Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах [...]
Мін'юст України, Адміністрація Держспецзв’язку; Наказ, Вимоги від 20.08.20121236/5/453
Документ z1398-12, чинний, поточна редакція — Редакція від 04.07.2014, підстава z0603-14
 

Сторінки:  [ 1 ]  2  3
наступна сторінка »  

МІНІСТЕРСТВО ЮСТИЦІЇ УКРАЇНИ
АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ

НАКАЗ

20.08.2012  № 1236/5/453


Зареєстровано в Міністерстві
юстиції України
20 серпня 2012 р.
за № 1398/21710

Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису

{Із змінами, внесеними згідно з Наказами Міністерства юстиції
№ 1716/5/667 від 22.11.2012
№ 873/5/269 від 05.06.2014}

На виконання пункту 3 Плану заходів щодо реалізації Концепції розвитку електронного урядування в Україні, затвердженого розпорядженням Кабінету Міністрів України від 26 вересня 2011 року № 1014-р, відповідно до Закону України “Про електронний цифровий підпис”, підпунктів 65 і 66 пункту 4 Положення про Міністерство юстиції України, затвердженого Указом Президента України від 06 квітня 2011 року № 395, підпунктів 7 і 11 пункту 4 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого Указом Президента України від 30 червня 2011 року № 717, та з метою створення умов технологічної сумісності програмно-технічних комплексів акредитованих центрів сертифікації ключів та надійних засобів електронного цифрового підпису НАКАЗУЄМО:

1. Затвердити такі, що додаються, вимоги до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису (далі - Вимоги):

1.1. Вимоги до формату посиленого сертифіката відкритого ключа.

1.2. Вимоги до структури об’єктних ідентифікаторів для криптоалгоритмів, що є державними стандартами.

1.3. Вимоги до формату списку відкликаних сертифікатів.

1.4. Вимоги до формату підписаних даних.

1.5. Вимоги до протоколу фіксування часу.

1.6. Вимоги до протоколу визначення статусу сертифіката.

2. Установити, що:

2.1. Акредитовані центри сертифікації ключів, замовники, розробники, виробники та організації, які експлуатують надійні засоби електронного цифрового підпису в системах електронного документообігу, що створюються на виконання Плану заходів щодо реалізації Концепції розвитку електронного урядування в Україні, затвердженого розпорядженням Кабінету Міністрів України від 26 вересня 2011 року № 1014-р, забезпечують застосування положень Вимог у програмно-технічних комплексах акредитованих центрів сертифікації ключів та надійних засобах електронного цифрового підпису з 31 грудня 2012 року.

2.2. Акредитовані центри сертифікації ключів, замовники, розробники, виробники та організації, які експлуатують надійні засоби електронного цифрового підпису, крім визначених у підпункті 2.1 пункту 2 цього наказу, забезпечують застосування у програмно-технічних комплексах акредитованих центрів сертифікації ключів та надійних засобах електронного цифрового підпису положень Вимог з 01 червня 2013 року.

2.3. Акредитовані центри сертифікації ключів, які здійснили заходи, визначені у підпунктах 2.1, 2.2 пункту 2 цього наказу, надають послуги електронного цифрового підпису з моменту проходження повторної акредитації відповідно до пункту 13 Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903.

3. Адміністрації Державної служби спеціального зв’язку та захисту інформації України вжити заходів для впровадження Вимог у програмно-технічних комплексах акредитованих центрів сертифікації ключів та надійних засобах електронного цифрового підпису в строки, визначені у підпунктах 2.1, 2.2 пункту 2 цього наказу.

4. Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу Міністерства юстиції України (Чижмарь К.І.) розмістити цей наказ на офіційному веб-сайті Міністерства юстиції України.

5. Цей наказ набирає чинності з дня його офіційного опублікування.

6. Контроль за виконанням цього наказу покласти на заступника Міністра юстиції України Ворону М.Д. та першого заступника Голови Державної служби спеціального зв’язку та захисту інформації України Цуркана О.Г.

Міністр юстиції України

О.В. Лавринович

Голова Державної служби
спеціального зв’язку
та захисту інформації України



Г.А. Резніков

ПОГОДЖЕНО:

В.о. Голови Державної служби України
з питань регуляторної політики
та розвитку підприємництва

Перший заступник Міністра освіти і науки,
молоді та спорту України

Голова Національної комісії,
що здійснює державне регулювання
у сфері зв’язку та інформатизації





О.Ю. Потімков


Є.М. Суліма



П.П. Яцук





ЗАТВЕРДЖЕНО
Наказ Міністерства
юстиції України,
Адміністрації Державної служби
спеціального зв’язку
та захисту інформації України
20.08.2012  № 1236/5/453


Зареєстровано в Міністерстві
юстиції України
20 серпня 2012 р.
за № 1398/21710

ВИМОГИ
до формату посиленого сертифіката відкритого ключа

І. Загальні положення

1.1. Ці Вимоги визначають формат посиленого сертифіката відкритого ключа (далі - сертифікат).

1.2. Формати даних представлено у нотації ASN.1, визначеній у міжнародному стандарті ISO/IEC 8824 “Information technology - Open Systems Interconnection - Specification of Abstract Syntax Notation One (ASN.1)” / ДСТУ ISO/ІЕС 8824-3:2008 “Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1)” - частина 3. Специфікація обмежень (ISO/IEC 8824-3:2002, IDT), затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 26 грудня 2008 року № 508 (із змінами).

1.3. Усі структури даних кодують за правилами DER згідно з міжнародним стандартом ISO/IEC 8825-1:2002 “Information technology - ASN.1 encoding Rules - Part 1: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)” & AMD1:2004 “Support for EX-TENDED-XER”.

1.4. Ці Вимоги засновані на національному стандарті України ДСТУ ISO/IEC 9594-8:2006 “Інформаційні технології. Взаємозв'язок відкритих систем. Каталог. Частина 8. Основні положення щодо сертифікації відкритих ключів та атрибутів”, затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 27 грудня 2006 року № 374 (із змінами) (далі - ДСТУ ISO/IEC 9594-8:2006), з урахуванням визначених у статті 6 Закону України “Про електронний цифровий підпис” вимог до змісту сертифіката ключа.

1.5. Ці Вимоги не дублюють стандарт ДСТУ ISO/IEC 9594-8:2006, а описують положення цього стандарту та формати полів. У разі виникнення розбіжностей між положеннями зазначеного стандарту та положеннями цих Вимог застосовуються положення цих Вимог.

1.6. Положення цих Вимог є обов’язковими для програмно-технічних комплексів акредитованих центрів сертифікації ключів та надійних засобів електронного цифрового підпису. Правильність реалізації формату посиленого сертифіката відкритого ключа у надійних засобах електронного цифрового підпису підтверджується сертифікатом відповідності або позитивним експертним висновком за результатами державної експертизи у сфері криптографічного захисту інформації.

ІІ. Подання сертифіката

Сертифікат ключа подається в такому вигляді:

Certificate ::= SEQUENCE {


tbsCertificate

TBSCertificate,


signatureAlgorithm

AlgorithmIdentifier,


signatureValue

BIT STRING }

Поле “TBSCertificate” - це частина сертифіката, на яку за допомогою особистого ключа центрального засвідчувального органу, засвідчувального центру, акредитованого центру сертифікації ключів (далі - Центр) накладається електронний цифровий підпис (далі - ЕЦП) за криптографічним алгоритмом (далі - криптоалгоритм), об’єктний ідентифікатор якого міститься у полі “signatureAlgorithm”. Значення ЕЦП містить поле “signatureValue”.

TBSCertificate ::= SEQUENCE {


version

[0] Version,


serialNumber

CertificateSerialNumber,


signature

AlgoritmIdentifier,


issuer

Name,


validity

Validity,


subject

Name,


subjectPublicKeyInfo

SubjectPublicKeyInfo,


issuerUniqueID

[1] IMPLICIT UniqueIdentifier OPTIONAL,


subjectUniqueID

[2] IMPLICIT UniqueIdentifier OPTIONAL,


extensions

[3] EXPLICIT Extensions }

Для усіх строкових даних та полів сертифіката, що мають універсальний тип “DirectoryString”, використовується кодування UTF-8. Для набору символів ASCII може використовуватися кодування PrintableString. Символ “;” використовується як роздільник даних у полі сертифіката.

ІІІ. Основні поля сертифіката

3.1. Основні поля сертифіката наведено в таблиці 1.

Таблиця 1

Назва поля англійською мовою

Назва поля українською мовою

version

номер версії сертифіката

serialNumber

унікальний реєстраційний номер сертифіката

issuer

найменування та реквізити Центру

signature

алгоритм ЕЦП

validity

строк чинності сертифіката

subject

власник сертифіката

subjectPublicKeyInfo

інформація про відкритий ключ підписувача

signatureAlgorithm

найменування криптоалгоритму, що використовується Центром

signatureValue

значення ЕЦП

3.2. Поле “Номер версії сертифіката” (“version”) повинно містити значення “2” (1 байт), яке означає, що формат сертифіката відповідає версії 3 згідно з національним стандартом ДСТУ ISO/IEC 9594-8:2006.

Version ::= INTEGER {v3 (2)}

3.3. Значення поля “Унікальний реєстраційний номер сертифіката” (“serialNumber”) повинно бути додатним цілим числом, розмір якого не перевищує 20 байт (0<serialNumber<2-160).

Унікальність реєстраційного номера сертифіката повинна дотримуватися у рамках всіх сертифікатів, сформованих Центром.

CertificateSerialNumber::= INTEGER

3.4. Поле “Найменування та реквізити Центру” (“issuer”) повинно містити найменування та реквізити Центру.

Name ::= CHOICE {


rdnSequence RDNSequence }

RDNSequence::= SEQUENCE OF RelativeDistinguishedName

RelativeDistinguishedName::= SET OF AttributeTypeAndValue

AttributeTypeAndValue::= SEQUENCE {


type

AttributeType,

value

AttributeValue }

AttributeType::= OBJECT IDENTIFIER

AttributeValue::= ANY DEFINED BY AttributeType
DirectoryString::=CHOICE {


printableString

PrintableString,

utf8String

UTF8String,

bmpString

BMPString }

id-at OBJECT IDENTIFIER ::= {joint-iso-ccitt (2) ds (5) 4}

3.5. У полі “Найменування та реквізити Центру” (“issuer”) повинні міститися реквізити Центру, що наведені у таблиці 2.

Таблиця 2

Назва реквізиту англійською мовою

Назва реквізиту українською мовою

Значення реквізиту

Обов’язковість-1 реквізиту

countryName

назва країни

країна, в якій зареєстрована організація - юридична особа або фізична особа, яка є суб’єктом підприємницької діяльності
id-at-countryName AttributeType ::=
{id-at 6} X520countryName ::=
PrintableString (SIZE (2))
код згідно з міжнародним стандартом ISO 3166 (для України - UA)

+

organizationName

найменування організації

повне (або офіційне скорочене) найменування організації - юридичної особи або прізвище та ініціали фізичної особи, яка є суб'єктом підприємницької діяльності, за установчими документами або відомостями про державну реєстрацію
id-at-organizationName AttributeType ::= {id-at 10} X520organizationName ::= DirectoryString (SIZE (64))

+

serialNumber

серійний номер

унікальний реєстраційний номер Центру
id-at-serialNumber
AttributeType ::= {id-at 5}
serialNumber::= PrintableString
(SIZE (64))
Значення цього реквізиту задається згідно з підпунктом 3.5.2 цього пункту

+

stateOrProvinceName

назва області-2

область, у якій зареєстрована організація - юридична особа або фізична особа, яка є суб’єктом підприємницької діяльності
id-at- stateOrProvinceName
AttributeType ::= {id-at 8}
X520stateOrProvinceName ::=
DirectoryString (SIZE (64))

+/-

localityName

назва міста

місто, в якому зареєстрована організація - юридична особа або фізична особа, яка є суб’єктом підприємницької діяльності
id-at- localityName
AttributeType ::= {id-at 7}
X520localityName ::=
DirectoryString (SIZE (64))

+

commonName

найменування Центру

найменування Центру
id-at-commonName
AttributeType ::= {id-at 3}
X520commonName ::=
DirectoryString (SIZE (64))

+

organizationalUnit Name

назва підрозділу організації

назва підрозділу організації, що є Центром та забезпечує надання послуг електронного цифрового підпису
id-at-organizationalUnitName
AttributeType ::= {id-at 11}
X520 organizationalUnitName ::=
DirectoryString (SIZE (64))

+

__________
-1Обов’язковість визначається таким чином:
+ - реквізит обов’язковий;
- - реквізит повинен бути відсутній;
+/- - реквізит може бути присутнім або відсутнім.
-2Якщо місцем реєстрації юридичної особи або фізичної особи, яка є суб’єктом підприємницької діяльності, є місто Київ або Севастополь, реквізит “stateOrProvinceName” повинен бути відсутнім.

{Таблиця 2 пункту 3.5 розділу III із змінами, внесеними згідно з Наказом Міністерства юстиції № 1716/5/667  від 22.11.2012}

3.5.1. Поля “Найменування та реквізити Центру” (“issuer”) та “Унікальний реєстраційний номер сертифіката” (“serialNumber”) у структурі “TBSCertificate” разом ідентифікують унікальний сертифікат.

3.5.2. Реквізит “Унікальний реєстраційний номер сертифіката” (“serialNumber”) у таблиці 2 містить унікальний реєстраційний номер Центру.

Формування унікального реєстраційного номера здійснюється згідно з нижченаведеними правилами.

Реквізит містить цифри “0”-“9”, великі латинські літери “А”-“Z” та символ “-”;

UA-[Код Установи] {-[Додаток]}, де:

Код Установи - 8, 9 або 10 цифр, що містять код за ЄДРПОУ організації - юридичної особи або реєстраційний номер облікової картки платника податку - фізичної особи, яка є суб'єктом підприємницької діяльності за установчими документами або відомостями про державну реєстрацію;

Додаток - необов’язкова послідовність від 1 до 4 цифр, що містить додаткову частину ідентифікатора. У разі використання Додатка він відокремлюється від реквізиту [Код Установи] символом “-”.

Вищезазначений реквізит шляхом його додавання до розпізнавального імені Центру забезпечує унікальність його розпізнавального імені в межах України. Унікальність цього розпізнавального імені забезпечується центральним засвідчувальним органом.

3.6. Поле “Алгоритм ЕЦП” (“signature”) повинно містити тільки об’єктний ідентифікатор криптоалгоритму, що використовується Центром для накладання електронного цифрового підпису на сертифікат ключа.

AlgorithmIdentifier ::= SEQUENCE {


algorithm

OBJECT IDENTIFIER,


parameters

ANY DEFINED BY algorithm OPTIONAL }

Значення поля “Алгоритм ЕЦП” (“signature”) повинно співпадати із значенням, що міститься у полі “Найменування криптоалгоритму, що використовується Центром” (“signatureAlgorithm”).

Поле “parameters” повинно бути відсутнє.

3.7. Поле “Строк чинності сертифіката” (“validity”) повинно містити значення дати і часу початку та закінчення строку чинності сертифіката.

Validity ::= SEQUENCE {


notBefore

Time,


notAfter

Time}

Time ::= CHOICE {


utcTime

UTCTime,


generalTime

GeneralizedTime}

Поле “Time” зі значенням до 31 грудня 2049 року (включно) кодується у форматі “UTCTime”; починаючи з 01 січня 2050 року - у форматі “GeneralizedTime”.

3.8. Поле “Підписувач” (“subject”) повинно містити реквізити підписувача, що наведені у таблиці 3.

Таблиця 3

Назва реквізиту англійською мовою

Назва реквізиту українською мовою

Значення реквізиту

Обов’язковість-1 реквізиту для фізичних осіб

Обов’язковість-1 реквізиту для юридичних осіб

countryName

назва країни

країна, в якій зареєстрована організація - юридична особа або фізична особа, що є підписувачем
id-at-countryName
AttributeType ::= {id-at 6}
X520countryName ::=
PrintableString (SIZE (2))
код згідно з ISO 3166 (для України - UA)

+

+

commonName

реквізити підписувача

повне (або офіційне скорочене) найменування організації - юридичної особи-підписувача або прізвище та ініціали фізичної особи-підписувача, що відповідають формату “commonName”, визначеному у пункті 3.5 цього розділу

+

+

Surname

прізвище

прізвище підписувача за паспортними даними
id-at-surName
AttributeType ::= {id-at 4}
X520surname ::=
DirectoryString (SIZE (64))

+

-

givenName

ім’я та по батькові

ім’я та по батькові підписувача за паспортними даними
id-at-givenName
AttributeType ::= {id-at 42}
X520givenName ::=
DirectoryString (SIZE (64))

+

-

serialNumber

серійний номер

унікальний реєстраційний номер підписувача, що надається Центром під час реєстрації підписувача
id-at-serialNumber
AttributeType ::= {id-at 5}
serialNumber ::=
PrintableString (SIZE (64))

+

+

organizationName

найменування організації

найменування організації - юридичної особи, що є підписувачем, або прізвище та ініціали фізичної особи, яка є суб’єктом підприємницької діяльності, або організації, яка пов’язана з фізичною особою-підписувачем. Відповідає формату
“organizationName”,
визначеному у пункті 3.5 цього розділу

+/-

+

organizationalUnit Name

назва підрозділу організації

назва підрозділу організації, який пов’язаний з фізичною особою-підписувачем. Відповідає формату “organizationalUnitName”, визначеному у пункті 3.5 цього розділу

+/-

+/-

stateOrProvinceName

назва області-2

область, у якій зареєстрована організація - юридична особа, що є підписувачем, або організація, яка пов’язана з фізичною особою-підписувачем, або область, у якій зареєстрована фізична особа-підписувач. Відповідає формату
“stateOrProvinceName”,
визначеному у пункті 3.5 цього розділу

+/-

+/-

localityName

назва міста

місто, в якому зареєстрована організація - юридична особа, що є підписувачем, або організація, яка пов’язана з фізичною особою-підписувачем, або місто, в якому зареєстрована фізична особа-підписувач. Відповідає формату
“localityName”,
визначеному у пункті 3.5 цього розділу

+

+

Title

посада

посада фізичної особи-підписувача в організації
id-at-title
AttributeType ::= {id-at 12}
X520title ::= DirectoryString
(SIZE (64))

+/-

-

__________
-1Обов’язковість визначається таким чином:
+ - реквізит обов’язковий;
- - реквізит повинен бути відсутній;
+/- - реквізит може бути присутнім або відсутнім.
-2Якщо місцем реєстрації юридичної особи або фізичної особи, яка є суб’єктом підприємницької діяльності, є місто Київ або Севастополь, реквізит “stateOrProvinceName” повинен бути відсутнім.

3.8.1. Реквізити юридичної особи-підписувача визначаються в таких атрибутах поля “Підписувач” (“subject”):

organizationName,

countryName,

stateOrProvinceName,

localityName,

commonName.

3.8.2. Реквізити фізичної особи - підписувача (прізвище, ім’я та по батькові за паспортними даними) визначаються в таких атрибутах поля “Підписувач” (“subject”):

commonName,

givenName,

surname.

Обов’язково повинні бути визначені дані в атрибутах “countryName” та “serialNumber” (унікальний реєстраційний номер підписувача).

3.8.3. Реквізити фізичної особи - підписувача, що представляє юридичну особу (або фізичну особу - суб’єкта підприємницької діяльності), визначаються в таких атрибутах поля “Підписувач” (“subject”):

commonName,

givenName,

surname,

organizationName,

organizationalUnitName,

localityName,

stateOrProvinceName,

Title.

Обов’язково повинні бути визначені дані в атрибутах “countryName” та “serialNumber” (унікальний реєстраційний номер підписувача).

3.8.4. Інші реквізити підписувача можуть бути зазначені у розширеннях (extensions) “Додаткові дані підписувача“ (“subjectAltName”) або “Персональні дані підписувача“ (“subjectDirectoryAttributes”) залежно від типу реквізиту.

3.9. Додаткові дані про підписувача можуть бути зазначені в інших полях згідно з форматом, визначеним у національному стандарті ДСТУ ISO/IEC 9594-8:2006.

3.10. Поле “Інформація про відкритий ключ підписувача” (“subjectPublicKeyInfo”) повинно містити ідентифікатор криптоалгоритму, що використовується підписувачем, а також відкритий ключ, який відповідає особистому ключу підписувача у DER-кодуванні.

SubjectPublicKeyInfo ::= SEQUENCE {


Algorithm

AlgorithmIdentifier,


subjectPublicKey

BIT STRING }

Ідентифікатор криптоалгоритму (поле “AlgorithmIdentifier”) містить об’єктний ідентифікатор (поле “algorithm”) та відповідні параметри криптоалгоритму.

AlgorithmIdentifier ::= SEQUENCE {


algorithm OBJECT IDENTIFIER,


parameters ANY DEFINED BY algorithm OPTIONAL}

Об’єктний ідентифікатор (поле “algorithm”) повинен вказувати на один з криптоалгоритмів:

ДСТУ 4145-2002 “Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих”, затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі - ДСТУ 4145-2002);

ГОСТ 34.310-95 “Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма”, затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 21 жовтня 1997 року № 640 (далі - ГОСТ 34.310-95).

Структура параметрів криптоалгоритму (поле “parameters”) та структура відкритого ключа (поле “subjectPublicKey”) визначаються об’єктним ідентифікатором криптоалгоритму.

3.11. Параметри криптоалгоритмів

3.11.1. Параметри криптоалгоритму ДСТУ 4145-2002

DSTU4145Params::= SEQUENCE {


CHOICE {


ecbinary

ECBinary,

параметри еліптичної кривої загального виду


namedCurve

OBJECT IDENTIFIER },

об’єктний ідентифікатор стандартної еліптичної кривої, що рекомендована ДСТУ 4145-2002


dke

OCTET STRING OPTIONAL }

довгостроковий ключовий елемент (ДКЕ)

ECBinary ::= SEQUENCE {


version

[0] EXPLICIT INTEGER DEFAULT 0,


f

BinaryField,

основне поле


a

INTEGER (0..1),

коефіцієнт A еліптичної кривої


b

OCTET STRING,

коефіцієнт B еліптичної кривої


n

INTEGER,

порядок базової точки (додатне)


bp

OCTET STRING,

базова точка еліптичної кривої

BinaryField ::= SEQUENCE {


m

INTEGER,

ступінь розширення основного поля


CHOICE {


Trinomial,

примітивний тричлен


Pentanomial } OPTIONAL }

примітивний п’ятичлен

Trinomial ::= INTEGER

Pentanomial::= SEQUENCE {


k

INTEGER,



j

INTEGER,



l

INTEGER }


  Пошук Знайти слова на сторiнцi:     
* тiльки українськi (або рос.) лiтери, мiнiмальна довжина слова 3 символи...

Сторінки:  [ 1 ]  2  3
наступна сторінка »