Правила пользования единым универсальным сертификатом Листов Москва, 2010 Содержание




НазваниеПравила пользования единым универсальным сертификатом Листов Москва, 2010 Содержание
страница1/4
Дата26.08.2012
Размер0.56 Mb.
ТипПравила пользования
  1   2   3   4
Уполномоченный удостоверяющий центр Федерального казначейства


Правила пользования единым универсальным сертификатом


Листов


Москва, 2010

Содержание

Термины и определения 3

1 Общие сведения 4

2 Правила заполнения полей ЕУС 5

3 Правила обработки полей ЕУС 11

3.1 Правила обработки атрибутов владельца сертификата 11

3.2 Правила проверки ЕУС 12

3.2.1 Проверка доверия к выпускающему УЦ 12

3.2.2 Проверка ЭЦП уполномоченного лица УЦ в сертификате 13

3.2.3 Проверка срока действия сертификата 13

3.2.4 Проверка соответствия значений KeyUsage использованию ключевой пары сертификата 13

3.2.5 Проверка соответствия значений Extended Key Usage использованию ключевой пары сертификата 13

3.2.6 Проверка соответствия значений Certificate Policies области использования сертификата ключа подписи 14

3.2.7 Проверка статуса отзыва сертификата ключа подписи 14

3.2.8 Проверка корректности атрибутов владельца сертификата ключа подписи 15

4 Порядок внесения изменений 16


Термины и определения


Владелец сертификата ключа подписи


-

Физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).

Закрытый ключ электронной цифровой подписи


-

Уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.

Оператор Удостоверяющего центра


-

Физическое лицо, являющееся сотрудником удостоверяющего центра и наделенное полномочиями по заверению от имени удостоверяющего центра сертификатов открытых ключей.

Открытый ключ электронной цифровой подписи


-

Уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.

Отозванный сертификат ключа подписи


-

Аннулированный сертификат ключа подписи до истечения срока действия или сертификат ключа подписи, действие которого приостановлено.

Пользователь удостоверяющего центра


-

Физическое лицо, использующее сертифицированный в удостоверяющем центре ключ для подписи электронных документов или сертификаты ключей подписей для проверки подписанных электронных документов.

Сертификат ключа подписи


-

Документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

СОС

(Список отозванных сертификатов)

-

Электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, включающий в себя список серийных номеров сертификатов, которые на определенный момент времени были отозваны.

УЦ

(Удостоверяющий центр)


-

Комплекс технических средств и организационно-технических мероприятий, предназначенный для обеспечения выполнения целевых функций УЦ, определенных в Статье 9 Федерального закона от 10.01.2002 г. №1-ФЗ «Об электронной цифровой подписи».

ЭЦП

(Электронная цифровая подпись)


-

Реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе

.

  1. Общие сведения

Формат единого универсального сертификата разрабатывается с целью формализации атрибутов сертификата и порядка обработки сертификата в рамках автоматизированных систем Федерального казначейства.

  1. Правила заполнения полей ЕУС

Перечень основных полей приведен в Таб. 1.

Таб. 1 Перечень основных полей

    п\п

    Поле

    Описание

    Основная информация



    Version

    Версия формата сертификата X.509. Устанавливается УЦ при издании сертификата равным 2 (версия 3).



    Serial Number

    Серийный номер сертификата ключа подписи. Устанавливается УЦ при издании сертификата. Комбинация поля Issuer и Serial Number является уникальным идентификатором сертификата ключа подписи.



    Signature

    Идентификатор алгоритма электронной цифровой подписи в соответствии с которым была осуществлена подпись настоящего сертификата уполномоченным лицом УЦ.



    Issuer

    Уникальное имя (Distinguished name, далее – DN) выпускающего УЦ. Устанавливается УЦ при издании сертификата.



    Validity

    Срок действия сертификата ключа подписи1. Включает дату и время начала срока действия и дату и время окончания срока действия (время указывается в часовом поясе GMT+0).



    Subject

    DN владельца сертификата. Перечень используемых относительных уникальных имен (relative distinguished name, далее – RDN) приведен в Таб. 2.



    Subject Public Key Info

    Алгоритм и значение открытого ключа. Устанавливается УЦ при издании сертификата.



    Unique Identifiers

    Не должен использоваться



    Extensions

    Расширения (детальное описание представлено в Таб. 3)

    Электронная цифровая подпись уполномоченного лица УЦ



    signatureAlgorithm

    алгоритм ЭЦП



    signatureValue

    значение ЭЦП


Таб. 2 Перечень используемых относительных уникальных имен

    Поле

    Описание поля

    Рекомендованная кодировка

    Максимальная длинна значения поля

    Обязательность

    SurName



    Фамилия владельца сертификата с большой буквы в одно слово без пробелов.

    UTF8String

    в соответствие с RFC5280 40 символов

    в соответствие с X.520 – 64 символа

    Обязательно для всех систем

    GivenName



    Имя и отчество владельца сертификата в формате «Имя Отчество» в два слова разделенных одним пробелом.

    UTF8String

    в соответствие с RFC5280 – 16 символов2

    Обязательно для всех систем

    Initials



    Инициалы владельца сертификата без пробелов.




    UTF8String

    в соответствие с RFC5280 – 5 символов

    Обязательно для Landocs

    Title



    Должность владельца сертификата.



    UTF8String.

    в соответствие с RFC5280 – 64 символа.

    Обязательно для всех систем

    UnstructuredName



    Наименование в свободной форме. Указывается код из справочника должностей (ведётся в ЦАФК).

    PrintableString или UTF8String.

    в соответствие с PKCS#9 – 255 символов

    Обязательно для АСФК

    StreetAddress



    Улица и номер дома места работы владельца сертификата.



    UTF8String.

    в соответствие с X.520 – 128 символов.

    Обязательно для Landocs

    UnstructuredAddress



    Адрес места работы владельца сертификата в свободной форме.



    UTF8String.

    в соответствие с PKCS#9 – 255 символов

    Не обязательно

    CommonName



    Фамилия, имя, отчество владельца сертификата в виде «Фамилия Имя Отчество» или наименование службы/сервиса/АРМ/сервера для использования которыми издан сертификат.



    UTF8String.

    в соответствие с RFC5280 – 64 символа.

    Обязательно для всех систем

    OrganizationalUnit



    Организационное подразделение владельца сертификата. Допускается многократное включение данного RDN для создание иерархии подразделений, при этом следует учитывать, что подразделение более высокой иерархии должно идти перед подразделением более низкой иерархии.



    UTF8String.

    в соответствие с RFC5280 – 64 символа.

    Обязательно включение организационного подразделения владельца сертификата.

    Для систем АСФК, СЭД, СПТО обязательно дополнительное включение подразделения высокого уровня

    Organization



    Наименование организации владельца сертификата. В качестве наименования организации должно использоваться сокращенное наименование организации, а, в случае его отсутствия, краткое наименование организации, сформированное на основании ее полного наименования

    UTF8String

    в соответствие с RFC5280 – 64 символа.

    Обязательно для всех систем

    Locality



    Наименование населенного пункта (город, село).



    UTF8String.

    в соответствие с RFC5280 – 128 символов.

    Обязательно для всех систем

    State



    Наименование региона. Перечень допустимых значение представлен в приложении «3».

    UTF8String.

    в соответствие с RFC5280 – 128 символов.

    Обязательно для всех систем

    Country



    Двухбуквенный код страны в соответствие с ISO 3166. Для России указывается RU.

    PrintableString.

    в соответствие с RFC5280 – 2 символа.

    Обязательно для всех систем

    EMail



    Адрес электронной почты владельца сертификата.

    IA5String (или UTF8String при использовании кириллических доменов).

    в соответствие с PKCS#9 – 255 символов.



    Обязательно для всех систем


Таб. 3. Описание Extensions

    Наименование поля

    Описание поля

    Обязательность

    Authority Key Identifier




    Идентификатор открытого ключа выпускающего УЦ в форме keyIdentifier. Не допускается указывать authorityCertIssuer, authorityCertSerialNumber.

    Обязательно для всех систем

    Subject Key Identifier

    Идентификатор открытого ключа сертификата. Устанавливается УЦ при издании сертификата.

    Обязательно для всех систем

    Key Usage




    Назначение использования ключей. Устанавливается в виде битовой маски. Перечень допустимых значение представлен в Таб. 4.

    Для обеспечения корректного использования сертификата в системах Oracle (АСФК), СПТО, СЭД должны быть установлены следующие значения:

  • digitalSignature;

  • nonRepudiation;

  • dataEncipherment.

    Для обеспечения корректного использования сертификата в системе Landocs должны быть установлены следующие значения:

  • digitalSignature;

  • nonRepudiation;

  • dataEncipherment;

  • keyEncipherment.

    Для обеспечения корректного использования сертификата в системе ООС должны быть установлены следующие значения:

  • digitalSignature;

  • nonRepudiation;

  • keyAgreement;

  • keyEncipherment.

    Для разрабатываемых систем должны быть использованы значения в соответствие с RFC 4491 для сертификатов ключей подписи ГОСТ Р 34.10-2001.

    Обязательно для всех систем

    Certificate Policies




    Область использования сертификата ключа подписи. Устанавливается в виде списка идентификаторов. Перечень допустимых значений для использования в различных системах приведен в 1.

    Для обеспечения корректного использования сертификата в системах Oracle (АСФК), СПТО, СЭД, Landocs, ООС должны быть установлены следующие значения:

  • id-cp-CA-KC2.

    Обязательно для всех систем

    Subject Alternative Name




    Дополнительные сведения о владельце сертификата ключа подписи. Допускается использование следующих атрибутов:

  • otherName – последовательность пар «OID»-«данные», перечень допустимых значений представлен в приложении «4»;

  • rfc822Name – адрес электронной почты в соответствии с RFC822;

  • dNSName – DNS-имя;

  • x400Address – адрес в соответствии со стандартом X.400;

  • directoryName – данные в формате X.501 Name;

  • ediPartyName – последовательность пар «имя»-«имя»;

  • uniformResourceIdentifier – универсальный идентификатор ресурса (URI);

  • iPAddress – IP-адрес;

  • registeredID – идентификатор в виде OID.

    Для обеспечения корректного использования сертификата в системе Oracle (АСФК) должны быть заполнены следующие атрибуты:

  • otherName должен содержать номер ключа при смене сертификата в качестве значения параметра OID=id-on-Keyid, при этом при каждой последующей смене ключей номер должен увеличиваться на единицу.

    Для обеспечения корректного использования сертификата в системе СПТО должны быть заполнены следующие атрибуты:

  • otherName должен содержать номер ключа при смене сертификата в качестве значения параметра OID=id-on-Keyid.

    Для обеспечения корректного использования сертификата в системе СЭД должны быть заполнены следующие атрибуты:

  • otherName должен содержать номер ключа при смене сертификата в качестве значения параметра OID=id-on-Keyid;

  • uniformResourceIdentifier должен содержать привилегии владельца сертификата.

    Для обеспечения корректного использования сертификата в системе Landocs должны быть заполнены следующие атрибуты:

  • otherName должен содержать идентификатор пользователя в Landocs в качестве значения параметра OID=id-on-Landocsid, значение идентификатора должно быть уникально в рамках системы Landocs. Значение идентификатора получается следующим образом:

    1) если у пользователя нет сертификата для Landocs идентификатор формируется в виде GUID;

    2) если у пользователя есть сертификат для Landocs идентификатор копируется из существующего сертификата.

    Для обеспечения корректного использования сертификата в системе ООС должны быть заполнены следующие атрибуты:

  • otherName должен содержать учетный номер организации в качестве значения параметра OID=id-on-OrganizationId;

  • otherName должен содержать ИНН организации в качестве значения параметра OID=id-on-Inn;

  • otherName должен содержать КПП организации в качестве значения параметра OID=id-on-Kpp.

    Обязательно для всех систем

    Issuer Alternative Name

    Дополнительные сведения об Удостоверяющем центре, издавшем сертификат. Устанавливается УЦ при издании сертификата.

    Не обязательно

    Basic Constraints




    Тип сертификата ключа подписи. Допустимы два значение:

  • сертификат уполномоченного лица Удостоверяющего центра;

  • сертификат пользователя.

    Для сертификатов пользователей систем Oracle (АСФК), СПТО, СЭД, Landocs, ООС должно быть установлено значение «сертификат пользователя».

    Обязательно для всех систем

    Extended Key Usage




    Назначение использования ключей. Устанавливается в виде битовой маски. Перечень допустимых значение представлен в 2

    Для обеспечения корректного использования сертификата в системе Oracle (АСФК) должны быть установлены следующие значения:

  • id-eku-GF01;

  • OID типа документа с правом подписи (один или несколько).

    Для обеспечения корректного использования сертификата в системе СПТО должны быть заполнены установлены следующие значения:

  • id-eku-GF04;

  • OID типа документа с правом подписи (один или несколько).

    Для обеспечения корректного использования сертификата в системе СЭД должны быть заполнены установлены следующие значения:

  • id-eku-GF03;

  • OID типа документа с правом подписи (один или несколько).

    Для обеспечения корректного использования сертификата в системе Landocs должны быть заполнены установлены следующие значения:

  • id-eku-GF02;

  • OID типа документа с правом подписи (один или несколько).

    Для обеспечения корректного использования сертификата в системе ООС должны быть заполнены установлены следующие значения:

  • Один или несколько идентификаторов группы id-eku-GF05 в соответствие с полномочиями организации владельца сертификата и самого владельца сертификата;

  • id-kp-clientAuth.

    Обязательно для всех систем

    CRL Distribution Points

    Множество точек распространения списков отозванных сертификатов в виде URL.

    Обязательно для всех систем

    Authority Information Access




    Множество точек распространения информации об выпускающем УЦ. Устанавливается УЦ при издании сертификата и может содержать:

  • адрес публикации сертификата выпускающего УЦ

  • адрес доступа к службе оперативной проверки статусов сертификатов по протоколу OCSP.

    Для обеспечения корректного использования сертификата в системе Oracle (АСФК), СПТО, СЭД, Landocs, ООС должны быть установлены следующие значения:

  • адрес доступа к службе OCSP как http://xx.yy.zz.aa/ocsp.dll.

    Обязательно для всех систем

Таб. 4 Перечень допустимых значений для расширения Key Usage

  • п\п

  • Название

  • Смещение битовой маски

  • Описание



    digitalSignature

    0

    Электронная цифровая подпись



    nonRepudiation /

    contentCommitment

    1

    Неотрекаемость от авторства



    keyEncipherment

    2

    Шифрование ключей



    dataEncipherment

    3

    Шифрование данных



    keyAgreement

    4

    Согласование ключей



    keyCertSign

    5

    Электронная цифровая подпись сертификатов ключей подписи



    cRLSign

    6

    Электронная цифровая подпись списков отозванных сертификатов



    encipherOnly

    7

    Зашифрование



    decipherOnly

    8

    Расшифрование

  1. Правила обработки полей ЕУС

    1. Правила обработки атрибутов владельца сертификата

При обработке атрибутов владельца сертификата ключа подписи необходимо:

  • для получения фамилии владельца сертификата необходимо использовать RDN surname поля Subject;

  • для получения имени и отчества необходимо использовать RDN GivenName поля Subject;

  • для получения наименования должности необходимо использовать RDN поля Subject Title;

  • для получения кода должности из справочника ЦАФК необходимо использовать RDN поля Subject UnstructuredName;

  • для получения фамилии и первых букв имени и отчества в формате «Фамилия И.О.» необходимо использовать RDN поля Subject CommonName;

  • для получения наименования вышестоящего подразделения необходимо использовать первое вхождение RDN OrganizationalUnit поля Subject;

  • для получения наименования подразделения где работает владелец сертификата ключа подписи необходимо использовать последнее вхождение RDN OrganizationalUnit поля Subject;

  • для получения наименования организации где работает владелец сертификата ключа подписи необходимо использовать RDN Organization поля Subject;

  • для получения наименования населенного пункта где расположено место работы владельца сертификата ключа подписи необходимо использовать RDN Locality поля Subject;

  • для получения наименования района/области где расположено место работы владельца сертификата ключа подписи необходимо использовать RDN State поля Subject;

  • для получения кода страны где расположено место работы владельца сертификата ключа подписи необходимо использовать RDN Country поля Subject (для России устанавливается RU);

  • для получения адреса электронной почты владельца сертификата необходимо использовать RDN EMail поля Subject.

  • для получения инициалов необходимо использовать RDN Initials поля Subject;

  • для получения адреса места работы владельца сертификата ключа подписи необходимо использовать RDN StreetAddress поля Subject;

  • для получения идентификатора пользователя в Landocs необходимо использовать значение параметра OID=id-on-Landocsid атрибута Other Name расширения Subject Alternative Name;

  • для получения номера ключа при смене сертификата необходимо использовать значение параметра OID=id-on-Keyid атрибута Other Name расширения Subject Alternative Name;

  • для получения учетного номера организации необходимо использовать значение параметра OID=id-on-OrganizationId атрибута Other Name расширения Subject Alternative Name;

  • для получения ИНН организации пользователя необходимо использовать значение параметра OID=id-on-Inn атрибута Other Name расширения Subject Alternative Name;

  • для получения КПП организации пользователя необходимо использовать значение параметра OID=id-on-Kpp атрибута Other Name расширения Subject Alternative Name;

  • для получения полномочий организации и полномочий пользователя в ООС необходимо использовать значения идентификаторов расширения Extended Key Usage (полномочия организации являются составной частью идентификатора полномочий пользователя, перечень возможных полномочий организаций представлен в Таб. Б .2).

  • для получения прав пользователя на подпись документов необходимо использовать значения идентификаторов расширения Extended Key Usage (перечень прав подписи различных типов документов представлен в Таб. Б .2).

    1. Правила проверки ЕУС

При проверке ЕУС должны быть выполнены следующие действия:

  • проверка ЭЦП уполномоченного лица УЦ в сертификате;

  • проверка доверия к выпускающему УЦ;

  • проверка срока действия сертификата;

  • проверка соответствия значений KeyUsage использованию ключевой пары сертификата;

  • проверка соответствия значений Extended Key Usage использованию ключевой пары сертификата;

  • проверка соответствия значений Certificate Policies требованиям безопасности;

  • проверка статуса отзыва сертификата ключа подписи;

  • проверка корректности атрибутов владельца сертификата ключа подписи.

      1. Проверка доверия к выпускающему УЦ

Проверка доверия к выпускающему УЦ должна включать построение цепочки сертификатов Удостоверяющих центров, начиная с выпускающего УЦ, издавшего проверяемый сертификат и заканчивая доверенным сертификатом УЦ. При построении цепочки должны быть выполнены операции по проверке сертификатов цепочки в соответствие с требованиями раздела 6.1 RFC5280, включая, но не ограничиваясь следующими операциями:

  • проверку ЭЦП сертификата цепочки;

  • проверку срока действия сертификата цепочки на требуемый момент времени;

  • проверку наличия прав на издание сертификатов с расширением Extended Key Usage и значением расширения Extended Key Usage, соответствующим требованиям раздела настоящего документа;

  • проверку наличия прав на издание сертификатов с расширением Certificate Policies и значением расширения Certificate Policies, соответствующим требованиям раздела настоящего документа;

  • проверку одновременного присутствия следующих битовых масок KeyUsage: digitalSignature, nonRepudiation, keyCertSign (в случае отсутствия данного расширения проверка считается выполненной успешно);

  • проверку наличия расширения Basic Constrains со значением IsCA=TRUE;

  • другие проверки в соответствие с RFC5280.

Проверка доверия к первому сертификату цепочки должна выполняться на основании нахождения сертификата в хранилище сертификатов доверенных удостоверяющих центров. В качестве доверенного хранилища могут использоваться:

  • хранилище «Доверенные корневые центры сертификации» контекста LocalMachine операционной системы Microsoft Windows;

  • хранилище «Корневые сторонние центры сертификации» контекста LocalMachine операционной системы Microsoft Windows;

  • специализированное хранилище доверенных сертификатов прикладного программного обеспечения (при условии обеспечения защиты от изменения хранилища доверенных сертификатов пользователем программного обеспечения, не входящим в группу администраторов данного программного обеспечения).

      1. Проверка ЭЦП уполномоченного лица УЦ в сертификате

Проверка ЭЦП уполномоченного лица УЦ в сертификате должна выполняться на основании открытого ключа в сертификате выпускающего УЦ и полей signatureAlgorithm и signatureValue в сертификате пользователя.

      1. Проверка срока действия сертификата

При проверке срока действия сертификата должна быть выполнена проверка выполнения одновременно двух условий:

  • момент времени на который осуществляется проверка должен быть не раньше даты и времени, указанных в поле notBefore;

  • момент времени на который осуществляется проверка должен быть не позже даты и времени, указанных в поле notAfter.

      1. Проверка соответствия значений KeyUsage использованию ключевой пары сертификата

При проверке соответствия значений KeyUsage использованию ключевой пары сертификата необходимо выполнить:

  • для признания значений KeyUsage соответствующих использованию ключевой пары для создания ЭЦП должна быть выполнена проверка одновременного присутствия следующих битовых масок: digitalSignature, nonRepudiation;

  • для признания значений KeyUsage соответствующих использованию ключевой пары для установления защищенного соединения по протоколу TLS должна быть выполнена проверка одновременного присутствия следующих битовых масок: digitalSignature, nonRepudiation, keyEncipherment, keyAgreement;

  • для признания значений KeyUsage соответствующих использованию ключевой пары для создания зашифрованных объектов в формате CMS, PKCS#7 должна быть выполнена проверка присутствия следующей битовой маски: keyAgreement;

  • для признания значений KeyUsage соответствующих использованию ключевой пары для создания подписанных и зашифрованных объектов в формате CMS, PKCS#7 должна быть выполнена проверка одновременного присутствия следующих битовых масок: digitalSignature, nonRepudiation, keyAgreement;

  • для признания значений KeyUsage соответствующих использованию ключевой пары для выполнения согласования секретного ключа по DH должна быть выполнена проверка присутствия битовой маски: keyAgreement.

      1. Проверка соответствия значений Extended Key Usage использованию ключевой пары сертификата

При проверке соответствия значений Extended Key Usage использованию ключевой пары сертификата необходимо выполнить:

  • для признания значений Extended Key Usage соответствующих использованию ключевой пары в системе Oracle (АСФК) должна быть выполнена проверка наличия в списке идентификаторов OID, соответствующего типу электронного документа для которого выполняется проверка ЭЦП и идентификатора OID=id-eku-GF01;

  • для признания значений Extended Key Usage соответствующих использованию ключевой пары в системе СПТО должна быть выполнена проверка наличия в списке идентификаторов OID, соответствующего типу электронного документа для которого выполняется проверка ЭЦП и идентификатора OID=id-eku-GF04;

  • для признания значений Extended Key Usage соответствующих использованию ключевой пары в системе СЭД должна быть выполнена проверка наличия в списке идентификаторов OID, соответствующего типу электронного документа для которого выполняется проверка ЭЦП и идентификатора OID=id-eku-GF03;

  • для признания значений Extended Key Usage соответствующих использованию ключевой пары в системе Landocs должна быть выполнена проверка наличия в списке идентификаторов OID=id-eku-GF02;

  • для признания значений Extended Key Usage соответствующих использованию ключевой пары в системе ООС должна быть выполнена проверка наличия в списке идентификаторов OID= id-kp-clientAuth и идентификатора полномочий пользователя и организации пользователя, позволяющих создание ЭЦП данного типа.

      1. Проверка соответствия значений Certificate Policies области использования сертификата ключа подписи

При проверке соответствия значений Certificate Policies области использования сертификата ключа подписи необходимо выполнить проверку наличия идентификатора определяющего класс защиты УЦ и соответствие класса защиты требованиям безопасности.

      1. Проверка статуса отзыва сертификата ключа подписи

Способ проверок статуса отзыва устанавливается отдельно для каждой из систем и может включать:

  • проверка на основании локального списка отозванных сертификатов;

  • проверка на основании локального списка отозванных сертификатов и изменений к нему;

  • проверка на основании ответа службы оперативной проверки статусов сертификата (OCSP).

Проверка на основании локального списка отозванных сертификатов должна включать:

  • проверку ЭЦП локального СОС, в том числе соответствие выпускающего УЦ, издавшего проверяемый сертификат, и УЦ, издавшего СОС;

  • проверку срока действия СОС на момент времени проверки, в случае, если момент времени на который осуществляется проверка лежит за границами срока действия СОС должна быть выполнена попытка или получить актуальный СОС (возможно использование для этого адреса CDP в проверяемом сертификате), или уведомить пользователя о необходимости получить СОС, действительный на необходимую дату, или установить битовую маску для статуса проверки как CERT_TRUST_REVOCATION_STATUS_UNKNOWN1 или CERT_TRUST_IS_OFFLINE_REVOCATION.

Проверка на основании локального списка отозванных сертификатов и изменений к нему должна включать:

  • проверку ЭЦП локального СОС, в том числе соответствие выпускающему УЦ, издавшего проверяемый сертификат, и УЦ, издавшего СОС;

  • проверку срока действия СОС на момент времени проверки, в случае, если момент времени на который осуществляется проверка лежит за границами срока действия СОС должна быть выполнена попытка или получить актуальный СОС (возможно использование для этого адреса CDP в проверяемом сертификате), или уведомить пользователя о необходимости получить СОС, действительный на необходимую дату, или установить битовую маску для статуса проверки как CERT_TRUST_REVOCATION_STATUS_UNKNOWN или CERT_TRUST_IS_OFFLINE_REVOCATION.

  • проверку ЭЦП дополнения к локальному СОС, в том числе соответствие выпускающему УЦ, издавшего проверяемый сертификат, и УЦ, издавшего дополнение к СОС;

  • проверку срока действия дополнения к СОС на момент времени проверки, в случае, если момент времени на который осуществляется проверка лежит за границами срока действия дополнения к СОС должна быть выполнена попытка или получить актуальный СОС (возможно использование для этого адреса Freshest CRL в проверяемом сертификате), или уведомить пользователя о необходимости получить СОС, действительный на необходимую дату, или установить битовую маску для статуса проверки как CERT_TRUST_REVOCATION_STATUS_UNKNOWN или CERT_TRUST_IS_OFFLINE_REVOCATION.

Проверка на основании ответа службы оперативной проверки статусов сертификата (OCSP) должна включать:

  • обращение к службе OCSP в соответствие со спецификацией протокола;

  • получение ответа службы OCSP;

  • проверку соответствия идентификатора сертификата отправленного службе OCSP – полученному;

  • проверку ЭЦП ответа службы OCSP, включая:

    • проверку отсутствия изменений в полученном ответе;

    • проверку ЭЦП уполномоченного лица УЦ в сертификате службы OCSP;

    • проверку наличия доверия к УЦ, выпустившему сертификат службы OCSP;

    • проверку срока действия сертификата службы OCSP на текущий момент времени;

    • проверку наличия идентификатора id-kp-OCSPSigning в расширении Extended Key Usage сертификата службы OCSP.

      1. Проверка корректности атрибутов владельца сертификата ключа подписи

Проверка корректности атрибутов владельца сертификата ключа подписи должна выполняться на стадии утверждения издания сертификата обслуживающим персоналам УЦ.


  1. Порядок внесения изменений

При внесении изменений следует использовать следующие нотации:

  • при добавлении идентификаторов Certificate Policies должен использоваться принцип именования OID id-cp-<относительный ID>, не допускается повторное использование ранее зарегистрированных OID для целей отличных от заявленных изначально. Любое изменение принципов обработки OID должно выполняться путем введения нового OID.

  • при добавлении идентификаторов Extended Key Usage должен использоваться принцип именования OID id-eku-<относительный ID>, не допускается повторное использование ранее зарегистрированных OID для целей отличных от заявленных изначально. Любое изменение принципов обработки OID должно выполняться путем введения нового OID.

  • при добавлении идентификаторов Other Name расширения SubjectAlternativeName должен использоваться принцип именования OID id-on-<относительный ID>, не допускается повторное использование ранее зарегистрированных OID для целей отличных от заявленных изначально. Любое изменение принципов обработки OID должно выполняться путем введения нового OID.

  • при внесении изменений в содержание Subject сертификата ключа подписи недопустимо использование RDN для целей отличных от описанных в X.500, X.501, X.509. В случае необходимости добавления атрибутов владельца сертификата в сертификат необходимо задействовать атрибут Other Name расширения SubjectAlternativeName.

Разработчик программного обеспечения для использования в котором вводятся новые идентификаторы обязан внести в функционал программного обеспечения следующие возможности:

  • регистрацию текстовых описаний для используемых идентификаторов (OID) в ОС Microsoft Windows при установке программного обеспечения;

  • регистрацию декодировщиков для корректного отображения атрибута Other Name расширения SubjectAlternativeName при установке программного обеспечения.

Внесение изменений в формат ЕУС должно быть согласовано с ФК. ФК оставляет за собой право согласовать формат с другими разработчиками эксплуатируемых систем и не принимать изменений до получения согласия всех разработчиков эксплуатируемых систем.

  1   2   3   4

Похожие:

Правила пользования единым универсальным сертификатом Листов Москва, 2010 Содержание iconЛитература 5 9 классы не менее 24-48 листов, 10-11классы 48-96 листов
Настоящее положение разработано в соответствии с Должностной инструкцией. «Учитель русского языка и литературы»
Правила пользования единым универсальным сертификатом Листов Москва, 2010 Содержание icon«Правила пользования» правила пользования Услугами, установленные Администрацией и опубликованные на Сайте

Правила пользования единым универсальным сертификатом Листов Москва, 2010 Содержание iconПравила пользования
Настоящие правила пользования библиотекой гоу сош №855 разработаны в соответствии с Положением о библиотеке гоу сош №855
Правила пользования единым универсальным сертификатом Листов Москва, 2010 Содержание iconПравила пользования библиотекой моу сош №3
Настоящие правила пользования библиотекой разработаны в соответствии с Положением о библиотеке моу сош №3 г. Бодайбо
Правила пользования единым универсальным сертификатом Листов Москва, 2010 Содержание iconМетодические рекомендации об организации работы по сбору информации от поселений, входящих в муниципальный район, необходимой для ведения регистра муниципальных нормативных правовых актов Забайкальского края содержание
Приложение №1 (Образец заверения муниципального нормативного правового акта, состоящего из одного листа, двух и более листов)
Правила пользования единым универсальным сертификатом Листов Москва, 2010 Содержание iconПравила пользования библиотекой общеобразовательного учреждения общие положения
Правила пользования библиотекой документ, который фиксирует взаимоотношения читателя с библиотекой и определяет общий порядок организации...
Правила пользования единым универсальным сертификатом Листов Москва, 2010 Содержание iconОтчет июль 2010 содержание содержание 2 список аббревиатур 3 введение 4

Правила пользования единым универсальным сертификатом Листов Москва, 2010 Содержание iconПрослушайте «Правила пользования шпаргалками». Советники зачитывают правила: При пользовании шпаргалками ученики обязаны соблюдать правила пользования шпаргалками
Татьяна свет Владимировна. Было у царицы в подчинении два Министерства. Одно – Министерство внутренних дел, в котором служили 5 человек....
Правила пользования единым универсальным сертификатом Листов Москва, 2010 Содержание iconПрограмма оптимального раскроя прямоугольных листов на детали прямоугольной формы. Руководство пользователя
Программа предназначена для раскроя прямоугольных листов на детали прямоугольной формы. Программа может быть использована в деревообрабатывающем...
Правила пользования единым универсальным сертификатом Листов Москва, 2010 Содержание iconПериодичность (количество воздействий в год) проведения видов работ по содержанию автомобильных дорог общего пользования местного с учетом сложности дорожной обстановки при допустимом уровне содержания
Об утверждении нормативов денежных затрат на содержание и ремонт автомобильных дорог общего пользования местного значения поселений....
Разместите кнопку на своём сайте:
Руководства



База данных защищена авторским правом ©do.znate.ru 2012
При копировании укажите ссылку
обратиться к администрации
Руководства
Главная страница