Роз’яснення законодавства у сфері ЕДП

Технічний реліз: Плановий перехід на ДСТУ 7564:2014 («Купина») - Станом на 23 червня 2026 р.

1. Суть та причина зміни

Україна посилює стандарти кібербезпеки шляхом переходу на сучасний та стійкий стандарт геш-функції ДСТУ 7564:2014. Це плановий крок, спрямований на заміну застарілого ГОСТ 34.311-95 більш криптостійким алгоритмом для довгострокового захисту цифрових даних.

2. Кому це важливо

 ● КНЕДП: для актуалізації технологічних процесів та переходу на нові ланцюжки сертифікатів.

 ● DevOps та системні інженери: для оновлення Trust Stores у серверних середовищах.

 ● Розробники: для перевірки сумісності ПЗ з новими алгоритмами.

 ● Підрозділи кібербезпеки: для контролю відповідності вимогам регулятора.

3. Ключові дати

 ● 10 лютого 2026 року: Введено в дію нові ключі ЦЗО.

 ● Поступовість: Старі алгоритми не вимикаються миттєво. Вони припиняють використовуватись для нових операцій ЦЗО, забезпечуючи м'яку міграцію інфраструктури.

 ● Опитування: За результатами опитування власників інформаційно-комунікаційних систем (ЦОВВ) та розробників СЕД щодо готовності інформсистем перейти на використання нової функції ґешування «Купина» (ДСТУ 7564:2014) підготовлено відповідний проект постанови КМУ щодо внесення змін у частині вилучення ГОСТ 34.311-95.

 ● Дата: З метою забезпечення безперервного надання кваліфікованих електронних довірчих послуг просимо до 01.09.2026 забезпечити тестування та готовність інформаційно-комунікаційних систем за новим алгоритмом ДСТУ 7564:2014, а також постійну одночасну перевірку як нових сертифікатів, так і сертифікатів усіх накладених електронних підписів та печаток, що були створені за старим алгоритмом, протягом усього строку їх дії.

Документ розміщено для ознайомлення на сайті Мінцифри: https://thedigital.gov.ua/documents

4. Цінність та стабільність

 ● Безпека: Використання алгоритму «Купина» гарантує захист від сучасних методів крипто аналізу.

 ● Чинність старих сертифікатів: Усі сертифікати підписувачів та створені електронні печатки, випущені за старим алгоритмом ГОСТ 34.311-95 залишаються чинними до закінчення терміну їх дії. Масовий перевипуск ключів для діючих користувачів не потрібен.

 ● Обов'язкова підтримка (зворотна сумісність): Інформаційно-комунікаційні системи мають забезпечити постійну одночасну перевірку як нових сертифікатів і підписів та печаток, так і сертифікатів, а також усіх накладених електронних підписів та печаток, що були створені за старим алгоритмом, протягом усього строку їх дії.

5. Рекомендації та технічний флоу
Для КНЕДП:

 ● З 10 лютого 2026 розпочати випуск кореневих сертифікатів з підтримкою стандарту ДСТУ 7564:2014 відповідно до Регламенту ЦЗО.

 ● З 10 лютого 2026 розпочати формування сертифікатів користувачів на базі нового стандарту для повної інтеграції з оновленою ієрархією ЦЗО.

Для адміністраторів систем, розробників (Алгоритм оновлення):

 ● Отримання пакетів: Завантажте актуальні ланцюжки сертифікатів (.p7b контейнери):

    ○ Основне джерело (CACertificates.p7b)

    ○ Альтернативне джерело (CACertificates.p7b)

 ● Тестування (Sandboxing):

    ○ Використовуючи Програмний інтерфейс інформаційно-комунікаційної системи ЦЗО сформувати тестові сертифікати.

    ○ За допомогою тестового ланцюжка ЦЗО створити середовище для перевірки сумісності.

    ○ Провести тестування та переконатися, що ваші криптографічні бібліотеки коректно будують обробляти шлях довіри (Path Validation) та OCSP-відповіді з використанням нового гешу.

 ● Додатково:

    ○ Тестові приклади кваліфікованого електронного підпису із застосуванням ґеш-функції за ДСТУ 7564:2014.

    ○ В ІКС, які використовують криптобіліотеки ІІТ, мають бути встановлені бібліотеки версії не старішої, ніж від 27.02.2024