Адвокаты по наследственным делам
Отзывы о нас
Благодарим всех, от кого зависит продвижение этого интернет портала.

Этот интернет проект просто отпад. Благодарю. Действительно нужный и в тоже время функциональный сайт.

Огромное спасибо от кого зависит разработка этого интернет проекта.
Наши услуги

Вопрос к юристу по наследству:

Статьи
Право власності на спадок

Право власності на спадок Визнання прав власності на спадок (зразок судової справи), позовна заява про спадщину

Наследство по завещанию: раскрываем юридические ...

Наследство по завещанию: раскрываем юридические секреты Завещание необязательно гарантирует выполнение воли наследодателя, ведь в некоторых случаях можно признать завещание недействительным

структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису, Міністерство юстиції УкраїниМІНІСТЕРСТВО ЮСТИЦІЇ УКРАЇНИ АДМІНІСТРАЦІЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦІАЛЬНОГО ЗВ’ЯЗКУ ТА ЗАХИСТУ ІНФОРМАЦІЇ УКРАЇНИ

НАКАЗ

  1. 20.08.2012  № 1236/5/453
  2. Зареєстровано в Міністерстві юстиції України 20 серпня 2012 р. за № 1398/21710

    Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису

    На виконання пункту 3 Плану заходів щодо реалізації Концепції розвитку електронного урядування в Україні( 1014-2011-р ), затвердженого розпорядженням Кабінету Міністрів України від 26 вересня 2011 року № 1014-р, відповідно до Закону України "Про електронний цифровий підпис" ( 852-15 ), підпунктів 65 і 66 пункту 4 Положення про Міністерство юстиції України( 395/2011 ), затвердженого Указом Президента України від 06 квітня 2011 року № 395, підпунктів 7 і 11 пункту 4 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України( 717/2011 ), затвердженого Указом Президента України від 30 червня 2011 року № 717, та з метою створення умов технологічної сумісності програмно-технічних комплексів акредитованих центрів сертифікації ключів та надійних засобів електронного цифрового підпису НАКАЗУЄМО:

    1. Затвердити такі, що додаються, вимоги до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису (далі — Вимоги):

    1.1. Вимоги до формату посиленого сертифіката відкритого ключа.

    1.2. Вимоги до структури об’єктних ідентифікаторів для криптоалгоритмів, що є державними стандартами.

    1.3. Вимоги до формату списку відкликаних сертифікатів.

    1.4. Вимоги до формату підписаних даних.

    1.5. Вимоги до протоколу фіксування часу.

    1.6. Вимоги до протоколу визначення статусу сертифіката.

    2. Установити, що:

    2.1. Акредитовані центри сертифікації ключів, замовники, розробники, виробники та організації, які експлуатують надійні засоби електронного цифрового підпису в системах електронного документообігу, що створюються на виконання Плану заходів щодо реалізації Концепції розвитку електронного урядування в Україні( 1014-2011-р ), затвердженого розпорядженням Кабінету Міністрів України від 26 вересня 2011 року № 1014-р, забезпечують застосування положень Вимог у програмно-технічних комплексах акредитованих центрів сертифікації ключів та надійних засобах електронного цифрового підпису з 31 грудня 2012 року.

    2.2. Акредитовані центри сертифікації ключів, замовники, розробники, виробники та організації, які експлуатують надійні засоби електронного цифрового підпису, крім визначених у підпункті 2.1 пункту 2 цього наказу, забезпечують застосування у програмно-технічних комплексах акредитованих центрів сертифікації ключів та надійних засобах електронного цифрового підпису положень Вимог з 01 червня 2013 року.

    2.3. Акредитовані центри сертифікації ключів, які здійснили заходи, визначені у підпунктах 2.1, 2.2 пункту 2 цього наказу, надають послуги електронного цифрового підпису з моменту проходження повторної акредитації відповідно до пункту 13 Порядку акредитації центру сертифікації ключів ( 903-2004-п ), затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903.

    3. Адміністрації Державної служби спеціального зв’язку та захисту інформації України вжити заходів для впровадження Вимог у програмно-технічних комплексах акредитованих центрів сертифікації ключів та надійних засобах електронного цифрового підпису в строки, визначені у підпунктах 2.1, 2.2 пункту 2 цього наказу.

    4. Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу Міністерства юстиції України (Чижмарь К.І.) розмістити цей наказ на офіційному веб-сайті Міністерства юстиції України.

    5. Цей наказ набирає чинності з дня його офіційного опублікування.

    6. Контроль за виконанням цього наказу покласти на заступника Міністра юстиції України Ворону М. Д. та першого заступника Голови Державної служби спеціального зв’язку та захисту інформації України Цуркана О. Г.

    Міністр юстиції України

    О. В. Лавринович

    Голова Державної служби спеціального зв’язку та захисту інформації України

    Г. А. Резніков

    ЗАТВЕРДЖЕНО Наказ Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України 20.08.2012  № 1236/5/453

    Зареєстровано в Міністерстві юстиції України 20 серпня 2012 р. за № 1398/21710

    ВИМОГИ до формату посиленого сертифіката відкритого ключа

    І. Загальні положення

    1.1. Ці Вимоги визначають формат посиленого сертифіката відкритого ключа (далі — сертифікат).

    1.2. Формати даних представлено у нотації ASN.1, визначеній у міжнародному стандарті ISO/IEC 8824 "Information technology — Open Systems Interconnection — Specification of Abstract Syntax Notation One (ASN.1)" / ДСТУ ISO/ІЕС 8824-3:2008 "Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1)" — частина 3. Специфікація обмежень (ISO/IEC 8824-3:2002, IDT), затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 26 грудня 2008 року № 508( v0508609-08 ) (із змінами).

    1.3. Усі структури даних кодують за правилами DER згідно з міжнародним стандартом ISO/IEC 8825-1:2002 "Information technology — ASN.1 encoding Rules — Part 1: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)" & AMD1:2004 "Support for EX-TENDED-XER".

    1.4. Ці Вимоги засновані на національному стандарті України ДСТУ ISO/IEC 9594-8:2006 "Інформаційні технології. Взаємозв'язок відкритих систем. Каталог. Частина 8. Основні положення щодо сертифікації відкритих ключів та атрибутів", затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 27 грудня 2006 року № 374 ( v0374609-06 ) (із змінами) (далі — ДСТУ ISO/IEC 9594-8:2006), з урахуванням визначених у статті 6 Закону України "Про електронний цифровий підпис" ( 852-15 ) вимог до змісту сертифіката ключа.

    1.5. Ці Вимоги не дублюють стандарт ДСТУ ISO/IEC 9594-8:2006, а описують положення цього стандарту та формати полів. У разі виникнення розбіжностей між положеннями зазначеного стандарту та положеннями цих Вимог застосовуються положення цих Вимог.

    1.6. Положення цих Вимог є обов’язковими для програмно-технічних комплексів акредитованих центрів сертифікації ключів та надійних засобів електронного цифрового підпису. Правильність реалізації формату посиленого сертифіката відкритого ключа у надійних засобах електронного цифрового підпису підтверджується сертифікатом відповідності або позитивним експертним висновком за результатами державної експертизи у сфері криптографічного захисту інформації.

    ІІ. Подання сертифіката

    Сертифікат ключа подається в такому вигляді:

    Certificate ::= SEQUENCE {

    tbsCertificate

    TBSCertificate,

    signatureAlgorithm

    AlgorithmIdentifier,

    signatureValue

    BIT STRING }

    Поле "TBSCertificate" — це частина сертифіката, на яку за допомогою особистого ключа центрального засвідчувального органу, засвідчувального центру, акредитованого центру сертифікації ключів (далі — Центр) накладається електронний цифровий підпис (далі — ЕЦП) за криптографічним алгоритмом (далі — криптоалгоритм), об’єктний ідентифікатор якого міститься у полі "signatureAlgorithm". Значення ЕЦП містить поле "signatureValue".

    TBSCertificate ::= SEQUENCE {

    version

    [0] Version,

    serialNumber

    CertificateSerialNumber,

    signature

    AlgoritmIdentifier,

    issuer

    Name,

    validity

    Validity,

    subject

    Name,

    subjectPublicKeyInfo

    SubjectPublicKeyInfo,

    issuerUniqueID

    [1] IMPLICIT UniqueIdentifier OPTIONAL,

    subjectUniqueID

    [2] IMPLICIT UniqueIdentifier OPTIONAL,

    extensions

    [3] EXPLICIT Extensions }

    Для усіх строкових даних та полів сертифіката, що мають універсальний тип "DirectoryString", використовується кодування UTF-8. Для набору символів ASCII може використовуватися кодування PrintableString. Символ ";" використовується як роздільник даних у полі сертифіката.

    ІІІ. Основні поля сертифіката

    3.1. Основні поля сертифіката наведено в таблиці 1.

    Таблиця 1

    Назва поля англійською мовою

    Назва поля українською мовою

    version

  3. номер версії сертифіката
  4. serialNumber

  5. унікальний реєстраційний номер сертифіката
  6. issuer

  7. найменування та реквізити Центру
  8. signature

  9. алгоритм ЕЦП
  10. validity

  11. строк чинності сертифіката
  12. subject

  13. власник сертифіката
  14. subjectPublicKeyInfo

    інформація про відкритий ключ підписувача

    signatureAlgorithm

  15. найменування криптоалгоритму, що використовується Центром
  16. signatureValue

  17. значення ЕЦП
  18. 3.2. Поле "Номер версії сертифіката" ("version") повинно містити значення "2" (1 байт), яке означає, що формат сертифіката відповідає версії 3 згідно з національним стандартом ДСТУ ISO/IEC 9594-8:2006.

    Version ::= INTEGER {v3 (2)}

    3.3. Значення поля "Унікальний реєстраційний номер сертифіката" ("serialNumber") повинно бути додатним цілим числом, розмір якого не перевищує 20 байт (0<serialNumber<2-160).

    Унікальність реєстраційного номера сертифіката повинна дотримуватися у рамках всіх сертифікатів, сформованих Центром.

    CertificateSerialNumber::= INTEGER

    3.4. Поле "Найменування та реквізити Центру" ("issuer") повинно містити найменування та реквізити Центру.

    Name ::= CHOICE {

    rdnSequence RDNSequence }

    RDNSequence::= SEQUENCE OF RelativeDistinguishedName

    RelativeDistinguishedName::= SET OF AttributeTypeAndValue

    AttributeTypeAndValue::= SEQUENCE {

    type

    AttributeType,

    value

    AttributeValue }

    AttributeType::= OBJECT IDENTIFIER

    AttributeValue::= ANY DEFINED BY AttributeType DirectoryString::=CHOICE {

    printableString

    PrintableString,

    utf8String

    UTF8String,

    bmpString

    BMPString }

    id-at OBJECT IDENTIFIER ::= {joint-iso-ccitt (2) ds (5) 4}

    3.5. У полі "Найменування та реквізити Центру" ("issuer") повинні міститися реквізити Центру, що наведені у таблиці 2.

    Таблиця 2

    Назва реквізиту англійською мовою

    Назва реквізиту українською мовою

    Значення реквізиту

    Обов’язковість-1 реквізиту

    countryName

  19. назва країни
  20. країна, в якій зареєстрована організація — юридична особа або фізична особа, яка є суб’єктом підприємницької діяльності id-at-countryName AttributeType ::= {id-at 6} X520countryName ::= PrintableString (SIZE (2)) код згідно з міжнародним стандартом ISO 3166 (для України — UA)

    +

    organizationName

  21. найменування організації
  22. повне (або офіційне скорочене) найменування організації — юридичної особи або прізвище та ініціали фізичної особи, яка є суб’єктом підприємницької діяльності, за установчими документами або відомостями про державну реєстрацію id-at-organizationName AttributeType ::= {id-at 19} X520organizationName ::= DirectoryString (SIZE (64))

    +

    serialNumber

  23. серійний номер
  24. унікальний реєстраційний номер Центру id-at-serialNumber AttributeType ::= {id-at 5} serialNumber::= PrintableString (SIZE (64)) Значення цього реквізиту задається згідно з підпунктом 3.5.2 цього пункту

    +

    stateOrProvinceName

  25. назва області-2
  26. область, у якій зареєстрована організація — юридична особа або фізична особа, яка є суб’єктом підприємницької діяльності id-at- stateOrProvinceName AttributeType ::= {id-at 8} X520stateOrProvinceName ::= DirectoryString (SIZE (64))

    +/-

    localityName

  27. назва міста
  28. місто, в якому зареєстрована організація — юридична особа або фізична особа, яка є суб’єктом підприємницької діяльності id-at- localityName AttributeType ::= {id-at 7} X520localityName ::= DirectoryString (SIZE (64))

    +

    commonName

  29. найменування Центру
  30. найменування Центру id-at-commonName AttributeType ::= {id-at 3} X520commonName ::= DirectoryString (SIZE (64))

    +

    organizationalUnit Name

  31. назва підрозділу організації
  32. назва підрозділу організації, що є Центром та забезпечує надання послуг електронного цифрового підпису id-at-organizationalUnitName AttributeType ::= {id-at 11} X520 organizationalUnitName ::= DirectoryString (SIZE (64))

    +

    __________ -1Обов’язковість визначається таким чином: + — реквізит обов’язковий; — - реквізит повинен бути відсутній; +/- — реквізит може бути присутнім або відсутнім. -2Якщо місцем реєстрації юридичної особи або фізичної особи, яка є суб’єктом підприємницької діяльності, є місто Київ або Севастополь, реквізит "stateOrProvinceName" повинен бути відсутнім.

    3.5.1. Поля "Найменування та реквізити Центру" ("issuer") та "Унікальний реєстраційний номер сертифіката" ("serialNumber") у структурі "TBSCertificate" разом ідентифікують унікальний сертифікат.

    3.5.2. Реквізит "Унікальний реєстраційний номер сертифіката" ("serialNumber") у таблиці 2 містить унікальний реєстраційний номер Центру.

    Формування унікального реєстраційного номера здійснюється згідно з нижченаведеними правилами.

    Реквізит містить цифри "0"-"9", великі латинські літери "А"-"Z" та символ "-";

    UA-[Код Установи] {-[Додаток]}, де:

    Код Установи — 8, 9 або 10 цифр, що містять код за ЄДРПОУ організації — юридичної особи або реєстраційний номер облікової картки платника податку — фізичної особи, яка є суб'єктом підприємницької діяльності за установчими документами або відомостями про державну реєстрацію;

    Додаток — необов’язкова послідовність від 1 до 4 цифр, що містить додаткову частину ідентифікатора. У разі використання Додатка він відокремлюється від реквізиту [Код Установи] символом "-".

    Вищезазначений реквізит шляхом його додавання до розпізнавального імені Центру забезпечує унікальність його розпізнавального імені в межах України. Унікальність цього розпізнавального імені забезпечується центральним засвідчувальним органом.

    3.6. Поле "Алгоритм ЕЦП" ("signature") повинно містити тільки об’єктний ідентифікатор криптоалгоритму, що використовується Центром для накладання електронного цифрового підпису на сертифікат ключа.

    AlgorithmIdentifier ::= SEQUENCE {

    algorithm

    OBJECT IDENTIFIER,

    parameters

    ANY DEFINED BY algorithm OPTIONAL }

    Значення поля "Алгоритм ЕЦП" ("signature") повинно співпадати із значенням, що міститься у полі "Найменування криптоалгоритму, що використовується Центром" ("signatureAlgorithm").

    Поле "parameters" повинно бути відсутнє.

    3.7. Поле "Строк чинності сертифіката" ("validity") повинно містити значення дати і часу початку та закінчення строку чинності сертифіката.

    Validity ::= SEQUENCE {

    notBefore

    Time,

    notAfter

    Time}

    Time ::= CHOICE {

    utcTime

    UTCTime,

    generalTime

    GeneralizedTime}

    Поле "Time" зі значенням до 31 грудня 2049 року (включно) кодується у форматі "UTCTime"; починаючи з 01 січня 2050 року — у форматі "GeneralizedTime".

    3.8. Поле "Підписувач" ("subject") повинно містити реквізити підписувача, що наведені у таблиці 3.

    Таблиця 3

    Назва реквізиту англійською мовою

    Назва реквізиту українською мовою

    Значення реквізиту

    Обов’язковість-1 реквізиту для фізичних осіб

    Обов’язковість-1 реквізиту для юридичних осіб

    countryName

  33. назва країни
  34. країна, в якій зареєстрована організація — юридична особа або фізична особа, що є підписувачем id-at-countryName AttributeType ::= {id-at 6} X520countryName ::= PrintableString (SIZE (2)) код згідно з ISO 3166 (для України — UA)

    +

    +

    commonName

  35. реквізити підписувача
  36. повне (або офіційне скорочене) найменування організації — юридичної особи-підписувача або прізвище та ініціали фізичної особи-підписувача, що відповідають формату "commonName", визначеному у пункті 3.5 цього розділу

    +

    +

    Surname

  37. прізвище
  38. прізвище підписувача за паспортними даними id-at-surName AttributeType ::= {id-at 4} X520surname ::= DirectoryString (SIZE (64))

    +

    -

    givenName

    ім’я та по батькові

    ім’я та по батькові підписувача за паспортними даними id-at-givenName AttributeType ::= {id-at 42} X520givenName ::= DirectoryString (SIZE (64))

    +

    -

    serialNumber

  39. серійний номер
  40. унікальний реєстраційний номер підписувача, що надається Центром під час реєстрації підписувача id-at-serialNumber AttributeType ::= {id-at 5} serialNumber ::= PrintableString (SIZE (64))

    +

    +

    organizationName

  41. найменування організації
  42. найменування організації — юридичної особи, що є підписувачем, або прізвище та ініціали фізичної особи, яка є суб’єктом підприємницької діяльності, або організації, яка пов’язана з фізичною особою-підписувачем. Відповідає формату "organizationName", визначеному у пункті 3.5 ( z1398-12 ) цього розділу

    +/-

    +

    organizationalUnit Name

  43. назва підрозділу організації
  44. назва підрозділу організації, який пов’язаний з фізичною особою-підписувачем. Відповідає формату "organizationalUnitName", визначеному у пункті 3.5 цього розділу

    +/-

    +/-

    stateOrProvinceName

  45. назва області-2
  46. область, у якій зареєстрована організація — юридична особа, що є підписувачем, або організація, яка пов’язана з фізичною особою-підписувачем, або область, у якій зареєстрована фізична особа-підписувач. Відповідає формату "stateOrProvinceName", визначеному у пункті 3.5 ( z1398-12 ) цього розділу

    +/-

    +/-

    localityName

  47. назва міста
  48. місто, в якому зареєстрована організація — юридична особа, що є підписувачем, або організація, яка пов’язана з фізичною особою-підписувачем, або місто, в якому зареєстрована фізична особа-підписувач. Відповідає формату "localityName", визначеному у пункті 3.5 ( z1398-12 ) цього розділу

    +

    +

    Title

  49. посада
  50. посада фізичної особи-підписувача в організації id-at-title AttributeType ::= {id-at 12} X520title ::= DirectoryString (SIZE (64))

    +/-

    -

    __________ -1Обов’язковість визначається таким чином: + — реквізит обов’язковий; — - реквізит повинен бути відсутній; +/- — реквізит може бути присутнім або відсутнім. -2Якщо місцем реєстрації юридичної особи або фізичної особи, яка є суб’єктом підприємницької діяльності, є місто Київ або Севастополь, реквізит "stateOrProvinceName" повинен бути відсутнім.

    3.8.1. Реквізити юридичної особи-підписувача визначаються в таких атрибутах поля "Підписувач" ("subject"):

    organizationName,

    countryName,

    stateOrProvinceName,

    localityName,

    commonName.

    3.8.2. Реквізити фізичної особи-підписувача (прізвище, ім’я та по батькові за паспортними даними) визначаються в таких атрибутах поля "Підписувач" ("subject"):

    commonName,

    givenName,

    surname.

    Обов’язково повинні бути визначені дані в атрибутах "countryName" та "serialNumber" (унікальний реєстраційний номер підписувача).

    3.8.3. Реквізити фізичної особи-підписувача, що представляє юридичну особу (або фізичну особу — суб’єкта підприємницької діяльності), визначаються в таких атрибутах поля "Підписувач" ("subject"):

    commonName,

    givenName,

    surname,

    organizationName,

    organizationalUnitName,

    localityName,

    stateOrProvinceName,

    Title.

    Обов’язково повинні бути визначені дані в атрибутах "countryName" та "serialNumber" (унікальний реєстраційний номер підписувача).

    3.8.4. Інші реквізити підписувача можуть бути зазначені у розширеннях (extensions) "Додаткові дані підписувача" ("subjectAltName") або "Персональні дані підписувача" ("subjectDirectoryAttributes") залежно від типу реквізиту.

    3.9. Додаткові дані про підписувача можуть бути зазначені в інших полях згідно з форматом, визначеним у національному стандарті ДСТУ ISO/IEC 9594-8:2006.

    3.10. Поле "Інформація про відкритий ключ підписувача" ("subjectPublicKeyInfo") повинно містити ідентифікатор криптоалгоритму, що використовується підписувачем, а також відкритий ключ, який відповідає особистому ключу підписувача у DER-кодуванні.

    SubjectPublicKeyInfo ::= SEQUENCE {

    Algorithm

    AlgorithmIdentifier,

    subjectPublicKey

    BIT STRING }

    Ідентифікатор криптоалгоритму (поле "AlgorithmIdentifier") містить об’єктний ідентифікатор (поле "algorithm") та відповідні параметри криптоалгоритму.

    AlgorithmIdentifier ::= SEQUENCE {

    algorithm OBJECT IDENTIFIER,

    parameters ANY DEFINED BY algorithm OPTIONAL}

    Об’єктний ідентифікатор (поле "algorithm") повинен вказувати на один з криптоалгоритмів:

    ДСТУ 4145-2002 "Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих", затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі — ДСТУ 4145-2002);

    ГОСТ 34.310-95 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма", затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 21 жовтня 1997 року № 640 (далі — ГОСТ 34.310-95).

    Структура параметрів криптоалгоритму (поле "parameters") та структура відкритого ключа (поле "subjectPublicKey") визначаються об’єктним ідентифікатором криптоалгоритму.

    3.11. Параметри криптоалгоритмів

    3.11.1. Параметри криптоалгоритму ДСТУ 4145-2002

    DSTU4145Params::= SEQUENCE {

    CHOICE {

    ecbinary

    ECBinary,

  51. параметри еліптичної кривої загального виду
  52. namedCurve

    OBJECT IDENTIFIER },

  53. об’єктний ідентифікатор стандартної еліптичної кривої, що рекомендована ДСТУ 4145-2002
  54. dke

    OCTET STRING OPTIONAL }

  55. довгостроковий ключовий елемент (ДКЕ)
  56. ECBinary ::= SEQUENCE {

    version

    [0] EXPLICIT INTEGER DEFAULT 0,

    f

    BinaryField,

  57. основне поле
  58. a

    INTEGER (0..1),

  59. коефіцієнт A еліптичної кривої
  60. b

    OCTET STRING,

  61. коефіцієнт B еліптичної кривої
  62. n

    INTEGER,

  63. порядок базової точки (додатне)
  64. bp

    OCTET STRING,

  65. базова точка еліптичної кривої
  66. BinaryField ::= SEQUENCE {

    m

    INTEGER,

  67. ступінь розширення основного поля
  68. CHOICE {

    Trinomial,

  69. примітивний тричлен
  70. Pentanomial } OPTIONAL }

  71. примітивний п’ятичлен
  72. Trinomial ::= INTEGER

    Pentanomial::= SEQUENCE {

    k

    INTEGER,

    j

    INTEGER,

    l

    INTEGER }

    Значення довгострокового ключового елемента (далі — ДКЕ) повинні відповідати правилам постачання ДКЕ, які визначаються Інструкцією про порядок постачання і використання ключів до засобів криптографічного захисту інформації( z0729-07 ), затвердженою наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 12 червня 2007 року № 114, зареєстрованою в Міністерстві юстиції України 25 червня 2007 року за № 729/13996 (із змінами) (далі — Інструкція № 114). У разі відсутності ДКЕ як необов’язкового параметра криптоалгоритму повинен використовуватися ДКЕ № 1 із додатка 1 до Інструкції № 114.

    3.11.1.1. Допускається кодування полів (розташування внутрішньої послідовності байтів) параметрів еліптичної кривої, що мають тип OCTET STRING, зокрема коефіцієнта В еліптичної кривої, базової точки еліптичної кривої bp, а також відкритого ключа "subjectPublicKey" за двома форматами:

    Little-Endian — прямий порядок представлення байтів;

    Big-Endian — зворотний порядок представлення байтів (відповідно до правил кодування, визначених в ДСТУ 4145-2002).

    3.11.1.2. Об’єктні ідентифікатори для ДСТУ 4145-2002.

    Для формату Little-Endian (при визначенні параметрів еліптичної кривої у сертифікаті):

  73. поліноміальний базис
  74. 1.2.804.2.1.1.1.1.3.1.1

  75. оптимальний нормальний базис
  76. 1.2.804.2.1.1.1.1.3.1.2.

    Для формату Big-Endian:

  77. поліноміальний базис
  78. 1.2.804.2.1.1.1.1.3.1.1.1.1

  79. оптимальний нормальний базис
  80. 1.2.804.2.1.1.1.1.3.1.2.1.1.

    3.11.1.3. Базова точка ДСТУ 4145-2002.

    Для зображення базової точки використовується формат:

    bp OCTET STRING

    Базова точка ДСТУ 4145-2002 — це послідовність байтів, яка являє собою елемент основного поля (згідно з пунктом 5.3 ДСТУ 4145-2002), який є стиснутим зображенням (згідно з пунктом 6.9 ДСТУ 4145-2002) точки на еліптичній кривій (залежить від базису, що використовується). Розмір зображення в байтах дорівнює m/8, заокругленому до найближчого цілого у більшу сторону.

    3.11.1.4. Коефіцієнт В еліптичної кривої.

    Для зображення коефіцієнта B еліптичної кривої згідно з ДСТУ 4145-2002 використовується формат:

    b OCTET STRING

    Коефіцієнт B еліптичної кривої ДСТУ 4145-2002 — це послідовність байтів, яка являє собою елемент основного поля (згідно з пунктом 5.3 ДСТУ 4145-2002). Розмір зображення в байтах дорівнює m/8, заокругленому до найближчого цілого у більшу сторону.

    3.11.1.5. Відкритий ключ ДСТУ 4145-2002.

    Для зображення відкритого ключа згідно з ДСТУ 4145-2002 використовується формат (інкапсульовано у поле "subjectPublicKey"):

    PublicKey:: = OCTET STRING

    Відкритий ключ ДСТУ 4145-2002 — це послідовність байтів, яка являє собою елемент основного поля (згідно з пунктом 5.3 ДСТУ 4145-2002), який є стиснутим зображенням (згідно з пунктом 6.9 ДСТУ 4145-2002) точки на еліптичній кривій, що відображає відкритий ключ ЕЦП. Розмір зображення в байтах дорівнює значенню m/8, заокругленому до найближчого цілого у більшу сторону.

    3.11.1.6. ЕЦП за ДСТУ 4145-2002.

    ЕЦП за ДСТУ 4145-2002 — це рядок октетів OCTET STRING (інкапсульовано у поле "signatureValue"), що містить цифровий підпис, зображений згідно з пунктами 5.7 та 5.10 ДСТУ 4145-2002:

    DSTU4145Signature::= OCTET STRING

    Для зберігання зображення ЕЦП використовується мінімально можлива довжина зображення для відповідного ступеня m.

    3.11.2. Параметри криптоалгоритму ГОСТ 34.310-95.

    Gost34310Params::=SEQUENCE {SEQUENCE { p INTEGER, характеристика основного поля q INTEGER, порядок циклічної підгрупи a INTEGER },

  81. твірний елемент циклічної підгрупи
  82. dke

    OCTET STRING OPTIONAL }

    ДКЕ.

    3.11.2.1. Об’єктний ідентифікатор для ГОСТ 34.310-95.

    Об’єктний ідентифікатор для ГОСТ 34.310-95: 1.2.804.2.1.1.1.1.3.2.

    3.11.2.2. Відкритий ключ ГОСТ 34.310-95.

    Для зображення відкритого ключа згідно з ГОСТ 34.310-95 використовується формат (інкапсульовано у поле "subjectPublicKey"):

    PublicKey:: = INTEGER

    3.11.2.3. ЕЦП за ГОСТ 34.310-95.

    ЕЦП згідно з ГОСТ 34.310-95 має вигляд (інкапсульовано у поле "signatureValue"):

    Gost34310Signature ::= SEQUENCE {

    r

    INTEGER,

    s

    INTEGER},

  83. де r та s обчислюються згідно з ГОСТ 34.310-95.
  84. 3.12. ДКЕ — таблиці заповнення вузлів заміни блоків підстановки для алгоритму ДСТУ ГОСТ 28147:2009 "Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования", затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 22 грудня 2008 року № 495( v0495609-08 ), який використовується під час генерування псевдовипадкових послідовностей (ДСТУ 4145-2002, Додаток А) та обчислення геш-функції ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хэширования", затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 21 жовтня 1997 року № 640 (далі — ГОСТ 34.311-95).

    Кодування ДКЕ виконується як:

    dke OCTET STRING

    ДКЕ може кодуватися в розгорнутому або упакованому форматі залежно від алгоритму:

  85. для ДСТУ 4145-2002 — упакований формат;
  86. для ГОСТ 34.310-95 — розгорнутий формат.
  87. У разі відсутності ДКЕ в параметрах криптоалгоритму використовується ДКЕ № 1, що наведено у додатку 1 до Інструкції № 114( z0729-07 ).

    Упакований формат ДКЕ (масив 64 байт).

    Формат розташування елементів ДКЕ — масив фіксованої довжини розміром 64 байт.

    ДКЕ — це матриця, що має стовпці К1…К8 (р-1…р-8) по 16 елементів (0…15) у кожному. Порядок розташування елементів:

    К1.0, К1.1 … К1.15, К2.0, К2.1 … К2.15, …… К8.0, К8.1 … К8.15

    Для блоку підстановки ДКЕ № 1, що наведений у додатку 1 до Інструкції № 114( z0729-07 ), має вигляд:

    K8

    K7

    K6

    K5

    K4

    K3

    K2

    K1

    0

    1

    3

    2

    F

    3

    F

    8

    A

    1

    2

    8

    8

    8

    8

    6

    0

    9

    2

    3

    B

    9

    E

    D

    5

    C

    D

    3

    E

    5

    7

    9

    9

    8

    4

    6

    4

    6

    6

    5

    7

    6

    E

    9

    E

    5

    D

    4

    F

    2

    B

    B

    6

    B

    6

    B

    E

    0

    0

    F

    A

    7

    4

    7

    8

    A

    B

    D

    0

    4

    B

    5

    8

    F

    2

    C

    C

    2

    C

    2

    F

    9

    A

    C

    1

    6

    5

    0

    3

    1

    A

    C

    1

    D

    1

    C

    3

    1

    3

    B

    5

    7

    E

    5

    A

    7

    F

    C

    C

    7

    9

    A

    B

    4

    2

    5

    7

    D

    9

    F

    3

    4

    E

    9

    E

    0

    E

    0

    D

    6

    3

    1

    1

    A

    8

    F

    4

    0

    4

    A

    7

    D

    D

    2

    ДКЕ в упакованому форматі (масив 64 байт) має вигляд:

    3.12.2. Розгорнутий формат ДКЕ (масив 128 байт).

    Формат розташування елементів ДКЕ — масив фіксованої довжини в 128 байт. ДКЕ — це матриця стовпців К1…К8 (р1…р8) по 16 елементів (0…15) у кожному. При зберіганні кожний елемент ДКЕ подано 1 байтом, які розташовані в такому порядку (від молодших байтів до старших):

    К1.0, К1.1 … К1.15, К2.0, К2.1 … К2.15, …… К8.0, К8.1 … К8.15

    Приклад кодування ДКЕ №1, що наведено в додатку 1 до Інструкції № 114( z0729-07 ), в розгорнутому форматі (масив 128 байт) для блоку підстановки:

    3.13. Стартовий вектор для обчислення значення геш-функції ГОСТ 34.311-95.

    Для обчислення значення геш-функції використовується алгоритм згідно із стандартом ГОСТ 34.311-95. При обчисленні електронного цифрового підпису значення стартового вектора H функції гешування за ГОСТ 34.311-95 встановлюється рівним 256-ти нульовим бітам.

    3.14. Порядок кодування окремих параметрів криптографічних алгоритмів.

    При кодуванні реквізитів криптографічних алгоритмів ДСТУ 4145-2002 та ГОСТ 34.310-95 застосовуються такі правила:

    3.14.1. Значення типу "INTEGER".

    Всі значення типу "INTEGER" для алгоритмів ДСТУ 4145-2002 та ГОСТ 34.310-95 кодуються як цілі числа >=0.

    Наприклад, значення для типу "INTEGER" кодуються такою послідовністю байтів:

    а) позитивне число 18А3h кодується в DER як послідовність байтів 02 02 18 А3;

    б) позитивне число FA10h кодується як послідовність байтів 02 03 00 FA 10 (додається 00 як додатковий старший байт, оскільки старший біт старшого байта FAh дорівнює 1);

    в) число 0 кодується в DER як послідовність байтів 02 01 00.

    3.14.2. Кодування двійкових рядків в складі ASN.1-типу OCTET STRING у форматі Little-Endian.

    Математичне кодування двійкових рядків (бітових послідовностей) виконується за схемою — молодший байт (що містить менші за номерами біти) за молодшою адресою (ближче до початку потоку).

    Біти в байті нумеруються від 0 до 7 за вагою розряду: біт i має вагу 2-i.

    Наприклад: біт 0 має вагу 1 (01h), біт 1 має вагу 2 (02h), біт 7 має вагу 128 (80h).

    Біт n двійкового рядка кодується як біт i байта j, де i та j обчислюються за формулами:

    i = n mod 8,

    j = n div 8,

  88. де:
  89. x mod y

    - операція обчислення залишку від ділення x на y,

    x div y

    - операція ділення x на y із заокругленням до найближчого цілого в меншу сторону.

    Якщо кількість бітів у двійковому рядку не кратна 8, біти останнього байта, які не використовуються, мають містити нульове значення.

    Наприклад:

  90. бітовий рядок 11100011 кодується як байт E3h;
  91. бітовий рядок 1111000110111 кодується як послідовність байт 37h 1Eh.
  92. ІV. Розширення сертифіката (extensions)

    4.1. Формат розширень сертифіката має такий вигляд:

    Extensions ::= SEQUENCE SIZE (1…MAX) of Extension

    Extension ::= SEQUENCE {

    extnID

    OBJECT IDENTIFIER,

    critical

    BOOLEAN DEFAULT FALSE,

    extnvalue

    OCTET STRING}

    Базовий об’єктний ідентифікатор розширень сертифіката має такий вигляд:

    id-ce OBJECT IDENTIFIER::= {joint-iso-ccitt (2) ds (5) 29}

    Сертифікат може містити будь-які додаткові розширення, які не визначені в цьому документі, за умови, що вони визначені як некритичні. Об’єктні ідентифікатори таких розширень повинні бути зареєстровані у встановленому порядку.

    4.2. Розширення сертифіката наведені у таблиці 4.

    Таблиця 4

    Назва поля англійською мовою

    Назва поля українською мовою

    Обов’язковість-1

    Стандартні розширення сертифіката

    authorityKeyIdentifier

    ідентифікатор відкритого ключа Центру

    +

    subjectKeyIdentifier

    ідентифікатор відкритого ключа підписувача

    +

    keyUsage

  93. призначення відкритого ключа, що міститься в сертифікаті
  94. +

    extKeyUsage

  95. уточнене призначення відкритого ключа, що міститься в сертифікаті
  96. +/-

    certificatePolicies

  97. політика сертифікації
  98. +

    subjectAltName

  99. додаткові дані підписувача
  100. +/-

    issuerAlternativeName

  101. додаткові дані Центру
  102. +/-

    basicConstraints

  103. основні обмеження
  104. +/-

    subjectDirectoryAttributes

  105. персональні дані підписувача
  106. +/-

    crlDistributionPoints

  107. точки доступу до списків відкликаних сертифікатів
  108. +

    Freshest CRL

  109. точки доступу до часткового списку відкликаних сертифікатів
  110. +/-

    Нестандартні розширення сертифіката

    qcStatements

  111. ознаки посиленого сертифіката
  112. +/-

    -1 + — розширення обов’язкове;

    +/- — розширення може бути присутнім або відсутнім.

    4.3. Розширення "Ідентифікатор відкритого ключа Центру" ("authorityKeyIdentifier") використовується для ідентифікації відкритого ключа, що відповідає особистому ключу, яким підписано сертифікат або список відкликаних сертифікатів.

    Об’єктний ідентифікатор даного розширення має такий вигляд:

    id-ce-authorityKeyIdentifier OBJECT IDENTIFIER ::= (id-ce 35)

    authorityKeyIdentifier ::= SEQUENCE {

    keyIdentifier

    [0]

    keyIdentifier

    authorityCertIssuer

    [1]

    GeneralNames

    OPTIONAL,

    authorityCertSerialNumber

    [2]

    CertSerialNumber

    OPTIONAL}

    KeyIdentifier::= OCTET STRING

    Атрибут "KeyIdentifier" повинен обов’язково бути присутнім.

    Поле "authorityKeyIdentifier" не повинно визначатися як критичне.

    4.4. Розширення "Ідентифікатор відкритого ключа підписувача" ("subjectKeyIdentifier") використовується для ідентифікації відкритого ключа, що відповідає особистому ключу, за допомогою якого підписувач здійснює накладання електронного цифрового підпису.

    Об’єктний ідентифікатор даного розширення має такий вигляд:

    id-ce-subjectIdentifier OBJECT IDENTIFIER :: = (id-ce 14)

    SubjectKeyIdentifier ::= KeyIdentifier

    Поле "Ідентифікатор відкритого ключа підписувача" ("subjectKeyIdentifier") не повинно визначатися як критичне.

    4.5. Обчислення "keyIdentifier" для алгоритмів ДСТУ 4145-2002 та ГОСТ 34.310-95.

    Значення "keyIdentifier" в розширеннях "subjectKeyIdentifier" та "authorityKeyIdentifier" обчислюються відповідно засобами ЕЦП підписувача та Центром під час генерації та обробки запиту на формування сертифіката таким чином.

    Із кодованого як BIT STRING зображення відкритого ключа вилучаються байт, що містить ознаку типу даних, байти, що містять довжину блоку даних, та байт, що містить число невикористаних бітів.

    Обчислюється значення геш-функції за ГОСТ 34.311-95 від отриманої на попередньому етапі послідовності байтів. Як стартовий вектор геш-функції використовується нульовий вектор.

    Якщо параметри криптоалгоритму у полі "Інформація про відкритий ключ підписувача" ("subjectPublicKeyInfo") містять таблицю заповнення вузлів заміни блоку підстановки (ДКЕ), то при обчисленні геш-функції використовується саме цей ДКЕ, інакше використовується ДКЕ № 1, що наведений у додатку 1 до Інструкції № 114( z0729-07 ).

    4.6. Розширення "Призначення відкритого ключа" ("keyUsage") визначає призначення відкритого ключа, що міститься в сертифікаті та повинно визначатися як критичне.

    Об’єктний ідентифікатор даного розширення має такий вигляд:

    id-ce-keyUsage OBJECT IDENTIFIER::= {id-ce 15}

    keyUsage::= BIT STRING {

    digitalSignature

    (0),

  113. електронний цифровий підпис
  114. nonRepudiation

    (1),

  115. неспростовність
  116. keyEncipherment

    (2),

  117. шифрування з метою транспортування ключа
  118. dataEncipherment

    (3),

  119. шифрування даних
  120. keyAgreement

    (4),

  121. відкритий ключ використовується в протоколах узгодження ключа
  122. keyCertSign

    (5),

  123. електронний цифровий підпис у сертифікаті
  124. crlSign

    (6),

  125. електронний цифровий підпис у списку відкликаних сертифікатів
  126. encipherOnly

    (7),

    якщо біт "keyAgreement" встановлено, відкритий ключ може використовуватися тільки для шифрування даних

    decipherOnly

    (8)}

    якщо біт "keyAgreement" встановлено, відкритий ключ може використовуватися тільки для розшифрування даних

    Для сертифіката, що формується підписувачу, повинні бути встановлені біти "digitalSignature" (0) та "nonRepudiation" (1).

    Для сертифіката Центру повинні бути встановлені біти "keyCertSign" (5) та "crlSign" (6).

    4.7. Розширення "Уточнене призначення відкритого ключа" ("extendedKeyUsage") може бути визначено як критичне.

    Об’єктний ідентифікатор даного розширення має такий вигляд:

    id-ce-extKeyUsage OBJECT IDENTIFIER::= {id-ce 37}

    ExtKeyUsageSyntax ::= SEQUENCE SIZE (1.. MAX) OF KeyPurposeId

    KeyPurposeId ::= OBJECT IDENTIFIER

    id-kp OBJECT IDENTIFIER ::= {iso(1) identified-organization(3) dod(6) internet(1) security(5) mechanisms(5) pkix(7) 3}

    Для сертифіката Центру, що використовується для перевірки підпису OCSP-відповідей та позначок часу, повинні бути зазначені об’єктні ідентифікатори {id-kp 8} або {id-kp 9}.

    id-kp-timeStamping OBJECT IDENTIFIER::= {id-kp 8}

    Перевірка позначки часу. Застосовується із встановленим бітом "nonRepudiation" (1) розширення "Призначення відкритого ключа" ("keyUsage")

    id-kp-OCSPSigning OBJECT IDENTIFIER::= {id-kp 9}

    Перевірка підпису на відповіді протоколу визначення статусу сертифіката (OCSP-відповіді)

    Для сертифіката підписувача, якщо ЕЦП застосовується як електронна печатка, розширення "Уточнене призначення відкритого ключа" ("extendedKeyUsage") повинно містити об’єктний ідентифікатор 1.2.804.2.1.1.1.3.9.

    Для сертифікатів підписувача, які використовуються для перевірки ЕЦП у визначених інформаційно-телекомунікаційних системах, в розширенні "Уточнене призначення відкритого ключа" ("extendedKeyUsage") можуть використовуватись відповідні об’єктні ідентифікатори за умови, що ці об’єктні ідентифікатори зареєстровані у встановленому порядку.

    4.8. Розширення "Політика сертифікації" ("certificatePolicies") містить посилання на політику сертифікації, відповідно до якої Центр сформував сертифікат. Розширення повинно визначатися як критичне.

    Об’єктний ідентифікатор даного розширення має такий вигляд:

    id-ce-certificatePolicies OBJECT IDENTIFIER ::= {id-ce 32}

    anyPolicy OBJECT IDENTIFIER ::= {id-ce-certificatePolicies 0}

    CertificatePolicies::= SEQUENCE SIZE (1.. MAX) OF PolicyInformation

    PolicyInformation ::= SEQUENCE {

    policyIdentifier CertPolicyId,

    policyQualifiers SEQUENCE SIZE (1.. MAX) OF PolicyQualifierInfo OPTIONAL}

    CertPolicyId ::= OBJECT IDENTIFIER

    4.9. Розширення "Додаткові дані підписувача" ("subjectAlternativeName") використовується для розширення межі ідентифікації підписувача (адреса електронної пошти, DNS, IP-адреса, URL).

    Об’єктний ідентифікатор даного розширення має такий вигляд:

    id-ce-subjectAltName OBJECT IDENTIFIER::= {id-ce 17}

    SubjectAltName ::= GeneralNames

    GeneralNames ::= SEQUENCE SIZE (1.. MAX) OF GeneralName

    GeneralName ::= CHOICE {

    otherName

    [0]

    OtherName,

    rfc822Name

    [1]

    IA5String,

    dNSName

    [2]

    IA5String,

    x400Address

    [3]

    ORAddress,

    directoryName

    [4]

    Name,

    ediPartyName

    [5]

    EDIPartyName,

    uniformResourceIdentifier

    [6]

    IA5String,

    iPAddress

    [7]

    OCTET STRING,

    registeredID

    [8]

    OBJECT IDENTIFIER}

    OtherName ::= SEQUENCE {

    type-id OBJECT IDENTIFIER,

    value

    [0]

    EXPLICIT ANY DEFINED BY type-id}

    EDIPartyName ::= SEQUENCE {

    nameAssigner

    [0]

    DirectoryString OPTIONAL,

    partyName

    [1]

    DirectoryString}

    4.10. Розширення "Додаткові дані Центру" ("issuerAlternativeName") дозволяє розширити межі ідентифікації Центру (адреса електронної пошти, DNS, IP-адреса, URL). Розширення повинно бути визначено як некритичне.

    Об’єктний ідентифікатор даного розширення має такий вигляд:

    id-ce-issuerAltName OBJECT IDENTIFIER::= {id-ce 18}

    IssuerAltName::= GeneralNames

    4.11. Розширення "Основні обмеження" ("basicConstraints") дозволяє визначити, що сертифікат сформований для Центру або підписувача. Розширення повинно визначатися як критичне.

    Об’єктний ідентифікатор даного розширення має такий вигляд:

    id-ce-basicConstraints OBJECT IDENTIFIER::={idce 19} BasicConstraints ::= SEQUENCE {

    cA BOOLEAN DEFAULT FALSE,

  127. сA=TRUE указує, що сертифікат сформований для Центру
  128. сA=FALSE указує, що сертифікат сформований для підписувача
  129. pathLenConstraint INTEGER (0.. MAX) OPTIONAL}

    Поле "pathLenConstraint" використовується, якщо поле сA встановлено в TRUE. У цьому разі воно визначає максимально допустиму кількість проміжних сертифікатів, що знаходяться між цим сертифікатом та сертифікатом підписувача.

    У сертифікаті акредитованого центру сертифікації ключів розширення "pathLenConstraint" повинно мати значення "0".

    У сертифікаті засвідчувального центру розширення "pathLenConstraint" повинно мати значення "1".

    У сертифікаті центрального засвідчувального органу розширення "pathLenConstraint" повинно мати значення "2".

    4.12. Розширення "Персональні дані підписувача" ("subjectDirectoryAttributes") може містити додаткові персональні дані підписувача та повинно бути визначено як некритичне. Поле не повинно використовуватись для зберігання даних про підписувача, що визначені в полі "subject".

    Об’єктний ідентифікатор даного розширення має такий вигляд:

    id-ce-subjectDirectoryAttributes OBJECT IDENTIFIER::= {id-ce 9}

    SubjectDirectoryAttributes ::= SEQUENCE SIZE (1.. MAX) OF Attribute

    Attribute ::= SEQUENCE {

    Type

    Attributetype,

    Values

    SET OF AttributeValue}

    Кодування національних реквізитів у розширенні "Персональні дані підписувача" ("subjectDirectoryAttributes") виконуються за такими правилами:

    1) реквізит коду за ЄДРПОУ юридичної особи (код за ДРФО фізичної особи — суб’єкта підприємницької діяльності) використовується для сертифікатів електронних печаток юридичних осіб та для сертифікатів ключів посадових осіб. Для сертифікатів посадових осіб в цьому реквізиті вказується код юридичної особи (суб’єкта підприємницької діяльності), представником якого (в межах своїх повноважень) є посадова особа. Для кодування цього реквізиту використовується об’єктний ідентифікатор 1.2.804.2.1.1.1.11.1.4.2.1. Формат реквізиту — "PrintableString", що містить 8, 9 або 10 цифр;

    2) реквізит коду за ДРФО фізичної особи — підписувача використовується для сертифікатів ключів, підписувачем у яких є фізичні особи (зокрема для сертифікатів ключів посадових осіб). У цьому реквізиті вказується код за ДРФО підписувача. Для кодування цього реквізиту використовується об’єктний ідентифікатор 1.2.804.2.1.1.1.11.1.4.1.1. Формат реквізиту — "PrintableString", що містить 10 цифр. Реквізит вказується за бажанням підписувача.

    4.13. У розширенні "Точки доступу до списків відкликаних сертифікатів" ("CRL Distribution Points") повинна зазначатися принаймні одна загальнодоступна точка розповсюдження списків відкликаних сертифікатів (CRL), яка визначається http (http://) або ldap (ldap://). Розширення не повинно визначатися як критичне.

    Об’єктний ідентифікатор даного розширення має такий вигляд:

    id-ce-СRLDistributionPoints OBJECT IDENTIFIER::= {id-ce 31}

    CRLDistributionPoints ::= SEQUENCE SIZE (1.. MAX) OF DistributionPoint

    DistributionPoint ::= SEQUENCE {

    distributionPoint

    [0]

    DistributionPointName OPTIONAL,

    reasons

    [1]

    ReasonFlags OPTIONAL,

    crlIssuer

    [2]

    GeneralNames OPTIONAL}

    DistributionPointName::= CHOICE {

    fullName

    [0]

    GeneralNames,

    nameRelativeToCRLIssuer

    [1]

    RelativeDistinguishedName}

    ReasonFlags::= BIT STRING {

    unused

    (0),

    keyCompromise

    (1),

    cACompromise

    (2),

    affiliationChanged

    (3),

    superseded

    (4),

    cessationOfOperation

    (5),

    certificateHold

    (6),

    privilegeWithdrawn

    (7)}

    Дозволяється використання лише атрибута "distributionPoint" і тільки у форматі URI, який вказує на відповідний CRL.

    4.14. Якщо Центр разом із базовим CRL формує і частковий CRL, то посилання на нього вказується у розширенні "Точка доступу до часткового списку відкликаних сертифікатів" ("Freshest CRL"). Розширення не повинно визначатися як критичне.

    Об’єктний ідентифікатор даного розширення має такий вигляд:

    id-ce-freshestCRL OBJECT IDENTIFIER ::= {id-ce 46}

    FreshestCRL ::= CRLDistributionPoints

    Формування цього розширення здійснюється за правилами формування розширення "Точки доступу до списків відкликаних сертифікатів" ("CRL Distribution Points").

    Це розширення не є обов’язковим. Якщо посилання на частковий CRL не вказується в сертифікаті, то воно обов’язково вказується у відповідному розширенні в структурі базового CRL.

    Вимоги щодо формату CRL визначені у Вимогах до формату списку відкликаних сертифікатів, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453, зареєстрованих у Міністерстві юстиції України 20 серпня 2012 року за № 1400/21712.

    4.15. Розширення "Ознаки посиленого сертифіката" ("qualified certificate statement") повинно бути визначено як критичне.

    Об’єктний ідентифікатор даного розширення має такий вигляд:

    id-pe OBJECT IDENTIFIER::= {iso(1) identified-organization(3)dod(6)internet(1) security(5) mechanisms(5) pkix(7) pe(1)}

    id-pe-qcStatements OBJECT IDENTIFIER::= {id-pe 3}

    QCStatements ::= SEQUENCE OF QCStatement

    QCStatement ::= SEQUENCE {

    statementId

    OBJECT IDENTIFIER,

    statementInfo

    ANY DEFINED BY statementId OPTIONAL}

    4.15.1. Ознака того, що сертифікат сформований як посилений:

    ua-qcStatement-1 QC-STATEMENT ::= {IDENTIFIED BY id_ua-diglow-qcs-QcCompliance}

    id-ua-diglaw-qcs-QcCompliance OBJECT IDENTIFIER ::= {1.2.804.2.1.1.1.2.1}

    Для зазначення того, що сертифікат є посиленим, використовується таке заповнення реквізитів сертифіката підписувача:

    обов’язково: в розширенні "Політика сертифікації" ("certificate policies") вказується об’єктний ідентифікатор політики посиленої сертифікації 1.2.804.2.1.1.1.2.2, який визначає, що сертифікат сформовано як посилений згідно із Законом України "Про електронний цифровий підпис" ( 852-15 ). Якщо сертифікат підписувача відповідає вимогам додаткових політик сертифікації Центру, у ньому можуть бути вказані додатково об’єктні ідентифікатори цих політик сертифікації;

    додатково: може бути присутнім розширення "qualified certificate statement", у якому за допомогою стандартного об’єктного ідентифікатора 1.2.804.2.1.1.1.2.1 ("Qualified certificate statement id-ua-diglow-qcs-QcCompliance") позначено відповідність Закону України "Про електронний цифровий підпис" ( 852-15 ).

    14.15.2. Ознака наявності обмеження максимальної суми, на яку вчиняється правочин з використанням електронного цифрового підпису органу державної влади, органу місцевого самоврядування, підприємства, установи та організації державної форми власності:

    esi4-qcStatement-2 QC-STATEMENT::= {SYNTAX QcEuLimitValue IDENTIFIED BY id-etsi-qcs-QcLimitValue}

    id-etsi-qcs-QcLimitValue OBJECT IDENTIFIER::= {id-etsi-qcs 2}

    QcEuLimitValue::= MonetaryValue

    MonetaryValue::= SEQUENCE {

  130. сurrency
  131. Iso4217CurrencyCode,

    amount

    INTEGER,

    exponent

    INTEGER}

    Iso4217CurrencyCode::= CHOICE {

    alphabetic PrintableString (SIZE 3)}

    Директор Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу Міністерства юстиції України

    К.І. Чижмарь

    Директор Департаменту криптографічного захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України

    А.І. Пушкарьов

    Юридичний портал Справедливість

    Рейтинг: 4.7/5, основан на 25 голосах.

    Вам будет интересно:

    Вугілля хоче стати газом

    За підсумками 9 місяців гірники Луганщини підняли на-гора чорного золота на 640 тис. тонн менше, ніж торік. Зниження виробничих показників повязано з низкою причин. Передусім із тим, що в державних ...

    Глава держави пообіцяв підтримку медикам

    Науково-практичний медичний центр дитячої кардіології та кардіохірургії МОЗ показав на весь світ можливості професійних підходів. Досягнуті ним результати стали кращі, ніж у Європі та Америці, ...

    Про внесення змін до деяких законів України щодо скорочення кількості документів дозвільного характеру, які повинні одержувати оператори ринку харчових продуктів, Верховна Рада України

    Верховна Рада України постановляє: I. Внести зміни до таких законів України: 1. Абзац шостий частини четвертої статті 3 Закону України "Про державне регулювання виробництва і обігу спирту етилового, коньячного і плодового, алкогольних напоїв та тютюнових виробів" ( 481/95-ВР ) (Відомості Верховної Ради України, 1995 p., № 46, ст. 345 із наступними змінами) виключити.

    На видеонаблюдение на выборах чиновники неэффективно потратили 955 млн грн, – Счетная палата

    955,3 миллиона гривен неэффективно использовали на систему видеонаблюдения на прошлых выборах, потому что «полученные видеоматериалы практически не использовались». Об этом сообщает пресс-служба ...





    Юридическая практика:
    Про визнання права власності на спадкове майно ...

    Про визнання права власності на спадкове майно за законом Громадянка звернулася до юриста по спадковим справам з метою отримати допомогу у вирішенні питання про визнання права власності ...

    Про зміну черговості спадкування та визнання права ...

    Про зміну черговості спадкування та визнання права на спадкування Наш клієнт задоволений рішенням суду за апеляцією, яким виграно справу про зміну черговості спадкування та визнання права ...

    Про встановлення факту прийняття спадщини, виділення ...

    Про встановлення факту прийняття спадщини, виділення частини спадкового майна та про визнання права власності на спадкове майно Нотаріальне оформлення спадщини часто заходить у глухий кут через різні перешкоди та фактори. Однією із таких перешкод може ...


    Консультации по наследству:
    Допомога в оформленні заповіту на родича

    За допомогою вашого сервісу багато моїх знайомих вирішили всі свої виникаючі проблеми, пов'язані зі спадковим правом. Допоможіть ...

    Як усунути від спадщини неугодного спадкоємця

    Будь ласка, вирішіть мою проблему в усуненні від спадкування недостойного спадкоємця. Такими справами не всі кваліфіковані ...

    Як отримати спадщину в Україні і які потрібні документи у спадок?

    Мій батько недавно помер і залишив після себе велику спадщину, але я не можу її отримати, оскільки мені заважає його цивільна ...


    Новости наследственных дел:
    На сегодняшнем заседании правительства планируется ...

    На сегодняшнем заседании правительства планируется рассмотреть план мероприятий по выполнению СА с ЕС Кабинет министров Украины на сегодняшнем заседании рассмотрит план мероприятий по выполнению соглашения об ассоциации с Евросоюзом. Об этом говорится в повестке дня заседания на сайте правительства.

    Судья не может считаться независимым от политического .

    Судья не может считаться независимым от политического влияния, если его карьера зависит от изменчивого политического вектора, - Я.Романюк 22 декабря во время заключительного заседания Наблюдательного Комитета проекта Совета Европы «Усиление независимости, эффективности и профессионализма судебной власти на Украине» Председатель Верховного Суда Украины Ярослав Романюк заявил, что «одним из самых опасных с точки зрения формирования независимой судебной системы на современном этапе факторов является политическая составляющая».

    Прокурор Донецкой области пытается в суде оспорить ...

    Прокурор Донецкой области пытается в суде оспорить его люстрацию Руководителю прокуратуры Донецкой области Николаю Франтовскому не удалось с первого раза обжаловать свое увольнение с должности через люстрацию, сообщает «Первая инстанция».


    Рекомендации пользователей:
    1676b6902a1c6c119988b3b7eb617bca