ID intern unic: 375859
Версия на русском
Republica Moldova
din 15.07.2016
cu privire la aprobarea Normelor tehnice
în domeniul semnăturii electronice avansate calificate
în domeniul semnăturii electronice avansate calificate
În temeiul art. 36 alin (1) lit. d) din Legea nr. 91 din 29.05.2014 privind semnătura electronică şi documentul electronic (Monitorul Oficial al Republicii Moldova, 2014, nr.174-177, art. 397),
2. Se abrogă:
1) Ordinul directorului Serviciului de Informaţii şi Securitate al Republicii Moldova nr. 64 din 07.12.2006 „Cu privire la aprobarea Normelor tehnice în domeniul semnăturii digitale (Monitorul Oficial al Republicii Moldova, 2007, nr. 112-116, art. 481);
2) Ordinul directorului Serviciului de Informaţii şi Securitate al Republicii Moldova nr. 32 din 23.06.2010 „Cu privire la modificarea şi completarea Ordinului directorului Serviciului de Informaţii şi Securitate nr.64 din 7 decembrie 2006” (Monitorul Oficial al Republicii Moldova, 2010, nr. 110-113, art. 390).
3. Controlul asupra executării prezentului Ordin se pune în sarcina dlui Alexandru BALTAGA, director adjunct al Serviciului de Informaţii şi Securitate al Republicii Moldova.
4. Prezentul Ordin intră în vigoare la data publicării în Monitorul Oficial al Republicii Moldova.
DIRECTORUL ADJUNCT
AL SERVICIULUI DE INFORMAȚII
ȘI SECURITATE Alexandru BALAN
Nr. 69. Chişinău, 15 iulie 2016.
2. Prezentele Norme tehnice reprezintă un document de reglementare în domeniul semnăturii electronice avansate calificate şi sînt obligatorii pentru prestatorii de servicii de certificare acreditaţi în domeniul aplicării semnăturii electronice avansate calificate, precum şi pentru utilizatorii semnăturii electronice avansate calificate.
3. În sensul prezentului document următoarele noţiuni şi abrevieri semnifică:
statutul certificatului - starea certificatului cheii publice la un timp determinat. Statutul certificatului este determinat de lista certificatelor revocate;
funcţie hash - funcţie criptografică care corespunde următoarelor condiţii: funcţia este unidirecţionată şi posedă complicitate algoritmică înaltă de depistare a coliziunilor;
fixarea timpului - procedură de atribuire documentului electronic a unei mărci temporale astfel încît să se excludă posibilitatea modificării documentului cu păstrarea mărcii temporale atribuite anterior;
CWA (CEN Workshop agreement) - Acordul grupului de lucru al Comitetului European de Standardizare. Textele de referinţă sînt publicate pe site-ul www.cenorm.be;
EAL (Evaluation Assurance Level) - Nivelul de Evaluare şi Asigurare, grad numeric atribuit după finalizarea unei evaluări conform criteriilor comune de evaluare a securităţii (Common Criteria security evaluation). Textele de referinţă sînt publicate pe site-ul www.commoncriteriaportal.org;
ETSI – (European Telecommunications Standards Institute) Institutul European de standardizare în telecomunicaţii. Textele de referinţă sînt publicate pe site-ul www.etsi.org;
FIPS (Federal Information Processing Standard) - standard federal de prelucrare a informaţiei. Textele de referinţă sînt publicate pe site-ul www.nist.gov;
IETF (Internet Engineering Task Force) - Grup operativ al ingineriei Internetului. Textele de referinţă sînt publicate pe site-ul www.ietf.org;
ISO/IEC (International Organization for Standardization / International Electrotechnical Commission) - Organizaţia Internaţională de Standardizare /Comisia Internaţională pentru Electrotehnică. Site-ul oficial www.iso.org;
ITU-T (International Telecommunication Union Telecommunication Standardization Sector) - standard al Uniunii Internaţionale de Telecomunicaţii în domeniul telecomunicaţiilor. Textele de referinţă sînt publicate pe site-ul www.itu.int;
PKCS (Public Key Cryptography Standards) - standarde criptografice a cheilor publice. Textele de referinţă sînt publicate pe site-ul www.rsalaboratory.com;
RFC (Request for comments) - recomandări ce aprobă documente supuse analizei publice în cadrul procesului coordonat cu Grupul operativ al ingineriei Internetului. Textele de referinţă sînt publicate pe site-ul www.ietf.org/rfc;
RSA (Rivest, Shamir, Adleman) - algoritm criptografic asimetric al semnăturii electronice, elaborat de către cercetătorii Rivest, Shamir şi Adleman. Textele de referinţă sînt publicate pe site-ul www.rsalaboratory.com;
SM - standard naţional al Republicii Moldova;
TSP(Time-Stamp Protocol)– Protocol de marcare temporală;
SIM(Subscriber Identity Module) - Modul de identitate a abonatului;
validarea datelor şi protocolul serverului de certificare - procedura de confirmare a validităţii şi corectitudinii documentelor electronice semnate cu semnătura electronică avansată calificată, valabilităţii certificatelor cheilor publice şi posedării sau existenţei datelor.
5. Cheia privată şi cheia publică a utilizatorului semnăturii electronice avansate calificate utilizate la crearea semnăturii electronice avansate calificate se creează de către prestator prin intermediul dispozitivului securizat de creare a semnăturii în conformitate cu cerinţele standardului FIPS 140-2 Security Requirements For Cryptographic Modules, nivelele 3 sau 4, sau SMV CWA 14169:2008 Dispozitive de siguranţă pentru crearea semnăturilor „EAL4+” sau SM ISO/CEI 19790:2014 Tehnologia informaţiei. Tehnici de securitate. Cerinţe de securitate pentru module criptografice. În cazul utilizării dispozitivului securizat de creare a semnăturii în baza cartelei SIM, prestatorul asigură utilizatorului semnăturii electronice avansate calificate iniţierea procedurii de creare a cheii private şi a cheii publice.
6. Lungimea minimă a cheilor publice şi private constituie:
1) 2048 biţi pentru algoritmul RSA pentru utilizatorii semnăturii electronice avansate calificate;
2) 4096 biţi pentru algoritmul RSA pentru prestatori.
7. Administrarea cheilor publice şi private se efectuează în conformitate cu recomandările IETF RFC 6712 Internet X.509 Public Key Infrastructure - HTTP Transfer for the Certificate Management Protocol (CMP), IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF).
8. Termenul de valabilitate a cheii private a prestatorului constituie:
1) 10 ani - pentru prestatorul de nivel superior;
2) 5 ani - pentru prestatorii de nivelul al doilea.
9. Începutul termenului de valabilitate a cheii private se consideră data şi ora la care începe termenul de valabilitate a certificatului cheii publice ce-i corespunde.
10. Termenul de valabilitate a certificatului cheii publice, ce corespunde cheii private a prestatorului, constituie:
1) 20 ani - pentru prestatorul de nivel superior;
2) 10 ani - pentru prestatorul de nivelul al doilea.
11. Termenul de valabilitate a cheii private a serviciului de marcare temporală (TSP), serviciului de verificare on-line a statutului certificatului (OCSP), serviciului de validare a datelor şi protocolul serverului de certificare (DVCS) şi certificatului cheii publice, ce corespunde cheii private a serviciului, constituie 5 ani.
12. Termenul de valabilitate a cheii private a utilizatorului semnăturii electronice avansate calificate şi a certificatului cheii publice, ce corespunde cheii private a utilizatorului semnăturii electronice avansate calificate, constituie 1 an.
13. Cheile private ale prestatorilor şi ale utilizatorilor semnăturii electronice avansate calificate se păstrează pe suporturi materiale ce realizează funcţii criptografice - dispozitive securizate de creare a semnăturii electronice. Operaţiunile criptografice de semnare cu utilizarea cheii private trebuie să fie efectuate în microcipul suportului material.
14. Suportul material, ce conţine cheia privată a prestatorului şi a utilizatorului semnăturii electronice avansate calificate, trebuie să corespundă cerinţelor standardului FIPS 140-2 Security Requirements For Cryptographic Modules, nivelele 3 sau 4, sau SMV CWA 14169:2008 Dispozitive de siguranţă pentru crearea semnăturilor „EAL4+” sau SM ISO/CEI 19790:2014 Tehnologia informaţiei. Tehnici de securitate. Cerinţe de securitate pentru module criptografice.
15. Suportul material ce conţine cheia privată a utilizatorului semnăturii electronice avansate calificate, suplimentar la standardele enumerate în punctul 14 din prezentele Norme tehnice, trebuie să corespundă şi cerinţelor standardului PKCS#15 Cryptographic Token Information Format Standard.
16. Schimbarea planificată a cheilor publice şi private ale prestatorului se efectuează nu mai devreme de 14 zile înainte şi nu mai tîrziu de expirarea termenului de valabilitate a cheii private.
17. Schimbarea neplanificată a cheilor publice şi private ale prestatorului se efectuează în cazul compromiterii sau al pericolului de compromitere a cheii private.
18. În cadrul procedurii de schimbare a cheilor publice şi private ale prestatorului de nivel superior, acesta:
1) creează o pereche nouă de chei (privată şi publică);
2) creează certificatul cheii publice sub formă de document electronic ce conţine cheia publică nouă şi îl semnează cu semnătura electronică avansată calificată folosind cheia privată nouă.
19. În cadrul procedurii de schimbare a cheilor publice şi private ale prestatorului de nivelul al doilea, acesta:
1) creează o pereche nouă de chei (privată şi publică);
2) certifică cheia publică nouă la prestatorul de nivel superior.
20. Cheia privată veche a prestatorului îşi pierde valabilitatea la data creării certificatului cheii publice noi. Certificatul cheii publice vechi a prestatorului îşi păstrează valabilitatea pînă la expirarea termenului.
21. La expirarea termenului de valabilitate a cheii private, ea se foloseşte pînă la expirarea termenului de valabilitate a certificatului cheii publice ce corespunde acestei chei private numai pentru semnarea listei certificatelor revocate.
22. După expirarea termenului de valabilitate a certificatului cheii publice ce corespunde chei private menţionate la pct. 21 din prezentele Norme tehnice, cheia privată se distruge.
23. Procedura de schimbare a cheilor publice şi private ale utilizatorilor semnăturii electronice avansate calificate se determină de către prestatorii semnăturii electronice avansate calificate în conformitate cu recomandările: IETF RFC 6712 Internet X.509 Public Key Infrastructure - HTTP Transfer for the Certificate Management Protocol (CMP), IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF) sau IETF RFC 5967 The application/pkcs10 Media Type.
25. Administrarea certificatelor cheilor publice se efectuează în conformitate cu recomandările IETF RFC 6712 Internet X.509 Public Key Infrastructure - HTTP Transfer for the Certificate Management Protocol (CMP), IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF).
26. Cererile de certificare a cheilor publice sub formă de document electronic se întocmesc în conformitate cu cerinţele standardului IETF RFC 5967 The application/pkcs10 Media Type sau IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF).
27. Certificatele cheilor publice sub formă de document electronic trebuie să corespundă cerinţelor standardului ITU-T X.509, versiunea 3, standardului SM ISO CEI 9594-8:2014 Tehnologia informaţiei. Interconexiunea sistemelor deschise. Linii directoare: Structura certificatului cheii publice şi a atributului sau recomandării ETF RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profil, ETF RFC 6818 Updates to the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profil şi IETF RFC 3739 Qualified Certificates Profile. Structurile certificatelor cheilor publice ale prestatorului şi ale utilizatorilor semnăturii electronice avansate calificate sînt prezentate în Anexele 1 şi 2 la prezentele Norme tehnice.
28. Listele certificatelor revocate trebuie să corespundă cerinţelor standardului ITU-T X.509, versiunea 2, standardului SM ISO/CEI 9594-8:2014 Tehnologia informaţiei. Interconexiunea sistemelor deschise. Linii directoare: Structura certificatului cheii publice şi a atributului sau recomandării IETF RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, ETF RFC 6818 Updates to the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profil. Structura listei certificatelor revocate este prezentată în Anexa nr. 3 la prezentele Norme tehnice.
29. Ora suspendării sau restabilirii valabilităţii certificatului cheii publice se consideră ora publicării (emiterii) listei actualizate a certificatelor revocate (ora indicată în cîmpul this Update).
30. Statutul certificatului cheii publice se stabileşte în conformitate cu următoarele recomandări:
1) IETF RFC 6960 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP;
2) IETF RFC 2585 Internet X.509 Public Key Infrastructure Operational Protocols: FTP, HTTP;
3) IETF RFC 3494 Lightweight Directory Access Protocol version 2 (LDAPv2) to Historic Status;
4) IETF RFC 4523 Lightweight Directory Access Protocol (LDAP) Schema Definitions for X.509 Certificates.
31. Structura certificatului serviciului verificării on-line a statutului certificatului (OCSP) este prezentată în Anexa nr. 4 la prezentele Norme tehnice.
33. Semnătura electronică avansată calificată a utilizatorului se creează prin intermediul dispozitivului securizat de creare a semnăturii electronice şi al produsului asociat semnăturii electronice în conformitate cu cerinţele standardului SMV CWA 14170:2007. Cerinţele de securitate pentru aplicaţiile de creare a semnăturii.
34. Verificarea securizată a semnăturii electronice avansate calificate se efectuează prin intermediul dispozitivului de verificare a semnăturii electronice şi/sau al produsului asociat semnăturii electronice în conformitate cu cerinţele standardului SMV CWA 14171:2007. Ghid general pentru verificarea semnăturii electronice.
35. Formatul semnăturii electronice avansate calificate trebuie să corespundă cerinţelor standardului PKCS#7 Cryptographic Message Syntax Standard și/sau:
1) SM ETSI TS 101 903 V1.4.2:2014 Semnături electronice şi infrastructuri (ESI). Semnături electronice avansate XML (XAdES);
2) SM ETSI TS 102 778-1 V1.1.1:2014 Semnături electronice şi infrastructuri (ESI). Profilurile semnăturilor electronice avansate PDF. Partea 1: Privire generală PAdES – document de cadru pentru PAdES, ETSI TS 102 778-2 V1.2.1 :2009 Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 2: PAdES Basic - Profile based on ISO 32000-1, ETSI TS 102 778-3 V1.2.1 :2010 Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced - PAdES-BES and PAdES-EPES Profiles, ETSI TS 102 778-4 V1.1.2:2009 Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 4: PAdES Long Term - PAdES LTV Profile, ETSI TS 102 778-5 V1.1.2:2009, Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 5: PAdES for XML Content - Profiles for XAdES signatures, ETSI TS 102 778-6 V1.1.1:2010 Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 6: Visual Representations of Electronic Signatures.
36. Algoritmii de creare şi verificare a semnăturii electronice avansate calificate trebuie să corespundă cerinţelor prevăzute de unul din următoarele standarde şi recomandări:
1) SM ISO/CEI 9796-2:2013 Tehnologia informaţiei. Tehnici de securitate. Scheme de semnături digitale care restabilesc mesaje. Partea 2: Mecanisme bazate pe factorizarea întregului; SM ISO/CEI 9796-3:2013 Tehnologia informaţiei. Tehnici de securitate. Scheme de semnături digitale care restabilesc mesaje. Partea 3: Mecanisme bazate pe logaritm discret;
2) SM SR ISO/CEI 14888-1:2011 Tehnologia informaţiei. Tehnici de securitate. Semnături digitale cu supliment. Partea 1: Generalităţi; SM SR ISO/CEI 14888-2:2011 Tehnologia informaţiei. Tehnici de securitate. Semnături digitale cu supliment. Partea 2: Mecanisme bazate pe identitate; SM SR ISO/CEI 14888-3:2013 Tehnologia informaţiei. Tehnici de securitate. Semnături digitale cu apendice. Partea 3: Mecanisme bazate pe logaritmi discreţi;
3) IETF RFC 3447 Public Key Cryptography Standards PKCS#1: RSA Cryptography Specifications, versiunea 2.1;
4) FIPS Publication 186-3 Digital Signature Standard (DSS) sau SM SR ISO/CEI 14888-2:2011 Tehnologia informaţiei. Tehnici de securitate. Semnături digitale cu apendice. Partea 2: Mecanisme bazate pe factorizarea numerelor întregi.
37. Prestatorii trebuie să utilizeze funcţia hash SHA-256.
38. Algoritmii funcţiei hash trebuie sa corespundă cerinţelor prevăzute de unul din următoarele standarde:
1) SM ISO/CEI 10118-1:2006 Tehnologia informaţiei. Tehnici de securitate. Funcţii hash. Partea 1: Generalităţi; SM ISO/CEI 10118-2:2013 Tehnologia informaţiei. Tehnici de securitate. Funcţii hash. Partea 2: Funcţii hash utilizînd un algoritm de cifrare pe blocuri de „n” biţi; SM ISO/CEI 10118-3:2006 Tehnologia informaţiei. Tehnici de securitate. Funcţii hash. Partea 3: Funcţii hash dedicate; SM ISO/CEI 10118-4:2006 Tehnologia informaţiei. Tehnici de securitate. Funcţii hash. Partea 4: Funcţii hash utilizînd aritmetica modulară;
2) FIPS Publication 180-3 Secure Hash Standard (SHS) sau SM ISO/CEI 10118-3:2006 Tehnologia informaţiei. Tehnici de securitate. Funcţii hash. Partea 3: Funcţii hash dedicate.
40. Sincronizarea timpului serviciilor de certificare, inclusiv al mijloacelor tehnice şi de program conform destinaţiei, se efectuează în conformitate cu recomandarea IETF RFC 5905: Network Time Protokol Version 4: Protocol and Algoritms Specification.
41. Structura certificatului serviciului de marcă temporală (TSP) este prezentată în Anexa nr. 4 la prezentele Norme tehnice.
43. Structura certificatului serviciului validării datelor şi protocolul serverului de certificare (DVCS) este prezentată în Anexa nr. 4 la prezentele Norme tehnice.
anexa nr.1
anexa nr.2
anexa nr.3
anexa nr.4
O R D O N:
1. Se aprobă Normele tehnice în domeniul semnăturii electronice avansate calificate (se anexează).2. Se abrogă:
1) Ordinul directorului Serviciului de Informaţii şi Securitate al Republicii Moldova nr. 64 din 07.12.2006 „Cu privire la aprobarea Normelor tehnice în domeniul semnăturii digitale (Monitorul Oficial al Republicii Moldova, 2007, nr. 112-116, art. 481);
2) Ordinul directorului Serviciului de Informaţii şi Securitate al Republicii Moldova nr. 32 din 23.06.2010 „Cu privire la modificarea şi completarea Ordinului directorului Serviciului de Informaţii şi Securitate nr.64 din 7 decembrie 2006” (Monitorul Oficial al Republicii Moldova, 2010, nr. 110-113, art. 390).
3. Controlul asupra executării prezentului Ordin se pune în sarcina dlui Alexandru BALTAGA, director adjunct al Serviciului de Informaţii şi Securitate al Republicii Moldova.
4. Prezentul Ordin intră în vigoare la data publicării în Monitorul Oficial al Republicii Moldova.
DIRECTORUL ADJUNCT
AL SERVICIULUI DE INFORMAȚII
ȘI SECURITATE Alexandru BALAN
Nr. 69. Chişinău, 15 iulie 2016.
Aprobate
prin Ordinul directorului
Serviciului de Informaţii şi Securitate
al Republicii Moldova
nr. 69 din 15 iulie 2016
prin Ordinul directorului
Serviciului de Informaţii şi Securitate
al Republicii Moldova
nr. 69 din 15 iulie 2016
NORME TEHNICE
în domeniul semnăturii electronice avansate calificate
I. Dispoziţii generale
1. Prezentele Norme tehnice sînt elaborate în conformitate cu prevederile Legii nr. 91 din 29.05.2014 privind semnătura electronică şi documentul electronic şi stabilesc normele şi cerinţele de conformitate cu standardele şi recomandările în domeniul semnăturii electronice avansate calificate, principiile de formare a infrastructurii cheilor publice, creare şi administrare a cheilor publice private şi a certificatelor cheilor publice, creare şi verificare a semnăturii electronice avansate calificate şi de fixare a timpului.în domeniul semnăturii electronice avansate calificate
I. Dispoziţii generale
2. Prezentele Norme tehnice reprezintă un document de reglementare în domeniul semnăturii electronice avansate calificate şi sînt obligatorii pentru prestatorii de servicii de certificare acreditaţi în domeniul aplicării semnăturii electronice avansate calificate, precum şi pentru utilizatorii semnăturii electronice avansate calificate.
3. În sensul prezentului document următoarele noţiuni şi abrevieri semnifică:
statutul certificatului - starea certificatului cheii publice la un timp determinat. Statutul certificatului este determinat de lista certificatelor revocate;
funcţie hash - funcţie criptografică care corespunde următoarelor condiţii: funcţia este unidirecţionată şi posedă complicitate algoritmică înaltă de depistare a coliziunilor;
fixarea timpului - procedură de atribuire documentului electronic a unei mărci temporale astfel încît să se excludă posibilitatea modificării documentului cu păstrarea mărcii temporale atribuite anterior;
CWA (CEN Workshop agreement) - Acordul grupului de lucru al Comitetului European de Standardizare. Textele de referinţă sînt publicate pe site-ul www.cenorm.be;
EAL (Evaluation Assurance Level) - Nivelul de Evaluare şi Asigurare, grad numeric atribuit după finalizarea unei evaluări conform criteriilor comune de evaluare a securităţii (Common Criteria security evaluation). Textele de referinţă sînt publicate pe site-ul www.commoncriteriaportal.org;
ETSI – (European Telecommunications Standards Institute) Institutul European de standardizare în telecomunicaţii. Textele de referinţă sînt publicate pe site-ul www.etsi.org;
FIPS (Federal Information Processing Standard) - standard federal de prelucrare a informaţiei. Textele de referinţă sînt publicate pe site-ul www.nist.gov;
IETF (Internet Engineering Task Force) - Grup operativ al ingineriei Internetului. Textele de referinţă sînt publicate pe site-ul www.ietf.org;
ISO/IEC (International Organization for Standardization / International Electrotechnical Commission) - Organizaţia Internaţională de Standardizare /Comisia Internaţională pentru Electrotehnică. Site-ul oficial www.iso.org;
ITU-T (International Telecommunication Union Telecommunication Standardization Sector) - standard al Uniunii Internaţionale de Telecomunicaţii în domeniul telecomunicaţiilor. Textele de referinţă sînt publicate pe site-ul www.itu.int;
PKCS (Public Key Cryptography Standards) - standarde criptografice a cheilor publice. Textele de referinţă sînt publicate pe site-ul www.rsalaboratory.com;
RFC (Request for comments) - recomandări ce aprobă documente supuse analizei publice în cadrul procesului coordonat cu Grupul operativ al ingineriei Internetului. Textele de referinţă sînt publicate pe site-ul www.ietf.org/rfc;
RSA (Rivest, Shamir, Adleman) - algoritm criptografic asimetric al semnăturii electronice, elaborat de către cercetătorii Rivest, Shamir şi Adleman. Textele de referinţă sînt publicate pe site-ul www.rsalaboratory.com;
SM - standard naţional al Republicii Moldova;
TSP(Time-Stamp Protocol)– Protocol de marcare temporală;
SIM(Subscriber Identity Module) - Modul de identitate a abonatului;
validarea datelor şi protocolul serverului de certificare - procedura de confirmare a validităţii şi corectitudinii documentelor electronice semnate cu semnătura electronică avansată calificată, valabilităţii certificatelor cheilor publice şi posedării sau existenţei datelor.
II. Crearea şi administrarea cheilor publice şi private
4. Cheia privată şi cheia publică a prestatorului de servicii de certificare acreditat în domeniul aplicării semnăturii electronice avansate calificate (în continuare - prestatorul) utilizate la crearea semnăturii electronice avansate calificate se creează de către prestator prin intermediul dispozitivului securizat de creare a semnăturii, setat în FIPS mode, în conformitate cu cerinţele standardului FIPS 140-2 Security Requirements For Cryptographic Modules, nivelele 3 sau 4, sau SMV CWA 14169:2008 Dispozitive de siguranţă pentru crearea semnăturilor „EAL4+” sau SM ISO/CEI 19790:2014 Tehnologia informaţiei. Tehnici de securitate. Cerinţe de securitate pentru module criptografice.5. Cheia privată şi cheia publică a utilizatorului semnăturii electronice avansate calificate utilizate la crearea semnăturii electronice avansate calificate se creează de către prestator prin intermediul dispozitivului securizat de creare a semnăturii în conformitate cu cerinţele standardului FIPS 140-2 Security Requirements For Cryptographic Modules, nivelele 3 sau 4, sau SMV CWA 14169:2008 Dispozitive de siguranţă pentru crearea semnăturilor „EAL4+” sau SM ISO/CEI 19790:2014 Tehnologia informaţiei. Tehnici de securitate. Cerinţe de securitate pentru module criptografice. În cazul utilizării dispozitivului securizat de creare a semnăturii în baza cartelei SIM, prestatorul asigură utilizatorului semnăturii electronice avansate calificate iniţierea procedurii de creare a cheii private şi a cheii publice.
6. Lungimea minimă a cheilor publice şi private constituie:
1) 2048 biţi pentru algoritmul RSA pentru utilizatorii semnăturii electronice avansate calificate;
2) 4096 biţi pentru algoritmul RSA pentru prestatori.
7. Administrarea cheilor publice şi private se efectuează în conformitate cu recomandările IETF RFC 6712 Internet X.509 Public Key Infrastructure - HTTP Transfer for the Certificate Management Protocol (CMP), IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF).
8. Termenul de valabilitate a cheii private a prestatorului constituie:
1) 10 ani - pentru prestatorul de nivel superior;
2) 5 ani - pentru prestatorii de nivelul al doilea.
9. Începutul termenului de valabilitate a cheii private se consideră data şi ora la care începe termenul de valabilitate a certificatului cheii publice ce-i corespunde.
10. Termenul de valabilitate a certificatului cheii publice, ce corespunde cheii private a prestatorului, constituie:
1) 20 ani - pentru prestatorul de nivel superior;
2) 10 ani - pentru prestatorul de nivelul al doilea.
11. Termenul de valabilitate a cheii private a serviciului de marcare temporală (TSP), serviciului de verificare on-line a statutului certificatului (OCSP), serviciului de validare a datelor şi protocolul serverului de certificare (DVCS) şi certificatului cheii publice, ce corespunde cheii private a serviciului, constituie 5 ani.
12. Termenul de valabilitate a cheii private a utilizatorului semnăturii electronice avansate calificate şi a certificatului cheii publice, ce corespunde cheii private a utilizatorului semnăturii electronice avansate calificate, constituie 1 an.
13. Cheile private ale prestatorilor şi ale utilizatorilor semnăturii electronice avansate calificate se păstrează pe suporturi materiale ce realizează funcţii criptografice - dispozitive securizate de creare a semnăturii electronice. Operaţiunile criptografice de semnare cu utilizarea cheii private trebuie să fie efectuate în microcipul suportului material.
14. Suportul material, ce conţine cheia privată a prestatorului şi a utilizatorului semnăturii electronice avansate calificate, trebuie să corespundă cerinţelor standardului FIPS 140-2 Security Requirements For Cryptographic Modules, nivelele 3 sau 4, sau SMV CWA 14169:2008 Dispozitive de siguranţă pentru crearea semnăturilor „EAL4+” sau SM ISO/CEI 19790:2014 Tehnologia informaţiei. Tehnici de securitate. Cerinţe de securitate pentru module criptografice.
15. Suportul material ce conţine cheia privată a utilizatorului semnăturii electronice avansate calificate, suplimentar la standardele enumerate în punctul 14 din prezentele Norme tehnice, trebuie să corespundă şi cerinţelor standardului PKCS#15 Cryptographic Token Information Format Standard.
16. Schimbarea planificată a cheilor publice şi private ale prestatorului se efectuează nu mai devreme de 14 zile înainte şi nu mai tîrziu de expirarea termenului de valabilitate a cheii private.
17. Schimbarea neplanificată a cheilor publice şi private ale prestatorului se efectuează în cazul compromiterii sau al pericolului de compromitere a cheii private.
18. În cadrul procedurii de schimbare a cheilor publice şi private ale prestatorului de nivel superior, acesta:
1) creează o pereche nouă de chei (privată şi publică);
2) creează certificatul cheii publice sub formă de document electronic ce conţine cheia publică nouă şi îl semnează cu semnătura electronică avansată calificată folosind cheia privată nouă.
19. În cadrul procedurii de schimbare a cheilor publice şi private ale prestatorului de nivelul al doilea, acesta:
1) creează o pereche nouă de chei (privată şi publică);
2) certifică cheia publică nouă la prestatorul de nivel superior.
20. Cheia privată veche a prestatorului îşi pierde valabilitatea la data creării certificatului cheii publice noi. Certificatul cheii publice vechi a prestatorului îşi păstrează valabilitatea pînă la expirarea termenului.
21. La expirarea termenului de valabilitate a cheii private, ea se foloseşte pînă la expirarea termenului de valabilitate a certificatului cheii publice ce corespunde acestei chei private numai pentru semnarea listei certificatelor revocate.
22. După expirarea termenului de valabilitate a certificatului cheii publice ce corespunde chei private menţionate la pct. 21 din prezentele Norme tehnice, cheia privată se distruge.
23. Procedura de schimbare a cheilor publice şi private ale utilizatorilor semnăturii electronice avansate calificate se determină de către prestatorii semnăturii electronice avansate calificate în conformitate cu recomandările: IETF RFC 6712 Internet X.509 Public Key Infrastructure - HTTP Transfer for the Certificate Management Protocol (CMP), IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF) sau IETF RFC 5967 The application/pkcs10 Media Type.
III. Crearea şi administrarea certificatelor
cheilor publice
24. Procedurile de certificare a cheilor publice (identificarea, autentificarea şi înregistrarea utilizatorilor semnăturii electronice avansate calificate, recepţionarea cererilor de certificare a cheilor publice, crearea certificatelor cheilor publice, suspendarea, restabilirea valabilităţii şi revocarea certificatelor) se efectuează în conformitate cu recomandarea IETF RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policyand Certification Practices Framework.cheilor publice
25. Administrarea certificatelor cheilor publice se efectuează în conformitate cu recomandările IETF RFC 6712 Internet X.509 Public Key Infrastructure - HTTP Transfer for the Certificate Management Protocol (CMP), IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF).
26. Cererile de certificare a cheilor publice sub formă de document electronic se întocmesc în conformitate cu cerinţele standardului IETF RFC 5967 The application/pkcs10 Media Type sau IETF RFC 4211 Internet X.509 Public Key Infrastructure Certificate Request Message Format (CRMF).
27. Certificatele cheilor publice sub formă de document electronic trebuie să corespundă cerinţelor standardului ITU-T X.509, versiunea 3, standardului SM ISO CEI 9594-8:2014 Tehnologia informaţiei. Interconexiunea sistemelor deschise. Linii directoare: Structura certificatului cheii publice şi a atributului sau recomandării ETF RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profil, ETF RFC 6818 Updates to the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profil şi IETF RFC 3739 Qualified Certificates Profile. Structurile certificatelor cheilor publice ale prestatorului şi ale utilizatorilor semnăturii electronice avansate calificate sînt prezentate în Anexele 1 şi 2 la prezentele Norme tehnice.
28. Listele certificatelor revocate trebuie să corespundă cerinţelor standardului ITU-T X.509, versiunea 2, standardului SM ISO/CEI 9594-8:2014 Tehnologia informaţiei. Interconexiunea sistemelor deschise. Linii directoare: Structura certificatului cheii publice şi a atributului sau recomandării IETF RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, ETF RFC 6818 Updates to the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profil. Structura listei certificatelor revocate este prezentată în Anexa nr. 3 la prezentele Norme tehnice.
29. Ora suspendării sau restabilirii valabilităţii certificatului cheii publice se consideră ora publicării (emiterii) listei actualizate a certificatelor revocate (ora indicată în cîmpul this Update).
30. Statutul certificatului cheii publice se stabileşte în conformitate cu următoarele recomandări:
1) IETF RFC 6960 X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP;
2) IETF RFC 2585 Internet X.509 Public Key Infrastructure Operational Protocols: FTP, HTTP;
3) IETF RFC 3494 Lightweight Directory Access Protocol version 2 (LDAPv2) to Historic Status;
4) IETF RFC 4523 Lightweight Directory Access Protocol (LDAP) Schema Definitions for X.509 Certificates.
31. Structura certificatului serviciului verificării on-line a statutului certificatului (OCSP) este prezentată în Anexa nr. 4 la prezentele Norme tehnice.
IV. Crearea şi verificarea semnăturii electronice
avansate calificate
32. Semnătura electronică avansată calificată a prestatorului se creează prin intermediul dispozitivului securizat de creare a semnăturii electronice, setat în FIPS mode, în conformitate cu cerinţele standardului SMV CWA 14170:2007 Cerinţele de securitate pentru aplicaţiile de creare a semnăturii.avansate calificate
33. Semnătura electronică avansată calificată a utilizatorului se creează prin intermediul dispozitivului securizat de creare a semnăturii electronice şi al produsului asociat semnăturii electronice în conformitate cu cerinţele standardului SMV CWA 14170:2007. Cerinţele de securitate pentru aplicaţiile de creare a semnăturii.
34. Verificarea securizată a semnăturii electronice avansate calificate se efectuează prin intermediul dispozitivului de verificare a semnăturii electronice şi/sau al produsului asociat semnăturii electronice în conformitate cu cerinţele standardului SMV CWA 14171:2007. Ghid general pentru verificarea semnăturii electronice.
35. Formatul semnăturii electronice avansate calificate trebuie să corespundă cerinţelor standardului PKCS#7 Cryptographic Message Syntax Standard și/sau:
1) SM ETSI TS 101 903 V1.4.2:2014 Semnături electronice şi infrastructuri (ESI). Semnături electronice avansate XML (XAdES);
2) SM ETSI TS 102 778-1 V1.1.1:2014 Semnături electronice şi infrastructuri (ESI). Profilurile semnăturilor electronice avansate PDF. Partea 1: Privire generală PAdES – document de cadru pentru PAdES, ETSI TS 102 778-2 V1.2.1 :2009 Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 2: PAdES Basic - Profile based on ISO 32000-1, ETSI TS 102 778-3 V1.2.1 :2010 Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 3: PAdES Enhanced - PAdES-BES and PAdES-EPES Profiles, ETSI TS 102 778-4 V1.1.2:2009 Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 4: PAdES Long Term - PAdES LTV Profile, ETSI TS 102 778-5 V1.1.2:2009, Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 5: PAdES for XML Content - Profiles for XAdES signatures, ETSI TS 102 778-6 V1.1.1:2010 Electronic Signatures and Infrastructures (ESI); PDF Advanced Electronic Signature Profiles; Part 6: Visual Representations of Electronic Signatures.
36. Algoritmii de creare şi verificare a semnăturii electronice avansate calificate trebuie să corespundă cerinţelor prevăzute de unul din următoarele standarde şi recomandări:
1) SM ISO/CEI 9796-2:2013 Tehnologia informaţiei. Tehnici de securitate. Scheme de semnături digitale care restabilesc mesaje. Partea 2: Mecanisme bazate pe factorizarea întregului; SM ISO/CEI 9796-3:2013 Tehnologia informaţiei. Tehnici de securitate. Scheme de semnături digitale care restabilesc mesaje. Partea 3: Mecanisme bazate pe logaritm discret;
2) SM SR ISO/CEI 14888-1:2011 Tehnologia informaţiei. Tehnici de securitate. Semnături digitale cu supliment. Partea 1: Generalităţi; SM SR ISO/CEI 14888-2:2011 Tehnologia informaţiei. Tehnici de securitate. Semnături digitale cu supliment. Partea 2: Mecanisme bazate pe identitate; SM SR ISO/CEI 14888-3:2013 Tehnologia informaţiei. Tehnici de securitate. Semnături digitale cu apendice. Partea 3: Mecanisme bazate pe logaritmi discreţi;
3) IETF RFC 3447 Public Key Cryptography Standards PKCS#1: RSA Cryptography Specifications, versiunea 2.1;
4) FIPS Publication 186-3 Digital Signature Standard (DSS) sau SM SR ISO/CEI 14888-2:2011 Tehnologia informaţiei. Tehnici de securitate. Semnături digitale cu apendice. Partea 2: Mecanisme bazate pe factorizarea numerelor întregi.
37. Prestatorii trebuie să utilizeze funcţia hash SHA-256.
38. Algoritmii funcţiei hash trebuie sa corespundă cerinţelor prevăzute de unul din următoarele standarde:
1) SM ISO/CEI 10118-1:2006 Tehnologia informaţiei. Tehnici de securitate. Funcţii hash. Partea 1: Generalităţi; SM ISO/CEI 10118-2:2013 Tehnologia informaţiei. Tehnici de securitate. Funcţii hash. Partea 2: Funcţii hash utilizînd un algoritm de cifrare pe blocuri de „n” biţi; SM ISO/CEI 10118-3:2006 Tehnologia informaţiei. Tehnici de securitate. Funcţii hash. Partea 3: Funcţii hash dedicate; SM ISO/CEI 10118-4:2006 Tehnologia informaţiei. Tehnici de securitate. Funcţii hash. Partea 4: Funcţii hash utilizînd aritmetica modulară;
2) FIPS Publication 180-3 Secure Hash Standard (SHS) sau SM ISO/CEI 10118-3:2006 Tehnologia informaţiei. Tehnici de securitate. Funcţii hash. Partea 3: Funcţii hash dedicate.
V. Fixarea timpului
39. Atribuirea mărcii temporale se efectuează în conformitate cu cerinţele recomandării IETF RFC 3161 Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP), RFC 5816 ESSCertIDv2 Update for RFC 3161.40. Sincronizarea timpului serviciilor de certificare, inclusiv al mijloacelor tehnice şi de program conform destinaţiei, se efectuează în conformitate cu recomandarea IETF RFC 5905: Network Time Protokol Version 4: Protocol and Algoritms Specification.
41. Structura certificatului serviciului de marcă temporală (TSP) este prezentată în Anexa nr. 4 la prezentele Norme tehnice.
VI. Validarea datelor şi protocolul serverului de certificare
42. Validarea datelor şi protocolul serverului de certificare se efectuează în conformitate cu cerinţele recomandării IETF RFC 3029 Data Validation and Certification Server Protocols (DVCS).43. Structura certificatului serviciului validării datelor şi protocolul serverului de certificare (DVCS) este prezentată în Anexa nr. 4 la prezentele Norme tehnice.
anexa nr.1
anexa nr.2
anexa nr.3
anexa nr.4