- Правова система ipLex360
- Законодавство
- Наказ
МІНІСТЕРСТВО ЮСТИЦІЇ УКРАЇНИ
АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ
НАКАЗ
Зареєстровано в Міністерстві
юстиції України
20 серпня 2012 р.
за № 1398/21710
Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису
1. Затвердити такі, що додаються, вимоги до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису (далі - Вимоги):
1.1. Вимоги до формату посиленого сертифіката відкритого ключа.
2. Установити, що:
2.1. Акредитовані центри сертифікації ключів, замовники, розробники, виробники та організації, які експлуатують надійні засоби електронного цифрового підпису в системах електронного документообігу, що створюються на виконання
Плану заходів щодо реалізації Концепції розвитку електронного урядування в Україні, затвердженого розпорядженням Кабінету Міністрів України від 26 вересня 2011 року № 1014-р, забезпечують застосування положень Вимог у програмно-технічних комплексах акредитованих центрів сертифікації ключів та надійних засобах електронного цифрового підпису з 31 грудня 2012 року.
2.2. Акредитовані центри сертифікації ключів, замовники, розробники, виробники та організації, які експлуатують надійні засоби електронного цифрового підпису, крім визначених у підпункті 2.1 пункту 2 цього наказу, забезпечують застосування у програмно-технічних комплексах акредитованих центрів сертифікації ключів та надійних засобах електронного цифрового підпису положень Вимог з 01 червня 2013 року.
2.3. Акредитовані центри сертифікації ключів, які здійснили заходи, визначені у підпунктах 2.1, 2.2 пункту 2 цього наказу, надають послуги електронного цифрового підпису з моменту проходження повторної акредитації відповідно до пункту 13
Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903.
2.4. Суб’єкти правових відносин у сфері послуг електронного цифрового підпису, що використовують у своїй діяльності посилені сертифікати відкритих ключів, застосовують електронний цифровий підпис:
1) в межах країни з метою забезпечення електронного документообігу та електронної автентифікації осіб відповідно до:
( Абзац перший підпункту 1 підпункту 2.4 пункту 2 із змінами, внесеними згідно з Наказом Міністерства юстиції
№ 3599/5/618 від 17.11.2017 )
національного стандарту України ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння", затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31, з функцією гешування за міждержавним стандартом ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хэширования", затвердженим наказом Державного комітету України з питань технічного регулювання та споживчої політики від 21 жовтня 1997 року № 640. Ці стандарти застосовуються для накладення електронного цифрового підпису до 01 січня 2022 року та для накладення електронного цифрового підпису з метою надання послуг електронного цифрового підпису з перевірки статусу сертифікатів відкритих ключів до завершення терміну їх дії та перевірки електронного цифрового підпису;
( Абзац другий підпункту 1 підпункту 2.4 пункту 2 із змінами, внесеними згідно з Наказом Міністерства юстиції
№ 3599/5/618 від 17.11.2017 )
національного стандарту України ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння", затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31, з функцією гешування за національним стандартом України ДСТУ 7564-2014 "Інформаційні технології. Криптографічний захист інформації. Функція гешування", затвердженим наказом Міністерства економічного розвитку і торгівлі України від 02 грудня 2014 року
№ 1431. Ці стандарти застосовуються для накладення електронного цифрового підпису з 01 січня 2022 року та для перевірки електронного цифрового підпису;
( Абзац третій підпункту 1 підпункту 2.4 пункту 2 із змінами, внесеними згідно з Наказом Міністерства юстиції
№ 3599/5/618 від 17.11.2017 )
національного стандарту України ДСТУ ISO/IEC 14888-3:2015 "Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми, що ґрунтуються на дискретному логарифмуванні", затвердженого наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 року
№ 193, із застосуванням алгоритму ECDSA зі ступенем розширення основного поля еліптичної кривої не менше 256 з функціями гешування sha256 або sha512 відповідно до FIPS PUB 180-4 "Secure Hash Standard";
2) для транскордонного співробітництва з будь-якою метою відповідно до вимог:
ДСТУ ETSI EN 119 312:2015 "Електронні підписи й інфраструктури (ESI). Криптографічні комплекти", затвердженого наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 07 вересня 2016 року
№ 265, та в межах країни з іншою метою, ніж зазначена у підпунктах 1, 2 цього пункту, шляхом застосовування алгоритмів електронного цифрового підпису:
RSA відповідно до RFC 3447 "Public-Key Cryptography Standards (PKCS) № 1: RSA Cryptography Specifications Version 2.1" з довжиною ключа не менше 4096 бітів з функціями гешування sha256 відповідно до FIPS PUB 180-4;
зазначених у підпункті 1 цього підпункту.
3. Адміністрації Державної служби спеціального зв’язку та захисту інформації України вжити заходів для впровадження Вимог у програмно-технічних комплексах акредитованих центрів сертифікації ключів та надійних засобах електронного цифрового підпису в строки, визначені у підпунктах 2.1, 2.2 пункту 2 цього наказу.
4. Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу Міністерства юстиції України (Чижмарь К.І.) розмістити цей наказ на офіційному веб-сайті Міністерства юстиції України.
5. Цей наказ набирає чинності з дня його офіційного опублікування.
6. Контроль за виконанням цього наказу покласти на заступника Міністра юстиції України Ворону М.Д. та першого заступника Голови Державної служби спеціального зв’язку та захисту інформації України Цуркана О.Г.
|
Міністр юстиції України |
О.В. Лавринович |
Голова Державної служби
спеціального зв’язку
та захисту інформації України |
Г.А. Резніков |
ПОГОДЖЕНО:
В.о. Голови Державної служби України
з питань регуляторної політики
та розвитку підприємництва
Перший заступник Міністра освіти і науки,
молоді та спорту України
Голова Національної комісії,
що здійснює державне регулювання
у сфері зв’язку та інформатизації |
О.Ю. Потімков
Є.М. Суліма
П.П. Яцук |
ЗАТВЕРДЖЕНО
Наказ Міністерства
юстиції України,
Адміністрації Державної служби
спеціального зв’язку
та захисту інформації України
20.08.2012 № 1236/5/453
Зареєстровано в Міністерстві
юстиції України
20 серпня 2012 р.
за № 1398/21710
ВИМОГИ
до формату посиленого сертифіката відкритого ключа
І. Загальні положення
1.1. Ці Вимоги визначають формат посиленого сертифіката відкритого ключа (далі - сертифікат).
1.3. Усі структури даних кодують за правилами DER згідно з міжнародним стандартом ISO/IEC 8825-1:2002 "Information technology - ASN.1 encoding Rules - Part 1: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)" & AMD1:2004 "Support for EX-TENDED-XER".
1.4. Ці Вимоги засновані на вимогах до змісту сертифіката ключа, встановлених
статтею 6 Закону України
"Про електронний цифровий підпис" , національному стандарті України ДСТУ ISO/IEC 9594-8:2014 "Інформаційні технології. Взаємозв’язок відкритих систем. Каталог. Частина 8. Основні положення щодо сертифікації відкритих ключів та атрибутів", затвердженому наказом Міністерства економічного розвитку і торгівлі України від 30 грудня 2014 року
№ 1493 (далі - ДСТУ ISO/IEC 9594-8:2014), ДСТУ ETSI EN 319 412-1:2016 "Електронні підписи й інфраструктури (ESI). Профілі сертифікатів. Частина 1. Огляд та типові структури даних", затвердженому наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 21 червня 2016 року
№ 183 (далі - ДСТУ ETSI EN 319 412-1:2016), Європейських стандартах ETSI EN 319 412-2 V2.1.1 (2016-02) "Electronic Signaturesand Infrastructures (ESI); Certificate Profiles; Part 2: Certificate profile for certificate sissued to natural persons" (далі - ETSI EN 319 412-2), ETSI EN 319 412-3 V1.1.1 (2016-02) "Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 3: Certificate profile for certificate sissued to legal persons" (далі - ETSI EN 319 412-3), ETSI EN 319 412-5 "Electronic Signatures and Infrastructures (ESI); Certificate Profiles; Part 5: QC Statements" (далі - ETSI EN 319 412-5) та на вимогах до застосування міжнародних криптографічних алгоритмів, встановлених національним стандартом України ДСТУ ETSI EN 119 312:2015 "Електронні підписи й інфраструктури (ESI). Криптографічні комплекти", затвердженим наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 07 вересня 2016 року
№ 265 (далі - ДСТУ ETSI EN 119 312:2015).
1.5. Ці Вимоги не дублюють стандарт ДСТУ ISO/IEC 9594-8:2006, а описують положення цього стандарту та формати полів. У разі виникнення розбіжностей між положеннями зазначеного стандарту та положеннями цих Вимог застосовуються положення цих Вимог.
1.5-1. Для перевірки електронного цифрового підпису, створеного відповідно до національного стандарту України ДСТУ 4145-2002 "Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння", затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі - ДСТУ 4145-2002), повинен застосовуватися сертифікат відкритого ключа, що відповідає вимогам ДСТУ ISO/IEC 9594-8:2014 та цим Вимогам.
Для перевірки електронного цифрового підпису, створеного відповідно до алгоритмів ECDSA, визначеного національним стандартом України ДСТУ ISO/IEC 14888-3:2015 "Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми, що ґрунтуються на дискретному логарифмуванні", затвердженим наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 18 грудня 2015 року
№ 193, або RSA, визначеного рекомендаціями RFC 3447 "Public-Key Cryptography Standards (PKCS) № 1: RSA Cryptography Specifications Version 2.1", повинен застосовуватися сертифікат відкритого ключа, що відповідає вимогам стандартів ETSI EN 319 412-1, ETSI EN 319 412-2, ETSI EN 319 412-3, ETSI EN 319 412-5.
1.6. Положення цих Вимог є обов’язковими для програмно-технічних комплексів акредитованих центрів сертифікації ключів та надійних засобів електронного цифрового підпису. Правильність реалізації формату посиленого сертифіката відкритого ключа у надійних засобах електронного цифрового підпису підтверджується сертифікатом відповідності або позитивним експертним висновком за результатами державної експертизи у сфері криптографічного захисту інформації.
ІІ. Подання сертифіката для перевірки електронного цифрового підпису в інформаційно-телекомунікаційних системах з метою електронного документообігу та електронної взаємодії інформаційних систем в межах України
Сертифікат ключа подається в такому вигляді:
Certificate ::= SEQUENCE (
tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signatureValue BIT STRING )
Поле "TBSCertificate" - це частина сертифіката, на яку за допомогою особистого ключа центрального засвідчувального органу, засвідчувального центру, акредитованого центру сертифікації ключів (далі - Центр) накладається електронний цифровий підпис (далі - ЕЦП) за криптографічним алгоритмом (далі - криптоалгоритм), об’єктний ідентифікатор якого міститься у полі "signatureAlgorithm". Значення ЕЦП містить поле "signatureValue".
TBSCertificate ::= SEQUENCE (
version [0] Version,
serialNumber CertificateSerialNumber,
signature AlgoritmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL,
subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL,
extensions [3] EXPLICIT Extensions )
Для усіх строкових даних та полів сертифіката, що мають універсальний тип "DirectoryString", використовується кодування UTF-8. Для набору символів ASCII може використовуватися кодування PrintableString. Символ ";" використовується як роздільник даних у полі сертифіката.
III. Основні поля сертифіката для перевірки електронного цифрового підпису в інформаційно-телекомунікаційних системах з метою електронного документообігу, електронної взаємодії інформаційних систем та автентифікації в межах України
3.1. Основні поля сертифіката наведено в таблиці 1.
Таблиця 1
|
Назва поля англійською мовою |
Назва поля українською мовою |
|
version |
номер версії сертифіката |
|
serialNumber |
унікальний реєстраційний номер сертифіката |
|
issuer |
найменування та реквізити Центру |
|
signature |
алгоритм ЕЦП |
|
validity |
строк чинності сертифіката |
|
subject |
власник сертифіката |
|
subjectPublicKeyInfo |
інформація про відкритий ключ підписувача |
|
signatureAlgorithm |
найменування криптоалгоритму, що використовується Центром |
|
signatureValue |
значення ЕЦП |
3.2. Поле "Номер версії сертифіката" ("version") повинно містити значення "2" (1 байт), яке означає, що формат сертифіката відповідає версії 3 згідно з національним стандартом ДСТУ ISO/IEC 9594-8:2006.
Version ::= INTEGER ( v3 (2) )
3.3. Значення поля "Унікальний реєстраційний номер сертифіката" ("serialNumber") повинно бути додатним цілим числом, розмір якого не перевищує 20 байт (0<serialNumber<2-160).
Унікальність реєстраційного номера сертифіката повинна дотримуватися у рамках всіх сертифікатів, сформованих Центром.
CertificateSerialNumber::= INTEGER
3.4. Поле "Найменування та реквізити Центру" ("issuer") повинно містити найменування та реквізити Центру.
Name ::= CHOICE (
rdnSequence RDNSequence )
RDNSequence::= SEQUENCE OF RelativeDistinguishedName
RelativeDistinguishedName::= SET OF AttributeTypeAndValue
AttributeTypeAndValue::= SEQUENCE (
type AttributeType,
value AttributeValue )
AttributeType::= OBJECT IDENTIFIER
AttributeValue::= ANY DEFINED BY AttributeType
DirectoryString::=CHOICE (
printableString PrintableString,
utf8String UTF8String,
bmpString BMPString )
id-at OBJECT IDENTIFIER ::= ( joint-iso-ccitt (2) ds (5) 4 )
3.5. У полі "Найменування та реквізити Центру" ("issuer") повинні міститися реквізити Центру, що наведені у таблиці 2.
Таблиця 2
|
Назва реквізиту англійською мовою |
Назва реквізиту українською мовою |
Значення реквізиту |
Обов’язковість-1 реквізиту |
|
countryName |
назва країни |
країна, в якій зареєстрована організація - юридична особа або фізична особа, яка є суб’єктом підприємницької діяльності
id-at-countryName AttributeType ::=
( id-at 6 ) X520countryName ::=
PrintableString (SIZE (2))
код згідно з міжнародним стандартом ISO 3166 (для України - UA) |
+ |
|
organizationName |
найменування організації |
повне (або офіційне скорочене) найменування організації - юридичної особи або прізвище та ініціали фізичної особи, яка є суб'єктом підприємницької діяльності, за установчими документами або відомостями про державну реєстрацію
id-at-organizationName AttributeType ::= ( id-at 10 ) X520organizationName ::= DirectoryString (SIZE (64)) |
+ |
|
serialNumber |
серійний номер |
унікальний реєстраційний номер Центру
id-at-serialNumber
AttributeType ::= ( id-at 5 )
serialNumber::= PrintableString
(SIZE (64))
Значення цього реквізиту задається згідно з підпунктом 3.5.2 цього пункту |
+ |
|
stateOrProvinceName |
назва області-2 |
область, у якій зареєстрована організація - юридична особа або фізична особа, яка є суб’єктом підприємницької діяльності
id-at- stateOrProvinceName
AttributeType ::= ( id-at 8 )
X520stateOrProvinceName ::=
DirectoryString (SIZE (64)) |
+/- |
|
localityName |
назва міста |
місто, в якому зареєстрована організація - юридична особа або фізична особа, яка є суб’єктом підприємницької діяльності
id-at- localityName
AttributeType ::= ( id-at 7 )
X520localityName ::=
DirectoryString (SIZE (64)) |
+ |
|
commonName |
найменування Центру |
найменування Центру
id-at-commonName
AttributeType ::= ( id-at 3 )
X520commonName ::=
DirectoryString (SIZE (64)) |
+ |
|
organizationalUnit Name |
назва підрозділу організації |
назва підрозділу організації, що є Центром та забезпечує надання послуг електронного цифрового підпису
id-at-organizationalUnitName
AttributeType ::= ( id-at 11 )
X520 organizationalUnitName ::=
DirectoryString (SIZE (64)) |
+ |
__________
-1Обов’язковість визначається таким чином:
+ - реквізит обов’язковий;
- - реквізит повинен бути відсутній;
+/- - реквізит може бути присутнім або відсутнім.
-2Якщо місцем реєстрації юридичної особи або фізичної особи, яка є суб’єктом підприємницької діяльності, є місто Київ або Севастополь, реквізит "stateOrProvinceName" повинен бути відсутнім. |
3.5.1. Поля "Найменування та реквізити Центру" ("issuer") та "Унікальний реєстраційний номер сертифіката" ("serialNumber") у структурі "TBSCertificate" разом ідентифікують унікальний сертифікат.
3.5.2. Реквізит "Унікальний реєстраційний номер сертифіката" ("serialNumber") у таблиці 2 містить унікальний реєстраційний номер Центру.
Формування унікального реєстраційного номера здійснюється згідно з нижченаведеними правилами.
Реквізит містить цифри "0"-"9", великі латинські літери "А"-"Z" та символ "-";
UA-[Код Установи] ( -[Додаток] ), де:
Код Установи - 8, 9 або 10 цифр, що містять код за ЄДРПОУ організації - юридичної особи або реєстраційний номер облікової картки платника податку - фізичної особи, яка є суб'єктом підприємницької діяльності за установчими документами або відомостями про державну реєстрацію;
Додаток - необов’язкова послідовність від 1 до 4 цифр, що містить додаткову частину ідентифікатора. У разі використання Додатка він відокремлюється від реквізиту [Код Установи] символом "-".
Вищезазначений реквізит шляхом його додавання до розпізнавального імені Центру забезпечує унікальність його розпізнавального імені в межах України. Унікальність цього розпізнавального імені забезпечується центральним засвідчувальним органом.
3.6. Поле "Алгоритм ЕЦП" ("signature") повинно містити тільки об’єктний ідентифікатор криптоалгоритму, що використовується Центром для накладання електронного цифрового підпису на сертифікат ключа.
AlgorithmIdentifier ::= SEQUENCE (
algorithm OBJECT IDENTIFIER,
parameters ANY DEFINED BY algorithm OPTIONAL )
Значення поля "Алгоритм ЕЦП" ("signature") повинно співпадати із значенням, що міститься у полі "Найменування криптоалгоритму, що використовується Центром" ("signatureAlgorithm").
Поле "parameters" повинно бути відсутнє.
3.7. Поле "Строк чинності сертифіката" ("validity") повинно містити значення дати і часу початку та закінчення строку чинності сертифіката.
Validity ::= SEQUENCE (
notBefore Time,
notAfter Time )
Time ::= CHOICE (
utcTime UTCTime,
generalTime GeneralizedTime )
Поле "Time" зі значенням до 31 грудня 2049 року (включно) кодується у форматі "UTCTime"; починаючи з 01 січня 2050 року - у форматі "GeneralizedTime".
3.8. Поле "Підписувач" ("subject") повинно містити реквізити підписувача, що наведені у таблиці 3.
Таблиця 3
|
Назва реквізиту англійською мовою |
Назва реквізиту українською мовою |
Значення реквізиту |
Обов’язковість-1 реквізиту для фізичних осіб |
Обов’язковість-1 реквізиту для юридичних осіб |
|
countryName |
назва країни |
країна, в якій зареєстрована організація - юридична особа або фізична особа, що є підписувачем
id-at-countryName
AttributeType ::= ( id-at 6 )
X520countryName ::=
PrintableString (SIZE (2))
код згідно з ISO 3166 (для України - UA) |
+ |
+ |
|
commonName |
реквізити підписувача |
повне (або офіційне скорочене) найменування організації - юридичної особи - підписувача або прізвище ім’я та (за наявності) по батькові фізичної особи - підписувача, що відповідають формату "commonName", визначеному у пункті 3.5 цього розділу |
+ |
+ |
|
Surname |
прізвище |
прізвище підписувача за паспортними даними
id-at-surName
AttributeType ::= ( id-at 4 )
X520surname ::=
DirectoryString (SIZE (64)) |
+ |
- |
|
givenName |
ім’я та по батькові |
ім’я та (за наявності) по батькові підписувача за паспортними даними id-at-givenName AttributeType ::= ( id-at 42 ) X520givenName ::= DirectoryString (SIZE (64)) |
+ |
- |
|
serialNumber |
серійний номер |
унікальний реєстраційний номер підписувача, що надається Центром під час реєстрації підписувача
id-at-serialNumber
AttributeType ::= ( id-at 5 )
serialNumber ::=
PrintableString (SIZE (64)) |
+ |
+ |
|
organizationName |
найменування організації |
найменування організації - юридичної особи, що є підписувачем. Відповідає формату «organizationName», визначеному у пункті 3.5 цього розділу |
- |
+ |
|
organizationalUnit Name |
назва підрозділу організації |
назва підрозділу організації, який пов’язаний з фізичною особою-підписувачем. Відповідає формату "organizationalUnitName", визначеному у пункті 3.5 цього розділу |
+/- |
+/- |
|
stateOrProvinceName |
назва області-2 |
область, у якій зареєстрована організація - юридична особа, що є підписувачем, або організація, яка пов’язана з фізичною особою-підписувачем, або область, у якій зареєстрована фізична особа-підписувач. Відповідає формату
"stateOrProvinceName",
визначеному у пункті 3.5 цього розділу |
+/- |
+/- |
|
localityName |
назва міста |
місто, в якому зареєстрована організація - юридична особа, що є підписувачем, або організація, яка пов’язана з фізичною особою-підписувачем, або місто, в якому зареєстрована фізична особа-підписувач. Відповідає формату
"localityName",
визначеному у пункті 3.5 цього розділу |
+ |
+ |
|
Title |
посада |
посада фізичної особи-підписувача в організації
id-at-title
AttributeType ::= ( id-at 12 )
X520title ::= DirectoryString
(SIZE (64)) |
+/- |
- |
__________
-1Обов’язковість визначається таким чином:
+ - реквізит обов’язковий;
- - реквізит повинен бути відсутній;
+/- - реквізит може бути присутнім або відсутнім.
-2Якщо місцем реєстрації юридичної особи є місто Київ або Севастополь, реквізит "stateOrProvinceName" повинен бути відсутнім. |
3.8.1. Реквізити юридичної особи-підписувача визначаються в таких атрибутах поля "Підписувач" ("subject"):
organizationName,
countryName,
stateOrProvinceName,
localityName,
commonName.
3.8.2. Реквізити фізичної особи - підписувача (прізвище, ім’я та по батькові за паспортними даними) визначаються в таких атрибутах поля "Підписувач" ("subject"):
commonName,
givenName,
surname.
Обов’язково повинні бути визначені дані в атрибутах "countryName" та "serialNumber" (унікальний реєстраційний номер підписувача).
3.8.3. Реквізити фізичної особи - підписувача, що представляє юридичну особу, визначаються в таких атрибутах поля "Підписувач" ("subject"):
commonName,
givenName,
surname,
organizationName,
organizationalUnitName,
localityName,
stateOrProvinceName,
Title.
Обов’язково повинні бути визначені дані в атрибутах "countryName" та "serialNumber" (унікальний реєстраційний номер підписувача).
3.8.4. Інші реквізити підписувача можуть бути зазначені у розширеннях (extensions) "Додаткові дані підписувача" ("subjectAltName") або "Персональні дані підписувача" ("subjectDirectoryAttributes") залежно від типу реквізиту.
3.9. Додаткові дані про підписувача можуть бути зазначені в інших полях згідно з форматом, визначеним у національному стандарті ДСТУ ISO/IEC 9594-8:2006.
3.10. Поле "Інформація про відкритий ключ підписувача" ("subjectPublicKeyInfo") повинно містити ідентифікатор криптоалгоритму, що використовується підписувачем, а також відкритий ключ, який відповідає особистому ключу підписувача у DER-кодуванні.
SubjectPublicKeyInfo ::= SEQUENCE (
Algorithm AlgorithmIdentifier,
subjectPublicKey BIT STRING )
Ідентифікатор криптоалгоритму (поле "AlgorithmIdentifier") містить об’єктний ідентифікатор (поле "algorithm") та відповідні параметри криптоалгоритму.
AlgorithmIdentifier ::= SEQUENCE (
algorithm OBJECT IDENTIFIER,
parameters ANY DEFINED BY algorithm OPTIONAL )
Об’єктний ідентифікатор (поле "algorithm") повинен вказувати на криптоалгоритм ДСТУ 4145-2002.
Структура параметрів криптоалгоритму (поле "parameters") та структура відкритого ключа (поле "subjectPublicKey") визначаються об’єктним ідентифікатором криптоалгоритму.
3.11. Параметри криптоалгоритмів
3.11.1. Параметри криптоалгоритму ДСТУ 4145-2002
DSTU4145Params::= SEQUENCE (
CHOICE (
ecbinary ECBinary, параметри еліптичної кривої
загального виду
namedCurve OBJECT IDENTIFIER ), об’єктний ідентифікатор
стандартної еліптичної кривої,
що рекомендована ДСТУ 4145-2002
dke OCTET STRING OPTIONAL ) довгостроковий ключовий елемент
(ДКЕ)
ECBinary ::= SEQUENCE (
version [0] EXPLICIT INTEGER DEFAULT 0,
f BinaryField, основне поле
a INTEGER (0..1), коефіцієнт A еліптичної кривої
b OCTET STRING, коефіцієнт B еліптичної кривої
n INTEGER, порядок базової точки (додатне)
bp OCTET STRING, базова точка еліптичної кривої
BinaryField ::= SEQUENCE (
m INTEGER, ступінь розширення основного поля
CHOICE (
Trinomial, примітивний тричлен
Pentanomial ) OPTIONAL ) примітивний п’ятичлен
Trinomial ::= INTEGER
Pentanomial::= SEQUENCE (
k INTEGER,
j INTEGER,
l INTEGER )
Значення довгострокового ключового елемента (далі - ДКЕ) повинні відповідати правилам постачання ДКЕ, які визначаються
Інструкцією про порядок постачання і використання ключів до засобів криптографічного захисту інформації, затвердженою наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 12 червня 2007 року № 114, зареєстрованою в Міністерстві юстиції України 25 червня 2007 року за № 729/13996 (із змінами) (далі - Інструкція № 114). У разі відсутності ДКЕ як необов’язкового параметра криптоалгоритму повинен використовуватися ДКЕ № 1 із додатка 1 до Інструкції № 114.
Для отримання випадкових даних, необхідних для побудови загальних параметрів криптоалгоритму ДСТУ 4145-2002, використовується генератор випадкових двійкових послідовностей:
відповідно до додатка А до ДСТУ 4145-2002 - у разі застосування геш-функції за ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хэширования", затвердженим наказом Державного комітету України з питань технічного регулювання та споживчої політики від 21 жовтня 1997 року № 640 (далі - ГОСТ 34.311-95);
відповідно до додатка до цих Вимог +- у разі застосування геш-функції за ДСТУ 7564-2014 "Інформаційні технології. Криптографічний захист інформації. Функція гешування", затвердженим наказом Міністерства економічного розвитку і торгівлі України від 02 грудня 2014 року
№ 1431 (далі - ДСТУ 7564-2014).
Приклади обчислень генератора випадкових двійкових послідовностей розміщуються на офіційному веб-сайті Державної служби спеціального зв’язку та захисту інформації України.
3.11.1.1. Допускається кодування полів (розташування внутрішньої послідовності байтів) параметрів еліптичної кривої, що мають тип OCTET STRING, зокрема коефіцієнта В еліптичної кривої, базової точки еліптичної кривої bp, а також відкритого ключа "subjectPublicKey" за двома форматами:
Little-Endian - прямий порядок представлення байтів;
Big-Endian - зворотний порядок представлення байтів (відповідно до правил кодування, визначених в ДСТУ 4145-2002).
3.11.1.2. Об’єктні ідентифікатори для ДСТУ 4145-2002.
3.11.1.2.1. Для формату Little-Endian (при визначенні параметрів еліптичної кривої у сертифікаті):
|
поліноміальний базис |
1.2.804.2.1.1.1.1.3.1.1 |
|
оптимальний нормальний базис |
1.2.804.2.1.1.1.1.3.1.2. |
Для формату Big-Endian:
|
поліноміальний базис |
1.2.804.2.1.1.1.1.3.1.1.1.1 |
|
оптимальний нормальний базис |
1.2.804.2.1.1.1.1.3.1.2.1.1. |
3.11.1.2.2. Використання об’єктних ідентифікаторів, що визначені у пункті 3.11.1.2.1, у полі "subjectPublicKeyInfo" не передбачає будь-яких обмежень щодо використання фунції гешування при обчисленні електронного цифрового підпису.
3.11.1.3. Базова точка ДСТУ 4145-2002.
Для зображення базової точки використовується формат:
bp OCTET STRING
Базова точка ДСТУ 4145-2002 - це послідовність байтів, яка являє собою елемент основного поля (згідно з пунктом 5.3 ДСТУ 4145-2002), який є стиснутим зображенням (згідно з пунктом 6.9 ДСТУ 4145-2002) точки на еліптичній кривій (залежить від базису, що використовується). Розмір зображення в байтах дорівнює m/8, заокругленому до найближчого цілого у більшу сторону.
3.11.1.4. Коефіцієнт В еліптичної кривої.
Для зображення коефіцієнта B еліптичної кривої згідно з ДСТУ 4145-2002 використовується формат:
b OCTET STRING
Коефіцієнт B еліптичної кривої ДСТУ 4145-2002 - це послідовність байтів, яка являє собою елемент основного поля (згідно з пунктом 5.3 ДСТУ 4145-2002). Розмір зображення в байтах дорівнює m/8, заокругленому до найближчого цілого у більшу сторону.
................Перейти до повного тексту