Extensions ::= SEQUENCE SIZE (1ЕMAX) of Extension
Extensions ::= SEQUENCE SIZE {
extnID OBJECT IDENTIFIER,
critical BOOLEAN DEFAULT FALSE,
extnvalue OCTET STRING }
Базовий ідентифікатор розширеного поля:
id-ce OBJECT IDENTIFIER ::= {joint-iso-ccitt(2) ds(5) 29}
6.1. Розширені поля сертифіката наведені у таблиці 1.4.
Таблиця 1.4. Розширені поля сертифіката
6.2. Поле "Ідентифікатор відкритого ключа акредитованого центру" ("authorityKeyIdentifier") використовується для ідентифікації відкритого ключа, що відповідає особистому ключу, за допомогою якого акредитований центр здійснює накладання електронного цифрового підпису на сертифікат та список відкликаних сертифікатів.
id-ce-authorityKeyIdentifier OBJECT IDENTIFIER ::= {id-ce 35}
AuthorityKeyIdentifier ::=SEQUENCE {
keyIdentifier [0] keyIdentifier OPTIONAL,
authorityCertIssuer [1] GeneralNames OPTIONAL,
authorityCertSerialNumber [2] CertSerialNumber OPTIONAL }
KeyIdentifier ::= OCTET STRING
Атрибути "authorityCertIssuer" та "authorityCertSerialNumber" структури "authorityKeyIdentifier" при формуванні сертифіката не використовуються.
Поле "authorityKeyIdentifier" не повинно визначатися як критичне.
6.3. Поле "Ідентифікатор відкритого ключа підписувача-власника особистого ключа" ("subjectKeyIdentifier") використовується для ідентифікації відкритого ключа, що відповідає особистому ключу, за допомогою якого підписувач здійснює накладання електронного цифрового підпису.
id-ce-subjectIdentifier OBJECT IDENTIFIER ::= { id-ce 14 }
SubjectKeyIdentifier ::= KeyIdentifier
Поле "subjectKeyIdentifier" не повинно визначатися як критичне.
6.4. Поле "Сфера використання відкритого ключа, що міститься в сертифікаті" ("keyUsage") повинно визначатися як критичне.
id-ce-keyUsage OBJECT IDENTIFIER ::= { id-ce 15 }
KeyUsage ::= BIT STRING {
digitalSignature (0), електронний цифровий підпис
nonRepudation (1), неспростовність
keyEncipherment (2), шифрування з метою транспортування
ключа
dataEncipherment (3), шифрування даних
keyAgreement (4), відкритий ключ використовується в
протоколах погодження ключа
keyCertSign (5), електронний цифровий підпис
у сертифікаті
crlSign (6), електронний цифровий підпис у списку
відкликаних сертифікатів
encipherOnly (7), якщо біт "keyAgreement" встановлено,
відкритий ключ може використовуватися
тільки для шифрування даних
decipherOnly (8)} якщо біт "keyAgreement" встановлено,
відкритий ключ може використовуватися
тільки для розшифрування даних
Для сертифіката, що формується підписувачу, повинні бути встановлені біти "digitalSignature" (0) та "nonRepuduation" (1).
Для сертифіката акредитованого центру повинні бути встановлені біти "keyCertSign" та "crlSign".
6.5. Поле "Уточнене призначення відкритого ключа, що міститься в сертифікаті" ("extendedKeyUsage") може бути визначено як критичне або некритичне.
id-ce-extKeyUsage OBJECT IDENTIFIER ::= { id-ce 37 }
ExtKeyUsageSyntax ::= SEQUENCE SIZE (1..MAX) OF KeyPurposeId
KeyPurposeId ::= OBJECT IDENTIFIER
id-kp-timeStamping Позначка часу.
OBJECT IDENTIFIER ::= {id.kp 8} Застосовується з
встановленим бітом
"nonRepudiation" поля
"keyUsage"
id-kp-OCSPSigning OBJECT
IDENTIFIER ::= {id-kp 9} підпис OCSP відповідей
У разі якщо сертифікат акредитованого центру буде використовуватися для перевірки OCSP-відповідей та послуги фіксування часу, повинні бути зазначені об'єктні ідентифікатори {id.kp 8} та {id-kp 9}.
6.6. Поле "Політика сертифікації" ("certificatePolicies") містить посилання на ці Правила, відповідно до яких акредитованим центром сформований сертифікат, та повинно визначатися як критичне.
id-ce-certificatePolicies OBJECT IDENTIFIER ::= { id-ce 32 }
anyPolicy OBJECT IDENTIFIER ::= { id-ce-certificate-policies
0 }
certificatePolicies ::= SEQUENCE SIZE (1...MAX) OF
PolicyInformation
PolicyInformation ::= SEQUENCE {
policyIdentifier CertPolicyId,
policyQualifiers SEQUENCE SIZE (1...MAX) OF
PolicyQualifierInfo OPTIONAL }
CertPolicyId ::= OBJECT IDENTIFIER
При формуванні сертифікатів поле "policyQualifiers" у структурі "PolicyInformation" не використовується.
6.7. Поле "Додаткові дані підписувача" ("subjectAlternativeName") використовується для розширення межі ідентифікації підписувача (адреса електронної пошти, DNS, IP адреса, URI ).
id-ce-subjectAltName OBJECT IDENTIFIER ::= { id-ce 17 }
SubjectAltName ::= GeneralNames
GeneralNames ::= SEQUENCE SIZE (1..MAX) OF GeneralName
GeneralName ::= CHOICE {
otherName [0] OtherName,
rfc822Name [1] IA5String,
dNSName [2] IA5String,
x400Address [3] ORAddress,
directoryName [4] Name,
ediPartyName [5] EDIPartyName,
uniformResourceIdentifier [6] IA5String,
iPAddress [7] OCTET STRING,
registeredID [8] OBJECT IDENTIFIER }
OtherName ::= SEQUENCE {
type-id OBJECT IDENTIFIER,
value [0] EXPLICIT ANY DEFINED BY type-id }
EDIPartyName ::= SEQUENCE {
nameAssigner [0] DirectoryString OPTIONAL,
partyName [1] DirectoryString }
6.8. Поле "Додаткові дані центру сертифікації ключів" ("issuerAlternativeName") дозволяє розширити межі ідентифікації підписувача (адреса електронної пошти, DNS, IP адреса, URI ) та повинно бути визначено як некритичне.
id-ce-issuerAltName OBJECT IDENTIFIER ::= { id-ce 18 }
IssuerAltName ::= GeneralNames
6.9. Поле "Основні обмеження" ("basicConstraints") дозволяє визначити, що сертифікат сформований акредитованому центру або підписувачу, повинно визначатися як критичне.
id-ce-basicConstraints OBJECT IDENTIFIER ::= { id-ce 19 }
BasicConstraints::= SEQUENCE {
ca BOOLEAN DEFAULT FALSE, ca=TRUE указує, що
сертифікат сформований для
центру сертифікації ключів
ca=FALSE указує, що
сертифікат сформований для
підписувача
pathLenConstraint INTEGER (0...MAX) OPTIONAL }
Поле "pathLenConstraint" використовується, якщо поле СА встановлено в TRUE. У цьому разі воно визначає максимально допустиму кількість проміжних сертифікатів, що знаходяться між цим сертифікатом та кінцевим сертифікатом. У сертифікаті акредитованого центру поле "pathLenConstraint" повинно мати значення "нуль".
6.10. Поле "Персональні дані про підписувача" ("subjectDirectoryAttributes") може містити додаткові персональні дані про підписувача та повинно бути визначено як некритичне.
Поле не повинно використовуватися для зберігання даних про підписувача, що визначені в полі "subject".
id-ce-subjectDirectoryAttributes OBJECT IDENTIFIER
::= { id-ce 9 }
SubjectDirectoryAttributes ::= SEQUENCE SIZE (1..MAX) OF
Attribute
Attribute ::= SEQUENCE {
type Attributetype,
values SET OF AttributeValue }
6.11. У полі "Точка доступу до списків відкликаних сертифікатів" ("CRL Distribution Points") повинна зазначатися як мінімум одна загальнодоступна точка розповсюдження списків відкликаних сертифікатів, яка визначається http (http://) або ldap (ldap://). При цьому акредитований центр може підтримувати інші способи перевірки статусу сертифіката, зокрема протокол OCSP.
Поле не повинно визначатися як критичне.
id-ce-cRLDistributionPoints OBJECT IDENTIFIER
::= { id-ce 31 }
CRLDistributionPoints ::= SEQUENCE SIZE (1..MAX) OF
DistributionPoint
DistributionPoint ::= SEQUENCE {
distributionPoint [0] DistributionPointName OPTIONAL,
reasons [1] ReasonFlags OPTIONAL,
cRLIssuer [2] GeneralNames OPTIONAL }
DistributionPointName ::= CHOICE {
fullName [0] GeneralNames,
nameRelativeToCRLIssuer [1] RelativeDistinguishedName}
ReasonFlags ::= BIT STRING {
unused (0),
keyCompromise (1),
cACompromise (2),
affiliationChanged (3),
superseded (4),
cessationOfOperation (5),
certificateHold (6),
privilegeWithdrawn (7),
aACompromise (8) }
6.12. Поле "Позначка того, що сертифікат сформований як посилений" ("qualified certificate statement") повинно бути визначено як критичне.
id-pe-qcStatements OBJECT IDENTIFIER ::= {id-pe 3}
QCStatements ::= SEQUENCE OF QCStatement
QCStatement ::= SEQUENCE {
statementId OBJECT IDENTIFIER,
statementInfo ANY DEFINED BY statementId OPTIONAL
statementId:
6.12.1. Позначка, що сертифікат сформований як посилений.
ua-qcStatement-1 QC-STATEMENT ::= { IDENTIFIED
BY id_ua-diglow-qcs-QcCompliance }
id-ua-diglaw-qcs-QcCompliance OBJECT IDENTIFIER ::= {
1.2.804.2.1. }
6.12.2. Інформація про обмеження використання сертифіката (значення максимальної вартості трансакції, для якої сертифікат може бути використаний).
esi4-qcStatement-2 QC-STATEMENT ::= { SYNTAX QcEuLimitValue
IDENTIFIED BY id-etsi-qcs-QcLimitValue }
QcEuLimitValue ::= MonetaryValue
MonetaryValue::= SEQUENCE {
currency Iso4217CurrencyCode,
amount INTEGER,
exponent INTEGER}
Iso4217CurrencyCode ::= CHOICE {
alphabetic PrintableString (SIZE 3) }
id-etsi-qcs-QcLimitValue OBJECT IDENTIFIER ::= { id-etsi-qcs
2 }
7. Відповідність змісту сертифіката, визначеного у Законі України "Про електронний цифровий підпис", формату сертифіката, визначеному у цьому додатку, наведено у таблиці 1.5.
Таблиця 1.5. Відповідність змісту сертифіката, визначеного у Законі України "Про електронний цифровий підпис", формату сертифіката, визначеному у цьому додатку
| Вимоги до сертифіката, що визначені у статті 6 Закону України | Реалізація вимог Закону України у цьому додатку та стандартах, на яких він заснований |
| Найменування та реквізити центру сертифікації ключів (центрального засвідчувального органу, засвідчувального центру) | Зазначена інформація міститься у структурі "issuer" |
| Зазначення, що сертифікат виданий в Україні | Поле "countryName" структури "issuer" містить інформацію про країну, в якій зареєстрований центр сертифікації ключів (UA) |
| Унікальний реєстраційний номер сертифіката | Унікальний реєстраційний номер сертифіката міститься у полі "serialnumber" |
| Основні дані (реквізити) підписувача-власника особистого ключа | Основні дані (реквізити) підписувача-власника особистого ключа містяться у полі "subject" |
| Дата і час початку та закінчення строку чинності сертифіката | Період чинності сертифіката зазначається у полі "validity" |
| Відкритий ключ | Значення відкритого ключа міститься в атрибуті "subjectpublickey" структури "subjectpublickeyinfo" |
| Найменування криптоалгоритму, що використовується підписувачем | Ідентифікатор криптоалгоритму міститься в атрибуті "algorithm" структури "subjectpublickeyinfo" |
| Інформація про обмеження використання підпису | Інформація про обмеження використання сертифіката зазначається у розширених полях сертифіката "certificatePolicies", "keyUsage", "extendedKeyUsage" та "qualified certificate statement" |
| Ознака посиленого сертифіката | Позначка того, що сертифікат виданий як посилений, зазначається об'єктним ідентифікатором у полі "qualified certificate statement" |
| Начальник Головного управління | В.Кучинський |
Додаток 2
до пункту 4.14
Правил посиленої
сертифікації
СТРУКТУРА
об'єктних ідентифікаторів для криптоалгоритмів, що є державними стандартами ( za104-05 )
| Начальник Головного управління | В.Кучинський |
Додаток 3
до пункту 4.22
Правил посиленої
сертифікації
ФОРМАТ
списку відкликаних сертифікатів
1. Формат списку відкликаних сертифікатів (англ. Certificate Revocation List - CRL), представлений у цьому додатку, засновується на стандарті ISO/IEC 9594-8. Визначення формату списку відкликаних сертифікатів не дублює зазначений стандарт, а лише описує особливості його змісту та форматів полів. У разі якщо існують розходження із стандартом, визначеним вище, використовуються положення цих Правил.
2. Формат списку відкликаних сертифікатів описується у нотації ASN.1, що визначена у стандарті ISO/IEC 8824. Кодування усіх структур даних здійснюється за правилами DER згідно з рекомендаціями ITU-T X.690 "Information technology - ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)".
3. Список відкликаних сертифікатів представляється у такому вигляді:
CertificateList ::= SEQUENCE {
tbsCertList TBSCertList,
signatureAlgorithm AlgorithmIdentifier,
signatureValue BIT STRING }
Поле "TBSCertList" являє собою частину списку відкликаних сертифікатів, що кодується за правилами DER, на яке за допомогою особистого ключа акредитованого центру накладається електронний цифровий підпис за криптоалгоритмом, ідентифікатор якого міститься у полі "signatureAlgorithm". Значення електронного цифрового підпису містить поле "signatureValue".
Формат полів "signatureAlgorithm" та "signatureValue" відповідає форматам полів "signatureAlgorithm" та "signatureValue", визначеним для сертифіката у додатку 1.
TBSCertificate ::= SEQUENCE {
Version Version OPTIONAL,
signature AlgoritmIdentifier,
issuer Name,
thisUpdate Time,
nextUpdate Time OPTIONAL,
revokedCertificates SEQUENCE OF SEQUENCE {
userCertificates CertificatesSerialnumber,
revocationDate Time,
crlEntryExtensions Extensions OPTIONAL } OPTIONAL,
CrlExtensions [0] EXPLICIT Extensions OPTIONAL }
4. Структуру "TBSCertList" наведено у таблиці 3.1.
Таблиця 3.1. Структура "TBSCertList"
4.1. Поле "Номер версії" ("version") містить значення 1 (1 байт), яке означає, що формат списку відкликаних сертифікатів відповідає версії 2 згідно із стандартом ISO/IEC 9594-8.
4.2. Поле "Алгоритм електронного цифрового підпису" ("signature") містить тільки ідентифікатор криптоалгоритму, що використовується акредитованим центром для накладання електронного цифрового підпису на список відкликаних сертифікатів.
Формат поля "signature" відповідає формату поля "signature", визначеному для сертифіката та наведеному у додатку 1. Значення поля "signature" повинно збігатися з даними, що містяться у полі "signatureAlgorithm".
4.3. Поле "Реквізити акредитованого центру" ("issuer") містить найменування та реквізити акредитованого центру, який сформував сертифікат.
Формат поля "issuer" відповідає формату поля "issuer", визначеному для сертифіката та наведеному у додатку 1.
4.4. Поле "Час формування списку відкликаних сертифікатів" ("thisUpdate") містить дату і час формування списку відкликаних сертифікатів акредитованим центром.
Формат поля "thisUpdate" відповідає формату поля "validity", визначеному для сертифіката та наведеному у додатку 1.
4.5. Поле "Час наступного формування списку відкликаних сертифікатів" ("nextUpdate") містить дату і час наступного формування списку відкликаних сертифікатів акредитованим центром.
4.6. Поле "Елементи списку відкликаних сертифікатів" ("revokedCertificates") містить інформацію про скасовані, блоковані та поновлені сертифікати.
4.7. Формат поля "Унікальний реєстраційний номер сертифіката" ("userCertificate") повинен відповідати формату поля "serialnumber", визначеному для сертифіката та наведеному у додатку 1.
4.8. Поле "Час відкликання сертифіката" ("revocationDate") містить дату і час відкликання (скасування, блокування та доповнення) сертифіката.
Формат поля "revocationDate" відповідає формату поля "validity", визначеному для сертифіката та наведеному у додатку 1.
4.9. Поле "Причини відкликання сертифіката" ("crlReasons") не повинно бути визначено як критичне.
id-ce-crlReasons OBJECT IDENTIFIER ::= {id-ce 21}
Коди причин відкликання сертифіката для поля "CRLReason":
::= ENUMERATED {
unspecified (0), точно не визначено
keyCompromise (1), компрометація особистого ключа
cACompromise (2), компрометація особистого ключа
акредитованого центру
affiliationChanged (3), зміна даних про підписувача
superseded (4), сертифікат ключа замінений
cessationOfOperation (5), закінчення строку чинності
сертифіката
certificateHold (6), сертифікат ключа блоковано
removeFromCRL (8) } сертифікат ключа поновлено
4.10. Поле "Час компрометації особистого ключа" ("invalidityDate") не повинно бути визначено як критичне.
id-ce-invalidityDate OBJECT IDENTIFIER ::= { id-ce 24 }
invalidityDate ::= GeneralizedTime
4.11. Поле "Ідентифікатор відкритого ключа акредитованого центру" "authorityKeyIdentifier" використовується для ідентифікації відкритого ключа, що відповідає особистому ключу, за допомогою якого акредитований центр здійснює накладання електронного цифрового підпису на список відкликаних сертифікатів.
Формат поля відповідає формату поля "authoritykeyidentifier", визначеному для сертифіката у додатку 1.
Зазначене поле не повинно бути визначено як критичне.
4.12. Поле "Серійний номер списку відкликаних сертифікатів"
("CRLNumber") не повинно бути визначено як критичне, а його
значення повинно бути додатне ціле число, що не перевищує
159
20 байт (1 <=? CRLnumber < 2 ).
id-ce- OBJECT IDENTIFIER ::= { id-ce 20 }
cRLNumber ::= INTEGER (0...MAX).
| Начальник Головного управління | В.Кучинський |
Додаток 4
до пункту 5.14
Правил посиленої
сертифікації
ВИМОГИ
до спеціальних приміщень акредитованого центру
1. У цьому додатку наведені вимоги до спеціального приміщення (приміщень) акредитованого центру, що передбачають заходи щодо пасивного захисту інформації від її витоку каналами ПЕМВН, а також від порушення її цілісності внаслідок деструктивного впливу зовнішніх електромагнітних полів.
Вимоги цього додатка повинні бути враховані при проведенні робіт зі створення КСЗІ акредитованого центру.
2. Спеціальне приміщення призначено для розташування засобів та обладнання програмно-технічного комплексу (далі - технічні засоби), за допомогою яких здійснюється генерація особистих ключів та використання особистого ключа акредитованого центру, а також іншої інформації, необхідність технічного захисту якої визначена у технічному завданні на створення КСЗІ акредитованого центру.
3. Шафи (сховища тощо), що призначені для зберігання технічних засобів та виготовлені в екранованому виконанні і відповідають вимогам цього додатка, дозволяється розміщувати не в спеціальних приміщеннях акредитованого центру із забезпеченням захисту від несанкціонованого доступу до них.
4. Технічний захист інформації, у тому числі захист від впливу зовнішніх електромагнітних полів, у спеціальному приміщенні здійснюється шляхом створення умов щодо забезпечення електромагнітного екранування технічних засобів та обладнання, а також шаф відповідно до таких варіантів:
суцільне екранування усієї внутрішньої поверхні спеціального приміщення;
розміщення технічних засобів та шаф в окремій екранованій кабіні (декількох кабінах);
розміщення у неекранованому спеціальному приміщенні лише екранованих шаф і технічних засобів в екранованому виконанні.
5. Для спеціальних приміщень рекомендується обирати приміщення, що відокремлені від зовнішніх стін (зі сторони оточуючої міської забудови) коридорами тощо. Розміщення спеціального приміщення під (над) санітарно-технічними кімнатами та гаражами не рекомендується.
6. Вікна спеціального приміщення повинні бути:
обладнані надійними металевими ґратами, якщо вони зовнішні та розташовані на першому чи останньому поверсі будівлі або до яких можливе проникнення сторонніх осіб з дахів сусідніх будівель, із розташованих поруч пожежних сходів (труб водостоків тощо), а також якщо вони є внутрішніми і мають вихід до інших приміщень акредитованого центру;
захищені від зовнішнього спостереження за допомогою скла з матовою чи рельєфною поверхнею нерівностями назовні, непрозорих штор тощо.
У разі суцільного екранування внутрішньої поверхні спеціального приміщення вікна та інші архітектурні отвори будівлі повинні бути відсутні або не повинні порушувати суцільність екрануючого покриття.
7. Спеціальне приміщення повинно бути обладнано системою контролю доступу та пожежною сигналізацією. Двері спеціального приміщення мають бути обладнані кодовим замком.
8. Величина ефективності екранування спеціального приміщення (або залежно від іншого варіанта пасивного захисту) та екранованих шаф для зберігання повинна складати не менше 20 дБ у діапазоні частот 0,15-1000 МГц щодо захисту від впливів зовнішніх електромагнітних полів.
9. Необхідна величина ефективності екранування та діапазон частот, у тому числі щодо рівня захищеності від витоку інформації каналами ПЕМВН, повинні визначатися на етапі проектування та облаштування спеціального приміщення залежно від достатності рівня захищеності технічних засобів від витоку інформації каналами ПЕМВН.
10. Розроблення, виготовлення, монтаж і визначення ефективності екранування спеціального приміщення повинні проводитися відповідно до вимог нормативних документів з питань технічного захисту інформації, що стосуються екранованих приміщень.
11. Спеціальне екрановане приміщення (окрема екранована кабіна (шафа), технічні засоби в екранованому виконанні) повинно оснащуватися:
протизавадними фільтрами для захисту вводів мереж електроживлення;
протизавадними фільтрами конструкції типу "позамежний хвильовід" для захисту місць вводу систем опалення, вентиляції і кондиціонування повітря;
іншими відповідними протизавадними фільтрами, у разі необхідності вводів оптоволоконних мереж, сигнальних тощо.
Протизавадні фільтри за своїми характеристиками повинні забезпечувати ефективність екранування у всьому діапазоні частот екранування не нижче величин, визначених у пунктах 8 та 9 цього додатка.
12. Екрануючі поверхні спеціального приміщення (або залежно від іншого варіанта пасивного захисту) та екранованих шаф не повинні мати гальванічного зв'язку з металоконструкціями будівлі (коробами, екрануючими та захисними оболонками кабелів тощо), що мають вихід за межі контрольованої зони акредитованого центру.
13. Для електроживлення технічних засобів, що розміщуються у спеціальному приміщенні, спільно з протизавадними фільтрами захисту кіл електроживлення повинні бути встановленні пристрої безперервного електроживлення.
14. Система заземлення спеціального приміщення та її складові елементи не повинні утворювати замкнутих контурів, розміщуватися в межах контрольованої зони акредитованого центру чи у місцях із максимально ускладненим доступом до них сторонніх осіб, а також не повинні мати гальванічного зв'язку з металоконструкціями будівлі, іншими системами заземлення, екрануючими та захисними оболонками кабелів і з'єднувальних ліній, що мають вихід за межі контрольованої зони.
15. У разі необхідності об'єднання окремих технічних засобів, що розміщені у спеціальному приміщенні, у локальну обчислювальну мережу, а також введення до спеціального приміщення кабелів та лінії зв'язку, необхідно здійснювати з використанням технологій ВОЛЗ та дотриманням вимог пункту 11 цього додатка.
16. У разі якщо за результатами спеціальних досліджень (атестації тощо) технічних засобів, розміщених у спеціальному приміщенні, виявилось недостатнім впровадження визначених у цьому додатку заходів для забезпечення захищеності інформації від витоку інформації за рахунок ПЕМВН, повинні бути впроваджені додаткові заходи з пасивного або активного захисту інформації.
| Начальник Головного управління | В.Кучинський |
