31 July 2017
Про затвердження Змін до Регламенту роботи ЦЗО
МІНІСТЕРСТВО ЮСТИЦІЇ УКРАЇНИ
НАКАЗ
18.07.2017 м. Київ № 2285/5
Зареєстровано
в Міністерстві юстиції України
20 липня 2017 р. за № 881/30749
Про затвердження Змін до
Регламенту роботи центрального
засвідчувального органу
Відповідно до підпунктів 76, 77 пункту 4 Положення про Міністерство юстиції України, затвердженого постановою Кабінету Міністрів України від 02 липня 2014 року № 228, Положення про центральний засвідчувальний орган, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року № 1451, Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року № 903, та з метою встановлення вимог до параметрів міжнародних алгоритмів криптографічного захисту інформації для самопідписаного сертифіката центрального засвідчувального органу
НАКАЗУЮ:
- Затвердити Зміни до Регламенту роботи центрального засвідчувального органу, затвердженого наказом Міністерства юстиції України від 29 січня 2013 року № 183/5, зареєстрованого в Міністерстві юстиції України 30 січня 2013 року за № 191/22723, що додаються.
- Департаменту приватного права (Ференс О.М.) подати цей наказ на державну реєстрацію відповідно до Указу Президента України від 03 жовтня 1992 року № 493 «Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади».
- Цей наказ набирає чинності з дня його офіційного опублікування.
- Контроль за виконанням цього наказу покласти на першого заступника Міністра юстиції України Севостьянову Н.І.
ЗАТВЕРДЖЕНО
Наказ Міністерства юстиції України
від 18.07.2017 №2285/5
Зареєстровано в Міністерстві юстиції України
20 липня 2017 р. за № 881/30749
ЗМІНИ
до Регламенту роботи центрального засвідчувального органу
- Пункт 2.2 розділу ІІ після слів «для формування сертифікатів ключів підписувачів, СВС» доповнити словами
«, надання послуг фіксування часу». - Абзац перший пункту 1.12 глави 1 розділу V замінити новими абзацами першим – шостим такого змісту:
«1.12. Центри використовують пари (особистих та відкритих) ключів за призначенням (сферою використання) відповідно до стандартів, рекомендацій, технічних специфікацій та алгоритмів, визначених у Вимогах до формату посиленого сертифіката відкритого ключа, затверджених Наказом.
Під час формування сертифікатів відкритих ключів підписувачів Центри повинні використовувати пари (особистих та відкритих) ключів з такими параметрами:
зі ступенем розширення основного поля еліптичної кривої згідно з ДСТУ 4145-2002 «Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих», затвердженим наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року № 31 (далі – ДСТУ 4145-2002), не менше 257;
зі ступенем розширення основного поля еліптичної кривої не менше 256 для алгоритму ECDSA згідно з ДСТУ ISO/IEC 14888-3:2014 «Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі сертифікатів»;
з довжиною ключа не менше 4096 біт для алгоритму RSA відповідно до RFC 3447 «Public-Key Cryptography Standards (PKCS) № 1: RSA Cryptography Specifications Version 2.1».
Для обчислення значення геш-функції використовуються алгоритми, визначені Вимогами до формату посиленого сертифіката відкритого ключа, затвердженими Наказом.».
- Главу 1 розділу VIІ викласти в такій редакції:
«1. Загальні положення
1.1. В ІКС ЦЗО використовуються особисті та відповідні їм відкриті ключі за призначенням (сферою використання) відповідно до стандартів, рекомендацій, технічних специфікацій та алгоритмів, визначених у Вимогах до формату посиленого сертифіката відкритого ключа, затверджених Наказом, із такими параметрами:
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС зі ступенем розширення основного поля еліптичної кривої не менше 431 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002; особисті та відповідні їм відкриті ключі шлюзів захисту мережевих з’єднань та шифраторів мережевого потоку зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі адміністраторів, що використовуються для криптографічного захисту мережевих з’єднань, зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів, СВС та на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зі ступенем розширення основного поля еліптичної кривої не менше 256 для алгоритму ECDSA згідно з ДСТУISO/IEC 14888-3:2014 «Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі сертифікатів»;
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів, СВС та на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, з довжиною ключа не менше 4096 біт для алгоритму RSA відповідно до RFC 3447 «Public-Key Cryptography Standards (PKCS) № 1: RSA Cryptography Specifications Version 2.1».
1.2. Процедури генерації особистих та відповідних їм відкритих ключів, що використовуються в ІКС ЦЗО, створення резервних копій, відновлення з резервних копій, використання та знищення особистих ключів, що використовуються в ІКС ЦЗО, здійснюються в частині, що не суперечить вимогам цього Регламенту, відповідно до положень інструкції із забезпечення безпеки експлуатації засобу криптографічного захисту інформації та інструкції щодо порядку генерації ключових даних і поводження (обліку, зберігання, знищення) з ключовими документами, передбачених Положенням про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженим наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 року № 141, зареєстрованим у Міністерстві юстиції України 30 липня 2007 року за № 862/14129 (у редакції наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 14 грудня 2015 року № 767), до відповідних засобів криптографічного захисту інформації (далі – КЗІ) зі складу ІКС ЦЗО, які погоджуються з Адміністрацією Державної служби спеціального зв’язку та захисту інформації України.».