Роз’яснення законодавства у сфері ЕДП

Технічний реліз: Плановий перехід на ДСТУ 7564:2014 («Купина»)

1. Суть та причина зміни

Україна посилює стандарти кібербезпеки шляхом переходу на сучасний та стійкий стандарт геш-функції ДСТУ 7564:2014. Це плановий крок, спрямований на заміну застарілого ГОСТ 34.311-95 більш криптостійким алгоритмом для довгострокового захисту цифрових даних.

2. Кому це важливо

 ● КНЕДП: для актуалізації технологічних процесів та переходу на нові ланцюжки сертифікатів.

 ● DevOps та системні інженери: для оновлення Trust Stores у серверних середовищах.

 ● Розробники: для перевірки сумісності ПЗ з новими алгоритмами.

 ● Підрозділи кібербезпеки: для контролю відповідності вимогам регулятора.

3. Ключові дати

 ● 10 лютого 2026 року: Введено в дію нові ключі ЦЗО.

 ● Поступовість: Старі алгоритми не вимикаються миттєво. Вони припиняють використовуватись для нових операцій ЦЗО, забезпечуючи м'яку міграцію інфраструктури.

4. Цінність та стабільність

 ● Безпека: Використання алгоритму «Купина» гарантує захист від сучасних методів крипто аналізу.

 ● Підтримка користувачів: Усі кваліфіковані сертифікати, видані до 10.02.2026, залишаються чинними та будуть підтримуватись до завершення терміну їх дії. Масовий перевипуск ключів для діючих користувачів не потрібен.

5. Рекомендації та технічний флоу
Для КНЕДП:

 ● З 10 лютого 2026 розпочати випуск кореневих сертифікатів з підтримкою стандарту ДСТУ 7564:2014 відповідно до Регламенту ЦЗО.

 ● З 10 лютого 2026 розпочати формування сертифікатів користувачів на базі нового стандарту для повної інтеграції з оновленою ієрархією ЦЗО.

Для адміністраторів систем, розробників (Алгоритм оновлення):

 ● Отримання пакетів: Завантажте актуальні ланцюжки сертифікатів (.p7b контейнери):

    ○ Основне джерело (CACertificates.p7b)

    ○ Альтернативне джерело (CACertificates.p7b)

 ● Тестування (Sandboxing):

    ○ Використовуючи Програмний інтерфейс інформаційно-комунікаційної системи ЦЗО сформувати тестові сертифікати.

    ○ За допомогою тестового ланцюжка ЦЗО створити середовище для перевірки сумісності.

    ○ Провести тестування та переконатися, що ваші криптографічні бібліотеки коректно будують обробляти шлях довіри (Path Validation) та OCSP-відповіді з використанням нового гешу.

 ● Додатково:

    ○ Тестові приклади кваліфікованого електронного підпису із застосуванням ґеш-функції за ДСТУ 7564:2014.

    ○ В ІКС, які використовують криптобіліотеки ІІТ, мають бути встановлені бібліотеки версії не старішої, ніж від 27.02.2024