מבנה תעודה לאימות לתושב

‫משרד האוצר‬
‫מטה התקשוב הממשלתי – ממשל זמין‬
‫מבנה תעודה אלקטרונית‬
‫לאימות (תושב)‬
‫מהדורה ‪1.11‬‬
‫נוסח סופי‬
‫רח' נתנאל לורך ‪ ,1‬ירושלים‪ ,‬טל'‪ ,20 – 6664666 :‬פקס'‪20 – 6664662 :‬‬
‫מבנה תעודה אלקטרונית‬
‫כל הזכויות שמורות – ממשל זמין‪ ,‬מדינת ישראל‬
‫משרד האוצר – התקשוב הממשלתי – ממשל זמין‬
‫מבנה תעודה אלקטרונית לאימות (תושב)‬
‫מהדורה ‪1.11‬‬
‫מעודכן ל‪51.7.1. -‬‬
‫טבלת ניהול שינויים‬
‫מהדורה‬
‫‪5.1‬‬
‫‪5.1‬‬
‫תאריך‬
‫‪2.1.58‬‬
‫‪1.1.58‬‬
‫‪5.1‬‬
‫‪5.2‬‬
‫‪5.1‬‬
‫‪51.1.58‬‬
‫‪85.1.58‬‬
‫‪2.1.58‬‬
‫‪5.51‬‬
‫‪5.55‬‬
‫‪51.1.58‬‬
‫‪51.1.58‬‬
‫מהות המהדורה‬
‫מהדורה בסיסית לאחר מספר סבבים קודמים‪.‬‬
‫מהדורה מעודכנת לאחר קבלת הערות רשות האוכלוסין‪ :‬עדכון הערה לגבי תוקף התעודה‬
‫לאזרחים ותושבים‪ ,‬התאמת שמות השדות‪ Data Security ,Chip number :‬ועדכון‬
‫ההערות לשדות אלו‪.‬‬
‫מהדורה סופית‪.‬‬
‫מהדורה מעודכנת לקראת טקס חילול מפתחות נוסף‪.‬‬
‫עדכון לאחר הערות יובל כמראן‪ :‬כתובת ל‪ AIA -‬ול‪CPS -‬היא ב‪ HTTPS -‬במקום ב‪-‬‬
‫‪ .HTTP‬שדות ה‪ ISSUER -‬וה‪ SUBJECT -‬הינם ‪ UTF8-STRING‬למעט ‪ )country( C‬שהוא‬
‫‪.printable string‬‬
‫עדכון לפי החלטות בדיון מה ‪ 51.1.58 -‬לגבי ‪.HTTPS‬‬
‫נוסח סופי לאחר בדיקת התיקונים‬
‫שם‬
‫יובל כמראן‬
‫תפקיד‬
‫ממונה טכנולוגיות – גמ"מ‬
‫לביא בן‪-‬ברוך‬
‫מנהל תחום ‪ PKI‬וכרטיס חכם‪ ,‬גמ"מ‬
‫עופר ישי‬
‫מרכז הקמת הגמ"מ‬
‫זיו סלייטר‬
‫סגן מנהל ממשל זמין‬
‫חתימה‬
‫סטטוס‬
‫טיוטה‬
‫טיוטה‬
‫סופי‬
‫טיוטה‬
‫טיוטה‬
‫טיוטה לאישור‬
‫סופי‬
‫תאריך‬
‫עמוד ‪ .‬מתוך ‪6‬‬
‫משרד האוצר – התקשוב הממשלתי – ממשל זמין‬
)‫מבנה תעודה אלקטרונית לאימות (תושב‬
1.11 ‫מהדורה‬
51.7.1. -‫מעודכן ל‬
Authentication Certificate Structure
Field
Certificate
signatureAlgorithm
algorithmIdentifier
signatureValue
TBSCertificate
TBSCertificate
version
serialNumber
Criticality
signature
OID
Type
value
1.2.840.113549.1.1.11
OID
null
Length
Description/ example
Sha256WithRSAEncryption
BIT STRING
SEQUENCE
INTEGER
INTEGER
1.2.840.113549.1.1.11
2
Max
bytes
20
BIT STRING
Ver. 3 value “2”
Unique number of this certificate
Sha256WithRSAEncryption
issuer
RDNSequence consists of attribute
type (OID) and value (String).
countryName
2.5.4.6
organizationName
2.5.4.10
PRINTABLE
STRING
UTF8 STRING
2.5.4.11
UTF8 STRING
2.5.4.3
UTF8 STRING
organizationalUnitName
IL
2 bytes
Government of Israel
Max
Bytes
Max
Bytes
64
Max
Bytes
64
Population
and
Immigration
Authority
Residents eID
CA YY-NN
commonName
validity
SEQUENCE
2 strings
of UTCTIME
26 bytes
notBefore
UTCTime
YYMMDDhhmmssZ
13 bytes
notAfter
UTCTime
YYMMDDhhmmssZ
13 bytes
6 ‫ מתוך‬3 ‫עמוד‬
Remarks
This field should correspond to
RFC 3280.
The attribute type has to be directoryString
with UTF8Encoding.
Country code
64
YY- year
NN – CA version
The value is a sequence of two
utctime strings which represent the
not before and not after time.
In the RFC there is a definition that
each date until the year 2050 will be
UTCTIMEC and from 2050 onwards
will be encoded as GeneralizedTime
in which the year will have a definition
of 4 digits and the string length will
be 30 bytes long
Valid for 10 years to
a citizen or a permanent resident and the
same validity as the ID card, to a temporary
‫משרד האוצר – התקשוב הממשלתי – ממשל זמין‬
)‫מבנה תעודה אלקטרונית לאימות (תושב‬
1.11 ‫מהדורה‬
51.7.1. -‫מעודכן ל‬
Field
Criticality
OID
Type
CN
2.5.4.3
Name
(RDNSequence)
UTF8 STRING
serialNumber
2.5.4.5
givenName
(G)
value
Length
Description/ example
Remarks
resident.
Subject
Details in English
Max 64
Bytes
UTF8 STRING
<givenName>
<surname>
<123456789>
123456789
2.5.4.42
UTF8 STRING
Israel
Max 64
Bytes
Given name of the resident
Surname
(SN)
2.5.4.4
UTF8 STRING
Israeli
Max 64
Bytes
Surname of the resident
CountryName
(C)
2.5.4.6
PRINTABLE
STRING
IL
2 bytes
1.2.840.113549.1.1.1
OID
BIT STRING
INTEGER
null
Subject Public Key Info
Algorithm
Subject Public Key
exponent
keyUsage
C
extendedKeyUsage
2.5.29.15
2.5.29.37
List of OID
9 digits
The separator between the elements
will be a space.
If a person has two given names, this
field will hold both of them.
The separator between the elements will be a
space.
If person has two surnames, this field
will hold both of them. The separator
between the elements will be a space
RSAEncryption
2048 bit
65537
Combination of surname, givenname and ID number of the
resident (the card holder)
ID number of the resident
The public key of the card holder
This parameter for key generation will
be hard-coded in the personalization
system and the RAOs issuing stations.
Not visual in the certificate.
Extensions:
Digital-signature
(80)
Client
Authentication
(1.3.6.1.5.5.7.3.2)
This field is critical
It has 2 values encoded as bit string
Microsoft requires it for client
authentication using SSL
Smartcard logon
Microsoft requires it for smart card logon
(1.3.6.1.4.1.311.20.2.2)
certificatePolicies
6 ‫ מתוך‬4 ‫עמוד‬
2.5.29.32
certificatePolicies
‫משרד האוצר – התקשוב הממשלתי – ממשל זמין‬
)‫מבנה תעודה אלקטרונית לאימות (תושב‬
1.11 ‫מהדורה‬
51.7.1. -‫מעודכן ל‬
Field
CPS Pointer Qualifier
Criticality
OID
Type
1.3.6.1.5.5.7.2.1
Policy
Qualifier Data
Policy
identifier
authorityKeyIdentifier
2.5.29.35
Octet string
subjectKeyIdentifier
2.5.29.14
Octet string
CRL Distribution Points
2.5.29.31
Octet String
value
https://cps.igcas.
gov.il/cp/ilgov-resauthcert-v1.html
2.16.376.101.1.2.
1.4
Length
Description/ example
Remarks
This field include both OID and
URIstring which points to the CPS
Depends on the
key of the
CA that issued
the certificate
Has the value of the subject key
identifier of the issuing CA
http://crl.igcas
.gov.il/crl/ilgov-resauthca-YY-NN.
Crl
Sequence of two URLs pointers to
CRL location
http://crl2.igcas.
gov.il/crl/ilgov-resauthca-YY-NN.crl
Authority Information
Access
Sequence of
two fields.
1.3.6.1.5.5.7.1.1
URL
https://www.igcas.
gov.il/cert/ilgov-resauthca-YY-NN.cer
pointer in url
format to a file
on a web
server which
holds the
certificate
of the issuer OID - 1.3.6.1.5.5.7.48.2
URL
http://va
.igcas.gov.il/ocsp/
ocsp.cgi
pointer in url format to web application
that serves as an OCSP application
Subject Alternate Name (OID 2.5.29.17)
6 ‫ מתוך‬5 ‫עמוד‬
‫משרד האוצר – התקשוב הממשלתי – ממשל זמין‬
)‫מבנה תעודה אלקטרונית לאימות (תושב‬
1.11 ‫מהדורה‬
51.7.1. -‫מעודכן ל‬
Field
Criticality
OID
Type
Directory string
UTF8STRING
value
Information in
Hebrew about the
resident
Length
Description/ example
CN= ‫ כמראן יובל‬123456789,
G=‫יובל‬,
SN= ‫כמראן‬,
SerialNumber=123456789
Remarks
Directory string with UTF8Encoding.
Includes the names in Hebrew and the
ID number of the resident.
The separator between the names will
be a space.
otherName:UPN
1.3.6.1.4.1.311.20.2.3
UTF8STRING
Card number
2.16.376.101.1.1.2.1
INTEGER
10 BYTES
The number of the plastic ID card
(which is printed on the card)
Chip number
2.16.376.101.1.1.2.2
INTEGER
8 BYTES
The serial number of the chip in HEX
Data Security
2.16.376.101.1.1.2.3
BIT STRING
32 BYTES
Data structure containing hash of each one
of the files in the ID directory on the card,
hash of all these hashes and a digital
Signature on the general hash
Basic Constraints
c
[email protected]
2.5.29.19
SubjectType
EndEntity
PathLengthConstraint
None
6 ‫ מתוך‬6 ‫עמוד‬
User principal name