В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи"  ^*  приказываю

 ^*  Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; N 27, ст. 3880.

 

утвердить Требования к форме квалифицированного сертификата ключа проверки электронной подписи (прилагаются).

 

Директор

А.БОРТНИКОВ

         

Приложение

к приказу ФСБ России

от 27 декабря 2011 г. N 795

 

I. Общие положения

 

1. Настоящие Требования разработаны в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон).

2. В настоящих Требованиях используются следующие основные понятия, определенные в статье 2 Федерального закона:

1) электронная подпись (далее - ЭП) - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

2) ключ ЭП - уникальная последовательность символов, предназначенная для создания ЭП;

3) ключ проверки ЭП - уникальная последовательность символов, однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП (далее - проверка ЭП);

4) удостоверяющий центр (далее - УЦ) - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки ЭП, а также иные функции, предусмотренные Федеральным законом;

5) сертификат ключа проверки ЭП - электронный документ или документ на бумажном носителе, выданные УЦ либо доверенным лицом УЦ и подтверждающие принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП;

6) квалифицированный сертификат ключа проверки ЭП (далее - квалифицированный сертификат) - сертификат ключа проверки ЭП, выданный аккредитованным УЦ или доверенным лицом аккредитованного УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП (далее - уполномоченный федеральный орган);

7) владелец сертификата ключа проверки ЭП - лицо, которому в установленном Федеральным законом порядке выдан сертификат ключа проверки ЭП;

8) аккредитация УЦ - признание уполномоченным федеральным органом соответствия УЦ требованиям Федерального закона;

9) средства ЭП - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП;

10) средства УЦ - программные и (или) аппаратные средства, используемые для реализации функций УЦ;

11) участники электронного взаимодействия - осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане.

3. Настоящие Требования устанавливают требования к совокупности и порядку расположения полей квалифицированного сертификата (далее - форма квалифицированного сертификата).

4. При включении в состав квалифицированного сертификата дополнительных полей требования к их назначению и расположению в квалифицированном сертификате определяются в техническом задании на разработку (модернизацию) средств УЦ.

 

II. Требования к совокупности полей

квалифицированного сертификата

 

5. Требования к совокупности полей квалифицированного сертификата устанавливаются на основании Федерального закона.

6. В соответствии со статьями 14 и 17 Федерального закона квалифицированный сертификат должен содержать следующую информацию:

- уникальный номер квалифицированного сертификата;

- даты начала и окончания действия квалифицированного сертификата;

- фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата - для физического лица, либо наименование и место нахождения владельца квалифицированного сертификата - для юридического лица, а также в случаях, предусмотренных Федеральным законом, фамилия, имя и отчество (если имеется) физического лица, действующего от имени владельца квалифицированного сертификата - юридического лица на основании учредительных документов юридического лица или доверенности (далее - уполномоченный представитель юридического лица);

- страховой номер индивидуального лицевого счета (далее - СНИЛС) владельца квалифицированного сертификата - для физического лица;

- основной государственный регистрационный номер (далее - ОГРН) владельца квалифицированного сертификата - для юридического лица;

- идентификационный номер налогоплательщика (далее - ИНН) владельца квалифицированного сертификата - для юридического лица;

- ключ проверки ЭП;

- наименование используемого средства ЭП и (или) стандарты, требованиям которых соответствует ключ ЭП и ключ проверки ЭП;

- наименования средств ЭП и средств аккредитованного УЦ, которые использованы для создания ключа ЭП, ключа проверки ЭП, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с Федеральным законом;

- наименование и место нахождения аккредитованного УЦ, который выдал квалифицированный сертификат;

- номер квалифицированного сертификата аккредитованного УЦ;

- ограничения использования квалифицированного сертификата (если такие ограничения установлены).

7. Квалифицированный сертификат должен содержать квалифицированную ЭП аккредитованного УЦ (доверенного лица аккредитованного УЦ, уполномоченного федерального органа), подтверждающую принадлежность ключа проверки ЭП владельцу квалифицированного сертификата.

8. По требованию лица, обратившегося за получением квалифицированного сертификата (далее - заявитель), в квалифицированный сертификат может дополнительно включаться иная информация о владельце квалифицированного сертификата.

Если заявителем представлены в аккредитованный УЦ документы, подтверждающие его право действовать от имени третьих лиц, в квалифицированный сертификат может быть включена информация о таких правомочиях заявителя и сроке их действия.

 

III. Требования к порядку расположения полей

квалифицированного сертификата

 

9. Требования к порядку расположения полей квалифицированного сертификата устанавливаются в соответствии с основами аутентификации в открытых системах  ^* , структурой сертификата открытого ключа и сертификата атрибутов  ^**  и профилем сертификата и списка аннулированных сертификатов  ^*** .

 ^*  Справочно: Основы аутентификации в открытых системах определены в ГОСТ Р ИСО/МЭК 9594-8-98 "Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации".

 ^**  Справочно: Структура сертификата открытого ключа и сертификата атрибутов определена в международном стандарте ISO/IEC 9594-8:2008 "Information technology - Open systems interconnection - The Directory: Public-key and attribute certificate frameworks", опубликованном по адресу в информационно-телекоммуникационной сети Интернет: http://www.itu.int/rec/T-REC-X.509-200811-I/en.

 ^***  Справочно: Профиль сертификата и списка аннулированных сертификатов определен в рекомендациях IETF RFC 5280 (2008) "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", опубликованных по адресу в информационно-телекоммуникационной сети Интернет: http://www. ietf.org/rfc/rfc5280.txt.

 

10. Структура квалифицированного сертификата в форме электронного документа, определенная в соответствии со спецификацией абстрактной синтаксической нотации версии один  ^* , должна иметь следующий общий вид:

 ^*  Справочно: Спецификация абстрактной синтаксической нотации версии один определена в ГОСТ Р ИСО/МЭК 8824-1-2001 "Информационная технология. Абстрактная синтаксическая нотация версии один (АСН.1). Часть 1. Спецификация основной нотации".

 

Certificate ::= SIGNED { SEQUENCE {     version                   [0]    Version DEFAULT v1,     serialNumber                     CertificateSerialNumber,     signature                        AlgorithmIdentifier,     issuer                           Name,     validity                         Validity,     subject                          Name,     subjectPublicKeyInfo             SubjectPublicKeyInfo,     issuerUniqueIdentifier    [1]    IMPLICIT UniqueIdentifier OPTIONAL,     subjectUniqueIdentifier   [2]    IMPLICIT UniqueIdentifier OPTIONAL,     extensions                [3]    Extensions OPTIONAL } }

 

SIGNED { ToBeSigned } ::= SEQUENCE {     toBeSigned                       ToBeSigned,     COMPONENTS OF                    SIGNATURE { ToBeSigned } }

 

SIGNATURE { ToBeSigned }::= SEQUENCE {     algorithmIdentifier              AlgorithmIdentifier,     encrypted                        ENCRYPTED-HASH { ToBeSigned } }

 

ENCRYPTED-HASH { ToBeSigned } ::= BIT STRING (CONSTRAINED BY                                   { ToBeSigned } ).

11. Поле algorithmIdentifier (идентификатор алгоритма) содержит идентификатор криптографического алгоритма, с использованием которого аккредитованный УЦ, доверенное лицо аккредитованного УЦ либо уполномоченный федеральный орган сформировал ЭП настоящего квалифицированного сертификата. Дополнительно могут быть указаны параметры криптографического алгоритма:

AlgorithmIdentifier ::= SEQUENCE {      algorithm  ALGORITHM.&id ( { SupportedAlgorithms } ),      parameters ALGORITHM.&Type ( { SupportedAlgorithms }                                  { @algorithm } )OPTIONAL }.

12. Поле encrypted содержит ЭП, сформированную аккредитованным УЦ, доверенным лицом аккредитованного УЦ либо уполномоченным федеральным органом под структурированной совокупностью полей квалифицированного сертификата (toBeSigned).

13. Поле version (версия) содержит номер версии формата сертификата: Version ::= INTEGER { v1(0), v2(1), v3(2)}.

Ввиду необходимости использования дополнений сертификата значение поля version должно равняться 2.

14. Поле serialNumber (серийный номер) должно содержать положительное целое число, однозначно идентифицирующее квалифицированный сертификат в множестве всех сертификатов, выданных данным аккредитованным УЦ, доверенным лицом аккредитованного УЦ либо уполномоченным федеральным органом:

CertificateSerialNumber ::= INTEGER.

15. Поле signature (подпись) содержит идентификатор криптографического алгоритма, с использованием которого аккредитованный УЦ, доверенное лицо аккредитованного УЦ либо уполномоченный федеральный орган сформировали ЭП данного квалифицированного сертификата. Содержимое данного поля должно совпадать с содержимым поля algorithmIdentifier.

16. Поле issuer (издатель) имеет тип Name и идентифицирует аккредитованный УЦ, доверенное лицо аккредитованного УЦ либо уполномоченный федеральный орган, создавшие и выдавшие данный квалифицированный сертификат. Тип Name описывается следующим образом:

Name ::= CHOICE { rdnSequence RDNSequence } RDNSequence ::= SEQUENCE OF RelativeDistinguishedName RelativeDistinguishedName ::= SET SIZE (1..MAX)OF AttributeTypeAndValue AttributeTypeAndValue ::= SEQUENCE {       type        AttributeType,       value       AttributeValue }

AttributeType ::= OBJECT IDENTIFIER

AttributeValue ::= ANY DEFINED BY AttributeType.

Тип поля value определяется типом атрибута, но в общем случае в качестве AttributeValue выступает тип DirectoryString:

DirectoryString ::= CHOICE {     teletexString     TeletexString (SIZE (1..MAX)),     printableString   PrintableString (SIZE (1..MAX)),     universalString   UniversalString (SIZE (1..MAX)),     utf8String        UTF8String (SIZE (1..MAX)),     bmpString         BMPString (SIZE (1..MAX)) }.

17. Стандартные атрибуты имени описаны в справочнике выбранных типов атрибутов  ^* . При описании формы квалифицированного сертификата используются следующие стандартные атрибуты имени:

 ^*  Справочно: Выбранные типы атрибутов определены в ГОСТ Р ИСО/МЭК 9594-6-98 "Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 6. Выбранные типы атрибутов" и в международном стандарте ISO/IEC 9594-6:2008 "Information technology - Open systems interconnection - The Directory: Selected attribute types", опубликованном по адресу в информационно-телекоммуникационной сети Интернет: http://www.itu.int/rec/T-REC-X.520-200811-I/en.

 

1) commonName (общее имя).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую имя, фамилию и отчество (если имеется) - для физического лица, или наименование - для юридического лица. Объектный идентификатор типа атрибута commonName имеет вид 2.5.4.3;

2) surname (фамилия).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую фамилию физического лица. Объектный идентификатор типа атрибута surname имеет вид 2.5.4.4;

3) givenName (приобретенное имя).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую имя и отчество (если имеется) физического лица. Объектный идентификатор типа атрибута givenName имеет вид 2.5.4.42;

4) countryName (наименование страны).

В качестве значения данного атрибута имени следует использовать двухсимвольный код страны  ^* . Объектный идентификатор типа атрибута countryName имеет вид 2.5.4.6;

 ^*  Справочно: Двухсимвольные коды стран определены в ГОСТ 7.67-2003 (ИСО 3166-1:1997) "Система стандартов по информации, библиотечному и издательскому делу. Коды названий стран".

 

5) stateOrProvinceName (наименование штата или области).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую наименование соответствующего субъекта Российской Федерации. Объектный идентификатор типа атрибута stateOrProvinceName имеет вид 2.5.4.8;

6) localityName (наименование населенного пункта).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую наименование соответствующего населенного пункта. Объектный идентификатор типа атрибута localityName имеет вид 2.5.4.7;

7) streetAddress (название улицы, номер дома).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую часть адреса места нахождения соответствующего лица, включающую наименование улицы, номер дома, а также корпуса, строения, квартиры, помещения (если имеется). Объектный идентификатор типа атрибута streetAddress имеет вид 2.5.4.9;

8) organizationName (наименование организации).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую наименование юридического лица. Объектный идентификатор типа атрибута organizationName имеет вид 2.5.4.10;

9) organizationUnitName (подразделение организации).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую наименование подразделения юридического лица. Объектный идентификатор типа атрибута organizationUnitName имеет вид 2.5.4.11;

10) title (должность).

В качестве значения данного атрибута имени следует использовать текстовую строку, содержащую наименование должности лица. Объектный идентификатор типа атрибута title имеет вид 2.5.4.12.

Для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата рекомендуется использовать стандартные атрибуты имени, описанные в справочнике выбранных типов атрибутов.

18. К дополнительным атрибутам имени, необходимость использования которых устанавливается в соответствии с Федеральным законом, относятся:

1) OGRN (ОГРН).

Значением атрибута OGRN является строка, состоящая из 13 цифр и представляющая ОГРН владельца квалифицированного сертификата - юридического лица. Объектный идентификатор типа атрибута OGRN имеет вид 1.2.643.100.1, тип атрибута OGRN описывается следующим образом:

OGRN ::= NUMERIC STRING SIZE 13;

2) SNILS (СНИЛС).

Значением атрибута SNILS является строка, состоящая из 11 цифр и представляющая СНИЛС владельца квалифицированного сертификата - физического лица. Объектный идентификатор типа атрибута SNILS имеет вид 1.2.643.100.3, тип атрибута SNILS описывается следующим образом: SNILS ::= NUMERIC STRING SIZE 11;

3) INN (ИНН).

Значением атрибута INN является строка, состоящая из 12 цифр и представляющая ИНН владельца квалифицированного сертификата. Объектный идентификатор типа атрибута INN имеет вид 1.2.643.3.131.1.1, тип атрибута INN описывается следующим образом: INN ::= NUMERIC STRING SIZE 12.

19. Поле validity имеет тип Validity и содержит даты начала и окончания действия квалифицированного сертификата. Тип Validity описывается следующим образом:

Validity ::= SEQUENCE {       notBefore        Time,       notAfter         Time }

 

Time ::= CHOICE {       utcTime         UTCTime,       generalTimeGeneralizedTime }.

20. Поле subject имеет тип Name и идентифицирует владельца квалифицированного сертификата.

21. Поле subjectPublicKeyInfo имеет тип SubjectPublicKeyInfo и содержит значение ключа проверки ЭП владельца квалифицированного сертификата, а также идентификатор криптографического алгоритма, с которым должен использоваться данный ключ:

SubjectPublicKeyInfo ::= SEQUENCE {      algorithm              AlgorithmIdentifier,      subjectPublicKey       BIT STRING }.

22. Необязательные поля issuerUniqueIdentifier и subjectUniqueIdentifier имеют тип UniqueIdentifier. Настоящие Требования не устанавливают требований к использованию указанных полей.

23. Дополнительная информация, касающаяся использования квалифицированного сертификата, включается в состав дополнений:

Extensions ::= SEQUENCE {       extnId     EXTENSION.&id ( { ExtensionSet } ),       critical   BOOLEAN DEFAULT FALSE,       extnValue  OCTET STRING }.

Для включения в квалифицированный сертификат иной информации о владельце квалифицированного сертификата, для которой не предусмотрены соответствующие стандартные атрибуты имени, в том числе информации о правомочиях владельца квалифицированного сертификата и сроке их действия, рекомендуется использовать дополнение subjectAlternativeName.

24. Дополнение authorityKeyIdentifier (идентификатор ключа УЦ) имеет тип AuthorityKeyIdentifier, структура которого определяется следующим образом:

AuthorityKeyIdentifier ::= SEQUENCE {         keyIdentifier             [0] KeyIdentifier       OPTIONAL,         authorityCertIssuer       [1] GeneralNames        OPTIONAL,         authorityCertSerialNumber [2] CertificateSerialNumber OPTIONAL }.

В квалифицированном сертификате следует использовать дополнение authorityKeyIdentifier с занесением в поле authorityCertSerialNumber номера соответствующего квалифицированного сертификата аккредитованного УЦ или доверенного лица аккредитованного УЦ либо уполномоченного федерального органа, создавшего исходный квалифицированный сертификат. Объектный идентификатор типа дополнения authorityKeyIdentifier имеет вид 2.5.29.35.

25. Дополнение keyUsage определяет область использования ключа проверки ЭП, содержащегося в поле subjectPublicKeyInfo квалифицированного сертификата. Дополнение keyUsage имеет тип KeyUsage, структура которого определяется следующим образом:

KeyUsage ::= BIT STRING {      digitalSignature   (0),      contentCommitment  (1),