Фрагмент документа "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ТЕХНОЛОГИЯМ, ФОРМАТАМ, ПРОТОКОЛАМ ИНФОРМАЦИОННОГО ВЗАИМОДЕЙСТВИЯ, УНИФИЦИРОВАННЫМ ПРОГРАММНО-ТЕХНИЧЕСКИМ СРЕДСТВАМ ПОДСИСТЕМЫ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ ОБЩЕРОССИЙСКОГО ГОСУДАРСТВЕННОГО ИНФОРМАЦИОННОГО ЦЕНТРА".
III. Требования к форматам и протоколам
информационного взаимодействия
9. Требования к программной и информационной совместимости
компонентов:
1) в части программной совместимости должна быть обеспечена
совместимость компонентов, реализованных на платформе базовой
операционной системы, с основными производителями аппаратного
обеспечения, сетевых плат;
2) операционная система, в рамках которой должен функционировать
УЦ ОГИЦ ПУ и УЦ ОГИЦ ВУ, должна обеспечивать возможность поддержки
RAID-массивов;
3) в части информационной совместимости должны использоваться
стандартные протоколы сетевого и информационного взаимодействия.
10. Требования к алгоритмам и стандартам, используемым для
обеспечения информационной безопасности в подсистеме УЦ ОГИЦ.
Для выполнения криптографических преобразований должны
использоваться алгоритмы, устанавливаемые государственными стандартами
Российской Федерации:
алгоритм формирования и проверки ЭЦП, реализованный в
соответствии с требованиями ГОСТ Р 34.10-2001 "Информационная
технология. Криптографическая защита информации. Процессы формирования
и проверки электронной цифровой подписи";
алгоритм выработки значения хэш-функции, реализованный в
соответствии с требованиями ГОСТ Р 34.11-94 "Информационная
технология. Криптографическая защита информации. Функция хэширования";
алгоритм зашифрования/расшифрования данных и вычисления
имитовставки, реализованный в соответствии с требованиями ГОСТ
28147-89 "Системы обработки информации. Защита криптографическая.
Алгоритм криптографического преобразования".
11. Требования к структуре сертификатов ключа подписи, списку
отозванных сертификатов и используемым протоколам:
1) структура и состав сертификата ключа подписи должны
соответствовать требованиям Федерального закона от 10 января 2002 г. N
1-ФЗ "Об электронной цифровой подписи" (Собрание законодательства
Российской Федерации, 2002, N 2, ст. 127; 2007, N 46, ст. 5554);
2) сертификаты ключей подписей должны содержать следующие базовые
поля:
---------------------------------------------------------------------------
|Signature: |Электронная цифровая подпись |
| |уполномоченного лица УЦ |
|------------------------------|------------------------------------------|
|Issuer: |Идентифицирующие данные |
| |уполномоченного лица УЦ |
|------------------------------|------------------------------------------|
|Validity: |Даты начала и окончания срока действия |
| |сертификата |
|------------------------------|------------------------------------------|
|Subject: |Идентифицирующие данные владельца |
| |сертификата открытого ключа |
|------------------------------|------------------------------------------|
|SubjectPublicKeylnformation: |Идентификатор алгоритма средства |
| |электронной цифровой подписи, с которыми |
| |используется данный открытый ключ, |
| |значение открытого ключа |
|------------------------------|------------------------------------------|
|Version: |Версия сертификата формата X.509 - |
| |версия 3 |
|------------------------------|------------------------------------------|
|SerialNumber: |Уникальный серийный (регистрационный) |
| |номер сертификата в Реестре сертификатов |
| |открытых ключей УЦ |
---------------------------------------------------------------------------
3) Сертификаты ключей подписей должны содержать следующие
дополнительные поля:
---------------------------------------------------------------------------
|AuthorityKeyldentifier |Идентификатор ключа уполномоченного лица |
| |УЦ |
|------------------------------|------------------------------------------|
|SubjectKeyldentifier |Идентификатор ключа владельца сертификата |
|------------------------------|------------------------------------------|
|ExtendedKeyUsage |Допустимая (легитимная) область (области) |
| |использования ключа техническими |
| |протоколами и алгоритмами |
|------------------------------|------------------------------------------|
|CertificatePolicies |Сведения об отношениях, при осуществлении |
| |которых электронный документ с электронной|
| |цифровой подписью будет иметь юридическое |
| |значение |
|------------------------------|------------------------------------------|
|CRLDistributionPoint |Точка распространения списка |
| |аннулированных (отозванных) сертификатов |
| |открытых ключей, изданных УЦ |
|------------------------------|------------------------------------------|
|KeyUsage |Назначение ключа |
|------------------------------|------------------------------------------|
|FreshestCRL |Точка распространения обновлений к |
| |регулярному списку аннулированных |
| |(отозванных) сертификатов открытых |
| |ключей, изданных УЦ (в соответствии с |
| |RFC 5280 используется для прикладных |
| |систем, в которых оперативная реакция на |
| |изменения статуса сертификата является |
| |ключевым требованием) |
---------------------------------------------------------------------------
4) обязательными атрибутами поля идентификационных данных
уполномоченного лица удостоверяющего центра должны являться:
---------------------------------------------------------------------------
|Common Name или pseudonym |Фамилия, имя, отчество или псевдоним |
|------------------------------|------------------------------------------|
|SerialNumber |Серийный номер (в соответствии с RFC 5280 |
| |указывается для обеспечения уникальности |
| |различимых имен владельцев сертификатов |
| |ключа подписи) |
|------------------------------|------------------------------------------|
|Organization Unit |Наименование подразделения, сотрудником |
| |которого является уполномоченное лицо |
| |Удостоверяющего Центра |
|------------------------------|------------------------------------------|
|Email |Адрес электронной почты (в соответствии |
| |с RFC 5280 возможна запись в |
| |SubjectAltName) |
|------------------------------|------------------------------------------|
|Country |RU (Российская Федерация) |
|------------------------------|------------------------------------------|
|Location |Место регистрации организации, являющейся |
| |владельцем УЦ |
---------------------------------------------------------------------------
5) обязательными атрибутами поля идентификационных данных
сертификата пользователя должны являться:
---------------------------------------------------------------------------
|Common Name или pseudonym |Фамилия, имя, отчество или псевдоним |
|------------------------------|------------------------------------------|
|SerialNumber |Серийный номер имени (в соответствии с RFC|
| |5280 указывается для обеспечения |
| |уникальности различимых имен владельцев |
| |сертификатов ключа подписи) |
|------------------------------|------------------------------------------|
|Organization Unit |Наименование подразделения |
|------------------------------|------------------------------------------|
|Email |Адрес электронной почты (в соответствии с |
| |RFC 5280 возможна запись в SubjectAltName)|
|------------------------------|------------------------------------------|
|Country |RU (Российская Федерация) |
---------------------------------------------------------------------------
6) список отозванных сертификатов ключей подписи, который издает
удостоверяющий центр, должен соответствовать формату X.509 версии 2 с
возможным использованием следующих дополнительных полей:
---------------------------------------------------------------------------
|Authority Key Identifier |Идентификатор ключа уполномоченного лица |
| |удостоверяющего Центра |
|------------------------------|------------------------------------------|
|Reason Code |Код причины отзыва сертификата открытого |
| |ключа |
|------------------------------|------------------------------------------|
|SzOID_CERTSRV_CA_VERSION |Объектный идентификатор MS Certificate |
| |Server, определяющий версию службы |
| |сертификации MS CA только для УЦ, |
| |построенных на базе MS Certificate |
| |Server |
---------------------------------------------------------------------------
12. Требования к объектным идентификаторам:
в целях обеспечения унификации определения сведений об
отношениях, при осуществлении которых электронный документ с
электронной цифровой подписью будет иметь юридическое значение,
удостоверяющие центры подсистемы УЦ ОГИЦ должны обеспечивать
возможность формирования единых объектных идентификаторов в издаваемых
ими сертификатах ключей подписи, учитывая ГОСТ Р ИСО/МЭК 8824-4-2003
"Информационная технология. Абстрактная синтаксическая нотация версии
один (АСН.1)" и следующие рекомендации:
для общероссийского государственного информационного центра
корневым идентификатором является 1.2.643.7.2;
для удостоверяющего центра УЦ ОГИЦ ПУ общероссийского
государственного информационного центра корневым идентификатором
является 1.2.643.7.2.1;
для идентификации базовых политик, используемых в сертификатах
удостоверяющих центров, корневым идентификатором является
1.2.643.7.2.1.1;
для идентификации удостоверяющих центров второго уровня
общероссийского государственного информационного центра (УЦ ОГИЦ ВУ)
корневым идентификатором является 1.2.643.7.2.1.2;
для идентификации сведений (политик применения) об отношениях,
при осуществлении которых электронный документ с электронной цифровой
подписью будет иметь юридическое значение, корневым идентификатором
является 1.2.643.7.2.1.3.
|
Фрагмент документа "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ТЕХНОЛОГИЯМ, ФОРМАТАМ, ПРОТОКОЛАМ ИНФОРМАЦИОННОГО ВЗАИМОДЕЙСТВИЯ, УНИФИЦИРОВАННЫМ ПРОГРАММНО-ТЕХНИЧЕСКИМ СРЕДСТВАМ ПОДСИСТЕМЫ УДОСТОВЕРЯЮЩИХ ЦЕНТРОВ ОБЩЕРОССИЙСКОГО ГОСУДАРСТВЕННОГО ИНФОРМАЦИОННОГО ЦЕНТРА".