Приложение. Требования к форме квалифицированного сертификата ключа проверки электронной подписи | ГАРАНТ

Термины и определения

В этом стандарте используются следующие термины с соответствующими определениями:

3.1.10 свидетель: Элемент данных, содержащий соответствующую доказательную поддержку легитимности подписи верификатора.

Математические определения

Множество пар, удовлетворяющих этому закону, называется эллиптической кривой E, определенной над конечным простым полем (gder 3 является простым числом).

, (1)

В этом случае и не может быть сравнимо с нулем по модулю р.

Значение J(E), удовлетворяющее уравнению, является инвариантом эллиптической кривой.

. (2)

Пары (x, y), где x и y являются компонентами поля E и X-y, в свою очередь, x+y.

Количество точек» — это простой показатель точки эллиптической кривой.

Можно определить операцию сложения, обозначаемую знаком «», во многих точках вдоль эллиптической кривой e. Мы рассмотрим несколько случаев для двух произвольных точек и эллиптической кривой E.

Точкой с одинаковыми углами называется сумма двух точек, координаты которых удовлетворяют условию «сравнить».

, (3)

где .

Координаты точки устанавливаются следующим образом, если и равны:

, (4)

где .

Если критерии выполнены, то нулевую точку O называют суммой точек, не зная ее x- и y-координат. Если точка равна нулю, уравнения удовлетворяются, и точка называется отрицанием точки.

, (5)

Где, произвольная точка кривой Е.

Множество точек эллиптической кривой E и их нулевая точка вместе составляют конечную абелеву (коммутативную) группу порядка M, для которой выполняется неравенство, поскольку вводится операция сложения.

. (6)

Если равенство выполняется для некоторой точки P, точка называется «точкой кратности k».

5 Параметры цифровой подписи

Параметры схемы цифровой подписи:

— Модуль эллиптической кривой представлен одним числом, p;

— коэффициенты a и i выражение для эллиптической кривой Е;

— порядок точек на эллиптической кривой E — целое число, m;

Порядок циклической подгруппы множества точек на эклиптической кривой E, для которой выполняются следующие условия, известен как простое число q.

; (8)

Точка E эллиптической кривой, в которой справедливо O/qP=O;

Хэш-функция, отображающая сообщения в виде двоичных векторов произвольной длины l бит. В ГОСТ Р 34.11-2022 определена Хэш-функция Если . Если .

Каждому участнику системы цифровой подписи необходим личный ключ:

Ключом подписи является целое число d, удовлетворяющее неравенству;

Эллиптическая кривая точка, которая соответствует равенству dp = 0, является ключом к проверке подписи.

Для следующих компонентов схемы цифровой подписи требуются следующие условия:

— условие для всех полных t = 1 и 2;AT.

— необходимо достичь равенства;

— Инвариант кривой должен удовлетворять следующим требованиям.

Двоичные векторы

Установление соответствия между целыми числами и двоичными векторами длиной L бит необходимо для определения шагов, связанных с созданием и проверкой цифровой подписи.

В следующем двоичном векторе младшие биты расположены справа, а старшие — слева:

, (9)

Где возможно 1 или 0.

Если равенство истинно, число соответствует двоичному вектору.

. (10)

Для двух двоичных векторов

,

. (11)

Операция конкатенации (объединения) определяется следующим образом при работе с комбинацией целых чисел и:

. (12)

Два векторных компонента, и, образуют союз.

Двоичный вектор длиной 2l бит может быть разбит на два параллельных веера длины l с помощью формул (11) и (2).

6.1. Формирование цифровой подписи

Действия (шаги), перечисленные ниже, приводят к выдаче цифровой подписи под сообщением:

Вычисление хэш-кода сообщения является первым шагом. (13)

Вычисление целого числа, двоичным представлением которого является вектор h — это первый шаг.

. (14)

Если E = 0, вы должны определить E = 1.

Шаг 3 — Генерируем случайное (псевдо)целое число K, удовлетворяющее неравенству

. (15)

Шаг 4 заключается в нахождении и идентификации точки эллиптической кривой C.

, (16)

Где находится точка С

Если r = 0, вернитесь к шагу 3.

Шаг 5 — Рассчитайте значение

. (17)

Если s = 0, вернитесь к шагу 3.

Шаг 6: Определите цифровую подпись как конкатенацию двух длин с использованием двоичных векторов R и S.

В результате этого процесса создается цифровая подпись, которая идентифицирует ключ подписи d и подписанное сообщение М.

Изображение того, как создаются цифровые подписи, показано на рисунке 2.

Рисунок 2: Процесс формирования цифровой подписи

Проверка цифровой подписи

Следующее действие заключается в подтверждении цифровой подписи M перед выполнением последующего действия (действий):

Вычислите числа r и s на первом этапе. Если неравенства выполнены, перейдите ко второму шагу. Если подпись неверна, то подписи нет.

Второй шаг — определение хеш-кода сообщения M:

. (18)

Вычисление целого числа, двоичным представлением которого является вектор, — это третий шаг.

. (19)

Если е = 0, то определить е = 1.

Шаг 4 — вычислить значение. (20)

Шаг 5 — Рассчитайте значения

. (21)

Шаг 6: Найдите точку эллиптической кривой и определите ее величину

, (22)

Где находится точка С.

Шаг 7: Подпись распознается, если R = r.

Подписанное сообщение M, цифровая подпись и ключ проверки подписи являются входными данными для этой процедуры.

На рисунке 3 показана проверка цифровой подписи.

Схема проверки цифровой подписи (рисунок 3)

2. В настоящих требованиях используются следующие основополагающие идеи, определенные в статье 2 Федерального закона:

2) Информация в электронной форме, которая присоединена к другой информации или иным образом связана с ней, называется электронной подписью (далее ЭП);

2) ES -ключ, специальная комбинация символов, предназначенная для производства ЭЭГ;

4) ключ проверки ES, который является исключительным набором символов, связанных с кодом EDS, и используется для аутентификации ES (также известный как проверка ES);

5) Сертификат ключа проверки ЭП: электронный документ или электронная бумага, выданная ЦС или доверенным лицом ЦС и подтверждающая принадлежность ключа проверки ЭП владельцу сертификата;

8) владельцем сертификата ключа проверки ЭП является лицо, получившее идентификатор проверки подлинности в порядке, установленном Федеральным законом

9) Создание ключей и ключей проверки ЭП — две криптографические (криптографические) операции, выполняемые средствами ЭП;

10) Средства ЦА — аппаратное, программное или и то, и другое — используемые для выполнения функций ЦА.

В состав компонентов сертификата должны входить следующие сведения:

Уникальный номер квалифицированного сертификата;

— квалифицированные даты начала и окончания квалифицированного сертификата;

Физическое лицо, имеющее действующее свидетельство о соответствующем обучении или получившее документ об образовании (при наличии), не вправе самостоятельно выбирать представителя юридического лица.

Страховой номер для индивидуального лицевого счета владельца квалифицированного сертификата (далее — СНИЛС).

O GRN является основным государственным регистрационным номером (далее, Inn) российского юридического лица, чье квалифицированное свидетельство принадлежит физическому лицу;

О ГРНИП, также известный как основной государственный регистрационный номер бизнеса физического лица (далее ОГРН),

Идентификационный номер налогоплательщика (ИНН) присваивается физическим лицам, российским юридическим лицам и иностранным представителям, являющимся владельцами квалифицированных свидетельств.

– уникальный ключ проверки ЭП;

— имя ЭП и критерии, которым он должен соответствовать, чтобы пройти проверку ключом ЭП;

Список средств, которые можно использовать для создания ключа или ключа проверки электронной подписи, был опубликован на сайте информационного портала «Поддержка пользователей электронных и дистанционных технологий».

— Имя и расположение уполномоченного CA, которое выпустило действительный сертификат;

— номер квалифицированного сертификата признанного центра сертификации;

Идентификатор, который ясно показывает, что идентификация заявителя во время выпуска сертификата ключа проверки ES была выполнена без его физического присутствия. Тасс цитирует федеральный исполнительный орган (Rospotrebnadzor) при отчете об этом. Использование унифицированной информационной системы персональных данных, «общей информации об электронной подписи», «о защите информации», а также информации из Федеральной государственной информационной системы информационных технологий для предоставления государственных служб гражданам России, информация оСтепень соблюдения биометрических личных данных гражданина Российской Федерации передается. Согласно результатам оценки качества бывшего.

------------------------------

Постановлением Правительства Российской Федерации от 28 ноября 2022 года N 977 «О федеральной государственной информационной системе» было определено информационно-технологическое взаимодействие между информационными системами. Федеральное государственное учреждение или муниципальная организация, оказывающая услуги гражданам России на территории Российской Федерации, называется «единой системой (единой)», поскольку является единой государственной информационной средой.

Коллекция законов Российской федерации, часть I, 2006, ст. Президентским провозглашением, 3448;2020 N 24 FZ с модификациями с 23 декабря 2019 года вступит в силу.

------------------------------

10. общая форма документа квалифицированного сертификата, который имеет форму электронного файла и определяется спецификацией Abstract Syntactic Notation Version One 2 (Абстрактная синтаксическая нотация версии 2):

Certificate ::= SIGNED { SEQUENCE {

    version                 [0]     Version DEFAULT v l,

    serialNumber                    CertificateSerialNumber,

    signature                       AlgorithmIdentifier,

    issuer                          Name,

    validity                        Validity,

    subject                         Name,

    subjectPublicKeyInfo            SubjectPublicKeyInfo,

    issuerUniqueIdentifier  [1]     IMPLICIT UniqueIdentifier OPTIONAL,

    subjectUniqueIdentifier [2]     IMPLICIT UniqueIdentifier OPTIONAL,

    extensions              [3]     Extensions OPTIONAL } }

SIGNED { ToBeSigned } ::= SEQUENCE {

    toBeSigned                      ToBeSigned,

    COMPONENTS OF                   SIGNATURE { ToBeSigned } }

SIGNATURE { ToBeSigned } ::= SEQUENCE {

    algorithmIdentifier             AlgorithmIdentifier,

    encrypted                       ENCRYPTED-HASH { ToBeSigned } }

ENCRYPTED-HASH { ToBeSigned } ::= BIT STRING (CONSTRAINED BY

                                       { ToBeSigned }).

------------------------------

Стандарт ГОСТ Р ИСО/МЭК 8824-1-2001 «Информационная технология» определяет спецификацию абстрактной синтаксической нотации версии один. Часть 1 Ассоциативная синтаксическая нотация (ASN.1) Определение фундаментальной нотации.

------------------------------

17. В справочнике выбранных типов описываются общие атрибуты имени. Индивидуальные характеристики имени в описании формы квалифицированного сертификата

------------------------------

1 Справочно: Выбранные типы атрибутов определены в ГОСТ Р ИСО/МЭК 9594-6-98 «Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 6. Выбранные типы атрибутов» и в международном стандарте ISO/IEC 9594-6:2008 «Information technology — Open systems interconnection — The Directory: Selected attribute types», опубликованном по адресу в информационно-телекоммуникационной сети Интернет: http://www.itu.int/rec/T-REC-X.520-200811-I/en.

------------------------------

18. Федеральный закон также предусматривает следующие дополнительные качества названия:

25. Поле subjectPublicKeelnfo ключа проверки субъекта квалифицированного сертификата определяется расширением keyUsage. Key Usi — это тип расширения, используемый keyUsage. Структура этого типа описывается следующим образом:

KeyUsage ::= BIT STRING {

    digitalSignature      (0),

    contentCommitment     (1),

    keyEncipherment       (2),

    dataEncipherment      (3),

    keyAgreement          (4),

    keyCertSign           (5),

    cRLSign               (6),

    encipherOnly          (7),

    decipherOnly         (8)}.

Цифра «1» в нулевом бите означает, что проверка ЭП по электронным документам включена в область использования ключа.

Значение первого бита «1» указывает на то, что проверка ЭП по электронным документам входит в область использования ключа.

В этом случае частный или секретный ключ зашифруется с помощью ключа, возможно, для его безопасной доставки.

Третий бит ключа, который не требует дополнительных методов симметричной криптографии, определяет область применения ключа.

Значение четвертого бита «1» обозначает область использования ключа, которая включает в себя согласование ключей.

Цифра «1» в пятом бите указывает на то, что ключ используется для проверки подписей в легитимных сертификатах.

Значение «1» в шестом коде означает, что ключ может использоваться для проверки подписей, содержащихся в списках отозванных сертификатов.

Значение «1» в седьмом бите указывает на то, что сфера действия ключа включает шифрование данных во время процесса сверки (значение «2» в противном случае).

Соответствие данных входит в область действия ключа, если значение восьмого бита равно «1» (второй бит должен иметь значение «2»).

Идентификатор объекта Add-On KeyUsage составляет 2.5.29.1.

28. Также необходимо указать класс ES -средств владельца в дополнение к квалифицированному сертификату.

1:1.2.643.100.113 для класса KS и до 1.240.3.10.114 для других классов

— для класса средств ЭП КС2: 1.2.643.100.113.1, 1.2.6301.112.1.

1.2.643.100.113.1,1.3.14 для классов KS3, а также ЕГЭ и ООК2 для классов

Для класса средств ЭП КВ1: 1.2.643.100.113.1, 1.2.4.4;

Для класса средств ЭП КВ2: 1.2.643.100.113.1, 2.3.4.4.5, 5.

Для класса ES 1 используются следующие значения: 1.643.100.113.1, 1.2.633000.111.1.2 (Ka) или для всех других классов устройств, в следующем порядке: 2.4.4330.000-135×136 = 6+.

Для средств ВП, класс которых отличается от класса CLA, и в которых используются указанные средства ВП, должны быть указаны идентификаторы соответствующих классов средств из С.

28.1. Чтобы четко указать в квалифицированном сертификате, что идентификация заявителя была завершена либо с использованием надежной электронной подписи, либо без физического присутствия заявителя, чтобы выдать ключевой документ для проверки ES.«Новости» из Рии пишет об этом. Инициализация процесса осуществляется путем предоставления информации из единой системы аутентификации (UIAU) в сертификате паспорта каждого гражданина или с использованием специальной идентификации услуг для подтверждения личности гражданина Российской Федерации — идентификационный документ установленной выборки;Документы, подтверждающие подлинность, включают в себя сертификат о передаче требуемой государственной регистрации права собственности.

IdentificationKind ::= INTEGER { personal(O), remote_cert(l), remote_passport(2), remote_system(3) }.

Дополнение должно иметь значение 0, если идентификация заявителя при выдаче сертификата ключа проверки ЭП была проведена лично.

Дополнение IDentificationKind должно быть равно 1, если при выдаче сертификата ключевого документа ЭП идентификация заявителя была проведена без его физического присутствия.

В случае, если идентификация заявителя как гражданина Российской Федерации была осуществлена с использованием информационных технологий без физического присутствия заявителя при выдаче сертификата на существенный компонент ЭП. Документ, удостоверяющий личность гражданина Российской Федерации за пределами территории России, должен содержать как биометрические персональные данные (в том числе биологические персональные данные), так и электронный носитель владельца данных. Значение дополнения должно составлять 2.

При выдаче сертификата ключа проверки ЭП без присутствия заявителя могут использоваться информационные технологии для идентификации его как гражданина Российской Федерации путем представления данных единой системы и аутентификации или единой биометрической системы в соответствии с Федеральным законом № «Об информации», «Об информационных технологиях» и «О защите информации», постановлением № 149-ФЗ от 27 июля 2006 г. Значение дополнения равно 3.

Объектный идентификатор типа IdentificationKind имеет вид 1.2.643.100.114.

30. Включить в квалифицированный сертификат наименование ЭП, методы авторизованных САПР, которые используются для создания ключей или ключей проверки полей считывания (КС), а также особенности документации, свидетельствующей о соответствии этих СИ требованиям законодательства Российской Федерации.

IssuerSignTool ::= SEQUENCE {

    signTool            UTF8String SIZE(1.200),

    cATool              UTF8String SIZE(1..200),

    signToolCert        UTF8String SIZE(1.. 100),

    cAToolCert          UTF8String SIZE(1.100) }.

В строковом поле signTool должны содержаться квалифицированный сертификат, ключ проверки и полное имя инструмента ЭП.

В поле cATool string необходимо ввести полное имя аккредитованного центра сертификации, который выпустил ключ ЭП и квалифицированный сертификат.

Строковое поле signToolCert должно содержать информацию об оценке ФСБ России соответствия ключа или ключей электронной подписи спецификациям.

В поле строки cAToolCert должна быть включена информация из сертификата подтверждения соответствия ФСБ России для инструмента ЦС, который был использован для генерации квалифицированного сертификата.

Объектный идентификатор типа IssuerSignTool имеет вид 1.2.643.100.112.