1.1. Ці Вимоги визначають формат списку відкликаних сертифікатів.

1.2. Формати даних представлено у нотації ASN.1, визначеній у міжнародному стандарті ISO/IEC 8824 "Information technology - Open Systems Interconnection - Specification of Abstract Syntax Notation One (ASN.1)" / ДСТУ ISO/ІЕС 8824-3:2008 "Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1)" - частина 3. Специфікація обмежень (ISO/IEC 8824-3:2002, IDT), затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 26 грудня 2008 року № 508 (із змінами).

1.3. Усі структури даних кодують за правилами DER згідно з міжнародним стандартом ISO/IEC 8825-1:2002 "Information technology - ASN.1 Encoding Rules - Part 1: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)".

1.4. Ці Вимоги засновані на національному стандарті України ДСТУ ISO/IEC 9594-8:2006 "Інформаційні технології. Взаємозв’язок відкритих систем. Каталог. Частина 8. Основні положення щодо сертифікації відкритих ключів та атрибутів", затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 27 грудня 2006 року № 374 (із змінами), та RFC 5280 "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile".

1.5. Ці Вимоги не дублюють стандарти ДСТУ ISO/IEC 9594-8:2006 та RFC 5280, а описують положення цих стандартів та формати полів. У разі виникнення розбіжностей між положеннями зазначених стандартів та положеннями цих Вимог застосовуються положення цих Вимог.

1.6. Положення цих Вимог є обов’язковими для програмно-технічних комплексів акредитованих центрів сертифікації ключів та надійних засобів електронного цифрового підпису. Правильність реалізації формату списку відкликаних сертифікатів у надійних засобах електронного цифрового підпису підтверджується сертифікатом відповідності або позитивним експертним висновком за результатами державної експертизи у сфері криптографічного захисту інформації.

1.7. Структура та формати кодування деяких полів наведені у Вимогах до формату посиленого сертифіката відкритого ключа, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453, зареєстрованих у Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710 (далі - Вимоги до формату посиленого сертифіката відкритого ключа).

Список відкликаних сертифікатів (далі - CRL) має таку структуру:

Поле "TBSCertList" є частиною CRL, що кодується за правилами DER та на яку за допомогою особистого ключа центрального засвідчувального органу, засвідчувального центру, акредитованого центру сертифікації ключів (далі - Центр) накладається електронний цифровий підпис (далі - ЕЦП).

Ідентифікатор криптоалгоритму ЕЦП міститься у полі "signatureAlgorithm". Значення ЕЦП містить поле "signatureValue".

Формат полів "signatureAlgorithm" та "signatureValue" відповідає форматам полів "signatureAlgorithm" та "signatureValue", визначеним для сертифіката та наведеним у Вимогах до формату посиленого сертифіката відкритого ключа.

3.1. Поле "TBSCertList "має таку структуру:

Опис структури наведено в таблиці 1.

Таблиця 1

3.2. Поле "Номер версії" ("Version") містить значення 1 (1 байт), яке означає, що формат CRL відповідає версії 2 згідно із стандартом ДСТУ ISO/IEC 9594-8:2006.

3.3. Поле "Алгоритм електронного цифрового підпису" ("signature") містить тільки ідентифікатор криптоалгоритму, що використовується Центром для накладення ЕЦП на CRL.

Формат та значення поля "signature" відповідають формату та значенню поля "signatureAlgorithm", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

3.4. Поле "Реквізити Центру" ("issuer") містить найменування та реквізити Центру, який сформував CRL.

Формат та значення поля "issuer" відповідають формату та значенню поля "subject" сертифіката Центру, що сформував CRL, наведеним у Вимогах до формату посиленого сертифіката відкритого ключа.

3.5. Поле "Час формування CRL" ("thisUpdate") містить дату і час формування CRL Центром.

Формат поля "thisUpdate" відповідає формату поля "Time", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

3.6. Поле "Час наступного формування CRL" ("nextUpdate") містить дату і час наступного формування CRL Центром.

Дане поле є обов’язковим.

Формат поля "nextUpdate" відповідає формату поля "Time", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

3.7. Елементи CRL.

3.7.1. Поле "Елементи CRL" ("revokedCertificates") містить інформацію про скасовані, блоковані та поновлені сертифікати.

3.7.2. Формат поля "Унікальний реєстраційний номер сертифіката" ("userCertificate") повинен відповідати формату поля "serialNumber", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

3.7.3. Поле "Час відкликання сертифіката" ("revocationDate") містить дату і час відкликання (скасування, блокування та поновлення) сертифіката.

Формат поля "revocationDate" відповідає формату поля "Time", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

3.8. Розширення елементів CRL.

Для уточнення відомостей про відкликані сертифікати Центр може включати до елементів CRL додаткові дані, що розташовуються у розширеннях (поле "crlEntryExtensions").

Формат поля "crlEntryExtensions" відповідає типу "Extensions", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

Об’єктні ідентифікатори розширень визначаються за допомогою ідентифікатора:

id-ce OBJECT IDENTIFIER ::= ( joint-iso-ccitt(2) ds(5) 29 )