تشفير، مثل وحدة أمن الأجهزة (HSM)، أداة التوثيق (Token)، بطاقة ذكية (Smart Card)، أو وحدة المنصة الموثوقة (TPM)، وعلى ان تكون وحدة التشفير ممتثلة بمتطلبات المستوى 3 على الأقل من وثيقة (FIPS 140-3) وكذلك المستوى 4 (EAL 4) على الأقل من وثيقة (Common Criteria).
2.4.2 يجب أن تكون وحدات التشفير المستخدمة لتخزين مفاتيح التوقيع الخاصة بهيئة الشهادات ملتزمة بالمعايير ذات العلاقة المذكورة في المعايير الوطنية للتشفير.
2.4.3 يجب على هيئة الشهادات الجذرية الحفاظ على شبكة معزولة تماماً عن الشبكات الأخرى واستخدامها عند تخزين مفتاح التوقيع الخاص بها، بالإضافة لأي بيانات حساسة أخرى، مثل النسخ الاحتياطية لمفاتيح التوقيع.
2.4.4 يجب أن تحافظ هيئات الشهادات على أرشيف لا يقل عن 5 سنوات يحتوي على مفاتيح التحقق الخاصة بها، سواءً الحالية أو السابقة.
2.4.5 يجب عدم أرشفة مفاتيح التوقيع الخاصة بهيئة الشهادات.
2.4.6 يجب حصر صلاحيات الوصول الى أرشيف هيئة الشهادات على الأشخاص المخوَّلين فقط.
2.4.7 يجب حماية جميع أجهزة تخزين التشفير بواسطة نظام مصادقة ثنائي كحد أدنى.
2.4.8 يجب عدم تسليم مفاتيح التوقيع الخاصة بهيئة الشهادات لطرف ثالث نهائياً، وعدم حفظها بطريقة غير مشفرة.
3.1 متطلبات الأمن المادي
3.1.1 يجب على هيئة الشهادات تطبيق ضوابط الوصول المادي والمنطقي وذلك لحماية الأصول ضد السرقة، والضياع، والوصول غير المصرح به.
3.1.2 يجب حماية جميع الأجهزة والمعدات ذات العلاقة بتوليد وتخزين المفاتيح أو الشهادات ضد الوصول المادي أو المنطقي غير المصرح به وذلك باستخدام ضوابط مادية تشمل:
3.1.2.1 أنظمة تحكم في الوصول متعددة، باستخدام أبواب مزودة بأقفال إلزامية.
3.1.2.2 مصادقة متعددة العناصر لأنظمة التحكم في الوصول.
3.1.2.3 مراقبة مستمرة بواسطة كاميرات المراقبة على مدار الساعة وطوال أيام الأسبوع.
3.1.3 يجب تطبيق أنظمة يدوية والكترونية لمراقبة الوصول غير المصرح به أو التسلل بجميع الأوقات.
3.1.4 يجب جمع سجلات الدخول التفصيلية وتخزينها بشكل آمن وفحصها بشكل دوري.
3.1.5 يجب تخزين سجلات الدخول لمدة لا تقل عن 18 شهراً.
3.1.6 يجب أن تتطلب عمليات توليد المفاتيح وعمليات توقيع الشهادات وجود وموافقة شخصين مخوَّلين على الأقل.
3.1.7 يجب استضافة جميع البنى التحتية الخاصة بهيئة الشهادات، وتشمل جميع المواقع الرئيسية والاحتياطية، محلياً داخل المملكة العربية السعودية.
3.1.8 يجب تنقية وتدمير جميع معدات وأجهزة التخزين الخاصة بهيئة الشهادات قبل التخلص منها بناءً على الوثائق التنظيمية ذات الصلة للهيئة الوطنية للأمن السيبراني.3.2 النسخ الاحتياطي خارج الموقع
3.2.1 يجب الاحتفاظ بنسخ احتياطية دورية كافية للاستعادة في حال فشل الأنظمة كما ورد في الوثائق التنظيمية ذات العلاقة والمنشورة من قبل الهيئة الوطنية للأمن السيبراني.
3.2.2 يجب إجراء نسخ احتياطي مرة واحدة أسبوعياً على الأقل.
3.2.3 يجب الاحتفاظ بما لا يقل عن نسخة احتياطية كاملة واحدة خارج الموقع ومفصولة عن المعدات الرئيسية لهيئة الشهادات، على أن يتم تحديثها شهرياً.
3.2.4 يجب حفظ النسخ الاحتياطية في موقع يطبق ضوابط مادية وإجرائية متكافئة مع الموقع الرئيسي لعمليات هيئة الشهادات.
3.2.5 يجب حفظ النسخ الاحتياطية لمفاتيح التوقيع في وحدة تشفير ملتزمة بالضوابط المذكورة في 2,4,1.
3.2.6 يجب إيصال جميع البيانات المنقولة الى مواقع النسخ الاحتياطية بطريقة موثوقة ومشفرة.3.3 جوانب صمود الأمن السيبراني
3.3.1 يجب تحديد وتطبيق إجراء يضمن الحفاظ على استمرار إدارة وتشغيل عمليات الشهادات الرقمية في حال فشل الأنظمة، مثل خدمات التحقق من الشهادات وإلغاء الشهادات، بحيث يضمن الإجراء عدم تأثر وصول العميل.
تُصنَّف هيئات الشهادات إلى هيئات الشهادات الجذرية وهيئات الشهادات الثانوية. يوضح الشكل (4) التسلسل الهرمي وتصنيف هيئات الشهادات.
تشكل هيئة الشهادات الجذرية عمود الثقة في التسلسل الهرمي لهيئة الشهادات. تكون الشهادة الرقمية لهيئة الشهادات الجذرية موقعة ذاتياً ومدمجة مع أنظمة التشغيل، والبرمجيات مثل متصفح الانترنت. في حال توفر العديد من هيئات الشهادات الجذرية، تكون الشهادة الجذرية الخاصة بهيئة الشهادات قابلة للتوقيع المتبادل من قبل هيئات الشهادات الجذرية الأخرى باشتراط دراسة مخاطر الأمن السيبراني ذات العلاقة، وتطبيق إجراءات الحد من المخاطر بشكل صحيح. وعادةً لا يتم إصدار الشهادات من قبل هيئة الشهادات الجذرية إلا لهيئات الشهادات الثانوية فقط.
بالمقابل، تصدر هيئة الشهادات الثانوية الشهادات للمستخدم النهائي أو لهيئات الشهادات الثانوية الأخرى. عندما تصدر هيئة الشهادات الثانوية شهادة الى هيئة شهادات ثانوية أخرى، فانه من المتعارف عليه ان تسمى "هيئة شهادات متوسطة" حيث أنها تشغل مكانةً متوسطة في تسلسل الثقة بين هيئة الشهادات الجذرية وهيئة الشهادات الثانوية. على سبيل المثال، في الشكل رقم (4) أدناه يمكن تسمية (هيئة الشهادات الثانوية 2) بهيئة الشهادات المتوسطة.
شكل (4) التسلسل الهرمي وتصنيف هيئات الشهادات (يمكن الرجوع للملف المرفق للصورة)
الجدول أدناه يحدد الحقول المطلوبة للمعيار رقم 1,2,2 في هيكلة الشهادة X.509 v3.
جدول (2) الحقول المطلوبة للشهادات الرقمية x.509 V3.
جدول (3) مصطلحات وتعريفات
جدول (4) اختصارات
آخر تحديث : 10 نوفمبر 2025
يمكنك تصفح البوابة عن طريق إعطاء أوامر صوتية بإستخدام المايكروفون
تحدث الان...
برجاء اعطاء الاوامر الصوتية من الخيارات التالية:
إخلاء المسؤولية : الترجمة إلى لغات أخرى يعتمد على ترجمة جوجل (Google)، وبالتالي فإن المركز الوطني للتنافسية غير مسؤول عن دقة المعلومات في اللغة الجديدة.
