Процедуры оценки соответствия продукции в Европейском Союзе, схемы, Сертификат, аккредитованный орган, СЕ маркировка, сертификация ЕС декларация, Certificate

Содержание

Что происходит на практике
Откуда берутся сертификаты?
Процедуры оценки соответствия продукции в европейском союзе, схемы, сертификат, аккредитованный орган, се маркировка, сертификация ес декларация, certificate

Что происходит на практике

Client Hello – клиент начинает общение с сервером отсылая информацию о предпочитаемой версии протокола TLS, набора поддерживаемых шифров (Cipher Spec), и случайного простого числа (client random), необходимого в дальнейшем для генерации общего ключа симметричного шифрования.
Что такое Cipher Spec? В процессе установки соединения, клиент и сервер должны договориться о: какой алгоритм использовать для обмена ключами (например, RSA – Риверт-Шамир-Адлеман, DH – Диффи-Хеллмана, ECDH – Диффи-Хеллмана на эллиптических кривых, и др.), какой алгоритм использовать для шифрования данных (AES – Advanced Encryption Standard, 3DES – Tripple Data Encryption Algorithm, и др.), какую криптографическую хэш-функцию использовать для генерации Message Authentication Code (SHA-256, SHA-384, SHA-512 – Secure Hash Algorithm с соответствующей длиной строки в битах с хэшем, и др.).
Что такое Message Authentication Code или MAC? Это хэш, сгенерированный с использованием выбранной криптографической хэш-функции и разделяемого ключа, который добавляется сзади к сообщению. Перед отправкой данных отправитель вычисляет MAC для них, а получатель перед обработкой вычисляет MAC для принятого сообщения и сравнивает его с MAC этого принятого сообщения. Предназначен для проверки целостности, то есть что сообщение не было изменено при его передаче.
Server Hello – сервер отвечает выбранной версией протокола и выбранным из предложенного набора шифром, которые будут непосредственно использоваться, своим случайным простым числом (server random) и идентификатором сессии.
Для чего нужен идентификатор сессии? Как мы посмотрим далее, процесс установления TLS соединения затратен по времени и ресурсам. Предусмотрен механизм возобновления соединения с помощью отправки клиентом этого идентификатора. Если сервер тоже все еще хранит соответствующие настройки, то клиент и сервер смогут продолжить общение использую ранее выбранные алгоритмы и ключи.
Certificate – сервер отправляет свой сертификат, а клиент производит проверку подписи удостоверяющего центра, проверку доверия к удостоверяющему центру, проверку указанного домена сайта с фактическим, срока действия, проверяет не был ли сертификат отозван.
Что представляет из себя сертификат? Сертификат – это открытый ключ и другая информация о его владельце, а также Электронная Цифровая Подпись (ЭЦП) доверенного центра.
Как работает ЭЦП? При создании ЭЦП хэш данных, которые подписываются, шифруется закрытым ключом, в отличие от обычного ассиметричного шифрования, где зашифровка выполняется открытым ключом. Таким образом, если вам удалось расшифровать открытым ключом хэш, и он оказался идентичен хэшу из данных, – вы можете быть уверены что: подпись была сделана именно владельцем приватного ключа, открытый ключ которого вы используете; данные, которые были подписаны, не изменились с момента подписания.
Но как удостовериться, что открытый ключ принадлежит не злоумышленнику? Существуют корневые удостоверяющие центры (Root Certificate Authority или просто CA – Certificate Authority), которым доверяют все участники обмена информацией. Если в цепочке подписания сертификата сервера есть подпись корневого CA (мы можем проверить ее с помощью открытого ключа CA), то мы можем ему доверять. При этом сертификаты (открытые ключи) корневых CA распространяются посредством включения их в операционную систему или браузер поставщиками. Также стоит отметить, что сертификат может быть подписан сертификатом, который подписан в свою очередь другим сертификатом – это цепочка подписания.
Кем подписан сертификат корневого CA? А никем, нет инстанции выше корневого CA. Сертификат (открытый ключ) в этом случае подписан собственным закрытым ключом. Такие сертификаты называют самоподписанные (sefl-signed).
Server Key Exchange – этот этап происходит не всегда, только если необходимы дополнительные данные для создания симметричного ключа при выбранном алгоритме. Например, при обмене ключами RSA этот шаг пропускается и для обмена общим ключ передается от клиента серверу зашифрованным открытым ключом сервера из его сертификата. Однако в этой статье рассмотрим более надежный алгоритм Диффи-Хеллмана. Сервер отправляет числа p (большое простое число) и g (может быть маленьким), а также рассчитанное число Y_s=g^{случайно выбранное сервером число}mod p, где mod – это операция нахождения остатка от деления. В свою очередь клиент также рассчитывает Y_c=g^{случайно выбранное клиентом число}mod p. После этого сервер считает Y_c^{случайно выбранное сервером число}mod p, а клиент Y_s^{случайно выбранное клиентом число}mod p, в результате чего у клиента и сервера получается одинаковое число. Разберем на примере:
Server Hello Done – сервер сообщает, что начальный этап установки соединения завершен
Client Key Exchange – как было уже сказано выше, когда сервер передал числа p, g, Y_sв Server Key Echange, клиент передает свое число Y_cв Client Key Exchange. Вычисленное в конце общее одинаковое число используется для создания pre-master secret – предварительного разделяемого ключа. На основании client random, server random и pre-master secret псевдослучайная функция выдает симметричный ключ и ключ вычисления MAC. Таким образом клиент и сервер имеют все необходимое для начала обмена полезной информацией.
Change Cipher Spec – клиент говорит серверу, что он готов перейти на защищенное соединение.
Finished – клиент зашифровывает симметричным ключом первое сообщение с MAC.
Change Cipher Spec – сервер проверяет сообщение Finished от клиента и отправляет в ответ свою готовность к защищенному соединению.
Finished – аналогично клиенту, сервер отправляет тестовое зашифрованное сообщение
После этого соединение считается установленным, и происходит передача полезной информации
close_notify – служебное сообщение, которое одна сторона отправляет другой, как уведомление о том, что считаетсоединение разорванным и не будет принимать больше сообщения. Другая сторона в ответ обязана послать аналогичное сообщение close_notify.

Про сертификаты: CE Сертификат Соответствия - EC Certificate of Conformity - Сертификаты и стандарты в Европе и мире на ProCertificate.Ru

Откуда берутся сертификаты?

Еще совсем недавно было всего 2 способа заполучить X.509 сертификат, но времена меняются и с недавнего времени есть и третий путь.

Создать свой собственный сертификат и самому же его подписать. Плюсы — это бесплатно, минусы — сертификат будет принят лишь вами и, в лучшем случае, вашей организацией.
Приобрести сертификат в УЦ. Это будет стоить денег в зависимости от различных его характеристик и возможностей, указанных выше.
Получить бесплатный сертификат LetsEncrypt, доступны только самые простые DV сертификаты.

Для первого сценария достаточно пары команд и чтобы 2 раза не вставать создадим сертификат с алгоритмом эллиптических кривых. Первым шагом нужно создать закрытый ключ. Считается, что шифрование с алгоритмом эллиптических кривых дает больший выхлоп, если измерять в тактах CPU, либо байтах длины ключа. Поддержка ECC не определена однозначно в TLS < 1.2.

openssl ecparam -name secp521r1 -genkey -param_enc explicit -out private-key.pem

Далее, создает CSR — запрос на подписание сертификата.

openssl req -new -sha256 -key private.key -out server.csr -days 730

И подписываем.

openssl x509 -req -sha256 -days 365 -in server.csr -signkey private.key -out public.crt

Результат можно посмотреть командой:

openssl x509 -text -noout -in public.crt

Openssl имеет огромное количество опций и команд. Man страница не очень полезна, справочник удобнее использовать так:

openssl -help
openssl x509 -help
openssl s_client -help

Ровно то же самое можно сделать с помощью java утилиты keytool.

keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity 360 -keysize 2048

Следует серия вопросов, чтобы было чем запомнить поля owner и issuer

What is your first and last name?
What is the name of your organizational unit?
What is the name of your organization?
What is the name of your City or Locality?
What is the name of your State or Province?
What is the two-letter country code for this unit?
Is CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU correct?

Конвертируем связку ключей из проприетарного формата в PKCS12.

keytool -importkeystore -srckeystore keystore.jks -destkeystore keystore.jks -deststoretype pkcs12

Смотрим на результат:

keytool -list -v -alias selfsigned -storepass password -keystore keystore.jks

Alias name: selfsigned
Creation date: 20.01.2021
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Issuer: CN=Johnnie Walker, OU=Unknown, O=Unknown, L=Moscow, ST=Moscow, C=RU
Serial number: 1f170cb9
Valid from: Sat Jan 20 18:33:42 MSK 2021 until: Tue Jan 15 18:33:42 MSK 2021
Certificate fingerprints:
     MD5:  B3:E9:92:87:13:71:2D:36:60:AD:B5:1F:24:16:51:05
     SHA1: 26:08:39:19:31:53:C5:43:1E:ED:2E:78:36:43:54:9B:EA:D4:EF:9A
     SHA256: FD:42:C9:6D:F6:2A:F1:A3:BC:24:EA:34:DC:12:02:69:86:39:F1:FC:1B:64:07:FD:E1:02:57:64:D1:55:02:3D

Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3

Extensions:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 30 95 58 E3 9E 76 1D FB   92 44 9D 95 47 94 E4 97  0.X..v...D..G...
0010: C8 1E F1 92                                        ....
]
]

Значению ObjectId: 2.5.29.14 соответствует определение ASN.1, согласно RFC 3280 оно всегда non-critical. Точно так же можно узнать смысл и возможные значения других ObjectId, которые присутствуют в сертификате X.509.

subjectKeyIdentifier EXTENSION ::= {
    SYNTAX SubjectKeyIdentifier
    IDENTIFIED BY id-ce-subjectKeyIdentifier
}

SubjectKeyIdentifier ::= KeyIdentifier

Процедуры оценки соответствия продукции в европейском союзе, схемы, сертификат, аккредитованный орган, се маркировка, сертификация ес декларация, certificate

Сертификаты соответствия, выданные аккредитованным (нотифицированным) органом SIA “International Center for Quality Certification–ICQC” признаются во всех странах Европейского Сообщества.

Изделия, поставляемые на внутренний рынок Европейского союза, обязаны соответствовать предписаниям согласованных стандартов и Директивам.

Про сертификаты: Сертификация камер видеонаблюдения -

Маркировка CE является обязательной в Европе для продуктов, подпадающих под действие одной или нескольких директив ЕС, как видимое свидетельство того, что продукт соответствует требованиям законодательных Актов.

Каждая директива охватывает ряд групп продуктов; например, подъемные механизмы и приспособления являются товарной группой в соответствии с Директивой по машинному оборудованию. Группы продуктов в директивах были выбраны таким образом, чтобы уделять особое внимание вопросам безопасности, здоровья и окружающей среды.

Маркировка CE широко применяется и должна наноситься на все большее количество товара.

Маркировка CE предоставляет властям информацию о том, что производитель подтверждает, что все требования выполнены, и что он может доказать это с помощью соответствующей документации. Документация должна содержать декларацию соответствия (декларацию производителя) и технический файл, который также включает протоколы испытаний. Это означает, что сам изготовитель заявляет, что рассматриваемые продукты соответствуют указанным требованиям применимых Директив.

Европейские стандарты играют ключевую роль в CE Mark. Это относится, в частности, к так называемым гармонизированным стандартам, которые вкратце представляют собой стандарты, определяющие, как производственник может соблюдать директиву. Если соблюдается гармонизированный стандарт, можно предположить, что основные требования законодательства также соблюдены. Это также называется презумпцией соответствия. Другими словами, стандарты помогают изготовителю задокументировать, что он или она соблюдает требования законодательства.

Изготовитель несет ответственность за соблюдение европейских правил и за нанесение знака CE. Это применимо независимо от того, находится ли производитель в Европейском сообществе или за его пределами.

Производственник может назначить уполномоченного представителя в Европейском сообществе, который будет действовать от его имени.

CE Mark – минимальная высота знаков 5 мм. В соответствии с инструкциями для машин, средств индивидуальной защиты, активных имплантируемых медицинских устройств, медицинских изделий, потенциально взрывоопасных зон, лифтов (в отношении компонентов, важных для безопасности), диагностики in vitro, радиосистем и телекоммуникационного оконечного оборудования, минимальные размеры Знака CE можно не использовать для небольших изделий.

Производитель продукции, попадающей под требования наличия СЕ маркировки, не должен предлагать на рынке продукцию, подпадающую под действие гармонизированного стандарта на продукцию, без знака CE.

Маркировка CE, указывает на то, что продукт был протестирован в соответствии с методом испытаний в соответствии с гармонизированным стандартом на продукцию и что продукт соответствует заявленному уровню безопасности.

Маркировка продукции CE не является знаком качества и сама по себе не гарантирует пригодность изделия. Маркировка CE указывает на характеристики продукции, которые необходимо подтвердить в соответствии с согласованными европейскими стандартами.

Изделие с маркировкой CE может быть размещено на рынке по всей Европе без каких-либо дополнительных исследований в каждой стране.

Государства-члены EU проводят надзор за рынком, чтобы защитить потребителей от небезопасных изделий и неправильного использования маркировки CE. Например, проверяется, имеет ли продукт маркировку CE, соответствует ли продукт требованиям и правильно ли оформлена маркировка. Если изделие не соответствует требованиям, существует несколько принудительных мер, таких как уведомление о принудительном исполнении, уведомление о штрафах, сообщение об этом в полицию или удаление продукта с рынка. Правоприменительные меры зависят от законодательства, которому подпадает товар.

CE Mark – это не просто нанесение знака CE на продукт. Когда вы получаете знак CE, берете на себя ответственность за то, что изделие соответствует закону.

1. Определите директиву, применимую к вашему продукту и проверьте, должен ли он иметь маркировку CE. Имейте в виду, что на продукцию может распространяться более одной директивы. Например, промышленная электрическая мясорубка может подпадать под действие Директив по машинному оборудованию, по низковольтному оборудованию и электромагнитной совместимости.

2. Дата, когда маркировка CE является обязательным требованием для вашего продукта, указана в директиве. Эта же дата применяется ко всем продуктам, подпадающим под действие директивы.

3. Определите процедуру оценки соответствия вашего продукта, которая указана в директиве. Процедуры могут быть разными и варьироваться от директивы к директиве. В большинстве случаев производитель может сам провести оценку соответствия, но, если требуется привлечения третьей стороны, производитель должен поручить оценку соответствия одному из нотифицированных органов, назначенных для этой области. Существуют варианты, когда привлечение нотифицированного органа обязательно, в том числе, если сертификат на продукцию не требуется, но его затребовал покупатель, условия тендера, применяются при приобретении финансы, которые выделяют различные европейские фонды, условия кредита.

4. Убедитесь, что ваш продукт соответствует основным требованиям директивы, они составлены таким образом, что содержат основные требования безопасности для продуктов. Часть процесса, ведущего к маркировке CE, заключается в соблюдении основных требований безопасности, содержащихся в директивах, которые применяются к продукту и должны быть соблюдены все основные требования безопасности, но, поскольку директивы охватывают группу продукции, могут существовать требования безопасности, не относящиеся к конкретному продукту. Например, в директиве для группы продуктов может быть требование ограничить «шум», но, если конкретный продукт не излучает «шум», это важное требование безопасности не имеет отношения к конкретному случаю.

Про сертификаты: BREEAM со знаком RUS — Комплекс градостроительной политики и строительства города Москвы

Если существует гармонизированный стандарт, в котором определены основные требования и продукт произведен в соответствии с ним, то гармонизированный стандарт предоставляет право презумпции, т.е. можно предположить, что требования Директивы соблюдены.

5. Проверьте, существуют ли стандарты для вашего продукта. Гармонизированный стандарт для конкретного продукта не всегда существует. В этом случае производитель должен найти другие способы выполнения требований директивы: например, это может быть поиск стандарта для другого аналогичного продукта или его частей из других стандартов.

6. Подготовить техническую документацию (техническое досье). Изготовитель несет ответственность за подготовку технической документации. Техническая документация, иногда также называемая техническим досье, должна документировать, что продукт соответствует требованиям Директивы. Требования к содержанию технической документации указаны в отдельной директиве. Если к продукции применяется более одной директивы, техническая документация должна соответствовать требованиям всех директив.

Как правило, документация должна включать описание конструкции и функций продукта. Примеры технической документации:

Название и адрес производителя, а также информация о любых производственных площадках

Общее описание продукции

Инструкция по эксплуатации, ремонте и утилизации

Проектные и производственные чертежи

Список используемых стандартов

Спецификации

Оценка рисков

Любые отчеты об испытаниях и измерений

Инструкция по применению

Декларация соответствия

Документация от поставщиков комплектующих.

Производитель должен, как правило, хранить техническую документацию и иметь возможность предоставить ее властям в течение не менее 10 лет с последней даты производства и продажи товара. Требования к сроку хранения технической документации могут различаться.

Техническая документация один из самых больших блоков в процессе маркировки CE и это недооценивается или даже полностью забывается многими производителями. Все документы являются частью изделия и должны быть соответственно созданы и приложены, маркировка CE также будет неправильно применена, если техническая документация отсутствует, неправильная или неполная. Соответственно, производитель должен принять во внимание соответствующие штрафы со стороны властей.

7. Заполните декларацию соответствия, она должна содержать информацию о директивах, стандартах или других нормативных документах, информацию о контактных данных производителя и информацию о нотифицированном органе, испытаниях продукции. Предоставляя техническую документацию и декларацию соответствия, вы как производитель заявляете, что несете полную ответственность за соответствие продукта требованиям директивы и подтверждаете, что выполнили все необходимые оценки. Производитель имеет право поручить составить и подписать декларацию Уполномоченному представителю изготовителя в Европейском союзе под его полную ответственность. Законодательство ЕС (Регламент 2021/1020) определяет хранение документации по соответствию требованиям на территории сообщества, что можно поручить представителю.

8. Проверьте, существует ли национальный закон в стране, в которой будет продаваться продукт. Одна из целей знака CE – гарантировать, что продукция может свободно перемещаться в странах ЕС и ЕЭЗ. Национальные власти ЕС не могут предъявлять к продукту более строгие требования, чем согласовали государства-члены. Однако имейте в виду, что в отдельных странах могут быть особые требования к изделию в условиях использования. Например, могут быть особые требования к сервисному осмотру лифтов. И, наконец, заказчик всегда может выдвигать требования, выходящие за рамки требований директив или правил.

9. Место размещения знака CE и способ его оформления может отличаться в зависимости от рассматриваемого образца. Подробные инструкции по размещению, содержанию и дизайну находятся в гармонизированном стандарте. При отсутствии гармонизированного стандарта должны применяться общие инструкции законодательного Акта.

10. Могут существовать другие гармонизированные законы, которым необходимо следовать. Это могут быть, например: Директива WEEE, которая распространяется на все электронные продукты, Директивы по упаковке, Регламент REACH, RoHS или Директива о батареях. Поэтому проверьте, какое законодательство применимо к вашему изделию.

Термин «процедура оценки соответствия» относится к процессу, в ходе которого продукт оценивается в соответствии с критериями маркировки CE, и результат фиксируется. Однако не все процедуры оценки идентичны другим. В зависимости от директивы, стандарта или сертификата существуют различия в том, как они проверяются. Например, существуют разные процедуры оценки соответствия для Директивы по машинному оборудованию 2006/42 / EC и для Регламента ЕС по медицинскому оборудованию 2021/745. Тем не менее во всех процедурах оценки соответствия можно увидеть общие черты.

Оценка делится на модули (схемы).