СЛУЖБА БЕЗПЕКИ УКРАЇНИ
Департамент спеціальних телекомунікаційних
систем та захисту інформації
Н А К А З
| 13.01.2005 N 3 |
Зареєстровано в Міністерстві
юстиції України
27 січня 2005 р.
за N 104/10384
Про затвердження Правил посиленої сертифікації
На виконання пункту 2 постанови Кабінету Міністрів України від 13 липня 2004 року N 903 "Про затвердження Порядку акредитації центру сертифікації ключів"
НАКАЗУЮ:
1. Затвердити Правила посиленої сертифікації (додаються).
2. Заступнику начальника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України Гулаку Г.М. забезпечити в установленому порядку подання цього наказу на державну реєстрацію до Міністерства юстиції України.
3. Контроль за виконанням цього наказу покласти на першого заступника начальника Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України.
| Начальник Департаменту | К.Бойко |
ЗАТВЕРДЖЕНО
Наказ Департаменту
спеціальних
телекомунікаційних систем та
захисту інформації Служби
безпеки України
13.01.2005 N 3
Зареєстровано в Міністерстві
юстиції України
27 січня 2005 р.
за N 104/10384
ПРАВИЛА
посиленої сертифікації
1. Загальні положення
1.1. Ці Правила визначають організаційні, технічні і технологічні вимоги до акредитованих центрів сертифікації ключів (далі - акредитовані центри) під час обслуговування ними посилених сертифікатів ключів (далі - сертифікат) та забезпечення їх використання.
1.2. Дія цих Правил поширюється на акредитовані центри.
1.3. Використані у цих Правилах терміни мають такі значення:
відокремлений пункт реєстрації - представництво (філія, підрозділ) акредитованого центру, яке здійснює реєстрацію заявників;
розпізнавальне ім'я - сукупність реквізитів підписувача, що забезпечують можливість однозначного визначення належності сертифіката цьому підписувачу серед інших сертифікатів, сформованих у акредитованому центрі;
захищений носій - носій (smart card, touch-memory тощо), що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на нього даних від несанкціонованого доступу;
заявник - фізична або юридична особа, яка звертається до акредитованого центру з метою формування сертифіката;
реєстрація - встановлення особи заявника та перевірка інших наданих ним даних, що включаються у сертифікат;
режим безпеки - система правових норм, організаційних та організаційно-технічних заходів, яка створена в акредитованому центрі з метою забезпечення безпеки інформації, що у ньому обробляється;
розповсюдження інформації про статус сертифіката - надання вільного доступу до інформації про статус сертифіката;
сертифікація - формування сертифіката, заснованого на перевірених при реєстрації даних, накладання на сертифікат електронного цифрового підпису за допомогою особистого ключа акредитованого центру;
управління статусом сертифіката - зміна статусу сертифіката на підставі відповідних запитів та за умовами, визначеними Законом України "Про електронний цифровий підпис".
Інші терміни застосовуються у значеннях, наведених у Законі України "Про електронний цифровий підпис", Порядку акредитації центру сертифікації ключів, затвердженому постановою Кабінету Міністрів України від 13 липня 2004 року N 903, інших нормативно-правових актах з питань криптографічного та технічного захисту інформації.
2. Умови обслуговування сертифікатів акредитованим центром
2.1. Обслуговування сертифіката підписувача здійснюється акредитованим центром після попереднього ознайомлення підписувача через електронний інформаційний ресурс або в інший спосіб із:
вимогами цих Правил;
положеннями регламенту роботи акредитованого центру (далі - Регламент);
зобов'язаннями та підставами відповідальності акредитованого центру стосовно обслуговування сертифікатів;
зобов'язаннями та підставами відповідальності підписувачів стосовно використання сертифіката і зберігання особистого ключа;
сферами використання підписувачем сертифіката та усіма обмеженнями при його використанні;
порядком перевірки чинності сертифіката;
строками зберігання акредитованим центром даних про підписувачів, що були отримані ним під час реєстрації;
порядком розв'язання спорів;
відомостями про засоби електронного цифрового підпису, що можуть використовуватися для формування та перевірки електронного цифрового підпису.
2.2. Обслуговування сертифіката підписувача здійснюється акредитованим центром згідно з Регламентом, у якому вказуються:
ідентифікаційні дані акредитованого центру (повне найменування, код за ЄДРПОУ, місцезнаходження, номери телефонів, електронна адреса електронного інформаційного ресурсу);
сфера діяльності акредитованого центру;
перелік послуг електронного цифрового підпису, що надаються акредитованим центром;
права, обов'язки і відповідальність акредитованого центру та підписувачів;
порядок розв'язання спорів;
організаційна структура акредитованого центру (перелік підрозділів (служб), задіяних в обслуговуванні сертифікатів, їх функції та завдання);
перелік конфіденційної та відкритої інформації, що обробляється в акредитованому центрі;
опис регламентних процедур та механізмів обслуговування сертифікатів (порядок реєстрації, ідентифікації та автентифікації користувачів, генерації ключів, формування сертифікатів та надання їх власникам, скасування, блокування та поновлення сертифікатів тощо);
строки дії ключів акредитованого центру та підписувачів, а також порядок їх зміни;
вимоги до засобів електронного цифрового підпису користувачів;
порядок архівного зберігання документованої інформації;
опис структури програмно-технічного комплексу;
інші відомості щодо діяльності акредитованого центру.
2.3. Регламент розробляється до початку проведення процедури акредитації центру сертифікації ключів та затверджується керівником центру після його погодження з контролюючим органом.
Після затвердження Регламенту один його примірник надсилається до контролюючого органу.
2.4. У разі внесення змін до Регламенту у ньому окремо зазначаються положення (розділи, пункти), до яких внесено зміни, текст змін, а також дата їх внесення.
Погодження та затвердження змін до Регламенту здійснюються у порядку, що відповідає порядку погодження та затвердження Регламенту.
2.5. Акредитований центр повинен зобов'язати підписувача виконувати такі основні вимоги:
надавати повну та дійсну інформацію, необхідну для формування сертифіката підписувача;
використовувати особистий ключ виключно для мети, визначеної у сертифікаті, та додержуватися інших обмежень щодо використання сертифіката;
використовувати надійні засоби електронного цифрового підпису для генерації особистих та відкритих ключів, формування та перевірки електронного цифрового підпису;
негайно інформувати акредитований центр про факти компрометації особистого ключа, виявлення неточностей або зміни даних у сертифікаті.
2.6. Акредитований центр інформує користувача, який використовує сертифікат підписувача при перевірці електронного цифрового підпису, про необхідність:
виконання визначених акредитованим центром умов перевірки чинності сертифіката;
врахування усіх визначених у сертифікаті обмежень щодо його використання.
3. Генерація ключів та поводження з ними в акредитованому центрі
3.1. В акредитованому центрі генеруються і використовуються такі ключі:
особистий та відкритий ключі акредитованого центру, що застосовуються при формуванні сертифікатів підписувачів, даних про статус сертифікатів та наданні послуг фіксування часу;
особисті та відкриті ключі посадових осіб акредитованого центру, що застосовуються для забезпечення цілісності та конфіденційності даних, які обробляються посадовими особами акредитованого центру, та автентифікації посадових осіб.
3.2. Генерація ключів акредитованого центру здійснюється за безпосередньою участю керівника акредитованого центру та адміністратора безпеки.
3.3. Особистий ключ акредитованого центру може розміщуватися:
безпосередньо на незйомному носії (пристрої), що входить до складу спеціально призначеного для цього апаратно-програмного засобу програмно-технічного комплексу;
на зйомному захищеному або незахищеному носії (пристрої).
3.4. Після генерації особистого ключа акредитованого центру створюється резервна копія особистого ключа, яка розміщується на зйомному носії. Носій вміщується в упаковку, що опечатується печатками адміністратора сертифікації та адміністратора безпеки. За відсутності печатки зазначені адміністратори власноручно підписують зазначену упаковку.
3.5. Факти генерації ключів акредитованого центру та створення резервної копії його особистого ключа реєструються у журналі обліку адміністратора безпеки, який зберігається у сховищі цього адміністратора.
3.6. Відкритий ключ акредитованого центру засвідчується в центральному засвідчувальному органі (засвідчувальному центрі) відповідно до регламенту роботи центрального засвідчувального органу (засвідчувального центру).
3.7. Для зберігання зйомного носія з особистим ключем акредитованого центру та його резервної копії виділяється окреме сховище з двома екземплярами ключів і пристроями для опечатування замкових щілин.
Один екземпляр ключа від сховища знаходиться в уповноваженої посадової особи центру, яка відповідає за використання особистого ключа, а другий - в опечатаному вигляді зберігається у сховищі керівника акредитованого центру або посадової особи, яка його заміщує.
Незахищений зйомний носій зберігається в упаковці, що опечатується печаткою уповноваженої посадової особи центру, яка відповідає за використання особистого ключа. За відсутності печатки зазначена особа власноручно підписує упаковку.
3.8. Технологією функціонування програмно-технічного комплексу або організаційними заходами в акредитованому центрі повинно бути передбачено можливість застосування особистого ключа акредитованого центру під контролем або за безпосередньою участю двох посадових осіб акредитованого центру.
3.9. Передання особистого ключа акредитованого центру та його резервної копії між уповноваженими посадовими особами центру здійснюється за журналом прийому-передачі ключів, який зберігається у сховищі, зазначеному у пункті 3.7 цих Правил. У разі використання резервної копії особистого ключа у журналі вказуються причини її використання.
3.10. Цілісність упаковки з копією особистого ключа акредитованого центру періодично перевіряється адміністратором безпеки протягом усього терміну зберігання копії особистого ключа.
3.11. У разі якщо до закінчення терміну дії особистого ключа пошкоджується носій, що унеможливлює подальше застосування цього ключа, носій знищується за участю осіб, зазначених у пункті 3.2 цих Правил.
3.12. Після закінчення терміну дії особистого ключа акредитованого центру особистий ключ та його резервна копія знищуються за участю осіб, зазначених у пункті 3.2 цих Правил, протягом доби способом, що не дозволяє їх відновлення.
3.13. Генерація ключів посадових осіб акредитованого центру здійснюється особисто посадовими особами у присутності адміністратора безпеки. Після генерації ключі посадових осіб засвідчуються особистим ключем акредитованого центру.
3.14. Необхідність зняття копій з особистих ключів посадових осіб визначається керівником акредитованого центру.
3.15. Факт генерації особистих ключів посадових осіб та їх копій реєструється у журналі обліку адміністратора безпеки.
3.16. Особистий ключ посадової особи та його копія зберігаються у закріпленому за цією посадовою особою сховищі, яке закривається та опечатується її печаткою.
3.17. У разі відсутності достатньої кількості сховищ дозволяється зберігання всіх або частини особистих ключів посадових осіб у сховищі, зазначеному у пункті 3.7 цих Правил, із дотриманням таких вимог:
кожний особистий ключ зберігається в окремій упаковці, опечатаній печаткою посадової особи, яка передала особистий ключ на зберігання;
видача особистих ключів для роботи та зворотне їх приймання на зберігання здійснюється з реєстрацією у журналі прийому-передачі ключів.
3.18. Після закінчення встановленого терміну дії особистого ключа посадової особи, а також у разі звільнення посадової особи особистий ключ та його резервна копія знищуються адміністратором безпеки способом, що не дозволяє їх відновлення.
3.19. Відкриті ключі, що відповідають особистим ключам, зберігаються в акредитованому центрі протягом строку, який встановлений законодавством для електронних документів, які були засвідчені з використанням особистих ключів.
3.20. Факти знищення особистих ключів акредитованого центру та посадових осіб реєструються у журналі обліку адміністратора безпеки.
4. Обслуговування сертифікатів
4.1. Обслуговування акредитованим центром сертифікатів передбачає:
реєстрацію заявників;
сертифікацію;
розповсюдження сертифікатів їх власникам, а також з дозволу власників іншим користувачам;
управління статусом сертифіката;
розповсюдження інформації про статус сертифіката.
4.2. Умови реєстрації заявника в акредитованому центрі визначаються у Регламенті.
4.3. Реєстрація заявників в акредитованому центрі може здійснюватися через відокремлені пункти реєстрації, які виконують свої функції згідно з Регламентом.
4.4. Встановлення фізичної особи здійснюється за паспортом або іншими документами відповідно до законодавства.
4.5. Встановлення юридичної особи здійснюється за її установчими документами (статут юридичної особи, положення про неї, довідка про державну реєстрацію тощо) або копіями таких документів, які нотаріально завірені відповідно до законодавства. Крім цього, акредитований центр здійснює встановлення представника юридичної особи та його повноважень.
Встановлення фізичної особи-підприємця здійснюється за паспортом або іншими документами відповідно до законодавства, а також довідкою про державну реєстрацію.
4.6. Акредитований центр має право вимагати, а заявник зобов'язаний надати документи і відомості, необхідні для з'ясування його особи та формування сертифіката.
4.7. Акредитований центр не приймає до розгляду документи, які мають підчистки, дописки, закреслені слова, інші незастережені виправлення або написи олівцем, а також мають пошкодження, внаслідок чого їх текст неможливо прочитати.
4.8. Усі звернення заявників, а також надані ними дані, що використовуються для формування сертифікатів, беруться акредитованим центром на облік.
4.9. Після оброблення наданих для реєстрації даних інформація про заявника, яка необхідна для формування сертифіката, передається на сертифікацію.
4.10. Заява на формування сертифіката в електронному вигляді не приймається акредитованим центром у разі:
втрати чинності (скасування або блокування) сертифіката підписувача, особа якого раніше була встановлена акредитованим центром під час реєстрації;
потреби зміни даних, що містяться у сертифікаті (крім відкритого ключа та строку дії сертифіката).
4.11. У засобах програмно-технічного комплексу, що забезпечують виконання процедури реєстрації, повинен бути передбачений механізм засвідчення заяви в електронному вигляді шляхом накладання на неї електронного цифрового підпису посадовою особою акредитованого центру, яка здійснює реєстрацію.
4.12. Після завершення реєстрації акредитований центр укладає з підписувачем договір про надання послуг електронного цифрового підпису.
У договорі вказуються:
обов'язки сторін, у тому числі щодо обов'язковості використання сторонами надійних засобів електронного цифрового підпису;
порядок надання доступу користувачам до сертифіката підписувача;
можливі причини і порядок скасування, блокування та поновлення сертифіката;
порядок взаємодії між підписувачем та акредитованим центром;
сфери застосування сертифіката тощо.
4.13. Формування сертифікатів підписувачів здійснюється акредитованим центром на підставі даних, отриманих від підписувачів у ході їх реєстрації.
4.14. При формуванні сертифіката акредитований центр:
вносить у сертифікат обов'язкові дані, визначені Законом України "Про електронний цифровий підпис", додаткові дані за зверненням підписувачів, дані про обмеження використання електронного цифрового підпису, а також посилання на Регламент;
перевіряє та забезпечує унікальність розпізнавального імені підписувача та реєстраційного номера сертифіката в межах акредитованого центру, а також унікальність відкритих ключів у реєстрі діючих, блокованих та скасованих сертифікатів;
дотримується формату сертифіката, наведеному у додатку 1 до цих Правил;
використовує об'єктні ідентифікатори для криптографічних алгоритмів, наведені у додатку 2 до цих Правил.
4.15. У разі якщо центр сертифікації ключів акредитується засвідчувальним центром та надає послуги електронного цифрового підпису в межах інформаційної системи з обмеженим колом користувачів, що визначене власником інформаційної системи або відповідними угодами користувачів цієї системи, такий акредитований центр може використовувати формат сертифіката, визначений засвідчувальним центром.
4.16. Для фізичної особи обов'язковими реквізитами розпізнавального імені є прізвище, ім'я та по батькові (або ініціали), для фізичної особи-підприємця - прізвище, ім'я та по батькові (або ініціали) та ідентифікаційний номер платника податків та інших обов'язкових платежів, а для юридичної особи - повна назва юридичної особи відповідно до статуту та ідентифікаційний код за ЄДРПОУ.
4.17. Додаткові дані підписувача (належність до певної організації, посада тощо) вносяться у сертифікат за бажанням підписувача або відповідно до вимог нормативно-правових актів, що встановлюють особливості застосування електронного цифрового підпису у відповідній сфері.
4.18. Після формування сертифіката акредитований центр надає його підписувачу, для якого цей сертифікат був сформований, а також забезпечує вільний доступ до нього користувачів у разі згоди на це підписувача.
4.19. Усі звернення підписувачів щодо скасування, блокування та поновлення сертифікатів фіксуються та зберігаються в акредитованому центрі.
4.20. Про зміну статусу сертифіката акредитований центр інформує підписувача.
4.21. Скасовані сертифікати не можуть бути в подальшому поновлені.
4.22. Формат списку відкликаних сертифікатів наведений у додатку 3 до цих Правил.
5. Забезпечення безпеки інформаційних ресурсів в акредитованому центрі
5.1. Безпека інформаційних ресурсів в акредитованому центрі досягається шляхом впровадження комплексу технічних і криптографічних засобів комплексної системи захисту інформації (далі - КСЗІ), спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації, в тому числі запровадженням належного режиму безпеки та дотримання посадовими особами акредитованого центру покладених на них обов'язків.
5.2. Порядок забезпечення безпеки інформаційних ресурсів в акредитованому центрі визначається нормативним документом, який розробляється на підставі цих Правил та з урахуванням особливостей функціонування акредитованого центру та його програмно-технічного комплексу.
5.3. В акредитованому центрі повинно бути забезпечено захист усіх інформаційних ресурсів центру від несанкціонованої їх модифікації та знищення, а також захист від розголошення змісту особистих ключів та персональних даних.
5.4. Захист апаратних та апаратно-програмних засобів програмно-технічного комплексу акредитованого центру, які використовуються для генерації ключів та використання особистого ключа акредитованого центру, повинен унеможливлювати витік відомостей про зміст особистих ключів за рахунок побічних електромагнітних випромінювань та наведень (далі - ПЕМВН).
5.5. Апаратні та апаратно-програмні засоби програмно-технічного комплексу, що використовуються для генерації особистих ключів, повинні бути фізично відокремлені від інших засобів програмно-апаратного комплексу.
Під час використання особистого ключа акредитованого центру повинно бути передбачено неможливість доступу до апаратно-програмного засобу, в який він завантажений, з боку зовнішніх у відношенні до програмно-технічного комплексу засобів.
5.6. Захист електронного інформаційного ресурсу акредитованого центру, до якого має бути забезпечений вільний доступ користувачів, повинен здійснюватися відповідно до вимог нормативних документів щодо захисту Веб-сторінки від несанкціонованого доступу.
5.7. Усі засоби криптографічного захисту інформації акредитованого центру повинні мати сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері криптографічного захисту інформації. Захищений носій також повинен мати сертифікат відповідності або позитивний експертний висновок на відповідність вимогам технічного захисту інформації.
5.8. Порядок зберігання особистого ключа акредитованого центру на незахищеному носії погоджується з контролюючим органом.
5.9. В акредитованому центрі повинно бути передбачено можливість зберігання сформованих ним сертифікатів в еталонній, резервній та архівній базах. Доступ до еталонної бази сертифікатів повинен бути обмежений, крім посадових осіб, які безпосередньо здійснюють формування сертифікатів.
5.10. Резервні копії баз сертифікатів та журналів аудиту програмно-технічного комплексу повинні зберігатися в окремому приміщенні із забезпеченням їх захисту від несанкціонованого доступу.
5.11. У журналах аудиту програмно-технічного комплексу повинні відображатися такі події:
спроби створення, знищення, встановлення пароля, зміни прав доступу, системних привілеїв тощо у програмно-технічному комплексі;
заміни технічних засобів програмно-технічного комплексу та ключів;
формування, блокування, скасування та поновлення посилених сертифікатів ключів, а також формування списків скасованих сертифікатів;
спроби несанкціонованого доступу до програмно-технічного комплексу;
надання доступу до програмно-технічного комплексу персоналу акредитованого центру;
збої у роботі, зміна системних конфігурацій та технічне обслуговування програмно-технічного комплексу.
5.12. Усі записи в журналах аудиту в електронній або паперовій формі повинні містити дату та час дії, а також ідентифікувати суб'єкта, що ініціював цю подію.
5.13. Журнали аудиту зберігаються в акредитованому центрі не менше двох років.
5.14. Роботи персоналу акредитованого центру, пов'язані з використанням особистого ключа акредитованого центру, зберіганням ключів акредитованого центру, а також сертифікатів підписувачів, списків відкликаних сертифікатів в еталонній базі даних сертифікатів здійснюються в спеціальному приміщенні (приміщеннях) акредитованого центру, вимоги до якого наведені у додатку 4 до цих Правил.
5.15. Перелік посадових осіб акредитованого центру, які мають право доступу до спеціального приміщення, затверджується керівником акредитованого центру.
5.16. Обов'язковими в акредитованому центрі є посади адміністратора безпеки, адміністратора сертифікації, адміністратора реєстрації та системного адміністратора.
Забороняється суміщення посади адміністратора безпеки з іншими посадами.
5.17. Основними обов'язками адміністратора безпеки є:
забезпечення повноти та якісного виконання організаційно-технічних заходів із захисту інформації;
розроблення розпорядчих документів, згідно з якими в акредитованому центрі повинен забезпечуватися захист інформації, контроль за їх виконанням;
своєчасне реагування на спроби несанкціонованого доступу до ресурсів програмно-технічного комплексу акредитованого центру, порушення правил експлуатації засобів захисту інформації;
участь у генерації ключів акредитованого центру та посадових осіб, формування для посадових осіб сертифікатів;
контроль за зберіганням особистого ключа акредитованого центру та його резервної копії, особистих ключів посадових осіб акредитованого центру;
участь у знищенні особистого ключа акредитованого центру, контроль за правильним і своєчасним знищенням посадовими особами особистих ключів;
ведення контролю за процесом резервування сертифікатів ключів та списків відкликаних сертифікатів, а також інших важливих ресурсів;
організація розмежування доступу до ресурсів програмно-технічного комплексу акредитованого центру, зокрема розподілення між посадовими особами паролів, ключів, сертифікатів тощо;
забезпечення спостереження (реєстрація та аудит подій в програмно-технічному комплексі акредитованого центру, моніторинг подій тощо) за функціонуванням комплексної системи захисту інформації;
забезпечення організації та проведення заходів з модернізації, тестування, оперативного відновлення функціонування комплексної системи захисту інформації після збоїв, відмов, аварій програмно-технічного комплексу;
ведення журналу обліку адміністратора безпеки.
5.18. Основними обов'язками адміністратора сертифікації є:
подання до центрального засвідчувального органу (засвідчувального центру) даних, необхідних для формування сертифіката та засвідчення відкритого ключа акредитованого центру;
контроль за веденням журналів прийому-передачі ключів;
забезпечення використання особистого ключа акредитованого центру під час формування сертифікатів ключів, списків відкликаних сертифікатів та позначки часу;
забезпечення ведення, архівації та відновлення еталонної бази даних сформованих сертифікатів;
інформування адміністратора безпеки про події, що впливають на безпеку функціонування акредитованого центру.
5.19. Основними обов'язками адміністратора реєстрації є:
встановлення осіб, які звернулися до акредитованого центру з метою формування сертифіката;
перевірка даних, обов'язкових для формування сертифіката, а також даних, які вносяться у сертифікат на вимогу підписувача;
забезпечення отримання від користувачів заявок на формування, скасування, блокування та поновлення сертифікатів ключів;
організація встановлення належності підписувачу особистого ключа та його відповідність відкритому ключу, якщо їх генерація здійснювалася не в акредитованому центрі;
надання допомоги підписувачам під час генерації особистих та відкритих ключів у разі отримання від них відповідного звернення та вживання заходів щодо забезпечення безпеки інформації під час генерації;
забезпечення перевірки законності звернень про блокування, поновлення та скасування сертифікатів;
надання підписувачам консультацій щодо умов та порядку надання послуг електронного цифрового підпису;
інформування адміністратора безпеки про події, що впливають на безпеку функціонування акредитованого центру.
5.20. Основними обов'язками системного адміністратора є:
організація експлуатації та технічного обслуговування програмно-технічного комплексу акредитованого центру;
забезпечення підтримки електронного інформаційного ресурсу акредитованого центру, публікація сертифікатів та списку відкликаних сертифікатів;
адміністрування засобів програмно-технічного комплексу акредитованого центру;
участь у впровадженні та забезпеченні функціонування комплексної системи захисту інформації;
ведення журналів аудиту подій, що реєструються засобами програмно-технічного комплексу акредитованого центру;
встановлення та налагодження програмного забезпечення системи резервного копіювання;
формування та ведення резервних копій загальносистемного та спеціального програмного забезпечення програмно-технічного комплексу;
забезпечення актуальності еталонних, архівних і резервних копій баз сертифікатів, що створюються в акредитованому центрі, та їх зберігання.
| Начальник Головного управління | В.Кучинський |
Додаток 1
до пункту 4.14
Правил посиленої
сертифікації
ФОРМАТ
сертифіката відкритого ключа
1. Формат сертифіката, наведений у цьому додатку, засновується на міжнародному стандарті ISO/IEC 9594-8: "Information technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks" з урахуванням вимог до змісту сертифіката, визначених у Законі України "Про електронний цифровий підпис".
2. Визначення формату сертифіката не дублює зазначений стандарт, а лише описує особливості змісту сертифіката та форматів його полів. У разі якщо існують розходження із зазначеним стандартом, використовуються положення цих Правил.
3. Формат сертифіката описується у нотації ASN.1, що визначена у ISO/IEC 8824: "Information technology - Open Systems Interconnection - Specification of Abstract Syntax Notation One (ASN.1)". Кодування усіх структур даних здійснюється за правилами DER згідно з рекомендаціями ITU-T X.690 "Information technology - ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)".
4. Сертифікат ключа представляється у такому вигляді:
Certificate ::= SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signatureValue BIT STRING }
Поле "TBSCertificate" являє собою частину сертифіката, на яке за допомогою особистого ключа акредитованого центру накладається електронний цифровий підпис за криптографічним алгоритмом (далі - криптоалгоритм), ідентифікатор якого міститься у полі "signatureAlgorithm". Значення електронного цифрового підпису містить поле "signatureValue".
TBSCertificate ::= SEQUENCE {
version [0] Version DEFAULT v1,
serialNumber CertificateSerialNumber,
signature AlgoritmIdentifier,
issuer Name,
validity Validity,
subject Name,
subjectPublicKeyInfo SubjectPublicKeyInfo,
issuerUniqueID [1] IMPLICIT UniqueIdentifier ORTIONAL,
subjectUniqueID [2] IMPLICIT UniqueIdentifier ORTIONAL,
extensions [3] Extensions OPTIONAL }
Для полів сертифіката, що передбачають україномовні значення, а також полів типу "DirectoryString" використовується універсальне кодування UTF-8 (тип UTF8String). Символ ";" використовується в якості роздільника даних у полі сертифіката.
5. Основні поля сертифіката наведені у таблиці 1.1.
Таблиця 1.1. Основні поля сертифіката
5.1. Поле "Номер версії сертифіката" ("version") повинно містити значення 2 (1 байт), яке означає, що формат сертифіката відповідає версії 3 згідно із стандартом ISO/IEC 9594-8.
Version ::= INTEGER {v3 (2)}
5.2. Значення поля "Унікальний реєстраційний номер сертифіката" ("serialNumber") повинно бути додатним цілим числом, що не перевищує 20 байт.
Унікальність реєстраційного номера сертифіката повинна дотримуватися у рамках всіх сертифікатів, сформованих акредитованим центром.
CertificateSerialNumber ::= INTEGER
5.3. Поле "Найменування та реквізити акредитованого центру" ("issuer") повинно містити найменування та реквізити акредитованого центру.
Name : := CHOICE {
rdnSequence RDNSequence}
RDNSequence : := SEQUENCE OF RelativeDistinguishedName
RelativeDistinguishedName : := SET OF AttributeTypeAndValue
AttributeTypeAndValue: := SEQUENCE {
type AttributeType,
value AttributeValue}
AttributeType : := OBJECT IDENTIFIER
AttributeValue : := ANY
DirectoryString : :=CHOICE {
printableString PrintableString,
utf8String UTF8String,
bmpString BMPString }
id-at AttributeType : := {joint-iso-ccitt(2) ds(5) 4}
5.3.1. Реквізити акредитованого центру наведені у таблиці 1.2.
Таблиця 1.2. Реквізити акредитованого центру
5.3.2. З метою надання додаткової інформації про акредитований центр допускається визначати інші поля згідно з форматом сертифіката, визначеним у стандарті ISO/IEC 9594-8.
5.3.3. Поля "issuer" та "serialNumber" разом ідентифікують унікальний сертифікат.
5.4. Поле "Алгоритм електронного цифрового підпису" ("signature") повинно містити тільки ідентифікатор криптоалгоритму, що використовується акредитованим центром для накладання електронного цифрового підпису на сертифікат ключа.
Algorithmdentifier ::= SEQUENCE {
algorithm OBJECT IDENTIFIER,
parameters ANY DEFINED BY algorithm OPTIONAL }
Значення поля "signature" повинно збігатися із значенням, що міститься у полі "signatureAlgorithm".
5.5. Поле "Строк чинності сертифіката" ("validity") повинно містити значення дати і часу початку та закінчення строку чинності сертифіката.
Validity ::= SEQUENCE {
notBefore Time,
notAfter Time }
Time ::= CHOICE {
utcTime UTCTime,
generalTime GeneralizedTime }
У сертифікаті ключа, що формується до 2049 року, поле "validity" кодується у форматі UTCTime. Сертифікат ключа, що формується з 2050 року, - у форматі GeneralizedTime.
5.6. Поле "Власник сертифіката" ("subject") повинно містити основні дані про підписувача-власника особистого ключа, що наведені у таблиці 1.3.
Таблиця 1.3. Основні дані про підписувача-власника особистого ключа
5.6.1. Реквізити юридичної особи підписувача-власника особистого ключа можуть бути визначені в атрибутах поля "subject" "organizationName", "countryName", "stateOrProvinceName", "localityName" або у полі "commonName". Розширене поле (extensions) "extended Key Usage" повинно містити об'єктний ідентифікатор, який вказує, що електронний цифровий підпис застосовується в якості печатки. Інші реквізити юридичної особи можуть бути зазначені у розширеному полі (extensions) "subjectAltName".
Реквізити фізичної особи підписувача-власника особистого ключа (прізвище, ім'я та по батькові за паспортними даними) можуть бути визначені в атрибутах "givenName" та "surname" або "commonName".
Крім зазначених атрибутів, обов'язково повинні бути визначені дані в атрибутах "countryName" (країна громадянства) та "serialNumber" (серійний номер).
5.6.2. Додаткові дані про підписувача можуть бути зазначені в інших полях, згідно з форматом, визначеним у стандарті ISO/IEC 9594-8.
5.7. Поле "Інформація про відкритий ключ підписувача" ("subjectPublicKeyInfo") повинно містити ідентифікатор криптоалгоритму, що використовується підписувачем, а також відкритий ключ, який відповідає особистому ключу підписувача.
SubjectPublicKeyInfo ::= SEQUENCE {
algorithm AlgorithmIdentifier,
subjectPublicKey BIT STRING }
"AlgorithmIdentifier" для ДСТУ 4145-2002 "Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих" та ГОСТ 31.310-95 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма".
AlgorithmIdentifier ::= SEQUENCE{
algorithm OBJECT IDENTIFIER,
parameters CHOICE
{
dstu4145Params DSTU4145Params,
gost34310Params [0] Gost34310Params
} OPTIONAL}
5.7.1. Параметри криптоалгоритму ДСТУ 4145-2002
DSTU4145Params ::= SEQUENCE{
CHOICE {
ecbinary ECBinary, параметри еліптичної кривої загального
namedCurve OBJECT виду об'єктний ідентифікатор
IDENTIFIER}, стандартної еліптичної кривої, що
рекомендована ДСТУ 4145-2002
dke OCTETSTRING довгостроковий ключовий елемент
OPTIONAL }
ECBinary ::= SEQUENCE{
version [0] EXPLICIT
INTEGER DEFAULT 0,
f BinaryField, основне поле
a INTEGER(0...1), коефіцієнт A еліптичної кривої
b OCTET STRING, коефіцієнт B еліптичної кривої
n INTEGER, порядок базової точки
bp CHOICE {OCTET STRING, базова точка еліптичної кривої
NULL}} або ознака її відсутності
BinaryField ::= SEQUENCE{
m INTEGER, ступінь розширення основного поля
CHOICE{
Trinomial, примітивний тричлен
Pentanomial } примітивний п'ятичлен
OPTIONAL}
Trinomial ::= INTEGER
Pentanomial ::= SEQUENCE{
k INTEGER,
j INTEGER,
l INTEGER}
Відкритий ключ для ДСТУ 4145-2002 являє собою строку байтів, що представляє елемент основного поля (пункт 5.3 ДСТУ 4145-2002), який є стислим представленням точки еліптичної кривої (пункт 6.9 ДСТУ 4145-2002).
5.7.2. Параметри криптографічного алгоритму ГОСТ 34.310-95 Gost34310Params::=SEQUENCE
{SEQUENCE {
p INTEGER характеристика основного поля
q INTEGER порядок циклічної підгрупи
a INTEGER} твірний елемент циклічної
підгрупи
dke OCTET STRING optional } довгостроковий ключовий елемент
Відкритий ключ ГОСТ 34.310-95 є ціле число.
5.8. Поля "Унікальний ідентифікатор акредитованого центру" ("issuerUniqueIdentifier") та "Унікальний ідентифікатор підписувача" ("subjectUniqueIdentifier") сертифіката не використовуються.
6. Розширені поля сертифіката (extensions)
Формат розширеного поля сертифіката