МІНІСТЕРСТВО ЮСТИЦІЇ УКРАЇНИ
НАКАЗ
18.07.2017 N 2285/5
Зареєстровано
в Міністерстві юстиції України
20 липня 2017 р. за N 881/30749
Про затвердження Змін до Регламенту
роботи центрального засвідчувального органу
Відповідно до підпунктів 76, 77 пункту 4 Положення про Міністерство юстиції України, затвердженого постановою Кабінету Міністрів України від 02 липня 2014 року N 228, Положення про центральний засвідчувальний орган, затвердженого постановою Кабінету Міністрів України від 28 жовтня 2004 року N 1451, Порядку акредитації центру сертифікації ключів, затвердженого постановою Кабінету Міністрів України від 13 липня 2004 року N 903, та з метою встановлення вимог до параметрів міжнародних алгоритмів криптографічного захисту інформації для самопідписаного сертифіката центрального засвідчувального органу НАКАЗУЮ:
1. Затвердити Зміни до Регламенту роботи центрального засвідчувального органу, затвердженого наказом Міністерства юстиції України від 29 січня 2013 року N 183/5, зареєстрованого в Міністерстві юстиції України 30 січня 2013 року за N 191/22723, що додаються.
2. Департаменту приватного права (Ференс О.М.) подати цей наказ на державну реєстрацію відповідно до Указу Президента України від 03 жовтня 1992 року N 493 "Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади".
3. Цей наказ набирає чинності з дня його офіційного опублікування.
4. Контроль за виконанням цього наказу покласти на першого заступника Міністра юстиції України Севостьянову Н.І.
Міністр П. Петренко
Затверджено
Наказ Міністерства юстиції України
18.07.2017 N 2285/5
Зареєстровано
в Міністерстві юстиції України
20 липня 2017 р. за N 881/30749
Зміни
до Регламенту роботи центрального засвідчувального органу
1. Пункт 2.2 розділу ІІ після слів "для формування сертифікатів ключів підписувачів, СВС" доповнити словами ", надання послуг фіксування часу".
2. Абзац перший пункту 1.12 глави 1 розділу V замінити новими абзацами першим - шостим такого змісту:
"1.12. Центри використовують пари (особистих та відкритих) ключів за призначенням (сферою використання) відповідно до стандартів, рекомендацій, технічних специфікацій та алгоритмів, визначених у Вимогах до формату посиленого сертифіката відкритого ключа, затверджених Наказом.
Під час формування сертифікатів відкритих ключів підписувачів Центри повинні використовувати пари (особистих та відкритих) ключів з такими параметрами:
зі ступенем розширення основного поля еліптичної кривої згідно з ДСТУ 4145-2002 "Інформаційна технологія. Криптографічний захист інформації. Електронний цифровий підпис, що ґрунтується на еліптичних кривих", затвердженим наказом Державного комітету України з питань технічного регулювання та споживчої політики від 28 грудня 2002 року N 31 (далі - ДСТУ 4145-2002), не менше 257;
зі ступенем розширення основного поля еліптичної кривої не менше 256 для алгоритму ECDSA згідно з ДСТУ ISO/IEC 14888-3:2014 "Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі сертифікатів";
з довжиною ключа не менше 4096 біт для алгоритму RSA відповідно до RFC 3447 "Public-Key Cryptography Standards (PKCS) N 1: RSA Cryptography Specifications Version 2.1".
Для обчислення значення геш-функції використовуються алгоритми, визначені Вимогами до формату посиленого сертифіката відкритого ключа, затвердженими Наказом.".
3. Главу 1 розділу VIІ викласти в такій редакції:
"1. Загальні положення
1.1. В ІТС ЦЗО використовуються особисті та відповідні їм відкриті ключі за призначенням (сферою використання) відповідно до стандартів, рекомендацій, технічних специфікацій та алгоритмів, визначених у Вимогах до формату посиленого сертифіката відкритого ключа, затверджених Наказом, із такими параметрами:
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів та СВС зі ступенем розширення основного поля еліптичної кривої не менше 431 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі шлюзів захисту мережевих з’єднань та шифраторів мережевого потоку зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі адміністраторів, що використовуються для криптографічного захисту мережевих з’єднань, зі ступенем розширення основного поля еліптичної кривої не менше 257 згідно з ДСТУ 4145-2002;
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів, СВС та на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, зі ступенем розширення основного поля еліптичної кривої не менше 256 для алгоритму ECDSA згідно з ДСТУISO/IEC 14888-3:2014 "Інформаційні технології. Методи захисту. Цифрові підписи з доповненням. Частина 3. Механізми на основі сертифікатів";
особисті та відповідні їм відкриті ключі ЦЗО для накладення та перевірки ЕЦП на сертифікатах ключів ЦЗО, Центрів, СВС та на даних про статус сертифікатів ключів Центрів, що визначається в режимі реального часу, з довжиною ключа не менше 4096 біт для алгоритму RSA відповідно до RFC 3447 "Public-Key Cryptography Standards (PKCS) N 1: RSA Cryptography Specifications Version 2.1".
1.2. Процедури генерації особистих та відповідних їм відкритих ключів, що використовуються в ІТС ЦЗО, створення резервних копій, відновлення з резервних копій, використання та знищення особистих ключів, що використовуються в ІТС ЦЗО, здійснюються в частині, що не суперечить вимогам цього Регламенту, відповідно до положень інструкції із забезпечення безпеки експлуатації засобу криптографічного захисту інформації та інструкції щодо порядку генерації ключових даних і поводження (обліку, зберігання, знищення) з ключовими документами, передбачених Положенням про порядок розроблення, виробництва та експлуатації засобів криптографічного захисту інформації, затвердженим наказом Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 липня 2007 року N 141, зареєстрованим у Міністерстві юстиції України 30 липня 2007 року за N 862/14129 (у редакції наказу Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 14 грудня 2015 року N 767), до відповідних засобів криптографічного захисту інформації (далі - КЗІ) зі складу ІТС ЦЗО, які погоджуються з Адміністрацією Державної служби спеціального зв’язку та захисту інформації України.".
Директор Департаменту приватного права О. Ференс