Все_лекции_Горбенко

585

визнана і прийнята у всіх державах-членах ЄС. Якщо державою-членом вимагається електронна печатка з рівнем гарантій безпеки, нижчим ніж у кваліфікованої електронної печатки, зокрема, для доступу до он-лайн послуг, що пропонуються органами державного сектору, то всі електронні печатки, що мають принаймні такий самий рівень гарантій безпеки, мають бути прийняті. Держави-члени ЄС не повинні вимагати для доступу до он-лайн послуг, що пропонуються органами державного сектору, електронні печатки з рівнем гарантій безпеки, вищим ніж у кваліфікованої електронної печатки.

8.5.6 Електронна мітка часу.

Визначення в частині електронної мітки часу."Електронна мітка часу" – це дані в електронній формі, які пов'язують інші електронні даних з конкретним моментом часу, забезпечуючи доказ того, що ці дані існували в той час.

"Кваліфікована електронна мітка часу " - це електронна мітка часу, яка відповідає вимогам, викладеним у статті 33 Регламенту[4].

Юридична сила електронної мітки часу.

Електронна мітка часу не може бути позбавлена юридичної сили і можливості виступати як доказ у судових розглядах на тій лише підставі, що вона в електронному вигляді. Кваліфікована електронна мітка часу є юридичним гарантом часу, який вона показує і цілісності даних, з якими цей час пов'язаний. Вона повинна визнаватися і прийматися у всіх державах-членах.

Вимоги до кваліфікованої електронної мітки часу. Кваліфікована електронна мітка часу повинна відповідати вимогам, що вона:

а) точно прив’язана до універсального координованого часу (UTC) таким чином, щоб виключити будь-яку можливість непомітної зміни даних[4]; б) базується на точному джерелі часу; в) видається провайдером кваліфікованих довірчих послуг;

г) підписана за допомогою вдосконаленого електронного підпису або вдосконаленої електронної печатки провайдера кваліфікованих довірчих послуг, або яким-небудь еквівалентним методом.

8.5.7 Електронні документи.

Визначення в частині електронного документу. "Електронний документ" - це документ в будь-якому електронному форматі.

Юридична сила прийняття електронних документів. Електронний документ повинен розглядатися як еквівалент паперового документа і може виступати в якості доказу в судових розглядах, з урахуванням рівня гарантій його справжності та цілісності. Документу з кваліфікованим електронним підписом або кваліфікованою електронною печаткою особи, яка є компетентною у видачі відповідного документа, надається правова презумпція справжності і цілісності, яка гарантує що документ не містить ніяких динамічних особливостей, здатних автоматично змінювати документ. Якщо для надання онлайн послуг, що пропонуються органами державного сектору, необхідний

585

586

оригінал документу або завірена копія, принаймні, електронні документи, видані особами, компетентними у видачі відповідних документів і які вважаються оригіналами або завіреними копіями у відповідності з національним законодавством держави походження, повинні бути прийняті в інших державахчленах без додаткових вимог.

8.5.8 Кваліфікована послуга електронної доставки

Визначення в частині доставки електронного документу. "Послуга електронної доставки" - це послуга, яка дозволяє передавати дані за допомогою електронних засобів і надає докази щодо обробки переданих даних, в тому числі докази передачі або прийому даних, і захищає дані, що передані, від ризику втрати, крадіжки, пошкодження або несанкціонованих змін. "Кваліфікована послуга електронної доставки" - це послуга електронної доставки, яка відповідає вимогам, викладеним у статті 36 Регламенту[4].

Юридична сила послуги електронної доставки. Дані, відправлені або отримані з використанням послуги електронної доставки можуть виступати в якості доказу в судових розглядах, за умови цілісності даних і достовірності дати і часу, в який дані були відправлені чи отримані вказаним адресатом. Даним, відправленим або отриманим з використанням кваліфікованої послуги електронної доставки, повинна надаватися правова презумпція цілісності даних і точності дати і часу відправлення або одержання, вказаних кваліфікованою системою електронної доставки.

8.5.9 Автентифікація веб - сайту.

Визначення в частині перевірки справжність сайту. "Кваліфікований сертифікат для перевірки справжності веб - сайту" - це атестат, що надає можливість перевірити справжність сайту та пов’язує сайт з особою, якій видано сертифікат, за умови що він видається кваліфікованим провайдером довірчих послуг і відповідає вимогам, що викладені в Додатку IV Регламенту[4]. "Дані для перевірки" - дані, які використовуються для перевірки електронного підпису або електронної печатки.

Вимоги до кваліфікованих сертифікатів автентифікації веб - сайту.

Кваліфіковані сертифікати автентифікації веб - сайту повинні відповідати вимогам, викладеним у Додатку IV. Кваліфіковані сертифікати автентифікації веб - сайту мають бути визнані і прийняті у всіх державах-членах.

Комісія повинна бути уповноважена приймати делеговані акти відносно автентифікації веб - сайту у відповідності зі статтею 38 Регламенту щодо подальшого уточнення вимог, викладених у Додатку IV. Комісія може, шляхом запровадження виконавчих актів, встановлювати посилання на стандарти для кваліфікованих сертифікатів автентифікації веб - сайту. Відповідність вимогам, викладеним у Додатку IV, вважається доведеною, якщо кваліфікований сертифікат автентифікації веб - сайту відповідає цим стандартам. Ці виконавчі

586

587

акти приймаються у відповідності з процедурою розгляду, а Комісія повинна опублікувати ці акти в офіційному журналі ЄС.

8.5.10 Особливості делегування прийняття актів

Процедура делегації. Повноваження приймати делеговані акти надаються Комісії відповідно до умов, викладених у статті 38 Регламенту. Повноваження приймати делеговані акти, зазначені у статтях Регламенту, повинні надаватися Комісії на невизначений період часу з моменту набрання чинності цим Регламентом. Делеговані повноваження, згаданих у статтях Регламенту можуть бути відкликані в будь-який момент Європейським парламентом або Радою. Рішення про відкликання має покласти край делегуванню повноважень, зазначених у цьому рішенні. Воно набуває чинності наступного дня після опублікування рішення в офіційному журналі Європейського Союзу або більш пізньої дати, зазначеної в ньому. Це не впливає на дійсність будь-яких делегованих актів, що вже вступили в силу. Одразу після приймання делегованого акту, Комісія повідомляє про нього одночасно до Європейського парламенту та Ради. Делегований акт, прийнятий відповідно до статей Регламенту, вступає в силу лише за відсутності заперечень з боку Європейського парламенту і Ради протягом двох місяців після повідомлення про цей акт Європейському парламенту і Раді, або якщо до закінчення цього терміну, Європейський парламент і Рада повідомляють Комісії, що вони не мають заперечень. Цей період може бути продовжений на два місяці за ініціативою Європейського Парламенту чи Ради.

587

588

8.6 ПРОБЛЕМИ ВПРОВАДЖЕННЯ ТЕХНІЧНИХ СПЕЦИФІКАЦІЙ ТА ФОРМАТІВ ДАНИХ В ІВК.

ЗАТВЕРДЖЕНО Наказ Міністерства юстиції України,

Адміністрації Державної служби спеціального зв’язку та захисту інформації України

"__"_____2012 року № _____/______

8.6.1 Вимоги до формату списку відкликаних сертифікатів

І. Загальні положення

1.1.Ці Вимоги визначають формат списку відкликаних сертифікатів.

1.2.Формати даних представлено у нотації ASN.1, визначеній у міжнародному стандарті ISO/IEC 8824 “Information technology – Open Systems Interconnection – Specification of Abstract Syntax Notation One (ASN.1)” / ДСТУ ISO/ІЕС 8824-3:2008 “Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1)” частина 3. Специфікація обмежень (ISO/IEC 8824-3:2002, IDT), затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 26 грудня 2008 року № 508 (із змінами).

1.3.Усі структури даних кодують за правилами DER згідно з міжнародним стандартом ISO/IEC 8825-1:2002 “Information technology – ASN.1 Encoding Rules – Part 1: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)”.

1.4.Ці Вимоги засновані на національному стандарті України ДСТУ ISO/IEC 9594-8:2006 “Інформаційні технології. Взаємозв’язок відкритих систем. Каталог. Частина 8. Основні положення щодо сертифікації відкритих ключів та атрибутів” затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 27 грудня 2006 року № 374 (із змінами), та RFC 5280 “Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile”.

1.5.Ці Вимоги не дублюють стандарти ДСТУ ISO/IEC 9594-8:2006 та RFC 5280, а описують положення цих стандартів та формати полів. У разі виникнення розбіжностей між положеннями зазначених стандартів та положеннями цих Вимог застосовуються положення цих Вимог.

588

589

1.6.Положення цих Вимог є обов’язковими для програмно-технічних комплексів акредитованих центрів сертифікації ключів та надійних засобів електронного цифрового підпису. Правильність реалізації формату списку відкликаних сертифікатів у надійних засобах електронного цифрового підпису підтверджується сертифікатом відповідності або позитивним експертним висновком за результатами державної експертизи у сфері криптографічного захисту інформації.

1.7.Структура та формати кодування деяких полів наведені у Вимогах до формату посиленого сертифіката відкритого ключа, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від ________ № _____, зареєстрованих у Міністерстві юстиції України ________ за № _________ (далі – Вимоги до формату посиленого сертифіката відкритого ключа).

8.6.2ВИМОГИ до інтерфейсів засобів криптографічного захисту інформації

ЗАТВЕРДЖЕНО Наказ Міністерства юстиції України,

Адміністрації Державної служби спеціального зв’язку та захисту інформації України

_________________ №

______________

ВИМОГИ до інтерфейсів засобів криптографічного захисту інформації

I.Загальні положення

1.Вимоги до інтерфейсів засобів криптографічного захисту інформації визначають вимоги до інтерфейсів засобів криптографічного захисту інформації, що реалізують алгоритми ДСТУ ГОСТ 28147:2009 «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования», затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 22 грудня 2008 року № 495 (далі – ДСТУ ГОСТ 28147:2009), ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации. Функция хэширования», затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 21 жовтня 1997 року № 640 (далі – ГОСТ 34.311-95), ДСТУ 4145-2002 «Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих», затвердженого наказом Державного комітету України з питань

589

590

технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі – ДСТУ 4145-2002).

2.Формати даних представлено у нотації ASN.1, визначеній у міжнародному стандарті ISO/IEC 8824 “Information technology – Open Systems Interconnection – Specification of Abstract Syntax Notation One (ASN.1)” / ДСТУ ISO/ІЕС 8824-3:2008 “Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1)” – Частина 3. Специфікація обмежень (ISO/IEC 8824-3:2002, IDT), затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 26 грудня 2008 року № 508 (із змінами).

3.Усі структури даних кодують за правилами DER згідно з міжнародним стандартом ISO/IEC 8825-1:2002 «Information technology – ASN.1 encoding Rules

–Part 1: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)» & AMD1:2004 «Support for EXTENDED-XER».

4.Ці Вимоги засновані на національних стандартах ДСТУ ГОСТ 28147:2009, ГОСТ 34.311-95, ДСТУ 4145-2002 та стандарті «Public Key Cryptography Standard #11 v2.30: Cryptographic Token Interface Standard» (далі - PKCS#11).

5.Ці Вимоги не дублюють стандарти ДСТУ ГОСТ 28147:2009, ГОСТ 34.311-95, ДСТУ 4145-2002, PKCS#11, а описують положення цих стандартів та інтерфейси засобів криптографічного захисту інформації. У разі виникнення розбіжностей між положеннями зазначених стандартів та положеннями цих Вимог, застосовуються положення цих Вимог.

6.Положення цих Вимог є обов’язковими для засобів криптографічного захисту конфіденційної інформації, державних інформаційних ресурсів або інформації, вимога щодо захисту якої встановлена законом (далі – засоби шифрування), а також надійних засобів електронного цифрового підпису. Правильність реалізації вимог до інтерфейсів засобів криптографічного захисту інформації у надійних засобах електронного цифрового підпису та у засобах шифрування підтверджується сертифікатом відповідності або позитивним експертним висновком за результатами державної експертизи у сфері криптографічного захисту інформації.

590

591

ЗАТВЕРДЖЕНО Наказ Міністерства юстиції України,

Адміністрації Державної служби спеціального зв’язку та захисту інформації України

“___” _____2012 року № ______/______

8.6.3Вимоги до формату підписаних даних

I. Загальні положення

1.1.Ці Вимоги визначають формат підписаних даних – відображення електронного цифрового підпису (далі – ЕЦП) у вигляді DER-кодованого блоку (далі – формат ЕЦП), який містить безпосередньо значення ЕЦП як результат криптографічного перетворення набору електронних даних, а також набір додаткових даних, необхідних для перевірки ЕЦП та визнання його дійсності.

1.2.У цих Вимогах терміни вживаються в такому значенні:

атрибути, що не підписуються, – додаткові дані, які включаються до DERкодованого блоку логічного представлення ЕЦП;

атрибути, що підписуються, – додаткові дані, які включаються до DERкодованого блоку логічного представлення ЕЦП, стосовно якого разом з набором електронних даних, які підписуються, обчислюється ЕЦП за методикою, визначеною в цих Вимогах;

верифікатор – особа, що перевіряє ЕЦП за допомогою надійного засобу

ЕЦП;

значення цифрового підпису – DER-кодований блок, що містить результат криптографічного перетворення набору електронних даних, які підписуються;

набір додаткових даних (дані перевірки) – дані, необхідні для визнання дійсності (достовірності) ЕЦП, тобто кодовані за встановленими правилами поля даних ЕЦП, що призначені для встановлення дійсності ЕЦП, у тому числі в

591

592

довгостроковому періоді.

Інші терміни застосовуються у значеннях, наведених у Законі України “Про електронний цифровий підпис”, Порядку акредитації центру сертифікації ключів, затвердженому постановою Кабінету Міністрів України від 13 липня 2004 року № 903, Правилах посиленої сертифікації, затверджених наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 13 січня 2005 року № 3 (у редакції наказу Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 10 травня 2006 року № 50), зареєстрованих у Міністерстві юстиції України 27 січня 2005 року за № 104/10384, інших нормативно-правових актах з питань криптографічного та технічного захисту інформації.

1.3.Формат ЕЦП представлено у нотації ASN.1, визначеній у міжнародному стандарті ISO/IEC 8824 “Information technology – Open Systems Interconnection – Specification of Abstract Syntax Notation One (ASN.1)” / ДСТУ ISO/ІЕС 8824-3:2008 “Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1)” частина 3. Специфікація обмежень (ISO/IEC 8824-3:2002, IDT), затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 26 грудня 2008 року № 508 (із змінами).

1.4.Усі структури даних формату ЕЦП кодують за правилами DER згідно

зміжнародними стандартами ISO/IEC 8825-1:2002 “Information technology – ASN.1 encoding Rules – Part 1: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)” та AMD1:2004 “Support for EX-TENDED-XER”.

1.5.Ці Вимоги засновані на стандартах RFC 5652 “Cryptographic Message Syntax (CMS) – September 2009”, RFC 3126 “Electronic Signature Formats for long term electronic signatures” та ДСТУ ETSI TS 101 733:2009 “Електронні підписи та інфраструктури (ESI). Розширені електронні CMS-підписи (CAdES) (ETSI TS 101 733:2008, IDT)” (далі – ДСТУ ETSI TS 101 733:2009), затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 15 грудня 2009 року № 452.

1.6.Ці Вимоги не дублюють стандарти ДСТУ ETSI TS 101 733:2009, RFC 5652 та RFC 3126, а описують положення цих стандартів та формати полів. У разі виникнення розбіжностей між положеннями зазначених стандартів та положеннями цих Вимог застосовуються положення цих Вимог.

1.7.Положення цих Вимог є обов’язковими для надійних засобів ЕЦП. Правильність реалізації формату підписаних даних у надійних засобах ЕЦП

592

593

підтверджується сертифікатом відповідності або позитивним експертним висновком за результатами державної експертизи у сфері криптографічного захисту інформації.

Тип формату ЕЦП обирається залежно від порядку зберігання підписаних даних. Структуру даних формату ЕЦП наведено в додатку до цих Вимог.

1.8.ЕЦП обчислюється за криптографічними алгоритмами, визначеними у ДСТУ 4145-2002 “Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих”, затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі – ДСТУ 4145-2002). Геш-функція обчислюється за ГОСТ 34.311-95 “Информационная технология. Криптографическая защита информации. Функция хэширования”, затвердженим наказом Державного комітету України з питань технічного регулювання та споживчої політики від 21 жовтня 1997 року

№640 (далі – ГОСТ 34.311-95).

1.9.В одному форматі ЕЦП можливе використання декількох криптографічних алгоритмів згідно з рекомендованими національними стандартами, перелік яких опубліковано Адміністрацією Держспецзв'язку України.

1.10.Для визначення алгоритму гешування згідно з ГОСТ 34.311-95 поле “algorithm” типу “AlgorithmIdentifier” повинно мати значення:

Gost34311 OBJECT IDENTIFIER ::= {iso(1) member-body(2) Ukraine(804) root(2) security(1) cryptography(1) pki(1) alg(1) hash (2) 1}

Поле “parameters” повинно бути відсутнє, але для сумісності з попередніми рішеннями може також бути закодоване як ASN.1 NULL.

При обчисленні значення геш - функції стартовий вектор H функції гешування згідно з ГОСТ 34.311-95 встановлюється рівним 256 нульовим бітам.

Вопераціях формування та перевіряння підпису при обчисленні значення геш-функції згідно з ГОСТ 34.311-95 повинен використовуватися довгостроковий ключовий елемент (далі - ДКЕ), що вказаний у параметрах ключа підпису.

Вусіх інших операціях обчислення значення геш-функції згідно з ГОСТ 34.311-95 повинен використовуватися ДКЕ № 1, наведений у додатку 1 до Інструкції про порядок постачання і використання ключів до засобів

593

594

криптографічного захисту інформації, затвердженої наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 12 червня 2007 року № 114, зареєстрованої в Міністерстві юстиції України 25 червня 2007 року за № 729/13996 (із змінами) (далі – ДКЕ № 1).

ДКЕ № 1 використовується як ДКЕ “за умовчанням”.

Для сумісності з попередніми рішеннями при перевірці значення гешфункції згідно з ГОСТ 34.311-95 допускається використання ДКЕ, що вказаний у параметрах ключа підпису.

ЗАТВЕРДЖЕНО Наказ Міністерства юстиції України,

Адміністрації Державної служби спеціального зв’язку та захисту інформації України

________________№ _____________

8.6.4 ВИМОГИ до алгоритмів формування ключів шифрування ключів та захисту

особистих ключів електронного цифрового підпису та особистих ключів шифрування

I.Загальні положення

1.Ці Вимоги визначають алгоритми формування ключів шифрування ключів на основі парольної інформації та захисту особистих ключів електронного цифрового підпису та особистих ключів шифрування з використанням алгоритмів ДСТУ ГОСТ 28147:2009 «Системы обработки информации.

Защита криптографическая. Алгоритмы криптографического преобразования», затвердженого наказом

Державного комітету України з питань технічного регулювання та споживчої політики від 22 грудня 2008 року № 495 (далі - ГОСТ 28147:2009) та ГОСТ 34.31195 «Информационная технология. Криптографическая защита информации. Функция хэширования», затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 21 жовтня 1997 року

№640 (далі - ГОСТ 34.311-95).

2.Формати даних представлено у нотації ASN.1, визначеній у міжнародному стандарті ISO/IEC 8824 «Information technology – Open Systems Interconnection – Specification of Abstract Syntax Notation One (ASN.1)» ДСТУ ISO/ІЕС 8824-3:2008 «Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1)». Частина 3. Специфікація обмежень (ISO/IEC 8824- 3:2002, IDT), затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 26 грудня 2008 року № 508 (із змінами).

594