МІНІСТЕРСТВО ЮСТИЦІЇ УКРАЇНИ |
НАКАЗ |
17.11.2017 № 3599/5/618 |
Про внесення змін до деяких наказів Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України
Відповідно до підпунктів 76, 77 пункту 4 Положення про Міністерство юстиції України, затвердженого постановою Кабінету Міністрів України від 02 липня 2014 року № 228, підпунктів 6, 27 пункту 4 Положення про Адміністрацію Державної служби спеціального зв’язку та захисту інформації України, затвердженого постановою Кабінету Міністрів України від 03 вересня 2014 року № 411, та з метою удосконалення законодавства у сфері електронного цифрового підпису НАКАЗУЄМО:
1. Внести до підпункту 2.4 пункту 2 наказу Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453 «Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису», зареєстрованого в Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710 (зі змінами), такі зміни:
1) у підпункті 1:
абзац перший після слів «електронного документообігу» доповнити словами «та електронної автентифікації осіб»;
в абзацах другому, третьому слова «Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих» замінити словами «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння»;
доповнити новим абзацом такого змісту:
«національного стандарту України ДСТУ ISO/IEC 14888-3:2015 «Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми, що ґрунтуються на дискретному логарифмуванні», затвердженого наказом державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» від 18 грудня 2015 року № 193, із застосуванням алгоритму ECDSA зі ступенем розширення основного поля еліптичної кривої не менше 256 з функціями гешування sha256 або sha512 відповідно до FIPS PUB 180-4 «Secure Hash Standard»;»;
2) підпункт 2 виключити.
У зв’язку з цим підпункт 3 вважати підпунктом 2;
3) абзац четвертий підпункту 2 викласти в такій редакції:
«зазначених у підпункті 1 цього підпункту.».
2. Затвердити Зміни до деяких наказів Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України (далі - Зміни), що додаються.
3. Установити, що особисті ключі електронного цифрового підпису та особисті ключі шифрування, генерацію яких здійснено до набрання чинності цим наказом, використовуються підписувачами та акредитованими центрами сертифікації ключів, які обслуговують сертифікати відповідних відкритих ключів, до закінчення строку їх чинності.
4. Департаменту захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України (Пушкарьов А.І.) забезпечити публікацію на офіційному веб-сайті Державної служби спеціального зв’язку та захисту інформації України тестових прикладів, передбачених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453 «Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису», зареєстрованим у Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710 (зі змінами), та наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 27 грудня 2013 року № 2782/5/689 «Про затвердження вимог до алгоритмів, форматів та інтерфейсів, що реалізуються у засобах шифрування та надійних засобах електронного цифрового підпису», зареєстрованим у Міністерстві юстиції України 27 грудня 2013 року за № 2227/24759 (зі змінами).
5. Департаменту приватного права Міністерства юстиції України (Ференс О.М.) подати цей наказ на державну реєстрацію відповідно до Указу Президента України від 03 жовтня 1992 року № 493 «Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади».
6. Цей наказ набирає чинності з дня його офіційного опублікування, крім підпунктів 2, 9 пункту 1 та підпункту 2 пункту 2 Змін, затверджених цим наказом, які набирають чинності з 01 січня 2018 року.
7. Контроль за виконанням цього наказу покласти на першого заступника Міністра юстиції України Севостьянову Н.І. та першого заступника Голови Державної служби спеціального зв’язку та захисту інформації України Чаузова О.М.
ПОГОДЖЕНО: Міністр фінансів України В.о. Голови Державної В.о. Голови Державного агентства Голова Національної комісії, | О. Данилюк
|
ЗАТВЕРДЖЕНО |
ЗМІНИ
до деяких наказів Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України
1. У Вимогах до формату посиленого сертифіката відкритого ключа, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453, зареєстрованих у Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710 (зі змінами):
1) у пункті 1.51 розділу І:
абзац перший викласти в такій редакції:
«1.51. Для перевірки електронного цифрового підпису, створеного відповідно до національного стандарту України ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння», затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі - ДСТУ 4145-2002), повинен застосовуватися сертифікат відкритого ключа, що відповідає вимогам ДСТУ ISO/IEC 9594-8:2014 та цим Вимогам.»;
в абзаці другому слова та цифри «ДСТУ ISO/IEC 14888-3:2014 «Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі сертифікатів», затвердженим наказом Міністерства економічного розвитку і торгівлі України від 30 грудня 2014 року № 1493» замінити словами та цифрами «ДСТУ ISO/IEC 14888-3:2015 «Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми, що ґрунтуються на дискретному логарифмуванні», затвердженим наказом державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» від 18 грудня 2015 року № 193»;
2) у пункті 3.8 розділу ІІІ:
у таблиці 3:
рядок сьомий викласти в такій редакції:
organizationName | найменування організації | найменування організації - юридичної особи, що є підписувачем. Відповідає формату «organizationName», визначеному у пункті 3.5 цього розділу | - | + |
у примітці 2 слова «або фізичної особи, яка є суб’єктом підприємницької діяльності» виключити;
у підпункті 3.8.3 слова «(або фізичну особу - суб’єкта підприємницької діяльності)» виключити;
3) у пункті 3.10 розділу ІІІ:
абзац дев’ятий викласти в такій редакції:
«Об’єктний ідентифікатор (поле «algorithm») повинен вказувати на криптоалгоритм ДСТУ 4145-2002.»;
абзац десятий виключити.
У зв’язку з цим абзац одинадцятий вважати абзацом десятим;
4) підпункт 3.11.1 пункту 3.11 розділу ІІІ доповнити новими абзацами такого змісту:
«Для отримання випадкових даних, необхідних для побудови загальних параметрів криптоалгоритму ДСТУ 4145-2002, використовується генератор випадкових двійкових послідовностей:
відповідно до додатка А до ДСТУ 4145-2002 - у разі застосування геш-функції за ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации. Функция хэширования», затвердженим наказом Державного комітету України з питань технічного регулювання та споживчої політики від 21 жовтня 1997 року № 640 (далі - ГОСТ 34.311-95);
відповідно до додатка до цих Вимог +- у разі застосування геш-функції за ДСТУ 7564-2014 «Інформаційні технології. Криптографічний захист інформації. Функція гешування», затвердженим наказом Міністерства економічного розвитку і торгівлі України від 02 грудня 2014 року № 1431 (далі - ДСТУ 7564-2014).
Приклади обчислень генератора випадкових двійкових послідовностей розміщуються на офіційному веб-сайті Державної служби спеціального зв’язку та захисту інформації України.»;
5) абзац перший пункту 3.12 розділу ІІІ викласти в такій редакції:
«3.12. ДКЕ - таблиці заповнення вузлів заміни блоків підстановки для алгоритму ДСТУ ГОСТ 28147:2009 «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования», затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 22 грудня 2008 року № 495, який використовується під час генерування псевдовипадкових послідовностей (ДСТУ 4145-2002, додаток А) та обчислення геш-функції ГОСТ 34.311-95.»;
6) у пункті 3.13 розділу ІІІ:
абзац третій підпункту 3.13.1 викласти в такій редакції:
абзац перший підпункту 3.13.3 викласти в такій редакції:
«3.13.3. При використанні функції гешування за ДСТУ 7564-2014 під час обчислення електронного цифрового підпису рекомендовано застосовувати режими обчислення геш-значення, що визначаються бітовою довжиною порядку базової точки еліптичної кривої та наведені в таблиці 4. Як стартовий вектор геш-функції використовується нульовий вектор. Приклади обчислень електронного цифрового підпису з використанням функції гешування за ДСТУ 7564-2014 розміщуються на офіційному веб-сайті Державної служби спеціального зв’язку та захисту інформації України.»;
7) абзац третій пункту 3.14 розділу ІІІ виключити;
8) розділ ІІІ доповнити новим пунктом 3.15 такого змісту:
«3.15. Під час формування електронного цифрового підпису за ДСТУ 4145-2002 з функцією гешування за ДСТУ 7564-2014 як генератор випадкових двійкових послідовностей необхідно застосовувати алгоритм криптографічного перетворення відповідно до національного стандарту України ДСТУ 7624:2014 «Інформаційні технології. Криптографічний захист інформації. Алгоритм симетричного блокового перетворення», затвердженого наказом Міністерства економічного розвитку і торгівлі України від 29 грудня 2014 року № 1484, у режимі «Калина-256/256-ECB».»;
9) в абзаці першому підпункту 1 пункту 4.12 розділу IV слова «(реєстраційний номер облікової картки платника податків - фізичної особи підприємця)» виключити;
10) в абзаці першому підпункту 4 пункту 4.12 розділу IV цифри «1.2.804.2.1.1.1.11.1.4.3.1» замінити цифрами «1.2.804.2.1.1.1.11.1.4.11.1»;
11) у пункті 4.15 розділу IV:
абзац перший підпункту 4.15.1 після слів «як посилений» доповнити словом «(обов’язкова)»;
підпункт 4.15.2 викласти в такій редакції:
«4.15.2. Ознака наявності обмеження максимальної суми, на яку вчиняється правочин з використанням електронного цифрового підпису (необов’язкова):
esi4-qcStatement-2 QC-STATEMENT::= {SYNTAX
QcEuLimitValue IDENTIFIED BY id-etsi-qcs-QcLimitValue}
id-etsi-qcs-QcLimitValue OBJECT IDENTIFIER::= {id-etsi-qcs 2}
QcEuLimitValue::= MonetaryValue
Iso4217CurrencyCode::= CHOICE {
alphabetic PrintableString (SIZE 3)}»;
доповнити пункт новим підпунктом 4.15.3 такого змісту:
«4.15.3. Ознака того, що генерація особистого ключа відбулася з використанням захищеного носія особистого ключа (обов’язкова у випадку використання захищеного носія особистого ключа):
esi4-qcStatement-4 QC-STATEMENT ::= { IDENTIFIED BY id-etsi-qcs-QcSSCD}
id-etsi-qcs-QcSSCD OBJECT IDENTIFIER::= {id-etsi-qcs 4}»;
12) в абзаці першому розділу V слова та цифри «ДСТУ ISO/IEC 14888-3:2014 «Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі сертифікатів», затвердженого наказом Міністерства економічного розвитку і торгівлі України від 30 грудня 2014 року № 1493» замінити словами та цифрами «ДСТУ ISO/IEC 14888-3:2015 «Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми, що ґрунтуються на дискретному логарифмуванні», затвердженого наказом державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» від 18 грудня 2015 року № 193»;
13) доповнити додатком такого змісту:
« | Додаток |
ОПИС
генератора випадкових послідовностей
Робота генератора випадкових двійкових послідовностей (далі - Генератор) базується на вимогах додатка А до національного стандарту України ДСТУ 4145-2002 «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння», затвердженого наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі - ДСТУ 4145-2002), із застосуванням криптографічного перетворення відповідно до національного стандарту України ДСТУ 7624:2014 «Інформаційні технології. Криптографічний захист інформації. Алгоритм симетричного блокового перетворення», затвердженого наказом Міністерства економічного розвитку і торгівлі України від 29 грудня 2014 року № 1484 (далі - ДСТУ 7624:2014).
Генератор використовується для отримання випадкових цілих чисел, випадкових елементів основного поля і випадкових точок еліптичних кривих.
Генератор за одне звернення до нього видає випадковий рядок довжини t = 1.
Як криптографічне перетворення в Генераторі застосовується алгоритм криптографічного перетворення згідно з ДСТУ 7624:2014 у режимі «Калина-256/256-ECB» (проста заміна відповідно до розділу 6 ДСТУ 7624:2014).
Умови отримання та використання особистого ключа мають унеможливлювати доступ до нього або його частини, модифікацію, підміну або знищення.
Особистий ключ криптографічного перетворення згідно з ДСТУ 7624:2014, що використовується в Генераторі, не можна використовувати для іншої мети.
Позначимо через Еk(.) шифрування двійкового рядка завдовжки 256 двійкових розрядів алгоритмом ДСТУ 7624:2014 в режимі «Калина-256/256-ECB» на ключі k завдовжки 256 двійкових розрядів. Нехай s, I, х - двійкові рядки завдовжки 256 двійкових розрядів, D - двійковий рядок завдовжки 64 двійкові розряди. Перед застосуванням задають початковий стан Генератора випадкових послідовностей.
Встановлення початкового стану Генератора
Встановлення початкового стану Генератора здійснюється за таким алгоритмом:
задають початкове значення s Генератора.
Для цього використовують фізичне джерело випадковості.
Як фізичне джерело випадковості можна використовувати, наприклад, квантові ефекти в напівпровідниках (шумові діоди тощо), сигнал від мікрофонного входу з відключеним мікрофоном, часові інтервали між натисканнями на клавіші клавіатури, часові інтервали між натисканнями на клавіші миші.
Початковий стан Генератора є таємним.
Умови отримання початкового стану Генератора мають унеможливлювати доступ до нього або його частини, модифікацію, підміну або знищення;
задають значення двійкового рядка D.
Для цього використовують поточні значення дати і часу з точністю 64 двійкові розряди;
обчислюють двійковий рядок I = Ek (0192 || D).
При кожному зверненні до Генератора виконують такі обчислення (символ ⊕ позначає порозрядне додавання за модулем 2 двійкових рядків завдовжки 256 двійкових розрядів):
Випадковим двійковим рядком є двійковий рядок довжини 1, який складається з крайнього правого розряду х0 двійкового рядка х = (х255,...,х0).».
2. У Вимогах до структури об’єктних ідентифікаторів для криптоалгоритмів, що є державними стандартами, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453, зареєстрованих у Міністерстві юстиції України 20 серпня 2012 року за № 1399/21711 (зі змінами):
1) у другому рядку таблиці 6 розділу ІІ слова «Код за ДРФО фізичної особи» замінити словами «Реєстраційний номер облікової картки платника податків або серія (за наявності) та номер паспорта громадянина України (для фізичних осіб - резидентів, які через свої релігійні переконання відмовились від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті)»;
2) у третьому рядку таблиці 6 розділу ІІ слова «(код за ДРФО фізичної особи - суб’єкта підприємницької діяльності)» виключити;
3) у пункті 4.1 розділу IV слова «Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих» замінити словами «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння».
3. У розділі І Вимог до формату підписаних даних, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453, зареєстрованих у Міністерстві юстиції України 20 серпня 2012 року за № 1401/21713 (зі змінами):
1) в абзаці першому пункту 1.8 слова «Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих» замінити словами «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння»;
2) абзац шостий пункту 1.11 після слів «обчислення геш-значення» доповнити словами «та генератор випадкових двійкових послідовностей».
4. В абзаці п’ятому підпункту 4.1.3 пункту 4.1 розділу IV Вимог до протоколу фіксування часу, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453, зареєстрованих у Міністерстві юстиції України 20 серпня 2012 року за № 1402/21714 (зі змінами), слова «Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих» замінити словами «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння».
5. В абзаці п’ятдесят сьомому підпункту 3.3.2 пункту 3.2 розділу ІІІ Вимог до протоколу визначення статусу сертифіката, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453, зареєстрованих у Міністерстві юстиції України 20 серпня 2012 року за № 1403/21715 (зі змінами), слова «Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих» замінити словами «Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння».
6. У Вимогах до алгоритмів формування ключів шифрування ключів та захисту особистих ключів електронного цифрового підпису та особистих ключів шифрування, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 27 грудня 2013 року № 2782/5/689, зареєстрованих у Міністерстві юстиції України 27 грудня 2013 року за № 2227/24759 (зі змінами):
1) пункт 5 розділу ІІ викласти в такій редакції:
«5. Приклад формування ключа шифрування ключа на основі парольної інформації розміщується на офіційному веб-сайті Державної служби спеціального зв’язку та захисту інформації України.»;
2) пункт 4 розділу V викласти в такій редакції:
«4. Тестові приклади для перевірки правильності реалізації PRF-функції розміщуються на офіційному веб-сайті Державної служби спеціального зв’язку та захисту інформації України.»;
7. У Вимогах до форматів транспортних контейнерів особистих ключів електронного цифрового підпису та особистих ключів шифрування, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 27 грудня 2013 року № 2782/5/689, зареєстрованих у Міністерстві юстиції України 27 грудня 2013 року за № 2228/24760 (зі змінами):
1) пункт 6 розділу ІІІ викласти в такій редакції:
«6. Приклад формування транспортного контейнера особистого ключа розміщується на офіційному веб-сайті Державної служби спеціального зв’язку та захисту інформації України.»;
2) пункт 4 розділу IV викласти в такій редакції:
«4. Приклад формування захищеного транспортного контейнера особистого ключа (пароль - «password») розміщується на офіційному веб-сайті Державної служби спеціального зв’язку та захисту інформації України.»;
8. У Вимогах до форматів контейнерів зберігання особистих ключів електронного цифрового підпису, особистих ключів шифрування та сертифікатів відкритих ключів, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 27 грудня 2013 року № 2782/5/689, зареєстрованих у Міністерстві юстиції України 27 грудня 2013 року за № 2230/24762 (зі змінами):
1) підпункт 4 пункту 3 розділу IV викласти в такій редакції:
«4) приклад формування контейнера зберігання особистого ключа та сертифіката розміщується на офіційному веб-сайті Державної служби спеціального зв’язку та захисту інформації України.»;
2) пункт 8 розділу V викласти в такій редакції:
«8. Приклад формування структури «SafeContents» розміщується на офіційному веб-сайті Державної служби спеціального зв’язку та захисту інформації України.»;
3) пункти 4, 5 розділу VII викласти в такій редакції:
«4. Парольна інформація формується на основі рядка у кодуванні UTF-16BE з нульовим символом наприкінці. Приклад кодування парольної інформації розміщується на офіційному веб-сайті Державної служби спеціального зв’язку та захисту інформації України.
5. Приклад обчислення значення ключа для алгоритму контролю цілісності даних на основі парольної інформації розміщується на офіційному веб-сайті Державної служби спеціального зв’язку та захисту інформації України.»;