‫משרד האוצר‬ ‫מטה התקשוב הממשלתי – ממשל זמין‬ ‫מבנה תעודה אלקטרונית‬ ‫לאימות (תושב)‬ ‫מהדורה ‪1.11‬‬ ‫נוסח סופי‬ ‫רח' נתנאל לורך ‪ ,1‬ירושלים‪ ,‬טל'‪ ,20 – 6664666 :‬פקס'‪20 – 6664662 :‬‬ ‫מבנה תעודה אלקטרונית‬ ‫כל הזכויות שמורות – ממשל זמין‪ ,‬מדינת ישראל‬ ‫משרד האוצר – התקשוב הממשלתי – ממשל זמין‬ ‫מבנה תעודה אלקטרונית לאימות (תושב)‬ ‫מהדורה ‪1.11‬‬ ‫מעודכן ל‪51.7.1. -‬‬ ‫טבלת ניהול שינויים‬ ‫מהדורה‬ ‫‪5.1‬‬ ‫‪5.1‬‬ ‫תאריך‬ ‫‪2.1.58‬‬ ‫‪1.1.58‬‬ ‫‪5.1‬‬ ‫‪5.2‬‬ ‫‪5.1‬‬ ‫‪51.1.58‬‬ ‫‪85.1.58‬‬ ‫‪2.1.58‬‬ ‫‪5.51‬‬ ‫‪5.55‬‬ ‫‪51.1.58‬‬ ‫‪51.1.58‬‬ ‫מהות המהדורה‬ ‫מהדורה בסיסית לאחר מספר סבבים קודמים‪.‬‬ ‫מהדורה מעודכנת לאחר קבלת הערות רשות האוכלוסין‪ :‬עדכון הערה לגבי תוקף התעודה‬ ‫לאזרחים ותושבים‪ ,‬התאמת שמות השדות‪ Data Security ,Chip number :‬ועדכון‬ ‫ההערות לשדות אלו‪.‬‬ ‫מהדורה סופית‪.‬‬ ‫מהדורה מעודכנת לקראת טקס חילול מפתחות נוסף‪.‬‬ ‫עדכון לאחר הערות יובל כמראן‪ :‬כתובת ל‪ AIA -‬ול‪CPS -‬היא ב‪ HTTPS -‬במקום ב‪-‬‬ ‫‪ .HTTP‬שדות ה‪ ISSUER -‬וה‪ SUBJECT -‬הינם ‪ UTF8-STRING‬למעט ‪ )country( C‬שהוא‬ ‫‪.printable string‬‬ ‫עדכון לפי החלטות בדיון מה ‪ 51.1.58 -‬לגבי ‪.HTTPS‬‬ ‫נוסח סופי לאחר בדיקת התיקונים‬ ‫שם‬ ‫יובל כמראן‬ ‫תפקיד‬ ‫ממונה טכנולוגיות – גמ"מ‬ ‫לביא בן‪-‬ברוך‬ ‫מנהל תחום ‪ PKI‬וכרטיס חכם‪ ,‬גמ"מ‬ ‫עופר ישי‬ ‫מרכז הקמת הגמ"מ‬ ‫זיו סלייטר‬ ‫סגן מנהל ממשל זמין‬ ‫חתימה‬ ‫סטטוס‬ ‫טיוטה‬ ‫טיוטה‬ ‫סופי‬ ‫טיוטה‬ ‫טיוטה‬ ‫טיוטה לאישור‬ ‫סופי‬ ‫תאריך‬ ‫עמוד ‪ .‬מתוך ‪6‬‬ ‫משרד האוצר – התקשוב הממשלתי – ממשל זמין‬ )‫מבנה תעודה אלקטרונית לאימות (תושב‬ 1.11 ‫מהדורה‬ 51.7.1. -‫מעודכן ל‬ Authentication Certificate Structure Field Certificate signatureAlgorithm algorithmIdentifier signatureValue TBSCertificate TBSCertificate version serialNumber Criticality signature OID Type value 1.2.840.113549.1.1.11 OID null Length Description/ example Sha256WithRSAEncryption BIT STRING SEQUENCE INTEGER INTEGER 1.2.840.113549.1.1.11 2 Max bytes 20 BIT STRING Ver. 3 value “2” Unique number of this certificate Sha256WithRSAEncryption issuer RDNSequence consists of attribute type (OID) and value (String). countryName 2.5.4.6 organizationName 2.5.4.10 PRINTABLE STRING UTF8 STRING 2.5.4.11 UTF8 STRING 2.5.4.3 UTF8 STRING organizationalUnitName IL 2 bytes Government of Israel Max Bytes Max Bytes 64 Max Bytes 64 Population and Immigration Authority Residents eID CA YY-NN commonName validity SEQUENCE 2 strings of UTCTIME 26 bytes notBefore UTCTime YYMMDDhhmmssZ 13 bytes notAfter UTCTime YYMMDDhhmmssZ 13 bytes 6 ‫ מתוך‬3 ‫עמוד‬ Remarks This field should correspond to RFC 3280. The attribute type has to be directoryString with UTF8Encoding. Country code 64 YY- year NN – CA version The value is a sequence of two utctime strings which represent the not before and not after time. In the RFC there is a definition that each date until the year 2050 will be UTCTIMEC and from 2050 onwards will be encoded as GeneralizedTime in which the year will have a definition of 4 digits and the string length will be 30 bytes long Valid for 10 years to a citizen or a permanent resident and the same validity as the ID card, to a temporary ‫משרד האוצר – התקשוב הממשלתי – ממשל זמין‬ )‫מבנה תעודה אלקטרונית לאימות (תושב‬ 1.11 ‫מהדורה‬ 51.7.1. -‫מעודכן ל‬ Field Criticality OID Type CN 2.5.4.3 Name (RDNSequence) UTF8 STRING serialNumber 2.5.4.5 givenName (G) value Length Description/ example Remarks resident. Subject Details in English Max 64 Bytes UTF8 STRING <givenName> <surname> <123456789> 123456789 2.5.4.42 UTF8 STRING Israel Max 64 Bytes Given name of the resident Surname (SN) 2.5.4.4 UTF8 STRING Israeli Max 64 Bytes Surname of the resident CountryName (C) 2.5.4.6 PRINTABLE STRING IL 2 bytes 1.2.840.113549.1.1.1 OID BIT STRING INTEGER null Subject Public Key Info Algorithm Subject Public Key exponent keyUsage C extendedKeyUsage 2.5.29.15 2.5.29.37 List of OID 9 digits The separator between the elements will be a space. If a person has two given names, this field will hold both of them. The separator between the elements will be a space. If person has two surnames, this field will hold both of them. The separator between the elements will be a space RSAEncryption 2048 bit 65537 Combination of surname, givenname and ID number of the resident (the card holder) ID number of the resident The public key of the card holder This parameter for key generation will be hard-coded in the personalization system and the RAOs issuing stations. Not visual in the certificate. Extensions: Digital-signature (80) Client Authentication (1.3.6.1.5.5.7.3.2) This field is critical It has 2 values encoded as bit string Microsoft requires it for client authentication using SSL Smartcard logon Microsoft requires it for smart card logon (1.3.6.1.4.1.311.20.2.2) certificatePolicies 6 ‫ מתוך‬4 ‫עמוד‬ 2.5.29.32 certificatePolicies ‫משרד האוצר – התקשוב הממשלתי – ממשל זמין‬ )‫מבנה תעודה אלקטרונית לאימות (תושב‬ 1.11 ‫מהדורה‬ 51.7.1. -‫מעודכן ל‬ Field CPS Pointer Qualifier Criticality OID Type 1.3.6.1.5.5.7.2.1 Policy Qualifier Data Policy identifier authorityKeyIdentifier 2.5.29.35 Octet string subjectKeyIdentifier 2.5.29.14 Octet string CRL Distribution Points 2.5.29.31 Octet String value https://cps.igcas. gov.il/cp/ilgov-resauthcert-v1.html 2.16.376.101.1.2. 1.4 Length Description/ example Remarks This field include both OID and URIstring which points to the CPS Depends on the key of the CA that issued the certificate Has the value of the subject key identifier of the issuing CA http://crl.igcas .gov.il/crl/ilgov-resauthca-YY-NN. Crl Sequence of two URLs pointers to CRL location http://crl2.igcas. gov.il/crl/ilgov-resauthca-YY-NN.crl Authority Information Access Sequence of two fields. 1.3.6.1.5.5.7.1.1 URL https://www.igcas. gov.il/cert/ilgov-resauthca-YY-NN.cer pointer in url format to a file on a web server which holds the certificate of the issuer OID - 1.3.6.1.5.5.7.48.2 URL http://va .igcas.gov.il/ocsp/ ocsp.cgi pointer in url format to web application that serves as an OCSP application Subject Alternate Name (OID 2.5.29.17) 6 ‫ מתוך‬5 ‫עמוד‬ ‫משרד האוצר – התקשוב הממשלתי – ממשל זמין‬ )‫מבנה תעודה אלקטרונית לאימות (תושב‬ 1.11 ‫מהדורה‬ 51.7.1. -‫מעודכן ל‬ Field Criticality OID Type Directory string UTF8STRING value Information in Hebrew about the resident Length Description/ example CN= ‫ כמראן יובל‬123456789, G=‫יובל‬, SN= ‫כמראן‬, SerialNumber=123456789 Remarks Directory string with UTF8Encoding. Includes the names in Hebrew and the ID number of the resident. The separator between the names will be a space. otherName:UPN 1.3.6.1.4.1.311.20.2.3 UTF8STRING Card number 2.16.376.101.1.1.2.1 INTEGER 10 BYTES The number of the plastic ID card (which is printed on the card) Chip number 2.16.376.101.1.1.2.2 INTEGER 8 BYTES The serial number of the chip in HEX Data Security 2.16.376.101.1.1.2.3 BIT STRING 32 BYTES Data structure containing hash of each one of the files in the ID directory on the card, hash of all these hashes and a digital Signature on the general hash Basic Constraints c [email protected] 2.5.29.19 SubjectType EndEntity PathLengthConstraint None 6 ‫ מתוך‬6 ‫עמוד‬ User principal name