• Нашими кліентами вже стали:
    Ми вже не перший рік надаємо юридичні послуги резидентам та нерезидентам України, і за цей час нашими кліентами стали відомі українські та зарубіжні фірми и корпорації, що підтверджує наш професіоналізм.

Вимоги до формату списку відкликаних сертифікатів, Міністерство юстиції УкраїниЗАТВЕРДЖЕНОЗАТВЕРДЖЕНО Наказ Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України 20.08.2012  № 1236/5/453

    Зареєстровано в Міністерстві юстиції України 20 серпня 2012 р. за № 1400/21712

    ВИМОГИ до формату списку відкликаних сертифікатів

    І. Загальні положення

    1.1. Ці Вимоги визначають формат списку відкликаних сертифікатів.

    1.2. Формати даних представлено у нотації ASN.1, визначеній у міжнародному стандарті ISO/IEC 8824 "Information technology — Open Systems Interconnection — Specification of Abstract Syntax Notation One (ASN.1)" / ДСТУ ISO/ІЕС 8824-3:2008 "Інформаційні технології. Нотація абстрактного синтаксису 1 (ASN.1)" — частина 3. Специфікація обмежень (ISO/IEC 8824-3:2002, IDT), затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 26 грудня 2008 року № 508( v0508609-08 ) (із змінами).

    1.3. Усі структури даних кодують за правилами DER згідно з міжнародним стандартом ISO/IEC 8825-1:2002 "Information technology — ASN.1 Encoding Rules — Part 1: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER)".

    1.4. Ці Вимоги засновані на національному стандарті України ДСТУ ISO/IEC 9594-8:2006 "Інформаційні технології. Взаємозв’язок відкритих систем. Каталог. Частина 8. Основні положення щодо сертифікації відкритих ключів та атрибутів", затвердженому наказом Державного комітету України з питань технічного регулювання та споживчої політики від 27 грудня 2006 року № 374 ( v0374609-06 ) (із змінами), та RFC 5280 "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile".

    1.5. Ці Вимоги не дублюють стандарти ДСТУ ISO/IEC 9594-8:2006 та RFC 5280, а описують положення цих стандартів та формати полів. У разі виникнення розбіжностей між положеннями зазначених стандартів та положеннями цих Вимог застосовуються положення цих Вимог.

    1.6. Положення цих Вимог є обов’язковими для програмно-технічних комплексів акредитованих центрів сертифікації ключів та надійних засобів електронного цифрового підпису. Правильність реалізації формату списку відкликаних сертифікатів у надійних засобах електронного цифрового підпису підтверджується сертифікатом відповідності або позитивним експертним висновком за результатами державної експертизи у сфері криптографічного захисту інформації.

    1.7. Структура та формати кодування деяких полів наведені у Вимогах до формату посиленого сертифіката відкритого ключа, затверджених наказом Міністерства юстиції України, Адміністрації Державної служби спеціального зв’язку та захисту інформації України від 20 серпня 2012 року № 1236/5/453, зареєстрованих у Міністерстві юстиції України 20 серпня 2012 року за № 1398/21710 (далі — Вимоги до формату посиленого сертифіката відкритого ключа).

    ІІ. Подання списку відкликаних сертифікатів

    Список відкликаних сертифікатів (далі — CRL) має таку структуру:

    CertificateList ::= SEQUENCE {

    tbsCertList

    TBSCertList,

    signatureAlgorithm

    AlgorithmIdentifier,

    signatureValue

    BIT STRING }

    Поле "TBSCertList" є частиною CRL, що кодується за правилами DER та на яку за допомогою особистого ключа центрального засвідчувального органу, засвідчувального центру, акредитованого центру сертифікації ключів (далі — Центр) накладається електронний цифровий підпис (далі — ЕЦП).

    Ідентифікатор криптоалгоритму ЕЦП міститься у полі "signatureAlgorithm". Значення ЕЦП містить поле "signatureValue".

    Формат полів "signatureAlgorithm" та "signatureValue" відповідає форматам полів "signatureAlgorithm" та "signatureValue", визначеним для сертифіката та наведеним у Вимогах до формату посиленого сертифіката відкритого ключа.

    ІІІ. Структура TBSCertList списку відкликаних сертифікатів

    3.1. Поле "TBSCertList "має таку структуру:

    TBSCertList ::= SEQUENCE {

    Version

    Version OPTIONAL,

    signature

    AlgoritmIdentifier,

    issuer

    Name,

    thisUpdate

    Time,

    nextUpdate

    Time,

    revokedCertificates

    SEQUENCE OF SEQUENCE {

    userCertificates

    CertificatesSerialnumber,

    revocationDate

    Time,

    crlEntryExtensions

    Extensions OPTIONAL} OPTIONAL,

    crlExtensions [0] EXPLICIT Extensions OPTIONAL}

    Опис структури наведено в таблиці 1.

    Таблиця 1

    Назва поля англійською мовою

    Назва поля українською мовою

    Інформаційні поля CRL

    Version

  1. номер версії
  2. signature

  3. алгоритм ЕЦП
  4. issuer

  5. реквізити Центру
  6. thisUpdate

  7. час формування CRL
  8. nextUpdate

  9. час наступного формування CRL
  10. Елементи CRL, що містять інформацію про скасовані, блоковані та поновлені сертифікати (revokedCertificates)

    revokedCertificates

  11. елементи CRL
  12. userCertificate

  13. унікальний реєстраційний номер сертифіката
  14. revocationDate

  15. час відкликання сертифіката
  16. Розширення елементів CRL (crlEntryExtension)

    ReasonCode

  17. причина відкликання сертифіката
  18. InvalidityDate

  19. час компрометації особистого ключа
  20. Розширення CRL (crlExtensions)

    AuthorityKeyIdentifier

    ідентифікатор відкритого ключа Центру

    CRLNumber

  21. серійний номер CRL
  22. СRLDistributionPoints (CDP)

  23. точки розповсюдження CRL
  24. AuthorityInformationAccess (AIA)

  25. доступ до інформації Центру
  26. Додаткові розширення-1

    Розширення повного CRL (CompleteCRL)

    FreshestCRL

  27. точка розповсюдження часткового CRL
  28. Розширення часткового CRL (DeltaCRL)

    DeltaCRLIndicator

  29. серійний номер повного CRL
  30. -1 У разі використання повного та часткового CRL.

    3.2. Поле "Номер версії" ("Version") містить значення 1 (1 байт), яке означає, що формат CRL відповідає версії 2 згідно із стандартом ДСТУ ISO/IEC 9594-8:2006.

    3.3. Поле "Алгоритм електронного цифрового підпису" ("signature") містить тільки ідентифікатор криптоалгоритму, що використовується Центром для накладення ЕЦП на CRL.

    Формат та значення поля "signature" відповідають формату та значенню поля "signatureAlgorithm", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

    3.4. Поле "Реквізити Центру" ("issuer") містить найменування та реквізити Центру, який сформував CRL.

    Формат та значення поля "issuer" відповідають формату та значенню поля "subject" сертифіката Центру, що сформував CRL, наведеним у Вимогах до формату посиленого сертифіката відкритого ключа.

    3.5. Поле "Час формування CRL" ("thisUpdate") містить дату і час формування CRL Центром.

    Формат поля "thisUpdate" відповідає формату поля "Time", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

    3.6. Поле "Час наступного формування CRL" ("nextUpdate") містить дату і час наступного формування CRL Центром.

    Дане поле є обов’язковим.

    Формат поля "nextUpdate" відповідає формату поля "Time", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

    3.7. Елементи CRL.

    3.7.1. Поле "Елементи CRL" ("revokedCertificates") містить інформацію про скасовані, блоковані та поновлені сертифікати.

    3.7.2. Формат поля "Унікальний реєстраційний номер сертифіката" ("userCertificate") повинен відповідати формату поля "serialNumber", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

    3.7.3. Поле "Час відкликання сертифіката" ("revocationDate") містить дату і час відкликання (скасування, блокування та поновлення) сертифіката.

    Формат поля "revocationDate" відповідає формату поля "Time", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

    3.8. Розширення елементів CRL.

    Для уточнення відомостей про відкликані сертифікати Центр може включати до елементів CRL додаткові дані, що розташовуються у розширеннях (поле "crlEntryExtensions").

    Формат поля "crlEntryExtensions" відповідає типу "Extensions", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

    Об’єктні ідентифікатори розширень визначаються за допомогою ідентифікатора:

    id-ce OBJECT IDENTIFIER ::= { joint-iso-ccitt(2) ds(5) 29 }

    Цими Вимогами визначаються такі розширення елементів списку:

    "Причина відкликання сертифіката";

    "Час компрометації особистого ключа".

    3.8.1. Розширення "Причина відкликання сертифіката" ("reasonCode") уточнює причину відкликання сертифіката і повинно бути визначене як некритичне.

    Дане розширення є обов’язковим.

    id-ce-crlReasons OBJECT IDENTIFIER ::= {id-ce 21}

    Коди причин відкликання сертифіката:

    CRLReason::= ENUMERATED {

    unspecified

    (0),

  31. причина не визначена
  32. keyCompromise

    (1),

  33. компрометація особистого ключа
  34. cACompromise

    (2),

  35. компрометація особистого ключа акредитованого центру
  36. affiliationChanged

    (3),

  37. зміна даних про власника сертифіката
  38. superseded

    (4),

  39. сертифікат ключа замінений
  40. cessationOfOperation

    (5),

  41. припинення операцій1
  42. certificateHold

    (6),

  43. сертифікат ключа блоковано
  44. removeFromCRL

    (8),

  45. сертифікат ключа поновлено
  46. privilegeWithdrawn

    (9) }

  47. повноваження скасовано-2 }
  48. -1 cessationOfOperation — вказує, що сертифікат більше не потрібний для мети, для якої був виданий, але немає причин підозрювати, що особистий ключ був скомпрометований.

    -2 privilegeWithdrawn — вказує, що сертифікат був анульований, тому що було скасовано (відкликано) повноваження, що міститься в цьому сертифікаті.

    3.8.2. Розширення "Час компрометації особистого ключа" ("іnvalidityDate") містить час, коли стало відомо про компрометацію ключа або про втрату чинності сертифіката. Розширення визначається як некритичне.

    Дане розширення є обов’язковим.

    id-ce-invalidityDate OBJECT IDENTIFIER ::= { id-ce 24 }

    invalidityDate ::= GeneralizedTime

    3.9. Розширення CRL.

    Для уточнення відомостей про CRL Центр може включати додаткові дані, що розташовуються у розширеннях (поле "crlExtensions").

    Формат поля "crlExtensions" відповідає типу "Extensions", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

    Цими Вимогами визначаються такі розширення CRL:

    "Ідентифікатор відкритого ключа Центру";

    "Серійний номер CRL";

    "Точки розповсюдження CRL";

    "Доступ до інформації центру сертифікації".

    3.9.1. Розширення "Ідентифікатор відкритого ключа Центру" ("authorityKeyIdentifier") використовується для ідентифікації відкритого ключа, що відповідає особистому ключу, за допомогою якого Центр здійснює накладання ЕЦП на CRL.

    Дане розширення є обов’язковим та некритичним.

    Формат розширення "authorityKeyIdentifier" відповідає формату розширення "authoritykeyidentifier", визначеному для сертифіката та наведеному у Вимогах до формату посиленого сертифіката відкритого ключа.

    3.9.2. Розширення "Серійний номер CRL" ("CRLNumber") повинно бути визначено як некритичне, а його значення повинно бути додатним цілим числом, що не перевищує 20 байт (1 <= CRLNumber < 2-160).

    Дане розширення є обов’язковим.

    Центр забезпечує унікальні серійні номери для кожного опублікованого CRL у наростаючому порядку.

    id-ce- OBJECT IDENTIFIER ::= { id-ce 20 }

    CRLNumber ::= INTEGER (0…MAX).

    3.9.3. Розширення "Точки розповсюдження CRL" ("cRLDistributionPoints") визначає загальнодоступну точку розповсюдження даного CRL.

    Дане розширення є необов’язковим та некритичним.

    id-ce-cRLDistributionPoints OBJECT IDENTIFIER::= {id-ce 31} CRLDistributionPoints::= SEQUENCE SIZE (1.. MAX) OF DistributionPoint

    DistributionPoint::= SEQUENCE {

    distributionPoint

    [0]

    DistributionPointName OPTIONAL,

    reasons

    [1]

    ReasonFlags OPTIONAL,

    СRLIssuer

    [2]

    GeneralNames OPTIONAL}

    Поля "reasons" та "cRLIssuer" не використовуються.

    Розширення "cRLDistributionPoints" описане у Вимогах до формату посиленого сертифіката відкритого ключа.

    Значення поля "distributionPoint" повинно відповідати розширенню "cRLDistributionPoints" у сертифікатах даного Центру.

    3.9.4. Розширення "Доступ до інформації Центру" ("AuthorityInfoAccess") призначається для визначення місця розташування (доступу) для отримання сертифіката підпису CRL.

    id-pe-authorityInfoAccess OBJECT IDENTIFIER ::= { id-pe 1 }

    AuthorityInfoAccessSyntax ::=

    SEQUENCE SIZE (1..MAX) OF AccessDescription

    AccessDescription ::= SEQUENCE {

    accessMethod

    OBJECT IDENTIFIER,

    accessLocation

    GeneralName }

    id-pkix OBJECT IDENTIFIER ::=

    { iso(1) identified-organization(3) dod(6) internet(1)

    security(5) mechanisms(5) pkix(7) }

    -- PKIX arcs

    id-pe OBJECT IDENTIFIER ::= { id-pkix 1 } id-ad OBJECT IDENTIFIER ::= { id-pkix 48 }

    id-ad-caIssuers OBJECT IDENTIFIER ::= { id-ad 2 }

    Дане розширення є некритичним.

    Це розширення є обов’язковим за умови використання для підпису CRL ключа, відмінного від ключа підпису сертифікатів, та повинно включати щонайменше одне поле "AccessDescription" із зазначенням методу доступу accessMethod = id-ad-caIssuers.

    Об’єктний ідентифікатор "id-ad-caIssuers" використовується для отримання сертифіката, який можна використовувати для перевірки підпису на CRL.

    Поле "AccessDescription" повинно мати значення accessLocation, яке відповідає точці доступу до сертифіката відкритого ключа, відповідного особистому ключу, за допомогою якого накладено ЕЦП на CRL, у вигляді HTTP або LDAP URI.

    3.9.5. Розширення "Точка розповсюдження часткового CRL" ("freshestCRL") визначає місце розташування часткового CRL.

    Дане розширення є необов’язковим та некритичним.

    freshestCRL EXTENSION ::= {

    SYNTAX CRLDistPointsSyntax IDENTIFIED BY id-ce-freshestCRL }

    id-ce-freshestCRL OBJECT IDENTIFIER ::= {id-ce 46}

    CRLDistPointsSyntax ::= SEQUENCE SIZE (1..MAX) OF DistributionPoint

    DistributionPoint ::= SEQUENCE {

    distributionPoint

    [0]

    DistributionPointName,

    reasons

    [1]

    ReasonFlags OPTIONAL,

    СRLIssuer

    [2]

    GeneralNames OPTIONAL}

    Значення типу "DistributionPointName" визначено в розширенні "Точка розповсюдження CRL".

    Поля "reasons та "cRLIssuer" не використовуються.

    IV. Частковий CRL

    4.1. Часткові CRL (DeltaCRL) використовуються для доповнення відомостей про зміни статусів сертифікатів, що відбулись після останньої публікації повного CRL.

    Використання часткових CRL (DeltaCRL) Центрами є необов’язковим.

    4.2. Структура та формат часткового CRL.

    Структура та формат часткового CRL відповідають структурі та формату повного CRL, крім додаткових розширень елементів "CRL freshestCRL", які в частковому CRL не використовуються, та розширення "deltaCRLIndicator", яке у частковому CRL є обов’язковим.

    4.3. Розширення часткового CRL.

    Розширення "Серійний номер повного CRL" ("deltaCRLIndicator") є ознакою часткового CRL і повинно бути визначене як критичне. Значенням цього розширення є серійний номер повного CRL, дані якого оновлюються у частковому CRL.

    id-ce-deltaCRLIndicator OBJECT IDENTIFIER ::= { id-ce 27 }

    BaseCRLNumber ::= CRLNumber

    4.4. Особливості використання часткового CRL.

    Серійні номери часткових CRL повинні включатись у загальну послідовність серійних номерів CRL Центру.

    Директор Департаменту нотаріату, банкрутства та функціонування центрального засвідчувального органу Міністерства юстиції України

    К.І. Чижмарь

    Директор Департаменту криптографічного захисту інформації Адміністрації Державної служби спеціального зв’язку та захисту інформації України

    А.І. Пушкарьов

    Юридичний портал Справедливість

    Рейтинг: 4.5/5, базується на 12 голосах.
    Юридичні новини
      В МВФ призвали Украину повысить ...

      В МВФ призвали Украину повысить тарифы в нефтегазовом секторе Украине следует повысить тарифы в нефтегазовом секторе. Об этом на Международном инвестиционном форуме в Киеве заявил постоянный представитель МВФ на Украине Жером Ваше.

      На Дніпропетровщині пройшла акція ...

      На Дніпропетровщині пройшла акція «Стань помітним у темряві – врятуй своє життя!» З метою розяснення маленьким пішоходам та їх батькам правила поведінки на дорозі в темну пору доби, працівники сектору профілактичної роботи відділу ДАІ з обслуговування міста Кривий Ріг провели ...

      Найголовніше навчити дітей дотримуватися ...

      Найголовніше навчити дітей дотримуватися Правил дорожнього руху і використовувати світловідбиваючі елементи В Управлінні Державтоінспекції Миколаївської області відбулася прес-конференція на тему Стан аварійності за участю, з вини дітей і пішоходів.

    Це буде Вам цікаво:

    Компания HP намерена взыскать с компании Oracle $4 млрд за отказ сотрудничать

    Компания Hewlett-Packard планирует взыскать с компании Oracle ущерб в размере 4,0-4,2 млрд долларов с компании Oracle за отказ последней от поддержки процессорной архитектуры Itanium. С таким ...

    В Генпрокуратуре предложили смягчить меру пресечения задержанным за массовые беспорядки на ул. Грушевского

    Генеральный прокурор Украины Виктор Пшонка обратился к общественности в связи с тревожными событиями в столице. В своем заявлении он выразил обеспокоенность ситуацией и еще раз призвал митингующих ...

    Контакти

    (044)

       Якщо Ви потребуєте допомоги юриста, кваліфікованого адвоката, чи будь-якої юридичної послуги, зателефонуйте до нас за вищевказаним телефоном; ми зробимо все можливе, щоб Вам допомогти!

       Або, якщо у Вас немає змоги зв'язатись із нами, заповніть форму нижче і ми Вам зателефонуємо:

    Наші Послуги

    Юридичні консультації
    Безкоштовна і на платній основі допомога юристів по Україні
    Послуги в суді
    Представництво інтересів клієнтів у суді, складання процесуальних документів
    Адвокат із карних справ
    Допомога адвоката у кримінальних справах, участь у допитах
    Послуги сімейного адвоката
    Юрист по сімейним питанням надасть повний спектр послуг
    Юридична допомога
    Консультації від юристів по питанням будь-якої складності
    Спадкові справи
    Оформлення спадщини, поновлення строків на спадок, спадкування через суд
    Реєстрація підприємств
    Реєстрація ТОВ, ПП та ліквідація ФОП, послуги для бізнесу
    Юридична адреса
    Юридичні адреси у всіх районах Києва та у містах області
    Адвокат у кримінальній справі
    Адвокат надасть послуги із кримінального права за помірну ціну у всіх областях України
    Сімейний адвокат
    Спадщина, розлучення, розподіл майна, місцепроживання дитини
    Автоадвокат
    Захист автовласників, допомога юриста та адвоката по ДТП, судові спори зі страховою компанією, відшкодування збитків, послуги автоексперта

    Наші Вакансії

    Вакансія юриста
    Вільні вакансії на посади молодшого юриста та юриста в юридичній компанії

    Суди Києва

    Голосіївський районний суд
    Голосіївський суд, м.Київ: новини, адреса, реквізити тощо.
    Дарницкий районний суд
    Дарницкий суд, м.Київ: новини, адреса, реквізити тощо.
    Деснянский районний суд
    Деснянский суд, м.Київ: новини, адреса, реквізити тощо.
    Дніпровский районний суд
    Дніпровский суд, м.Київ: новини, адреса, реквізити тощо.
    Оболонський районний суд
    Оболонський суд, м.Київ: новини, адреса, реквізити тощо.
    Печерський районний суд
    Печерський суд, м.Київ: новини, адреса, реквізити тощо.
    Подільський районний суд
    Подільський суд, м.Київ: новини, адреса, реквізити тощо.
    Святошинський районний суд
    Святошинський суд, м.Київ: новини, адреса, реквізити тощо.
    Солом'янський районний суд
    Солом'янський суд, м.Київ: новини, адреса, реквізити тощо.
    Шевченківський районний суд
    Шевченківський суд, м.Київ: новини, адреса, реквізити тощо.
    35cb4f48bd529bcedde62c8e21cb9aaa