ѕриказ ‘—Ѕ –‘ от 27.12.2011 г. N 795 "ќб утверждении “ребований к форме квалифицированного сертификата ключа проверки электронной подписи"

—сылка скопирована в буфер обмена

‘≈ƒ≈–јЋ№Ќјя —Ћ”∆Ѕј Ѕ≈«ќѕј—Ќќ—“» –ќ——»…— ќ… ‘≈ƒ≈–ј÷»»

ѕ–» ј«

от 27 декабр€ 2011 г. N 795


ќЅ ”“¬≈–∆ƒ≈Ќ»» “–≈Ѕќ¬јЌ»…   ‘ќ–ћ≈  ¬јЋ»‘»÷»–ќ¬јЌЌќ√ќ —≈–“»‘» ј“ј  Ћё„ј ѕ–ќ¬≈– » ЁЋ≈ “–ќЌЌќ… ѕќƒѕ»—»

¬ соответствии с частью 5 статьи 8 ‘едерального закона от 6 апрел€ 2011 г. N 63-‘« "ќб электронной подписи" <*> приказываю

--------------------------------
<*> —обрание законодательства –оссийской ‘едерации, 2011, N 15, ст. 2036; N 27, ст. 3880.

 

утвердить “ребовани€ к форме квалифицированного сертификата ключа проверки электронной подписи (прилагаютс€).

 

ƒиректор
ј.Ѕќ–“Ќ» ќ¬

 

 

 

ѕриложение
к приказу ‘—Ѕ –оссии
от 27 декабр€ 2011 г. N 795

 

“–≈Ѕќ¬јЌ»я
  ‘ќ–ћ≈  ¬јЋ»‘»÷»–ќ¬јЌЌќ√ќ —≈–“»‘» ј“ј  Ћё„ј ѕ–ќ¬≈– »
ЁЋ≈ “–ќЌЌќ… ѕќƒѕ»—»

 

I. ќбщие положени€

1. Ќасто€щие “ребовани€ разработаны в соответствии с ‘едеральным законом от 6 апрел€ 2011 г. N 63-‘« "ќб электронной подписи" (далее - ‘едеральный закон).

2. ¬ насто€щих “ребовани€х используютс€ следующие основные пон€ти€, определенные в статье 2 ‘едерального закона:

1) электронна€ подпись (далее - Ёѕ) - информаци€ в электронной форме, котора€ присоединена к другой информации в электронной форме (подписываемой информации) или иным образом св€зана с такой информацией и котора€ используетс€ дл€ определени€ лица, подписывающего информацию;

2) ключ Ёѕ - уникальна€ последовательность символов, предназначенна€ дл€ создани€ Ёѕ;

3) ключ проверки Ёѕ - уникальна€ последовательность символов, однозначно св€занна€ с ключом Ёѕ и предназначенна€ дл€ проверки подлинности Ёѕ (далее - проверка Ёѕ);

4) удостовер€ющий центр (далее - ”÷) - юридическое лицо или индивидуальный предприниматель, осуществл€ющие функции по созданию и выдаче сертификатов ключей проверки Ёѕ, а также иные функции, предусмотренные ‘едеральным законом;

5) сертификат ключа проверки Ёѕ - электронный документ или документ на бумажном носителе, выданные ”÷ либо доверенным лицом ”÷ и подтверждающие принадлежность ключа проверки Ёѕ владельцу сертификата ключа проверки Ёѕ;

6) квалифицированный сертификат ключа проверки Ёѕ (далее - квалифицированный сертификат) - сертификат ключа проверки Ёѕ, выданный аккредитованным ”÷ или доверенным лицом аккредитованного ”÷ либо федеральным органом исполнительной власти, уполномоченным в сфере использовани€ Ёѕ (далее - уполномоченный федеральный орган);

7) владелец сертификата ключа проверки Ёѕ - лицо, которому в установленном ‘едеральным законом пор€дке выдан сертификат ключа проверки Ёѕ;

8) аккредитаци€ ”÷ - признание уполномоченным федеральным органом соответстви€ ”÷ требовани€м ‘едерального закона;

9) средства Ёѕ - шифровальные (криптографические) средства, используемые дл€ реализации хот€ бы одной из следующих функций - создание Ёѕ, проверка Ёѕ, создание ключа Ёѕ и ключа проверки Ёѕ;

10) средства ”÷ - программные и (или) аппаратные средства, используемые дл€ реализации функций ”÷;

11) участники электронного взаимодействи€ - осуществл€ющие обмен информацией в электронной форме государственные органы, органы местного самоуправлени€, организации, а также граждане.

3. Ќасто€щие “ребовани€ устанавливают требовани€ к совокупности и пор€дку расположени€ полей квалифицированного сертификата (далее - форма квалифицированного сертификата).

4. ѕри включении в состав квалифицированного сертификата дополнительных полей требовани€ к их назначению и расположению в квалифицированном сертификате определ€ютс€ в техническом задании на разработку (модернизацию) средств ”÷.

 

II. “ребовани€ к совокупности полей
квалифицированного сертификата

5. “ребовани€ к совокупности полей квалифицированного сертификата устанавливаютс€ на основании ‘едерального закона.

6. ¬ соответствии со стать€ми 14 и 17 ‘едерального закона квалифицированный сертификат должен содержать следующую информацию:

- уникальный номер квалифицированного сертификата;

- даты начала и окончани€ действи€ квалифицированного сертификата;

- фамили€, им€ и отчество (если имеетс€) владельца квалифицированного сертификата - дл€ физического лица, либо наименование и место нахождени€ владельца квалифицированного сертификата - дл€ юридического лица, а также в случа€х, предусмотренных ‘едеральным законом, фамили€, им€ и отчество (если имеетс€) физического лица, действующего от имени владельца квалифицированного сертификата - юридического лица на основании учредительных документов юридического лица или доверенности (далее - уполномоченный представитель юридического лица);

- страховой номер индивидуального лицевого счета (далее - —Ќ»Ћ—) владельца квалифицированного сертификата - дл€ физического лица;

- основной государственный регистрационный номер (далее - ќ√–Ќ) владельца квалифицированного сертификата - дл€ юридического лица;

- идентификационный номер налогоплательщика (далее - »ЌЌ) владельца квалифицированного сертификата - дл€ юридического лица;

- ключ проверки Ёѕ;

- наименование используемого средства Ёѕ и (или) стандарты, требовани€м которых соответствует ключ Ёѕ и ключ проверки Ёѕ;

- наименовани€ средств Ёѕ и средств аккредитованного ”÷, которые использованы дл€ создани€ ключа Ёѕ, ключа проверки Ёѕ, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требовани€м, установленным в соответствии с ‘едеральным законом;

- наименование и место нахождени€ аккредитованного ”÷, который выдал квалифицированный сертификат;

- номер квалифицированного сертификата аккредитованного ”÷;

- ограничени€ использовани€ квалифицированного сертификата (если такие ограничени€ установлены).

7.  валифицированный сертификат должен содержать квалифицированную Ёѕ аккредитованного ”÷ (доверенного лица аккредитованного ”÷, уполномоченного федерального органа), подтверждающую принадлежность ключа проверки Ёѕ владельцу квалифицированного сертификата.

8. ѕо требованию лица, обратившегос€ за получением квалифицированного сертификата (далее - за€витель), в квалифицированный сертификат может дополнительно включатьс€ ина€ информаци€ о владельце квалифицированного сертификата.

≈сли за€вителем представлены в аккредитованный ”÷ документы, подтверждающие его право действовать от имени третьих лиц, в квалифицированный сертификат может быть включена информаци€ о таких правомочи€х за€вител€ и сроке их действи€.

 

III. “ребовани€ к пор€дку расположени€ полей квалифицированного сертификата

9. “ребовани€ к пор€дку расположени€ полей квалифицированного сертификата устанавливаютс€ в соответствии с основами аутентификации в открытых системах <*>, структурой сертификата открытого ключа и сертификата атрибутов <**> и профилем сертификата и списка аннулированных сертификатов <***>.

--------------------------------

<*> —правочно: ќсновы аутентификации в открытых системах определены в √ќ—“ – »—ќ/ћЁ  9594-8-98 "»нформационна€ технологи€. ¬заимосв€зь открытых систем. —правочник. „асть 8. ќсновы аутентификации".

<**> —правочно: —труктура сертификата открытого ключа и сертификата атрибутов определена в международном стандарте ISO/IEC 9594-8:2008 "Information technology - Open systems interconnection - The Directory: Public-key and attribute certificate frameworks", опубликованном по адресу в информационно-телекоммуникационной сети »нтернет: http://www.itu.int/rec/T-REC-X.509-200811-I/en.

<***> —правочно: ѕрофиль сертификата и списка аннулированных сертификатов определен в рекомендаци€х IETF RFC 5280 (2008) "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", опубликованных по адресу в информационно-телекоммуникационной сети »нтернет: http://www.ietf.org/rfc/rfc5280.txt.

10. —труктура квалифицированного сертификата в форме электронного документа, определенна€ в соответствии со спецификацией абстрактной синтаксической нотации версии один <*>, должна иметь следующий общий вид:

--------------------------------
<*> —правочно: —пецификаци€ абстрактной синтаксической нотации версии один определена в √ќ—“ – »—ќ/ћЁ  8824-1-2001 "»нформационна€ технологи€. јбстрактна€ синтаксическа€ нотаци€ версии один (ј—Ќ.1). „асть 1. —пецификаци€ основной нотации".

Certificate ::= SIGNED { SEQUENCE {

version                   [0]    Version DEFAULT v1,

serialNumber                     CertificateSerialNumber,

signature                        AlgorithmIdentifier,

issuer                           Name,

Validity,

subject Name,

subjectPublicKeyInfo             SubjectPublicKeyInfo,

[1] IMPLICIT UniqueIdentifier OPTIONAL,

subjectUniqueIdentifier [2] IMPLICIT UniqueIdentifier OPTIONAL,

extensions [3] Extensions OPTIONAL } }

SIGNED { ToBeSigned } ::= SEQUENCE {

toBeSigned ToBeSigned,

COMPONENTS OF SIGNATURE { ToBeSigned } }

SIGNATURE { ToBeSigned }::= SEQUENCE {

algorithmIdentifier AlgorithmIdentifier,

encrypted ENCRYPTED-HASH { ToBeSigned } }

ENCRYPTED-HASH { ToBeSigned } ::= BIT STRING (CONSTRAINED BY

{ ToBeSigned } ).

11. ѕоле algorithmIdentifier (идентификатор алгоритма) содержит идентификатор криптографического алгоритма, с использованием которого аккредитованный ”÷, доверенное лицо аккредитованного ”÷ либо уполномоченный федеральный орган сформировал Ёѕ насто€щего квалифицированного сертификата. ƒополнительно могут быть указаны параметры криптографического алгоритма:

AlgorithmIdentifier ::= SEQUENCE {

ALGORITHM.&id ( { SupportedAlgorithms } ),

parameters ALGORITHM.&Type ( { SupportedAlgorithms }

{ @algorithm } )OPTIONAL }.

12. ѕоле encrypted содержит Ёѕ, сформированную аккредитованным ”÷, доверенным лицом аккредитованного ”÷ либо уполномоченным федеральным органом под структурированной совокупностью полей квалифицированного сертификата (toBeSigned).

13. ѕоле version (верси€) содержит номер версии формата сертификата: Version ::= INTEGER { v1(0), v2(1), v3(2)}.

¬виду необходимости использовани€ дополнений сертификата значение пол€ version должно равн€тьс€ 2.

14. ѕоле serialNumber (серийный номер) должно содержать положительное целое число, однозначно идентифицирующее квалифицированный сертификат в множестве всех сертификатов, выданных данным аккредитованным ”÷, доверенным лицом аккредитованного ”÷ либо уполномоченным федеральным органом:

CertificateSerialNumber ::= INTEGER.

15. ѕоле signature (подпись) содержит идентификатор криптографического алгоритма, с использованием которого аккредитованный ”÷, доверенное лицо аккредитованного ”÷ либо уполномоченный федеральный орган сформировали Ёѕ данного квалифицированного сертификата. —одержимое данного пол€ должно совпадать с содержимым пол€ algorithmIdentifier.

16. ѕоле issuer (издатель) имеет тип Name и идентифицирует аккредитованный ”÷, доверенное лицо аккредитованного ”÷ либо уполномоченный федеральный орган, создавшие и выдавшие данный квалифицированный сертификат. “ип Name описываетс€ следующим образом:

Name ::= CHOICE { rdnSequence RDNSequence }

RDNSequence ::= SEQUENCE OF RelativeDistinguishedName

RelativeDistinguishedName ::= SET SIZE (1..MAX)OF AttributeTypeAndValue

AttributeTypeAndValue ::= SEQUENCE {

type AttributeType,

AttributeValue }

AttributeType ::= OBJECT IDENTIFIER

AttributeValue ::= ANY DEFINED BY AttributeType.

“ип пол€ value определ€етс€ типом атрибута, но в общем случае в качестве AttributeValue выступает тип DirectoryString:

DirectoryString ::= CHOICE {

TeletexString (SIZE (1..MAX)),

PrintableString (SIZE (1..MAX)),

UniversalString (SIZE (1..MAX)),

UTF8String (SIZE (1..MAX)),

BMPString (SIZE (1..MAX)) }.

17. —тандартные атрибуты имени описаны в справочнике выбранных типов атрибутов <*>. ѕри описании формы квалифицированного сертификата используютс€ следующие стандартные атрибуты имени:

--------------------------------

<*> —правочно: ¬ыбранные типы атрибутов определены в √ќ—“ – »—ќ/ћЁ  9594-6-98 "»нформационна€ технологи€. ¬заимосв€зь открытых систем. —правочник. „асть 6. ¬ыбранные типы атрибутов" и в международном стандарте ISO/IEC 9594-6:2008 "Information technology - Open systems interconnection - The Directory: Selected attribute types", опубликованном по адресу в информационно-телекоммуникационной сети »нтернет: http://www.itu.int/rec/T-REC-X.520-200811-I/en.

1) commonName (общее им€).

¬ качестве значени€ данного атрибута имени следует использовать текстовую строку, содержащую им€, фамилию и отчество (если имеетс€) - дл€ физического лица, или наименование - дл€ юридического лица. ќбъектный идентификатор типа атрибута commonName имеет вид 2.5.4.3;

2) surname (фамили€).

¬ качестве значени€ данного атрибута имени следует использовать текстовую строку, содержащую фамилию физического лица. ќбъектный идентификатор типа атрибута surname имеет вид 2.5.4.4;

3) givenName (приобретенное им€).

¬ качестве значени€ данного атрибута имени следует использовать текстовую строку, содержащую им€ и отчество (если имеетс€) физического лица. ќбъектный идентификатор типа атрибута givenName имеет вид 2.5.4.42;

4) countryName (наименование страны).

¬ качестве значени€ данного атрибута имени следует использовать двухсимвольный код страны <*>. ќбъектный идентификатор типа атрибута countryName имеет вид 2.5.4.6;

--------------------------------
<*> —правочно: ƒвухсимвольные коды стран определены в √ќ—“ 7.67-2003 (»—ќ 3166-1:1997) "—истема стандартов по информации, библиотечному и издательскому делу.  оды названий стран".

5) stateOrProvinceName (наименование штата или области).

¬ качестве значени€ данного атрибута имени следует использовать текстовую строку, содержащую наименование соответствующего субъекта –оссийской ‘едерации. ќбъектный идентификатор типа атрибута stateOrProvinceName имеет вид 2.5.4.8;

6) localityName (наименование населенного пункта).

¬ качестве значени€ данного атрибута имени следует использовать текстовую строку, содержащую наименование соответствующего населенного пункта. ќбъектный идентификатор типа атрибута localityName имеет вид 2.5.4.7;

7) streetAddress (название улицы, номер дома).

¬ качестве значени€ данного атрибута имени следует использовать текстовую строку, содержащую часть адреса места нахождени€ соответствующего лица, включающую наименование улицы, номер дома, а также корпуса, строени€, квартиры, помещени€ (если имеетс€). ќбъектный идентификатор типа атрибута streetAddress имеет вид 2.5.4.9;

8) organizationName (наименование организации).

¬ качестве значени€ данного атрибута имени следует использовать текстовую строку, содержащую наименование юридического лица. ќбъектный идентификатор типа атрибута organizationName имеет вид 2.5.4.10;

9) organizationUnitName (подразделение организации).

¬ качестве значени€ данного атрибута имени следует использовать текстовую строку, содержащую наименование подразделени€ юридического лица. ќбъектный идентификатор типа атрибута organizationUnitName имеет вид 2.5.4.11;

10) title (должность).

¬ качестве значени€ данного атрибута имени следует использовать текстовую строку, содержащую наименование должности лица. ќбъектный идентификатор типа атрибута title имеет вид 2.5.4.12.

ƒл€ включени€ в квалифицированный сертификат иной информации о владельце квалифицированного сертификата рекомендуетс€ использовать стандартные атрибуты имени, описанные в справочнике выбранных типов атрибутов.

18.   дополнительным атрибутам имени, необходимость использовани€ которых устанавливаетс€ в соответствии с ‘едеральным законом, относ€тс€:

1) OGRN (ќ√–Ќ).

«начением атрибута OGRN €вл€етс€ строка, состо€ща€ из 13 цифр и представл€юща€ ќ√–Ќ владельца квалифицированного сертификата - юридического лица. ќбъектный идентификатор типа атрибута OGRN имеет вид 1.2.643.100.1, тип атрибута OGRN описываетс€ следующим образом:

OGRN ::= NUMERIC STRING SIZE 13;

2) SNILS (—Ќ»Ћ—).

«начением атрибута SNILS €вл€етс€ строка, состо€ща€ из 11 цифр и представл€юща€ —Ќ»Ћ— владельца квалифицированного сертификата - физического лица. ќбъектный идентификатор типа атрибута SNILS имеет вид 1.2.643.100.3, тип атрибута SNILS описываетс€ следующим образом: SNILS ::= NUMERIC STRING SIZE 11;

3) INN (»ЌЌ).

«начением атрибута INN €вл€етс€ строка, состо€ща€ из 12 цифр и представл€юща€ »ЌЌ владельца квалифицированного сертификата. ќбъектный идентификатор типа атрибута INN имеет вид 1.2.643.3.131.1.1, тип атрибута INN описываетс€ следующим образом: INN ::= NUMERIC STRING SIZE 12.

19. ѕоле validity имеет тип Validity и содержит даты начала и окончани€ действи€ квалифицированного сертификата. “ип Validity описываетс€ следующим образом:

Validity ::= SEQUENCE {

      notBefore        Time,

      notAfter         Time }

Time ::= CHOICE {

      utcTime         UTCTime,

      generalTimeGeneralizedTime }.

20. ѕоле subject имеет тип Name и идентифицирует владельца квалифицированного сертификата.

21. ѕоле subjectPublicKeyInfo имеет тип SubjectPublicKeyInfo и содержит значение ключа проверки Ёѕ владельца квалифицированного сертификата, а также идентификатор криптографического алгоритма, с которым должен использоватьс€ данный ключ:

SubjectPublicKeyInfo ::= SEQUENCE {

algorithm AlgorithmIdentifier,

subjectPublicKey BIT STRING }.

22. Ќеоб€зательные пол€ issuerUniqueIdentifier и subjectUniqueIdentifier имеют тип UniqueIdentifier. Ќасто€щие “ребовани€ не устанавливают требований к использованию указанных полей.

23. ƒополнительна€ информаци€, касающа€с€ использовани€ квалифицированного сертификата, включаетс€ в состав дополнений:

Extensions ::= SEQUENCE {

EXTENSION.&id ( { ExtensionSet } ),

critical  BOOLEAN DEFAULT FALSE,

extnValue  OCTET STRING }.

ƒл€ включени€ в квалифицированный сертификат иной информации о владельце квалифицированного сертификата, дл€ которой не предусмотрены соответствующие стандартные атрибуты имени, в том числе информации о правомочи€х владельца квалифицированного сертификата и сроке их действи€, рекомендуетс€ использовать дополнение subjectAlternativeName.

24. ƒополнение authorityKeyIdentifier (идентификатор ключа ”÷) имеет тип AuthorityKeyIdentifier, структура которого определ€етс€ следующим образом:

AuthorityKeyIdentifier ::= SEQUENCE {

keyIdentifier [0] KeyIdentifier OPTIONAL,

authorityCertIssuer [1] GeneralNames OPTIONAL,

authorityCertSerialNumber [2] CertificateSerialNumber OPTIONAL }.

¬ квалифицированном сертификате следует использовать дополнение authorityKeyIdentifier с занесением в поле authorityCertSerialNumber номера соответствующего квалифицированного сертификата аккредитованного ”÷ или доверенного лица аккредитованного ”÷ либо уполномоченного федерального органа, создавшего исходный квалифицированный сертификат. ќбъектный идентификатор типа дополнени€ authorityKeyIdentifier имеет вид 2.5.29.35.

25. ƒополнение keyUsage определ€ет область использовани€ ключа проверки Ёѕ, содержащегос€ в поле subjectPublicKeyInfo квалифицированного сертификата. ƒополнение keyUsage имеет тип KeyUsage, структура которого определ€етс€ следующим образом:

KeyUsage ::= BIT STRING {

digitalSignature  (0),

contentCommitment (1),

keyEncipherment (2),

dataEncipherment (3),

keyAgreement  (4),

keyCertSign  (5),

cRLSign (6),

encipherOnly (7),

decipherOnly (8) }.

«начение "1" в нулевом бите означает, что область использовани€ ключа включает проверку Ёѕ под электронными документами, отличными от квалифицированных сертификатов и списков уникальных номеров квалифицированных сертификатов ключей проверки Ёѕ, действие которых на определенный момент было прекращено ”÷ до истечени€ их действи€ (далее - список аннулированных сертификатов), предназначенными дл€ выполнени€ процедур аутентификации или контрол€ целостности.

«начение "1" в первом бите означает, что область использовани€ ключа включает проверку Ёѕ под электронными документами, отличными от квалифицированных сертификатов и списков аннулированных сертификатов, в отношении которых ставитс€ задача обеспечени€ невозможности отказа подписавшего лица от своего действи€.

«начение "1" во втором бите означает, что область использовани€ ключа включает зашифрование закрытых или секретных ключей, например в цел€х их защищенной доставки.

«начение "1" в третьем бите означает, что область использовани€ ключа включает непосредственно зашифрование пользовательских данных без дополнительного использовани€ методов симметричной криптографии.

«начение "1" в четвертом бите означает, что область использовани€ ключа включает согласование ключей.

«начение "1" в п€том бите означает, что область использовани€ ключа включает проверку подписей под квалифицированными сертификатами.

«начение "1" в шестом бите означает, что область использовани€ ключа включает проверку подписей под списками аннулированных сертификатов.

«начение "1" в седьмом бите означает, что область использовани€ ключа включает зашифрование данных в процессе согласовани€ ключей (при этом в четвертом бите должно быть значение "1").

«начение "1" в восьмом бите означает, что область использовани€ ключа включает расшифрование данных в процессе согласовани€ ключей (при этом в четвертом бите должно быть значение "1").

ќбъектный идентификатор дополнени€ keyUsage имеет вид 2.5.29.15.

26. ƒополнение certificatePolicies предназначено дл€ обозначени€ политик сертификации, в соответствии с которыми должен использоватьс€ квалифицированный сертификат. “ип CertificatePoliciesSyntax, описывающий дополнение certificatePolicies, определ€етс€ следующим образом:

CertificatePoliciesSyntax ::= SEQUENCE SIZE (1..MAX) OF PolicyInformation

PolicyInformation ::= SEQUENCE {

policyIdentifier CertPolicyId,

policyQualifiers SEQUENCE SIZE (1..MAX) OF

PolicyQualifierInfo OPTIONAL }

CertPolicyId ::= OBJECT IDENTIFIER

PolicyQualifierInfo ::= SEQUENCE {

policyQualifierId PolicyQualifierId,

qualifier ANY DEFINED BY policyQualifierId }

PolicyQualifierId ::= OBJECT IDENTIFIER.

ќбъектный идентификатор дополнени€ certificatePolicies имеет вид 2.5.29.32.

27. ƒл€ обозначени€ класса средств Ёѕ владельца квалифицированного сертификата должны примен€тьс€ следующие идентификаторы:

- 1.2.643.100.113.1 - класс средства Ёѕ  —1,

- 1.2.643.100.113.2 - класс средства Ёѕ  —2,

- 1.2.643.100.113.3 - класс средства Ёѕ  —3,

- 1.2.643.100.113.4 - класс средства Ёѕ  ¬1,

- 1.2.643.100.113.5 - класс средства Ёѕ  ¬2,

- 1.2.643.100.113.6 - класс средства Ёѕ  ј1.

28. —ведени€ о классе средств Ёѕ владельца квалифицированного сертификата должны быть указаны в дополнении certificatePolicies путем включени€ следующих идентификаторов:

- дл€ класса средств Ёѕ  —1: 1.2.643.100.113.1,

- дл€ класса средств Ёѕ  —2: 1.2.643.100.113.1, 1.2.643.100.113.2,

- дл€ класса средств Ёѕ  —3: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3,

- дл€ класса средств Ёѕ  ¬1: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4,

- дл€ класса средств Ёѕ  ¬2: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4, 1.2.643.100.113.5,

- дл€ класса средств Ёѕ  ј1: 1.2.643.100.113.1, 1.2.643.100.113.2, 1.2.643.100.113.3, 1.2.643.100.113.4, 1.2.643.100.113.5, 1.2.643.100.113.6.

ƒл€ средств Ёѕ, класс которых отличаетс€ от класса средств ”÷, в которых используютс€ указанные средства Ёѕ, следует указывать идентификаторы дл€ класса средств Ёѕ, соответствующего классу средств ”÷.

29. ƒл€ указани€ в квалифицированном сертификате наименовани€ используемого владельцем квалифицированного сертификата средства Ёѕ должно использоватьс€ некритичное дополнение subjectSignTool типа UTF8String SIZE(1..200), объектный идентификатор которого имеет вид 1.2.643.100.111.

30. ƒл€ указани€ в квалифицированном сертификате наименовани€ средств Ёѕ и средств аккредитованного ”÷, которые использованы дл€ создани€ ключа Ёѕ, ключа проверки Ёѕ, квалифицированного сертификата, а также реквизитов документа, подтверждающего соответствие указанных средств требовани€м, установленным законодательством –оссийской ‘едерации, должно использоватьс€ некритичное дополнение issuerSignTool типа IssuerSignTool, имеющего следующее представление:

IssuerSignTool ::= SEQUENCE {

signTool UTF8String SIZE(1..200),

cATool UTF8String SIZE(1..200),

signToolCert UTF8String SIZE(1..100),

cAToolCert UTF8String SIZE(1..100) }.

¬ строковом поле signTool должно содержатьс€ полное наименование средства Ёѕ, которое было использовано дл€ создани€ ключа Ёѕ, ключа проверки Ёѕ и квалифицированного сертификата.

¬ строковом поле cATool должно содержатьс€ полное наименование средства аккредитованного ”÷, которое было использовано дл€ создани€ ключа Ёѕ, ключа проверки Ёѕ и квалифицированного сертификата.

¬ строковом поле signToolCert должны содержатьс€ реквизиты заключени€ ‘—Ѕ –оссии о подтверждении соответстви€ средства Ёѕ, которое было использовано дл€ создани€ ключа Ёѕ, ключа проверки Ёѕ, требовани€м, установленным в соответствии с ‘едеральным законом (далее - заключение о подтверждении соответстви€ средства электронной подписи).

¬ строковом поле cAToolCert должны содержатьс€ реквизиты заключени€ ‘—Ѕ –оссии о подтверждении соответстви€ средства ”÷, которое было использовано дл€ создани€ квалифицированного сертификата, требовани€м, установленным в соответствии с ‘едеральным законом (далее - заключение о подтверждении соответстви€ средства удостовер€ющего центра).

ќбъектный идентификатор типа IssuerSignTool имеет вид 1.2.643.100.112.


IV. “ребовани€ к форме квалифицированного сертификата
на бумажном носителе

31. ‘орма квалифицированного сертификата на бумажном носителе должна удовлетвор€ть следующим требовани€м:

- отображение всех полей квалифицированного сертификата в виде, пригодном дл€ воспри€ти€ человеком;

- отображение содержащейс€ в квалифицированном сертификате информации о наименовани€х, именах, месте нахождени€, области применени€ и другой информации на русском €зыке с использованием символов кириллического алфавита;

- пригодность дл€ проведени€ формализованной процедуры контрол€ соответстви€ квалифицированного сертификата в формах электронного документа и документа на бумажном носителе.

ƒопускаетс€ не отображать в квалифицированном сертификате на бумажном носителе значени€ полей, которые фиксированы дл€ всех квалифицированных сертификатов (например: поле version имеет значение 2, соответствующее версии v3).

ƒопускаетс€ в квалифицированном сертификате на бумажном носителе однократно отображать информацию, котора€ дублируетс€ в различных пол€х (например, algorithmIdentifier и signature).

32. ќбщий вид квалифицированного сертификата на бумажном носителе дл€ владельца - физического лица приведен в приложении N 1 к насто€щим “ребовани€м.

ќбщий вид квалифицированного сертификата на бумажном носителе дл€ владельца - юридического лица приведен в приложении N 2 к насто€щим “ребовани€м.

   


ѕриложение N 1
к “ребовани€м (п. 32)

ќЅў»… ¬»ƒ  ¬јЋ»‘»÷»–ќ¬јЌЌќ√ќ —≈–“»‘» ј“ј
Ќј Ѕ”ћј∆Ќќћ Ќќ—»“≈Ћ≈ ƒЋя ¬Ћјƒ≈Ћ№÷ј - ‘»«»„≈— ќ√ќ Ћ»÷ј

Ќомер квалифицированного сертификата: <serialNumber>

ƒействие квалифицированного сертификата: с <notBefore>

                                                                             по <notAfter>

—ведени€ о владельце квалифицированного сертификата

‘амили€, им€, отчество: <commonName>

—траховой номер индивидуального лицевого счета: <SNILS>

—ведени€ об издателе квалифицированного сертификата

Ќаименование  удостовер€ющего центра: <commonName>

ћесто  нахождени€  удостовер€ющего центра: <countryName>,

<stateOrProvinceName>, <localityName>, <streetAddress>

* ƒоверенное лицо удостовер€ющего центра: <surname>, <givenName>

Ќомер квалифицированного сертификата удостовер€ющего центра:

<authorityKeyIdentifier.authorityCertSerialNumber>

Ќаименование средства электронной подписи: <issuerSignTool.signTool>

–еквизиты заключени€ о подтверждении соответстви€ средства электронной

подписи: <issuerSignTool.signToolCert>

Ќаименование средства удостовер€ющего центра: <issuerSignTool.cATool>

заключени€ о подтверждении  соответстви€ средства

удостовер€ющего центра: <issuerSignTool.cAToolCert>

 ласс средств удостовер€ющего центра: <certificatePolicies>

—ведени€ о ключе проверки электронной подписи

»спользуемый алгоритм: <algorithm>

* »спользуемое средство электронной подписи: <subjectSignTool>

 ласс средства электронной подписи: <certificatePolicies>

ќбласть использовани€ ключа: <keyUsage>

«начение ключа: <subjectPublicKey>

Ёлектронна€ подпись под квалифицированным сертификатом

»спользуемый алгоритм: <algorithmIdentifier>

«начение электронной подписи: <encrypted>

ѕодпись уполномоченного лица __________________/ <расшифровка подписи>/

                                                                    ћ.ѕ.

—имволом "*" отмечены пол€, которые в квалифицированном сертификате могут отсутствовать.

   


ѕриложение N 2
к “ребовани€м (п. 32)

ќЅў»… ¬»ƒ  ¬јЋ»‘»÷»–ќ¬јЌЌќ√ќ —≈–“»‘» ј“ј
Ќј Ѕ”ћј∆Ќќћ Ќќ—»“≈Ћ≈ ƒЋя ¬Ћјƒ≈Ћ№÷ј - ё–»ƒ»„≈— ќ√ќ Ћ»÷ј

Ќомер квалифицированного сертификата: <serialNumber>

ƒействие квалифицированного сертификата: с <notBefore>

по <notAfter>

—ведени€ о владельце квалифицированного сертификата

Ќаименование юридического лица: <commonName>

ќсновной государственный регистрационный номер: <OGRN>

»дентификационный номер налогоплательщика: <INN>

ћесто нахождени€ юридического лица: <countryName>,

<stateOrProvinceName>, <localityName>, <streetAddress>

* ”полномоченный представитель юридического лица: <title> <surname>

<givenName>

—ведени€ об издателе квалифицированного сертификата

Ќаименование удостовер€ющего центра: <commonName>

ћесто нахождени€ удостовер€ющего центра: <countryName>,

<stateOrProvinceName>, <localityName>, <streetAddress>

* ƒоверенное лицо удостовер€ющего центра: <surname>, <givenName>

Ќомер квалифицированного сертификата удостовер€ющего центра:

<authorityKeyIdentifier.authorityCertSerialNumber>

Ќаименование средства электронной подписи: <issuerSignTool.signTool>

–еквизиты заключени€ о подтверждении соответстви€ средства электронной

подписи: <issuerSignTool.signToolCert>

Ќаименование средства удостовер€ющего центра: <issuerSignTool.cATool>

–еквизиты заключени€ о подтверждении соответстви€ средства

удостовер€ющего центра: <issuerSignTool.cAToolCert>

 ласс средств удостовер€ющего центра: <certificatePolicies>

—ведени€ о ключе проверки электронной подписи

»спользуемый алгоритм: <algorithm>

* »спользуемое средство электронной подписи: <subjectSignTool>

 ласс средства электронной подписи: <certificatePolicies>

ќбласть использовани€ ключа: <keyUsage>

«начение ключа: <subjectPublicKey>

Ёлектронна€ подпись под квалифицированным сертификатом

»спользуемый алгоритм: <algorithmIdentifier>

«начение электронной подписи: <encrypted>

ѕодпись уполномоченного лица __________________/ <расшифровка подписи>/

                                                                   ћ.ѕ.

—имволом "*" отмечены пол€, которые в квалифицированном сертификате могут отсутствовать.