1.1. Ці Вимоги визначають процедури формування та перевірки позначки часу, формати даних та протоколи взаємодії суб’єктів у сфері послуг електронного цифрового підпису (далі - ЕЦП) під час надання послуги фіксування часу.

1.2. У цих Вимогах терміни вживаються у такому значенні:

верифікатор позначки часу - особа, яка виконує перевірку дійсності вже сформованої позначки часу електронного документа з метою отримання інформації про дійсність чи недійсність позначки часу;

користувач - особа, яка користується послугою фіксування часу з метою засвідчення наявності електронного документа (електронних даних) на певний момент часу (запитувач позначки часу);

позначка часу - сукупність електронних даних, створена за допомогою технічних засобів та засвідчена електронним цифровим підписом Центру, яка підтверджує наявність електронного документа (електронних даних) на певний момент часу;

послуга фіксування часу - процедура засвідчення наявності електронного документа (електронних даних) на певний момент часу шляхом додання до нього або логічного поєднання з ним позначки часу.

Інші терміни застосовуються у значеннях, наведених у Законі України "Про електронний цифровий підпис", Порядку засвідчення наявності електронного документа (електронних даних) на певний момент часу, затвердженому постановою Кабінету Міністрів України від 26 травня 2004 року № 680, Порядку акредитації центру сертифікації ключів, затвердженому постановою Кабінету Міністрів України від 13 липня 2004 року № 903, Правилах посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року № 3 (у редакції наказу Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 10 травня 2006 року № 50), зареєстрованих у Міністерстві юстиції України 27 січня 2005 року за № 104/10384, інших нормативно-правових актах з питань криптографічного та технічного захисту інформації.

1.3. Формати даних представлено у нотації ASN.1, визначеній у міжнародному стандарті ISO/IEC 8824 "Information technology - Open Systems Interconnection - Specification of Abstract Syntax Notation One (ASN.1)" / ДСТУ ISO/ІЕС 8824-3:2008 "Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1)" - частина 3. Специфікація обмежень (ISO/IEC 8824-3:2002, IDT), затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 26 грудня 2008 року № 508 (із змінами).

Формати даних у нотації ASN.1, що застосовуються при реалізації протоколу фіксування часу, наведено у додатку 1 до цих Вимог.

1.4. Усі структури даних кодують за правилами DER згідно з міжнародним стандартом ISO/IEC 8825-1:2002 "Information technology - ASN.1 Encoding Rules - Part 1: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)".

1.5. Ці Вимоги засновані на стандарті RFC 5652 "Cryptographic Message Syntax (CMS)", а також RFC 3161 "Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)" та національному стандарті України ДСТУ ISO/ІЕС 18014-1:2006 "Інформаційні технології. Методи захисту. Послуги штемпелювання часу. Частина 1. Основні положення" (ISO/ІЕС 18014-1:2002, IDT), затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 27 грудня 2006 року № 375 (із змінами) (далі - ISO/ІЕС 18014).

1.6. Ці Вимоги не дублюють стандарти ISO/ІЕС 18014, RFC 5652 та RFC 3161, а описують положення цих стандартів та формати полів. У разі виникнення розбіжностей між положеннями зазначених стандартів та положеннями цих Вимог застосовуються положення цих Вимог.

1.7. Положення цих Вимог є обов’язковими для програмно-технічних комплексів акредитованих центрів сертифікації ключів та надійних засобів електронного цифрового підпису. Правильність реалізації протоколу фіксування часу у надійних засобах електронного цифрового підпису підтверджується сертифікатом відповідності або позитивним експертним висновком за результатами державної експертизи у сфері криптографічного захисту інформації.

1.8. Геш-функція обчислюється одним з криптоалгоритмів за:

ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хэширования", затвердженим наказом Державного комітету України з питань технічного регулювання та споживчої політики від 21 жовтня 1997 року № 640 (далі – ГОСТ 34.311-95);

ДСТУ 7564:2014 "Інформаційні технології. Криптографічний захист інформації. Функція гешування", затвердженим наказом Міністерства економічного розвитку і торгівлі України від 02 грудня 2014 року № 1431 (далі - ДСТУ 7564-2014).

1.9. В операціях формування та перевіряння підпису при обчисленні значення геш-функції згідно з ГОСТ 34.311-95 повинен використовуватися довгостроковий ключовий елемент (далі - ДКЕ), зазначений у параметрах ключа підпису.

В усіх інших операціях обчислення значення геш-функції згідно з ГОСТ 34.311-95 повинен використовуватися ДКЕ № 1, наведений у додатку 1 до Інструкції про порядок постачання і використання ключів до засобів криптографічного захисту інформації, затвердженої наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 12 червня 2007 року № 114 зареєстрованої в Міністерстві юстиції України 25 червня 2007 року за № 729/13996 (із змінами) (далі - ДКЕ № 1).

ДКЕ №1 використовується як ДКЕ "за умовчанням".

Для сумісності з попередніми рішеннями при перевірці значення геш-функції згідно з ГОСТ 34.311-95 допускається використання ДКЕ, що вказаний у параметрах ключа підпису.

1.10. Для визначення алгоритму гешування згідно з ДСТУ 7564-2014 поле "algorithm" може мати такі значення:

Dstu7564(256) OBJECT IDENTIFIER ::= ( iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) pki(1) alg(1) hash(2) Dstu7564(2) 1 )

Dstu7564(384) OBJECT IDENTIFIER ::= ( iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) pki(1) alg(1) hash(2) Dstu7564(2) 2 )

Dstu7564(512) OBJECT IDENTIFIER ::= ( iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) pki(1) alg(1) hash(2) Dstu7564(2) 3 )

Поле "parameters" повинно бути відсутнє.

1.11. При використанні функції гешування за ДСТУ 7564-2014 в операціях формування та перевіряння електронного цифрового підпису режим обчислення геш-значення визначається відповідно до Вимог до формату посиленого сертифіката відкритого ключа, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453, зареєстрованих у Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710.

В усіх інших операціях обчислення значення геш-функції згідно з ДСТУ 7564-2014 рекомендується використовувати режим гешування з формуванням геш-значення завдовжки 256 бітів.

2.1. Під час формування позначки часу користувач та Центр виконують такі дії:

2.1.1 користувач обчислює геш-значення від електронного документа (електронних даних), на який необхідно сформувати позначку часу;

2.1.2 користувач формує запит на формування позначки часу, який містить:

обчислене геш-значення;

об’єктний ідентифікатор політики формування позначки часу (необов’язково);

ідентифікатор алгоритму гешування, що використовувався;

унікальний ідентифікатор запиту (необов’язково);

необов’язкові розширення;

2.1.3 користувач передає сформований запит до Центру;

2.1.4 Центр перевіряє правильність формату запиту та виконує його обробку, формує позначку часу та відповідь, що містить цю позначку, чи відповідь з інформацією про відмову у формуванні позначки часу;

2.1.5 позначка часу містить такі дані:

об’єктний ідентифікатор політики формування позначки часу, що була використана;

геш-значення електронного документа (електронних даних), для яких було сформовано позначку;

серійний номер позначки часу;

час формування позначки;

додаткову інформацію про позначку часу;

електронний цифровий підпис (далі - ЕЦП), сформований за допомогою особистого ключа Центру сертифікації ключів, накладений на позначку часу;

2.1.6 Центр пересилає відповідь, що містить позначку часу, користувачеві;

2.1.7 користувач після отримання відповіді від Центру виконує такі дії:

перевіряє результат обробки у відповіді;

перевіряє, чи відповідає ім’я суб’єкта, що підписав позначку часу, імені Центру;

перевіряє, чи призначений сертифікат відкритого ключа Центру для формування позначки часу;

перевіряє чинність сертифіката відкритого ключа Центру;

перевіряє ЕЦП, що був накладений на позначку часу;

перевіряє відповідність даних електронного документа та даних, для яких була сформована позначка часу (шляхом порівняння обчисленого геш-значення електронного документа (електронних даних) та геш-значення, що записане у позначці часу);

додає позначку часу до електронного документа.

3.1. Перевірка позначки часу виконується верифікатором за допомогою сертифіката відкритого ключа Центру автономно, без взаємодії з Центром.

3.2. Верифікатор здійснює перевірку позначки часу, виконуючи при цьому такі дії:

отримує ідентифікаційну інформацію з позначки часу про Центр (інформацію, що однозначно ідентифікує сертифікат Центру);

за допомогою чинного (на момент формування позначки) сертифіката відкритого ключа Центру перевіряє ЕЦП, що був накладений на позначку часу;

перевіряє відповідність позначки часу та електронного документа (електронних даних), до якого вона була прикріплена (шляхом порівняння обчисленого геш-значення електронного документа (електронних даних) та геш-значення, що зберігається у позначці часу).

4.1. Запит на формування позначки часу має такий формат:

4.1.1. Поле "version" визначає версію формату запиту на формування позначки часу. Значення цього поля дорівнює "1".

4.1.2. Поле "messageImprint" містить геш-значення від електронного документа (електронних даних), на які отримується позначка часу, та ідентифікатор алгоритму гешування.

Геш-значення від електронного документа (електронних даних), на які отримується позначка часу, має такий формат:

Поле "hashAlgorithm" визначає ідентифікатор алгоритму, за допомогою якого було отримано геш-значення.

Поле "hashedMessage" містить безпосередньо байти обчисленого гешу.

4.1.3. Поле "reqPolicy" містить об’єктний ідентифікатор політики формування позначок часу:

TSAPolicyId::=OBJECT IDENTIFIER

Можливі ідентифікатори для "TSAPolicyId" щодо застосування криптографічних алгоритмів підпису у відповіді на запит позначки часу:

ua-pki-TSPpolicyDSTU4145WithGost34311(PB) ::= OBJECT IDENTIFIER

( ua-pki(1.2.804.2.1.1.1) cp(2) TSPpolicy(3) 1 ) - для формування відповіді з цифровим підписом згідно з ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння", затвердженим наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі - ДСТУ 4145-2002) (поліноміальний базис), та геш-функцією згідно з ГОСТ 34.311-95;

ua-pki-TSPpolicyDstu4145WithGost34311(ONB) ::= OBJECT IDENTIFIER

( ua-pki (1.2.804.2.1.1.1) cp(2) TSPpolicy(3) 3 ) - для формування відповіді з цифровим підписом згідно з ДСТУ 4145-2002 (оптимальний нормальний базис) та геш-функцією згідно з ГОСТ 34.311-95;

ua-pki- TSPpolicyDstu4145WithDstu7564(256) ::= OBJECT IDENTIFIER

( ua-pki(1.2.804.2.1.1.1) cp(2) TSPpolicy(3)

TSPpolicyDstu4145WithDstu7564(4) 1 ) - для формування відповіді з цифровим підписом згідно з ДСТУ 4145-2002 та геш-функцією згідно з ДСТУ 7564-2014 у режимі формування геш-значення завдовжки 256 бітів;

ua-pki- TSPpolicyDstu4145WithDstu7564(256) ::= OBJECT IDENTIFIER

( ua-pki(1.2.804.2.1.1.1) cp(2) TSPpolicy(3)

TSPpolicyDstu4145WithDstu7564(4) 2 ) - для формування відповіді з цифровим підписом згідно з ДСТУ 4145-2002 та геш-функцією згідно з ДСТУ 7564-2014 у режимі формування геш-значення завдовжки 384 біти;

ua-pki- TSPpolicyDstu4145WithDstu7564(256) ::= OBJECT IDENTIFIER

( ua-pki(1.2.804.2.1.1.1) cp(2) TSPpolicy(3)

TSPpolicyDstu4145WithDstu7564(4) 3 ) - для формування відповіді з цифровим підписом згідно з ДСТУ 4145-2002 та геш-функцією згідно з ДСТУ 7564-2014 у режимі формування геш-значення завдовжки 512 бітів;

"За умовчанням" використовується політика: