*OSIS64/2007 Оригинальная версия Внутренний номер: 335094 Varianta în limba de stat | Карточка документа | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Республика Молдова | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
СЛУЖБА ИНФОРМАЦИИ И БЕЗОПАСНОСТИ | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ПРИКАЗ
Nr. 64
от 07.12.2006 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
об утверждении Технических норм
в сфере цифровой подписи | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Опубликован : 03.08.2007 в Monitorul Oficial Nr. 112-116 статья № : 481 Дата вступления в силу : 03.08.2007 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Во исполнение Постановления Правительства № 945 от 5 сентября 2005 года «О центрах сертификации открытых ключей» (Официальный монитор Республики Молдова, 2005 г., № 123-125, ст. 1020), на основании ч. (2) ст. 36 Закона № 264-XV от 15 июля 2004 года об электронном документе и цифровой подписи (Официальный монитор Республики Молдова, 2004 г., № 132-137, ст. 710) ПРИКАЗЫВАЮ:
1. Утвердить Технические нормы в сфере цифровой подписи (прилагаются). 2. Контроль за исполнением настоящего приказа возложить на заместителя директора Службы информации и безопасности Республики Молдова господина Валентина Дедю. 3. Настоящий приказ вступает в силу со дня опубликования в Официальном мониторе Республики Молдова. Директор Службы информации и безопасности Ион УРСУ № 64. Кишинэу, 7 декабря 2006 г. Утверждены
Приказом директора Службы информации и безопасности Республики Молдова № 64 от 7 декабря 2006 г. ТЕХНИЧЕСКИЕ НОРМЫ
в сфере цифровой подписи I. Общие положения 1. Настоящие технические нормы разработаны в соответствии с Законом об электронном документе и цифровой подписи № 264-XV от 15 июля 2004 года, Постановлением Правительства № 945 от 5 сентября 2005 года «О центрах сертификации открытых ключей» и устанавливают нормы и требования соответствия стандартам и рекомендациям в сфере цифровой подписи, принципы формирования инфраструктуры открытых ключей, создания и управления закрытыми, открытыми ключами и сертификатами открытых ключей, создания и проверки цифровой подписи и фиксирования времени.
2. Настоящие технические нормы являются регламентирующим документом в сфере цифровой подписи и обязательны для юридических лиц, оказывающих услуги по сертификации открытых ключей и иные виды услуг, связанных с цифровой подписью, а также для пользователей цифровой подписи. 3. В настоящем документе используются следующие понятия и сокращения: статус сертификата – состояние сертификата открытого ключа в определенный момент времени. Статус сертификата определяется списком отозванных сертификатов; функция хеширования – криптографическая функция, которая отвечает следующим условиям: функция является однонаправленной и имеет высокую алгоритмическую сложность для нахождения коллизий; фиксирование времени – процедура, осуществляемая путем добавления к электронному документу метки времени таким образом, чтобы исключить возможность изменения документа с сохранением добавленной ранее метки времени; метка времени (time-stamp) – атрибут электронного документа, который, посредством цифровой подписи, заверяет, что информация существовала в определенный момент времени; CWA (CEN Workshop agreement) – Соглашение рабочей группы Европейского комитета по стандартизации. Справочные тексты опубликованы на сайте www.cenorm.be; DSA (Digital Signature Algorithm) – асимметричный криптографический алгоритм цифровой подписи. Справочные тексты опубликованы на сайте www.nist.gov; FIPS (Federal Information Processing Standard) – федеральный стандарт по обработке информации. Справочные тексты опубликованы на сайте www.nist.gov; IETF (Internet Engineering Task Force) – рабочая группа инженерии Интернета. Справочные тексты опубликованы на сайте www.ietf.org; ISO/IEC (International Organization for Standardization / International Electrotechnical Commission) – Международная организация по стандартизации / Международная комиссия по электротехнике. Официальный сайт www.iso.org; ITU-T (International Telecommunication Union Telecommunication Standardization Sector) – стандарт Международного союза электросвязи в области телекоммуникаций. Справочные тексты опубликованы на сайте www.itu.int; PKCS (Public Key Cryptography Standards) – криптографические стандарты с открытым ключом. Справочные тексты опубликованы на сайте www.rsalaboratory.com; RFC (Request for comments) – рекомендации, утверждающие документы, прошедшие публичный анализ в рамках процесса, согласованного с рабочей группой инженерии Интернета. Справочные тексты опубликованы на сайте www.ietf.org/rfc; RSA (Rivest, Shamir, Adleman) – асимметричный криптографический алгоритм цифровой подписи, разработанный исследователями Rivest, Shamir и Adleman. Справочные тексты опубликованы на сайте www.rsalaboratory.com; SM – национальный стандарт Республики Молдова. II. Создание и управление открытым и закрытым ключами
4. Закрытые и открытые ключи уполномоченных лиц центров сертификации открытых ключей (далее – центры сертификации) создаются средствами цифровой подписи в соответствии с требованиями стандарта FIPS 140-2 Security Requirements For Cryptographic Modules уровня 3 или 4.
5. Закрытые и открытые ключи пользователей цифровой подписи создаются средствами цифровой подписи в соответствии с требованиями стандарта FIPS 140-2 Security Requirements For Cryptographic Modules уровня 2 или 3. 6. Минимальная длина открытого и закрытого ключа составляет: 1) 2048 бит для алгоритма RSA для пользователей цифровой подписи; 2) 4096 бит для алгоритма RSA для центров сертификации; 3) 2048 бит для алгоритма DSA; 4) 160 бит для алгоритма DSA, основанного на эллиптических кривых; 5) 512 бит для алгоритма SM GOST 34.10:2006. 7. Длины открытых и закрытых ключей уполномоченных лиц центров сертификации должны быть не меньше длины открытых и закрытых ключей уполномоченных лиц нижестоящих центров сертификации и пользователей цифровой подписи, сертифицирующих открытые ключи в этих центрах. 8. Управление открытыми и закрытыми ключами осуществляется в соответствии с рекомендациями IETF RFC 4210 Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP), IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF). 9. Срок действия закрытого ключа уполномоченного лица центра сертификации составляет: 2 года и 6 месяцев – для центра сертификации высшего уровня; 1 год и 3 месяца – для центров сертификации второго уровня; 7 месяцев – для центров сертификации третьего уровня. Начало периода действия закрытого ключа исчисляется с даты и времени начала срока действия сертификата соответствующего открытого ключа. 10. Срок действия сертификата открытого ключа, соответствующего закрытому ключу уполномоченного лица центра сертификации, составляет: 5 лет – для центра сертификации высшего уровня; 2 года и 6 месяцев – для центров сертификации второго уровня; 1 год и 3 месяца – для центров сертификации третьего уровня. 11. Закрытые ключи уполномоченных лиц центров сертификации и пользователей цифровой подписи хранятся на материальных носителях, реализующих криптографические функции. Криптографические операции подписания с использованием закрытого ключа должны осуществляться на микрочипе материального носителя. 12. Материальный носитель, содержащий закрытый ключ уполномоченного лица центра сертификации, должен соответствовать требованиям стандарта FIPS 140-2 Security Requirements For Cryptographic Modules уровня 3 или 4. 13. Материальный носитель, содержащий закрытый ключ пользователя цифровой подписи, должен соответствовать требованиям стандарта FIPS 140-2 Security Requirements For Cryptographic Modules уровня 2 или 3. 14. Плановая смена открытых и закрытых ключей уполномоченных лиц центров сертификации осуществляется не ранее одного месяца до истечения срока действия закрытого ключа и не позднее истечения срока действия закрытого ключа. 15. Внеплановая смена открытых и закрытых ключей уполномоченных лиц центров сертификации осуществляется в случае компрометации или угрозы компрометации закрытого ключа. 16. В рамках процедуры смены закрытого и открытого ключей уполномоченного лица центра сертификации высшего уровня, данное лицо: создает новую пару ключей (закрытый и открытый); создает сертификат открытого ключа в форме электронного документа, содержащий старый открытый ключ, и подписывает его цифровой подписью с использованием нового закрытого ключа; создает сертификат открытого ключа в форме электронного документа, содержащий новый открытый ключ, и подписывает его цифровой подписью с использованием закрытого ключа, срок действия которого истекает; создает сертификат открытого ключа в форме электронного документа, содержащий новый открытый ключ, и подписывает его цифровой подписью с использованием нового закрытого ключа. 17. В рамках процедуры смены открытых и закрытых ключей уполномоченного лица центра сертификации второго или третьего уровня, данное лицо: создает новую пару ключей (закрытый и открытый); сертифицирует новый открытый ключ в вышестоящем центре сертификации. 18. Старый закрытый ключ уполномоченного лица центра сертификации перестает действовать с момента создания сертификата нового открытого ключа. Сертификат старого открытого ключа уполномоченного лица центра сертификации продолжает действовать до истечения срока его действия. 19. По истечении срока действия закрытого ключа, закрытый ключ уничтожается. 20. Сертификат открытого ключа уполномоченного лица центра сертификации высшего уровня, содержащий новый открытый ключ и подписанный цифровой подписью с использованием закрытого ключа, срок действия которого истекает, а также сертификат открытого ключа уполномоченного лица центра сертификации высшего уровня, содержащий старый открытый ключ и подписанный цифровой подписью с использованием нового закрытого ключа, действуют до истечения срока действия сертификата старого открытого ключа. 21.Процедура смены открытых и закрытых ключей пользователей цифровой подписи определяется пользователями цифровой подписи в соответствии с рекомендациями IETF RFC 4210 Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP), IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF). III. Создание и управление сертификатами открытых ключей
22. Процедуры сертификации открытых ключей (идентификация, аутентификация и регистрация пользователей цифровой подписи, получение заявлений на сертификацию открытых ключей, создание сертификатов открытых ключей, приостановление, возобновление действия и отзыв сертификатов) осуществляются в соответствии с рекомендацией IETF RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework.
23. Управление сертификатами открытых ключей осуществляется в соответствии с рекомендациями IETF RFC 4210 Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP), IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF). 24. Заявления на сертификацию открытых ключей в форме электронного документа создаются в соответствии со стандартом PKCS#10: Certification Request Syntax Specification, версия 1.7, или с рекомендацией IETF RFC 2986 Certification Request Syntax Specification. 25. Сертификаты открытых ключей в форме электронного документа должны соответствовать требованиям стандарта ITU-T X.509, версии 3, стандарту SMV ISO CEI 9594-8:2007 Information technology. Open Systems Interconnection. The Directory: Public-key and attribute certificate frameworks или рекомендации IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. Структуры сертификатов открытых ключей уполномоченных лиц центров сертификации и пользователей цифровой подписи представлены в приложениях № 1 и 2 настоящих технических норм. 26. Списки отозванных сертификатов должны соответствовать требованиям стандарта ITU-T X.509, версия 2, стандарту SMV ISO CEI 9594-8:2007 Information technology. Open Systems Interconnection. The Directory: Public-key and attribute certificate frameworks или рекомендации IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. Структура списка отозванных сертификатов представлена в приложении № 3 настоящих технических норм. 27. Временем приостановления или возобновления действия сертификата открытого ключа считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле thisUpdate). 28. Статус сертификата открытого ключа определяется в соответствии с одной из следующих рекомендаций: 1) IETF RFC 2560 Internet X.509 Public Key Infrastructure Online Certificate Status Protocol; 2) IETF RFC 2585 Internet X.509 Public Key Infrastructure Operational Protocols: FTP, HTTP; 3) IETF RFC 2559 Internet X.509 Public Key Infrastructure Operational Protocols: LDAPv2; 4) IETF RFC 2587 Internet X.509 Public Key Infrastructure LDAPv2 Schema. IV. Создание и проверка цифровой подписи
29. Цифровая подпись создается средствами цифровой подписи в соответствии с требованиями стандарта SMV CWA 14170:2007 Security requirements for signature creation applications.
30. Проверка цифровой подписи осуществляется средствами цифровой подписи в соответствии с требованиями стандарта SMV CWA 14171:2007 General guidelines for electronic signature verification. 31. Формат цифровой подписи должен соответствовать требованиям стандарта PKCS#7 Cryptographic Message Syntax Standard. 32. Алгоритмы создания и проверки цифровой подписи должны соответствовать требованиям одного из следующих стандартов и рекомендаций: 1) SM ISO/CEI 9796-2:2006 Информационные технологии. Методы обеспечения безопасности. Схемы цифровой подписи, позволяющие восстанавливать сообщения. Часть 2: Механизмы, основанные на факторизации целого числа; SM ISO/CEI 9796-3:2006 Информационные технологии. Методы защиты. Схемы цифровой сигнатуры, позволяющие восстанавливать сообщения. Часть 3: Механизмы, основанные на дискретном логарифме; 2) SM ISO/CEI 14888-1:2006 Информационные технологии. Методы защиты. Цифровые сигнатуры с приложением. Часть 1: Общие положения; SM ISO/CEI 14888-2:2006 Информационные технологии. Методы защиты. Цифровые сигнатуры с приложением. Часть 2: Механизмы на основе идентификаторов; SM ISO/CEI 14888-3:2006 Информационные технологии. Методы защиты. Цифровые сигнатуры с приложением. Часть 3: Механизмы на основе сертификатов; 3) SM GOST R 34.10:2006 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи; 4) IETF RFC 3447 Public-Key Cryptography Standards PKCS#1: RSA Cryptography Specifications, версия 2.1; 5) FIPS Publication 186-2. Digital signature standard. 33. Алгоритмы функции хеширования должны соответствовать требованиям одного из следующих стандартов: 1) SM ISO/CEI 10118-1:2006 Информационные технологии. Методы обеспечения защиты. Хеш-функции. Часть 1: Общие положения; SM ISO/CEI 10118-2:2006 Информационные технологии. Методы обеспечения защиты. Хеш-функции. Часть 2: Хеш-функции с использованием алгоритма шифрования n-битными блоками; SM ISO/CEI 10118-3:2006 Технологии информационные. Методы обеспечения защиты. Хэш-функции. Часть 3: Выделенные хэш-функции; SM ISO/CEI 10118-4:2006 Информационная технология. Методы защиты. Хэш-функции. Часть 4: Хэш-функции, применяющие модульную арифметику; 2) SM GOST R 34.11:2006 Информационная технология. Криптографическая защита информации. Функция хеширования; 3) FIPS Publication 180-2. Secure hash standard. V. Фиксирование времени
34. Добавление метки времени осуществляется в соответствии с требованиями рекомендации IETF RFC 3161 Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP). 35. Синхронизация времени служб сертификации, в том числе программных и технических средств по предназначению, осуществляется в соответствии с рекомендацией IETF RFC 4330: Simple Network Time Protocol (SNTP). Приложение № 1 К Техническим нормам в сфере цифровой подписи
Структура сертификата открытого ключа уполномоченного лица центра сертификации
Сертификат открытого ключа уполномоченного лица центра сертификации содержит следующие поля:
Приложение № 2 К Техническим нормам в сфере цифровой подписи
Структура сертификата открытого ключа пользователя цифровой подписи
Сертификат открытого ключа пользователя цифровой подписи содержит следующие поля:
Приложение № 3 К Техническим нормам в сфере цифровой подписи
Структура списка отозванных сертификатов (CRL)
Список отозванных сертификатов центра сертификации содержит следующие поля:
|