Внутренний номер: 335094
Varianta în limba de stat
Республика Молдова
от 07.12.2006
в сфере цифровой подписи
1. Утвердить Технические нормы в сфере цифровой подписи (прилагаются).
2. Контроль за исполнением настоящего приказа возложить на заместителя директора Службы информации и безопасности Республики Молдова господина Валентина Дедю.
3. Настоящий приказ вступает в силу со дня опубликования в Официальном мониторе Республики Молдова.
Директор Службы
информации и безопасности Ион УРСУ
№ 64. Кишинэу, 7 декабря 2006 г.
Приказом директора Службы информации
и безопасности Республики Молдова
№ 64 от 7 декабря 2006 г.
в сфере цифровой подписи
I. Общие положения
2. Настоящие технические нормы являются регламентирующим документом в сфере цифровой подписи и обязательны для юридических лиц, оказывающих услуги по сертификации открытых ключей и иные виды услуг, связанных с цифровой подписью, а также для пользователей цифровой подписи.
3. В настоящем документе используются следующие понятия и сокращения:
статус сертификата – состояние сертификата открытого ключа в определенный момент времени. Статус сертификата определяется списком отозванных сертификатов;
функция хеширования – криптографическая функция, которая отвечает следующим условиям: функция является однонаправленной и имеет высокую алгоритмическую сложность для нахождения коллизий;
фиксирование времени – процедура, осуществляемая путем добавления к электронному документу метки времени таким образом, чтобы исключить возможность изменения документа с сохранением добавленной ранее метки времени;
метка времени (time-stamp) – атрибут электронного документа, который, посредством цифровой подписи, заверяет, что информация существовала в определенный момент времени;
CWA (CEN Workshop agreement) – Соглашение рабочей группы Европейского комитета по стандартизации. Справочные тексты опубликованы на сайте www.cenorm.be;
DSA (Digital Signature Algorithm) – асимметричный криптографический алгоритм цифровой подписи. Справочные тексты опубликованы на сайте www.nist.gov;
FIPS (Federal Information Processing Standard) – федеральный стандарт по обработке информации. Справочные тексты опубликованы на сайте www.nist.gov;
IETF (Internet Engineering Task Force) – рабочая группа инженерии Интернета. Справочные тексты опубликованы на сайте www.ietf.org;
ISO/IEC (International Organization for Standardization / International Electrotechnical Commission) – Международная организация по стандартизации / Международная комиссия по электротехнике. Официальный сайт www.iso.org;
ITU-T (International Telecommunication Union Telecommunication Standardization Sector) – стандарт Международного союза электросвязи в области телекоммуникаций. Справочные тексты опубликованы на сайте www.itu.int;
PKCS (Public Key Cryptography Standards) – криптографические стандарты с открытым ключом. Справочные тексты опубликованы на сайте www.rsalaboratory.com;
RFC (Request for comments) – рекомендации, утверждающие документы, прошедшие публичный анализ в рамках процесса, согласованного с рабочей группой инженерии Интернета. Справочные тексты опубликованы на сайте www.ietf.org/rfc;
RSA (Rivest, Shamir, Adleman) – асимметричный криптографический алгоритм цифровой подписи, разработанный исследователями Rivest, Shamir и Adleman. Справочные тексты опубликованы на сайте www.rsalaboratory.com;
SM – национальный стандарт Республики Молдова.
5. Закрытые и открытые ключи пользователей цифровой подписи создаются средствами цифровой подписи в соответствии с требованиями стандарта FIPS 140-2 Security Requirements For Cryptographic Modules уровня 2 или 3.
6. Минимальная длина открытого и закрытого ключа составляет:
1) 2048 бит для алгоритма RSA для пользователей цифровой подписи;
2) 4096 бит для алгоритма RSA для центров сертификации;
3) 2048 бит для алгоритма DSA;
4) 160 бит для алгоритма DSA, основанного на эллиптических кривых;
5) 512 бит для алгоритма SM GOST 34.10:2006.
7. Длины открытых и закрытых ключей уполномоченных лиц центров сертификации должны быть не меньше длины открытых и закрытых ключей уполномоченных лиц нижестоящих центров сертификации и пользователей цифровой подписи, сертифицирующих открытые ключи в этих центрах.
8. Управление открытыми и закрытыми ключами осуществляется в соответствии с рекомендациями IETF RFC 4210 Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP), IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF).
9. Срок действия закрытого ключа уполномоченного лица центра сертификации составляет:
2 года и 6 месяцев – для центра сертификации высшего уровня;
1 год и 3 месяца – для центров сертификации второго уровня;
7 месяцев – для центров сертификации третьего уровня.
Начало периода действия закрытого ключа исчисляется с даты и времени начала срока действия сертификата соответствующего открытого ключа.
10. Срок действия сертификата открытого ключа, соответствующего закрытому ключу уполномоченного лица центра сертификации, составляет:
5 лет – для центра сертификации высшего уровня;
2 года и 6 месяцев – для центров сертификации второго уровня;
1 год и 3 месяца – для центров сертификации третьего уровня.
11. Закрытые ключи уполномоченных лиц центров сертификации и пользователей цифровой подписи хранятся на материальных носителях, реализующих криптографические функции. Криптографические операции подписания с использованием закрытого ключа должны осуществляться на микрочипе материального носителя.
12. Материальный носитель, содержащий закрытый ключ уполномоченного лица центра сертификации, должен соответствовать требованиям стандарта FIPS 140-2 Security Requirements For Cryptographic Modules уровня 3 или 4.
13. Материальный носитель, содержащий закрытый ключ пользователя цифровой подписи, должен соответствовать требованиям стандарта FIPS 140-2 Security Requirements For Cryptographic Modules уровня 2 или 3.
14. Плановая смена открытых и закрытых ключей уполномоченных лиц центров сертификации осуществляется не ранее одного месяца до истечения срока действия закрытого ключа и не позднее истечения срока действия закрытого ключа.
15. Внеплановая смена открытых и закрытых ключей уполномоченных лиц центров сертификации осуществляется в случае компрометации или угрозы компрометации закрытого ключа.
16. В рамках процедуры смены закрытого и открытого ключей уполномоченного лица центра сертификации высшего уровня, данное лицо:
создает новую пару ключей (закрытый и открытый);
создает сертификат открытого ключа в форме электронного документа, содержащий старый открытый ключ, и подписывает его цифровой подписью с использованием нового закрытого ключа;
создает сертификат открытого ключа в форме электронного документа, содержащий новый открытый ключ, и подписывает его цифровой подписью с использованием закрытого ключа, срок действия которого истекает;
создает сертификат открытого ключа в форме электронного документа, содержащий новый открытый ключ, и подписывает его цифровой подписью с использованием нового закрытого ключа.
17. В рамках процедуры смены открытых и закрытых ключей уполномоченного лица центра сертификации второго или третьего уровня, данное лицо:
создает новую пару ключей (закрытый и открытый);
сертифицирует новый открытый ключ в вышестоящем центре сертификации.
18. Старый закрытый ключ уполномоченного лица центра сертификации перестает действовать с момента создания сертификата нового открытого ключа. Сертификат старого открытого ключа уполномоченного лица центра сертификации продолжает действовать до истечения срока его действия.
19. По истечении срока действия закрытого ключа, закрытый ключ уничтожается.
20. Сертификат открытого ключа уполномоченного лица центра сертификации высшего уровня, содержащий новый открытый ключ и подписанный цифровой подписью с использованием закрытого ключа, срок действия которого истекает, а также сертификат открытого ключа уполномоченного лица центра сертификации высшего уровня, содержащий старый открытый ключ и подписанный цифровой подписью с использованием нового закрытого ключа, действуют до истечения срока действия сертификата старого открытого ключа.
21.Процедура смены открытых и закрытых ключей пользователей цифровой подписи определяется пользователями цифровой подписи в соответствии с рекомендациями IETF RFC 4210 Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP), IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF).
23. Управление сертификатами открытых ключей осуществляется в соответствии с рекомендациями IETF RFC 4210 Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP), IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF).
24. Заявления на сертификацию открытых ключей в форме электронного документа создаются в соответствии со стандартом PKCS#10: Certification Request Syntax Specification, версия 1.7, или с рекомендацией IETF RFC 2986 Certification Request Syntax Specification.
25. Сертификаты открытых ключей в форме электронного документа должны соответствовать требованиям стандарта ITU-T X.509, версии 3, стандарту SMV ISO CEI 9594-8:2007 Information technology. Open Systems Interconnection. The Directory: Public-key and attribute certificate frameworks или рекомендации IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. Структуры сертификатов открытых ключей уполномоченных лиц центров сертификации и пользователей цифровой подписи представлены в приложениях № 1 и 2 настоящих технических норм.
26. Списки отозванных сертификатов должны соответствовать требованиям стандарта ITU-T X.509, версия 2, стандарту SMV ISO CEI 9594-8:2007 Information technology. Open Systems Interconnection. The Directory: Public-key and attribute certificate frameworks или рекомендации IETF RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. Структура списка отозванных сертификатов представлена в приложении № 3 настоящих технических норм.
27. Временем приостановления или возобновления действия сертификата открытого ключа считается время опубликования (выпуска) обновленного списка отозванных сертификатов (время, указанное в поле thisUpdate).
28. Статус сертификата открытого ключа определяется в соответствии с одной из следующих рекомендаций:
1) IETF RFC 2560 Internet X.509 Public Key Infrastructure Online Certificate Status Protocol;
2) IETF RFC 2585 Internet X.509 Public Key Infrastructure Operational Protocols: FTP, HTTP;
3) IETF RFC 2559 Internet X.509 Public Key Infrastructure Operational Protocols: LDAPv2;
4) IETF RFC 2587 Internet X.509 Public Key Infrastructure LDAPv2 Schema.
30. Проверка цифровой подписи осуществляется средствами цифровой подписи в соответствии с требованиями стандарта SMV CWA 14171:2007 General guidelines for electronic signature verification.
31. Формат цифровой подписи должен соответствовать требованиям стандарта PKCS#7 Cryptographic Message Syntax Standard.
32. Алгоритмы создания и проверки цифровой подписи должны соответствовать требованиям одного из следующих стандартов и рекомендаций:
1) SM ISO/CEI 9796-2:2006 Информационные технологии. Методы обеспечения безопасности. Схемы цифровой подписи, позволяющие восстанавливать сообщения. Часть 2: Механизмы, основанные на факторизации целого числа; SM ISO/CEI 9796-3:2006 Информационные технологии. Методы защиты. Схемы цифровой сигнатуры, позволяющие восстанавливать сообщения. Часть 3: Механизмы, основанные на дискретном логарифме;
2) SM ISO/CEI 14888-1:2006 Информационные технологии. Методы защиты. Цифровые сигнатуры с приложением.
Часть 1: Общие положения; SM ISO/CEI 14888-2:2006 Информационные технологии. Методы защиты. Цифровые сигнатуры с приложением.
Часть 2: Механизмы на основе идентификаторов; SM ISO/CEI 14888-3:2006 Информационные технологии. Методы защиты. Цифровые сигнатуры с приложением.
Часть 3: Механизмы на основе сертификатов;
3) SM GOST R 34.10:2006 Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи;
4) IETF RFC 3447 Public-Key Cryptography Standards PKCS#1: RSA Cryptography Specifications, версия 2.1;
5) FIPS Publication 186-2. Digital signature standard.
33. Алгоритмы функции хеширования должны соответствовать требованиям одного из следующих стандартов:
1) SM ISO/CEI 10118-1:2006 Информационные технологии. Методы обеспечения защиты. Хеш-функции. Часть 1: Общие положения; SM ISO/CEI 10118-2:2006 Информационные технологии. Методы обеспечения защиты. Хеш-функции. Часть 2: Хеш-функции с использованием алгоритма шифрования n-битными блоками; SM ISO/CEI 10118-3:2006 Технологии информационные. Методы обеспечения защиты. Хэш-функции. Часть 3: Выделенные хэш-функции; SM ISO/CEI 10118-4:2006 Информационная технология. Методы защиты. Хэш-функции. Часть 4: Хэш-функции, применяющие модульную арифметику;
2) SM GOST R 34.11:2006 Информационная технология. Криптографическая защита информации. Функция хеширования;
3) FIPS Publication 180-2. Secure hash standard.
35. Синхронизация времени служб сертификации, в том числе программных и технических средств по предназначению, осуществляется в соответствии с рекомендацией IETF RFC 4330: Simple Network Time Protocol (SNTP).
Приложение № 1
К Техническим нормам в сфере цифровой подписи
Структура сертификата открытого ключа
уполномоченного лица центра сертификации
Сертификат открытого ключа уполномоченного лица центра сертификации содержит следующие поля:
|
Наименование
(на англ. языке)
|
Описание
|
Содержание
|
|
Базовые поля |
||
|
Version
|
Версия
|
V3
|
|
Serial Number |
Регистрационный номер сертификата |
Номер
|
|
Issuer
|
Идентификационные данные центра сертификации, издателя сертификата |
N = Фамилия, имя уполномоченного лица центра сертификации, IDNP CN = Наименование центра сертификации L = Населенный пункт S = Государство OU = Подразделение юридического лица O = Наименование юридического лица, IDNO P = Телефон уполномоченного лица центра сертификации T = Должность уполномоченного лица центра сертификации C = Код государства E = Электронная почта уполномоченного лица центра сертификации |
|
Validity Period |
Срок действия сертификата
|
Действителен с: «__» ______ 20__ г. чч:мм:сс GMT Действителен по: «__» _____ 20__ г. чч:мм:сс GMT |
|
Subject
|
Идентификационные данные центра сертификации, владельца сертификата |
N = Фамилия, имя уполномоченного лица центра сертификации, IDNP CN = Наименование центра сертификации L = Населенный пункт S = Государство OU = Подразделение юридического лица O = Наименование юридического лица, IDNO P = Телефон уполномоченного лица центра сертификации T = Должность уполномоченного лица центра сертификации C = Код государства E = Электронная почта уполномоченного лица центра сертификации |
|
FriendlyName
|
Понятное имя
|
Наименование центра сертификации |
|
Public Key
|
Открытый ключ
|
Открытый ключ
|
|
Issuer Signature Algorithm
|
Алгоритм подписи издателя сертификата |
Наименование алгоритма цифровой подписи издателя сертификата |
|
Issuer Sign
|
Цифровая подпись издателя сертификата |
Подпись издателя в соответствии с используемым алгоритмом |
|
Дополнительные поля |
||
|
Key Usage |
Использование ключа |
Неотрекаемость, цифровая подпись в сертификатах уполномоченных лиц центров сертификации и пользователей цифровой подписи, цифровая подпись в списке отозванных сертификатов |
|
Subject Key Identifier
|
Идентификатор ключа владельца сертификата |
Идентификатор закрытого ключа уполномоченного лица центра сертификации, соответствующего данному сертификату |
|
Private Key Usage Period |
Срок действия закрытого ключа |
Действителен с: «__» _______ 20__ г. чч:мм:сс GMT Действителен по: «__» ______ 20__ г. чч:мм:сс GMT |
|
CRL Distribution Point
|
Точка распределения списка отозванных сертификатов |
Источник опубликования списка отозванных сертификатов |
|
Certificate Template |
Шаблон сертификата
|
CA
|
Приложение № 2
К Техническим нормам в сфере цифровой подписи
Структура сертификата открытого ключа
пользователя цифровой подписи
Сертификат открытого ключа пользователя цифровой подписи содержит следующие поля:
|
Наименование
(на англ. языке)
|
Описание
|
Содержание
|
|
Базовые поля |
||
|
Version
|
Версия
|
V3
|
|
Serial Number |
Регистрационный номер сертификата |
Номер
|
|
Issuer
|
Идентификационные данные центра сертификации, издателя сертификата |
N = Фамилия, имя уполномоченного лица центра сертификации, IDNP CN = Наименование центра сертификации L = Населенный пункт S = Государство OU = Подразделение юридического лица O = Наименование юридического лица, IDNO P = Телефон уполномоченного лица центра сертификации T = Должность уполномоченного лица центра сертификации C = Код государства E = Электронная почта уполномоченного лица центра сертификации |
|
Validity Period |
Срок действия сертификата
|
Действителен с: «__» ______ 20__ г. чч:мм:сс GMT Действителен по: «__» _____ 20__ г. чч:мм:сс GMT |
|
Subject
|
Идентификационные данные пользователя цифровой подписи, владельца сертификата |
N = Фамилия, имя пользователя цифровой подписи, IDNP CN = Наименование сертификата пользователя цифровой подписи L = Населенный пункт, где проживает пользователь цифровой подписи S = Государство OU = Подразделение юридического лица, где работает пользователь цифровой подписи, при необходимости O = Наименование юридического лица, IDNO, где работает пользователь цифровой подписи, при необходимости P = Телефон пользователя цифровой подписи T = Должность пользователя цифровой подписи, при необходимости C = Код государства E = Электронная почта пользователя цифровой подписи |
|
Public Key
|
Открытый ключ
|
Открытый ключ пользователя цифровой подписи |
|
Issuer Signature Algorithm
|
Алгоритм подписи издателя сертификата |
Наименование алгоритма цифровой подписи издателя сертификата |
|
Issuer Sign
|
Цифровая подпись издателя сертификата |
Подпись издателя в соответствии с используемым алгоритмом |
|
Дополнительные поля |
||
|
Key Usage |
Использование ключа |
Сферы использования цифровой подписи и другие установленные ограничения |
|
CRL Distribution Point
|
Точка распределения списка отозванных сертификатов |
Источник опубликования списка отозванных сертификатов |
|
Certificate Template |
Шаблон сертификата
|
Шаблон, в соответствии с которым был создан сертификат открытого ключа пользователя цифровой подписи |
Приложение № 3
К Техническим нормам в сфере цифровой подписи
Структура списка отозванных сертификатов (CRL)
Список отозванных сертификатов центра сертификации содержит следующие поля:
|
Наименование
(на англ. языке)
|
Описание
|
Содержание
|
|
Базовые поля |
||
|
Version
|
Версия
|
V2
|
|
Issuer
|
Издатель CRL
|
N = Фамилия, имя уполномоченного лица центра сертификации, IDNP CN = Наименование центра сертификации L = Населенный пункт S = Государство OU = Подразделение юридического лица O = Наименование юридического лица, IDNO P = Телефон уполномоченного лица центра сертификации T = Должность уполномоченного лица центра сертификации C = Код государства E = Электронная почта уполномоченного лица центра сертификации |
|
thisUpdate
|
Время издания CRL |
«__» ______ 20__ чч:мм:сс GMT |
|
nextUpdate
|
Время, по которое действителен CRL |
«__» ______ 20__ чч:мм:сс GMT |
|
Revoked Certificates
|
Список отозванных сертификатов |
Серийный номер сертификата (CertificateSerialNumber) Время отзыва или приостановления действия сертификата (Time) |
|
Issuer Signature Algorithm
|
Алгоритм подписи издателя сертификата |
Наименование алгоритма цифровой подписи издателя сертификата |
|
Issuer Sign
|
Цифровая подпись издателя сертификата |
Подпись издателя в соответствии с используемым алгоритмом |
|
Дополнительные поля |
||
|
Reason Code
|
Код причины отзыва сертификата |
"0" Не указана "1" Компрометация закрытого ключа "2" Компрометация центра сертификации "3" Изменение принадлежности "4" Сертификат был изменен "5" Прекращение работы "6" Приостановление действия |
|
Hold Instruction Code |
Код причины временного приостановления действия сертификата |
Код причины временного приостановления действия сертификата (OID) |
|
Authority Key Identifier
|
Идентификатор ключа издателя |
Идентификатор закрытого ключа уполномоченного лица центра сертификации, с использованием которого подписан CRL |
|
CRLNumber
|
Серийный номер
|
Серийный номер CRL |