- Набор разрешенных символов в скп
- Набор разрешенных символов для текстов в скп(все коды даны в шестнадцатеричной системе счисления)
- Новый порядок выдачи сертификатов кэп и ее использования с 01.01.2022: ответы на вопросы
- Рис. 1. схема доверия скп и сос в ируц
- Справочник кодов регионов
- Страница не найдена
- Структура единого oid
- Требования к построению цепочек доверия скп и сос
- Требования к скп
- Требования к скп и сос
- Требования к сос
- Требованияк сертификату ключа подписи и списку отозванных сертификатов для обеспечения единого пространства доверия сертификатам ключей электронной цифровой подписи(утв. приказом федеральной налоговой службы от 2 июля 2009 г. n мм-7-6/353@)
- Формат адреса электронной почты владельца скп
- Формат должности владельца скп
- Формат инн юл или ип
- Формат названия города или населенного пункта
- Формат названия организации владельца скп
- Формат названия региона
- Формат подразделения организации владельца скп
- Формат псевдонима владельца скп
- Формат фио владельца скп
Набор разрешенных символов в скп
В СКП любой используемый текст должен быть представлен в формате UNICODE, где каждый символ кодируется двумя байтами (16 бит). Для непосредственной записи в СКП текст должен быть закодирован по стандарту UTF-8 (RFC 3629).
При наборе текста для СКП разрешается использовать только символы, UNICODE коды которых приведенные в табл. 2.
При извлечении и декодировании текста из СКП для дальнейшей его обработки в программном обеспечении (в том числе и в ПО СИОЭД) код каждого символа должен быть дополнительно приведен к однобайтовому коду (8 бит) в кодовой странице Windows-1251, в соответствии с кодами в табл. 2.
Символы, UNICODE коды которых не соответствуют табл. 2, использовать не разрешается.
Таблица 2
Набор разрешенных символов для текстов в скп(все коды даны в шестнадцатеричной системе счисления)
Приложение 11
Новый порядок выдачи сертификатов кэп и ее использования с 01.01.2022: ответы на вопросы
С 01.01.2022 организации должны использовать электронные подписи (далее – ЭП), выданные удостоверяющим центром (далее – УЦ) ФНС России. Выдавать подписи начали еще с 1 июля. Новый механизм получения сертификатов и использования квалифицированной электронной подписи (далее – КЭП) вызывает много вопросов. Из статьи вы получите ответы на самые распространенные из них.
С 01.01.2022 вступают в силу изменения[1], внесенные в Федеральный закон от 06.04.2021 № 63-ФЗ «Об электронной подписи»[2] (далее – Федеральный закон № 63-ФЗ), которые вводят новый порядок выдачи сертификатов и использования КЭП.
Согласно ч. 1 ст. 17.2 новой редакции Федерального закона № 63-ФЗ в случае использования КЭП при участии в правоотношениях юридических лиц:
1) применяется КЭП юридического лица, квалифицированный сертификат которой выдается УЦ ФНС России в установленном уполномоченным федеральным органом порядке с указанием в качестве владельца квалифицированного сертификата физического лица, действующего от имени юридического лица без доверенности (единоличный исполнительный орган – далее ЕИО);
2) в случае, если от имени юридического лица электронный документ подписывает работник, не являющийся ЕИО, электронный документ подписывается КЭП, оформленной на этого работника, и одновременно представляется электронная доверенность на этого работника, которая должна быть подписана КЭП, указанной в пункте 1. Предоставление доверенности контрагенту осуществляется посредством ее включения в пакет электронных документов.
На линию Службы поддержки пользователей фирмы «1С» поступают вопросы от организаций, в том числе касательно механизма получения сертификатов и использования КЭП с 01.01.2022. В статье ответим на наиболее часто встречающиеся вопросы.
Все ли организации и индивидуальные предприниматели с 01.01.2022 должны получать сертификаты КЭП в УЦ ФНС России?
Есть исключения. Кредитные организации, операторы платежных систем, некредитные финансовые организации и индивидуальные предприниматели, осуществляющие виды деятельности, перечисленные в ч. 1 ст. 76.1 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»[3], получают сертификаты КЭП в УЦ Центрального банка Российской Федерации. Должностные лица государственных органов, органов местного самоуправления либо подведомственных государственному органу или органу местного самоуправления организации – в УЦ Федерального казначейства.
Какой порядок получения сертификата КЭП организации для работы с 01.01.2022? Возможно ли получение сертификата КЭП организации не в УЦ ФНС России, а в другом уполномоченном УЦ? Есть ли перечень таких организаций?
С 01.07.2021 ФНС России уже начала осуществлять выдачу сертификатов КЭП организациям. Услуга по выдаче сертификатов КЭП предоставляется в операционных залах налоговых органов. Воспользоваться этой услугой можно не во всех территориальных подразделениях, а только в тех, которые входят в перечень, опубликованный на портале ФНС России в разделе «Иные функции ФНС России» (далее выбирайте «Удостоверяющий центр ФНС России», «Порядок получения электронной подписи»). Можно обратиться в ближайшую точку выдачи КЭП – услуга оказывается экстерриториально.
Чтобы получить КЭП, необходимо выполнить ряд действий (Алгоритм). Подробно рассмотрим их.
Шаг 1. Подать заявление на выдачу КЭП в Личном кабинете налогоплательщика – физического лица. Сформировать и отправить заявление можно через «Личный кабинет налогоплательщика для физических лиц» (на руководителя юридического лица) или через «Личный кабинет индивидуального предпринимателя» (непосредственно на индивидуального предпринимателя).
В разделе «Жизненные ситуации» необходимо выбрать услугу «Получить квалифицированную электронную подпись» (рис. 1).
Система автоматически сформирует заявление (рис. 2).
После заполнения электронной формы УЦ проверит организацию и пришлет подтверждение (рис. 3) в сообщение в Личном кабинете и на электронный ящик.
В сообщении (рис. 4) будет предложено выбрать удобное место и время для визита в УЦ ФНС для подтверждения личности и получения электронной подписи.
Заявление можно подать и непосредственно в УЦ ФНС России, перед поездкой можно записаться[4] на сайте ФНС России. Процедура не очень отлажена, уточняйте условия в своей региональной инспекции[5].
Шаг 2. Поехать в УЦ ФНС России с паспортом, СНИЛС[6], токеном.
В УЦ ФНС России вам выдадут распечатанный на бумаге сертификат ключа проверки ЭП, руководство пользователя, а также запишут ЭП на ваш токен (рис. 5).
Обязательно ли личное присутствие в удостоверяющем центре руководителя организации при получении сертификата КЭП организации?
Для получения первичной КЭП в целях удостоверения личности необходимо, чтобы руководитель явился лично. Получая следующие подписи, он сможет удостоверять личность дистанционно действующей ЭП или биометрическими данными (см. п. 25 Порядка реализации ФНС России функций аккредитованного удостоверяющего центра и исполнения его обязанностей[8]).
Какие документы необходимо представить руководителю организации в УЦ для получения сертификата КЭП организации?
Необходимы следующие документы:
- документ, удостоверяющий личность;
- СНИЛС (номер страхового свидетельства Государственного пенсионного страхования) заявителя – физического лица;
- документ, подтверждающий право заявителя действовать от имени юридического лица без доверенности.
Кроме того, необходим носитель ключевой информации (токен) для записи сертификата и ключа ЭП, а также документация на ключевой носитель информации – сертификат соответствия ФСТЭК России (рис. 6) или ФСБ России. В случае применения носителя со встроенным средством криптографической защиты информации (далее – СКЗИ) – формуляр на СКЗИ и сертификат соответствия ФСБ России. Можно использовать скан-копию сертификатов соответствия с сайтов ФСТЭК России, ФСБ России или производителей носителей ключевой информации.
Подойдет для записи сертификата ЭП в УЦ ФНС России простая флешка?
Обычная флешка для этой цели не подойдет! УЦ ФНС России поддерживает ключевые носители формата USB Тип-А, в частности: Рутокен ЭЦП 2.0, Рутокен S, Рутокен Lite, JaCarta ГОСТ, JaCarta-2 ГОСТ, JaCarta LT, ESMART Token, ESMART Token ГОСТ и другие, соответствующие установленным требованиям.
Средняя стоимость ключевого носителя – 1000–2000 рублей. Приобрести такие носители можно у дистрибьюторов производителей и в специализированных интернет-магазинах. Кроме того, можно использовать уже имеющиеся носители (при условии их соответствия требованиям).
Где можно использовать КЭП?
Использовать КЭП можно:
Что еще потребуется для использования КЭП в организации?
Для того, чтобы у организации появилась возможность корректно использовать КЭП,также необходимо установить СКЗИ – КриптоПро CSP[9].
Какова стоимость сертификата КЭП, выдаваемого УЦ ФНС, и на какой срок он выдается?
Выдача квалифицированного сертификата ключа проверки ЭП в УЦ ФНС России осуществляется на безвозмездной основе для юридических лиц (лиц, имеющих право действовать от имени юридического лица без доверенности), индивидуальных предпринимателей и нотариусов. Срок действия – 15 месяцев.
Какой порядок получения сертификата КЭП на дочерние общества организации, полномочия единоличного исполнительного органа которых переданы организации?
Только лицо, имеющее право действовать без доверенности, может обращаться в УЦ ФНС России для получения квалифицированного сертификата юридического лица. Все остальные работники организации, действующие по доверенности, получить подпись юридического лица в УЦ ФНС не смогут.
Какой порядок получения сертификата КЭП работником организации для подписания электронных документов организации с 01.01.2022?
С 01.01.2022 сотрудники организаций и уполномоченные лица должны использовать ЭП, выданную на физическое лицо аккредитованным УЦ. С 2022 года получать ЭП физического лица нужно будет в УЦ, который аккредитован по новым правилам.
Список аккредитованных УЦ по состоянию на определенную дату публикуется на портале Минцифры России[10]. Перечень удостоверяющих центров, не получивших аккредитацию в период с 01.07.2021 до 31.12.2021 и деятельность которых будет прекращена, также подлежит размещению.
Для минимизации расходов организаций при выборе аккредитованного УЦ следует обращать внимание на то, чтобы дата аккредитации УЦ была после 01.07.2020.
Какие документы необходимо представлять с 01.01.2022 работнику организации в УЦ для получения сертификата КЭП? Какие еще документы, кроме рабочих, работник сможет подписывать такой КЭП?
Для получения сертификата КЭП работнику организации нужно представить в УЦ следующие документы:
- документ, удостоверяющий личность;
- СНИЛС (номер страхового свидетельства государственного пенсионного страхования) заявителя – физического лица;
- ИНН заявителя – физического лица.
Форму и особенности представления данных документов следует уточнять в аккредитованном УЦ, в который планируется обратиться за такой услугой. Так как данный сертификат КЭП выдан на физическое лицо, работник сможет использовать КЭП для любых личных целей.
Какой порядок оформления электронных доверенностей на работников организации, использующих КЭП в работе? Где взять форму такой доверенности? Какой порядок и срок хранения таких доверенностей?
Использовать ЭП физического лица для документов организации можно будет только вместе с доверенностью в электронном виде. Для удобства распознавания информационной системой будет принята электронная форма доверенности (доверенность в машиночитаемом виде). Нормативно-правовые акты, конкретизирующие форму и порядок использования машиночитаемых доверенностей, пока не приняты, но с их проектами можно ознакомиться на федеральном портале проектов нормативных правовых актов. Это следующие проекты:
Предполагается, что машиночитаемые доверенности будут оформляться по образцу, размещенному на официальном сайте оператора той информационной системы, для которой предоставляются документы.
Будут ли действительны после 01.01.2022 КЭП, сертификаты которых оформлены ранее и срок их еще не истек?
Согласно письму Минцифры России от 10.08.2021 № ОП-П15-085-33604 «О разъяснении применения положений Федерального закона от 06.04.2021 № 63-ФЗ» (далее – Разъяснения), продолжат свое действие сертификаты КЭП, выданные УЦ, прошедшими аккредитацию по новым правилам.
Во-первых, в Разъяснениях уточняется, что юридические лица и индивидуальные предприниматели, получившие квалифицированные сертификаты ключей проверки ЭП, созданные аккредитованными после 01.07.2020 УЦ, вправе применять такие сертификаты после 01.01.2022 до окончания срока действия таких сертификатов. Причем это касается как ЭП руководителей, действующих от имени юридических лиц без доверенности, так и физических лиц, действующих от имени юридических лиц на основании доверенности.
Во-вторых, в Разъяснениях подтверждено требование п. 5 ст. 3 Федерального закона № 476-ФЗ: применение сертификатов КЭП, созданных до 01.07.2021 УЦ, не прошедшими аккредитацию по новым правилам, после 01.01.2022 не допускается.
В-третьих, в Разъяснениях уточнен порядок применения сертификатов КЭП, созданных до 01.07.2021 УЦ, аккредитованными до 01.07.2020 и прошедшими аккредитацию по новым правилам после 01.07.2021. Если квалифицированные сертификаты ключей проверки ЭП были созданы таким УЦ до 01.07.2021 и при этом УЦ прошел аккредитацию по правилам, установленным Федеральным законом № 476-ФЗ до 31.12.2021, то такие сертификаты действуют до окончания срока действия сертификатов ключей проверки ЭП.
Поясните порядок применения новой редакции ч. 3 ст. 14 Федерального закона № 63-ФЗ.
«Обезличенные» ЭП изначально применялись в информационных системах исключительно при оказании государственных и муниципальных услуг. В соответствии с п. 5 ч. 1 ст. 17.2 Федерального закона № 63-ФЗ применение «обезличенной» КЭП юридического лица допускается в правоотношениях юридических лиц, которые осуществляют функции оператора соответствующей информационной системы. В случае, когда правоотношения требуют участия должностного лица, то использование «обезличенной» КЭП юридического лица не допускается.
Если вы не нашли ответ на свой вопрос, на портале ФНС России размещена памятка[14] по получению КЭП с ответами на все возможные вопросы. Также дополнительную информацию можно получить в Едином контакт-центре ФНС России по телефону 8-800-222-2222.
Машиночитаемые доверенности – это следующая актуальная тема, которая вызовет многочисленные вопросы участников электронного документооборота. Следим за нормативной базой и обязательно затронем данную тему в следующих номерах журнала.
Рис. 1. схема доверия скп и сос в ируц
СКП делятся на 2 основных типа:
1. СКП, которые могут быть издателями других СКП и СОС.
2. Конечные СКП пользователей.
Все СКП делятся на 4 группы:
1. Корневой СКП – издатель всех СКП для ключевых узлов СИОЭД (и, при необходимости, для НП тоже).
2. Кросс СКП УЦ ФНС России – кросс, выданный организатором сети ДУЦ для СКП УЦ ФНС России. УЦ ФНС России выдает СКП НО (для систем ГНИВЦ ПРИЕМ, ГНИВЦ ПРИЕМ Регион):
– СОЭД.
– САОЭД.
– Налоговый инспектор.
– АРМ ДиС.
Примечание. Сам СКП УЦ ФНС России в СИОЭД использовать запрещено.
3. Кросс СКП ДУЦ – кросс, выданный организатором сети ДУЦ для СКП УЦ ДУЦ, который является издателем СКП НП.
Примечание. Сам СКП УЦ ДУЦ в СИОЭД использовать запрещено.
4. СКП ключевых узлов СИОЭД – конечные СКП.
– Эти СКП не могут быть издателями других СКП.
– Эти СКП могут быть изданы только на Корневом СКП Организатора Сети ДУЦ.
5. СКП НП – конечные СКП.
– СКП для ЮЛ, ИП или УП.
– Эти СКП не могут быть издателями других СКП.
– Эти СКП могут быть изданы на Корневом СКП Организатора Сети ДУЦ или на СКП УЦ ДУЦ, кросс которого используется в СИОЭД.
Все СКП ключевых узлов СИОЭД выдаются только Организатором Сети ДУЦ:
– Оператор ИРУЦ.
– Спецоператор.
– Веб-сервер ИРУЦ.
– Сервер регистрации ИРУЦ.
– ЦСДИ.
Конечные СКП НП выдаются ДУЦ. При необходимости СКП НП может выдавать Организатор Сети ДУЦ.
Справочник кодов регионов
Приложение 8
Страница не найдена
Структура единого oid
1.2.643.3.<Координирующая организация>.<Эмитент1>. <эмитент2>.<Роль владельца СКП в информационных системах ФНС России (НП, НО, уполномоченный представитель НП, СпецОператор и т.д.)>.<Квалификация подписи (директор, бухгалтер, инспектор НО и т.д.)>.< Пользователь сервисов системы >.<Другие назначения1>.<другие назначения2>
N арки
1.- 4. зафиксировано 1.2.643.3
5. Координирующая организация – ФНС или Организатор Сети ДУЦ
6. Эмитент1 – ДУЦ. Содержит идентификатор ДУЦ, формируемый, как 1000 N паспорта ДУЦ. УЦ ГНИВЦ ФНС России имеет идентификатор 1000.
7. эмитент2 – УЦ, подчиненный ДУЦ
8. Роль владельца СКП в информационных системах ФНС – НП, инспектор НО, уполномоченный представитель НП, ИРУЦ, СОЭД, САОЭД, СпецОператор и т.д.
9. Квалификация подписи – 1-я подпись (директор, заместитель директора и т.д.), 2-я подпись (главный бухгалтер, бухгалтер и т.д.), 1-я и 2-я подпись, право подписи отсутствует – только шифровать и/или отправка, квалификация подписи не установлена и т.д.
10. Пользователь сервисов системы – сервис ИОН on-line (да или нет), др. сервисы
11. Другие назначения1 – зарезервировано
12. другие назначения2 – зарезервировано
Если в арке N 6 стоит число меньше 1000, то эта арка – управляющая, она содержит назначение данных, которые размещены в следующей арке (N 7), если в арке N 7 число меньше 1000, то арка – управляющая и содержит тип данных, которые размещены в следующей арке (N 8) и т.д. В случае с управляющими арками приведенная в начале приложения схема OID применяться не может.
Если арка N 6 содержит единицу, то арка – управляющая, указывает на то, что в следующей арке будет указан OID поля сертификата ключа подписи.
Примеры использования шестой арки:
1.2.643.3.ххх.1001 – показывает, что OID используется ДУЦ с паспортом N 1.
1.2.643.3.ххх.1.1 – показывает, что это OID поля INN (п.п. 7.2).
Требования к построению цепочек доверия скп и сос
Цепочки доверия СКП и СОС строятся по равенствам данных в расширении subjectKeyIdentifier издателя и authorityKeyIdentifier в изданном СКП или СОС.
Если в расширении authorityKeyIdentifier содержатся заполненные поля authorityCertIssuer и authorityCertSerialNumber, то дополнительно выполняется проверка соответствия DN из поля authorityCertIssuer атрибуту issuer из СКП издателя и соответствие серийного номера из поля authorityCertSerialNumber серийному номеру СКП издателя.
Приложение 1
Требования к скп
Ключевая пара СКП должна соответствовать стандарту ГОСТ Р 34.10-2001.
Поля СКП должны заполняться в соответствии рекомендациям IETF RFC5280 и ITU-T x.509 (если не указано другое).
Для любого текста, используемого в СКП, разрешается использовать набор символов из Приложение 10 #(если не указано другое).
Каждый СКП должен содержать следующие атрибуты и расширения:
1. Версия СКП (version) – должна быть не ниже 3.
2. Серийный номер (serialNumber) – уникальная последовательность в рамках одного УЦ, не более 160 бит.
3. Алгоритм подписи (signature) – в поле algorithm должен содержаться идентификатор алгоритма подписи ГОСТ Р 34.11-94/34.10-2001 (OID.1.2.643.2.2.3, в соответствии с RFC4491).
4. DN издателя СКП (issuer) – данные из поля субъект СКП издателя.
Для Корневого СКП Организатора Сети ДУЦ значение DN издателя должно быть равно DN субъекта.
5. Дата и время начала действия СКП (notBefore).
6. Дата и время окончания действия СКП (notAfter).
7. В DN субъекта СКП (subject) должны быть заполнены поля:
7.1. CN (OID.2.5.4.3) – обязательно к заполнению – для конечных СКП должно быть записано ФИО владельца СКП (Приложение 1).
Примечание. В СКП центров сертификации, а также СКП ключевых узлов СИОЭД (веб-сервер ИРУЦ, сервер регистрации ИРУЦ, АРМ ДиС, ЦСДИ, и т.д.), допускается указывать псевдоним владельца СКП (Приложение 2).
7.2. INN (OID.1.2.643.3.ххх.1.1, OID должен быть зарегистрирован) – обязательно к заполнению. Должен быть записан один из вариантов:
– ИНН организации, сотрудником которой является владелец СКП.
– ИНН физического лица владельца СКП.
– при отсутствии ИНН – 0 (цифра ноль 0x30 Код Windows-1251).
7.3. OU (OID.2.5.4.11) – обязательно к заполнению. Должен быть записан один из вариантов:
– подразделение организации, сотрудником которого является владелец СКП (Приложение 3).
– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).
7.4. E (OID.1.2.840.113549.1.9.1) – обязательно к заполнению. Должен быть записан один из вариантов:
– действующий адрес электронной почты владельца СКП (Приложение 4).
– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).
7.5. O (OID.2.5.4.10) – обязательно к заполнению. Должен быть записан один из вариантов:
– для ЮЛ или ИП должно быть записано краткое название ЮЛ или ИП – владельца СКП в соответствии с ЕГРЮЛ (Приложение 5).
– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).
7.6. C (OID.2.5.4.6) – обязательно к заполнению – должен быть записан двух символьный код страны, две прописные латинские буквы в соответствии с ISO 3166 (ISO 3166-1 alpha-2).
7.7. L (OID.2.5.4.7) – обязательно к заполнению. Должен быть записан один из вариантов:
– название города или населенного пункта, где зарегистрированы ЮЛ, ИП или ФЛ (Приложение 6).
– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).
7.8. S (OID.2.5.4.8) – обязательно к заполнению. Должен быть записан один из вариантов:
– название региона, где зарегистрированы ЮЛ, ИП или ФЛ (Приложение 7).
– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).
7.9. T (OID.2.5.4.12) – обязательно к заполнению. Должен быть записан один из вариантов:
– для ЮЛ должность владельца СКП (Приложение 9).
– при отсутствии – 0 (цифра ноль 0x30 Код Windows-1251).
7.10. SN (OID.2.5.4.5) – не обязательно к заполнению – указывается серийный номер имени владельца сертификата (для обеспечения различимости имен владельцев СКП, если их Фамилии Имя и Отчество полностью совпадают). Для заполнения использовать цифры: 1, 2, и т.д.
Примечание. Каждое поле в DN, описанное в п.п. 7.1 – 7.10 допускается использовать только 1 раз. УЦ могут использовать дополнительные поля, если это не противоречит RFC, однако эти поля не будут обрабатываться в ИРУЦ.
8. Открытый ключ (subjectPublicKeyInfo):
8.1. Атрибут AlgorithmIdentifier поле algorithm – идентификатор алгоритма открытого ключа по ГОСТ Р 34.10-2001 (OID.1.2.643.2.2.19, в соответствии с RFC4491).
8.2. Атрибут AlgorithmIdentifier поле parameters – два параметра с OID.1.2.643.2.2.36.0 и OID.1.2.643.2.2.30.1 (в соответствии с RFC4491).
8.3. Для Корневого СКП Организатора Сети ДУЦ и Кросс СКП ДУЦ значение поля parameters формируется в соответствии с RFC4491.
8.4. Атрибут subjectPublicKey – открытый ключ.
9. Расширение extKeyUsage (OID.2.5.29.37) – расширенное использование ключа – должно содержать идентификатор использования “Защищенная электронная почта” (OID.1.3.6.1.5.5.7.3.4). Так же сюда могут быть добавлены другие идентификаторы использования по усмотрению ДУЦ, но при этом это расширение должно содержать не более 100 элементов.
Для Корневого СКП Организатора Сети ДУЦ и Кросс СКП ДУЦ расширение extKeyUsage может отсутствовать.
10. Расширение subjectKeyIdentifier (OID.2.5.29.14) – идентификатор ключа субъекта – должно содержать идентификатор открытого ключа в СКП в виде уникальной последовательности, формируемой в соответствие с RFC.
11. Расширение authorityKeyIdentifier (OID.2.5.29.35 или OID.2.5.29.1) – идентификатор ключа центра сертификатов – должно быть заполнено поле keyIdentifier значением расширения subjectKeyIdentifier в СКП издателя. OID.2.5.29.1 является устаревшим, для всех вновь выдаваемых СКП его использовать не разрешается.
Примечание. Для Корневого СКП Организатора Сети ДУЦ расширение authorityKeyIdentifier может отсутствовать.
Поля authorityCertIssuer и authorityCertSerialNumber могут отсутствовать в расширении, но если они заполнены, то должны содержать:
– authorityCertIssuer – DN Субъекта из СКП Издателя.
– authorityCertSerialNumber – Серийный номер из СКП издателя.
12. Расширение keyUsage (OID.2.5.29.15) – использование ключа:
12.1. Для конечных СКП должны быть установлены в 1 биты:
– 0 (цифровая подпись) или 1 (неотрекаемость) или оба, и 2 (шифрование ключей);
– биты 5 (подпись СКП) и 6 (подпись СОС) должны быть установлены в 0.
12.2. Для Корневого СКП Организатора Системы и Кросс СКП ДУЦ биты 5 (подпись СКП) и 6 (подпись СОС) должны быть установлены в 1.
12.3. Остальные биты должны заполняться в соответствии с рекомендациями RFC.
Требования к скп и сос
Доверие СКП (рис. 1) строится от одного корневого СКП – СКП организатора сети ДУЦ.
----------------------. ---------.
. . . .
----------. ---------------. . Корневой СКП .------->. СОС .
. . . Кросс СКП .<--------- . . .
. СОС .<----- УЦ ФНС России. L-T-------T----------T- L---------
L---------- LT-------------- . . .
. . . .
. . . .
. . . .
. . . .
. . . .
ў ў . ў
------------------. -------------------------. . -----------. -------.
. СКП НО . .СКП ключевых узлов СИОЭД. . .Кросс СКП -------> . .
.- СОЭД . .- Оператор ИРУЦ . . . ДУЦ . . СОС .
.- САОЭД . .- Спецоператор . . L----T------ L-------
.- Инспектор . .- Веб-сервер ИРУЦ . . .
.- АРМ ДиС . .- Сервер регистрации . . .
. . . ИРУЦ . . .
. . .- ЦСДИ . . .
L------------------ L------------------------- . .
ў ў
--------------. -----------.
. . . .
. СКП НП . . СКП НП .
L-------------- L-----------
Требования к сос
Поля СОС должны заполняться в соответствии рекомендациям IETF RFC5280 и ITU-T x.509 (если не указано другое).
Размер файла СОС должен быть не более 250 Кбайт.
Для любого текста, используемого в СОС, разрешается использовать набор символов из Приложение 10 #.
Каждый СОС должен содержать следующие атрибуты и расширения:
1. Версия (version) – версия должна быть 2.
2. Издатель (issuer) – данные из поля субъект СКП издателя.
3. Дата издания СОС (thisUpdate).
4. Дата издания следующего СОС (nextUpdate).
5. Алгоритм подписи (signature) – должен содержать идентификатор алгоритма подписи ГОСТ Р 34.11-94/34.10-2001 (OID.1.2.643.2.2.3 в соответствии с RFC4491).
6. Расширение authorityKeyIdentifier (OID.2.5.29.35 или OID.2.5.29.1) – идентификатор ключа центра сертификатов – должно быть заполнено поле keyIdentifier значением расширения subjectKeyIdentifier в СКП издателя. OID.2.5.29.1 является устаревшим, для всех вновь выдаваемых СКП его использовать не разрешается.
Поля authorityCertIssuer и authorityCertSerialNumber могут отсутствовать в расширении, но если они заполнены, то должны содержать:
– authorityCertIssuer – DN Субъекта из СКП Издателя.
– authorityCertSerialNumber – Серийный номер из СКП издателя
7. Номер СОС cRLNumber (OID.2.5.29.20) – порядковый номер, начинающийся с 1 и увеличивающийся каждый раз на 1 при выпуске нового СОС. Допускается формирование значения номера СОС и дельта СОС выполнять по правилу, описанному в rfc 5280: каждый последующий номер должен быть больше предыдущего и длинна номера, должна быть не более 160 бит.
8. Индикатор дельты СОС deltaCRLIndicator (OID.2.5.29.27) критическое расширение – если в СОС присутствует это расширение, то СОС считается дельтой. Должен содержать номер равный или меньший, чем номер основного СОС из расширения cRLNumber.
Остальные расширения могут содержать любые данные, сформированные в соответствии с рекомендациями IETF RFC и ITU-T.
Требованияк сертификату ключа подписи и списку отозванных сертификатов для обеспечения единого пространства доверия сертификатам ключей электронной цифровой подписи(утв. приказом федеральной налоговой службы от 2 июля 2009 г. n мм-7-6/353@)
C – country – страна
CN – common name – поле в DN – общее имя = ФИО или псевдоним.
DN – distinguished name – расширение в СКП, в которое помещается отличительное имя владельца СКП, состоящее из нескольких полей.
E – e-mail – поле в DN – электронная почта.
L – locality – место расположения, например, город.
O – organization – поле в DN – организация.
OU – organization unit – поле в DN – подразделение организации.
S – state or province – область, регион.
T – title – должность,
АРМ ДиС (Суппорт) – АРМ диагностики и сопровождения, предназначен для мониторинга серверов обмена электронными документами ПК ГНИВЦ ПРИЕМ и ГНИВЦ ПРИЕМ Регион (ранее использовался для регистрации абонентов).
ДУЦ – доверенный удостоверяющий центр.
Кросс – СКП, выпущенный Организатором Сети ДУЦ для уполномоченного лица ДУЦ. Этот СКП используется для формирования доверительных отношений к СКП пользователей, изданных ДУЦ.
ИНН – индивидуальный номер налогоплательщика.
ИП – индивидуальный предприниматель.
ИРУЦ – информационный ресурс Удостоверяющего центра Организатора Сети Доверенных удостоверяющих центров.
НБО – налоговые декларации и бухгалтерская отчетность.
НО – налоговый орган.
НП – налогоплательщик.
САОЭД – сервер автоматической обработки электронных документов.
СИОЭД – система информационного обмена электронными документами с электронной цифровой подписью по телекоммуникационным каналам связи.
СКП – сертификат ключа подписи.
СОС (CRL) – список отозванных сертификатов.
СОЭД – сервер обмена электронными документами.
Спецоператор – специализированный оператор связи.
УП – уполномоченный представитель налогоплательщика.
УЦ – удостоверяющий центр.
ФИО – фамилия имя отчество.
ФЛ – физическое лицо.
ЦСДИ – центр сбора диагностической информации.
ЮЛ – юридическое лицо.
Формат адреса электронной почты владельца скп
1. Адрес электронной почты организации владельца СКП записывается в атрибут E (OID.1.2.840.113549.1.9.1) поля DN субъекта СКП.
2. Длина текста не более 255 символов.
3. Не разрешается использовать пробел в начале и в конце текста.
4. Разрешается использование символов из набора, определенного в RFC 822.
5. Разрешается использовать только 1 атрибут E в DN субъекта, в котором разрешается указывать только 1 адрес электронной почты.
Приложение 5
Формат должности владельца скп
1. Должность владельца СКП записывается в атрибут Т (OID.2.5.4.12) поля DN субъекта СКП.
2. Длина текста не более 64 символов.
3. Каждое слово в тексте должно быть отделено 1 пробелом.
4. Не разрешается использовать пробел в начале и в конце текста.
5. Разрешается использовать только 1 атрибут T в DN субъекта.
Разрешается использование символов из набора (Приложение 10). При этом следующие символы разрешается использовать только в том случае, если они встречаются внутри официального названия должности владельца СКП:
Приложение 10
Формат инн юл или ип
1. Текст длиной 10 цифр для ЮЛ или 12 цифр для ИП и ФЛ.
2. Разрешается использовать только 1 ИНН.
3. Не разрешается использовать пробел в начале и в конце текста.
4. Разрешается использование символов из набора:
1234567890
Примечание: Использование ИНН, которые не проходят проверку корректности на контрольный разряд, запрещается!
Приложение 9
Формат названия города или населенного пункта
1. Названия города или населенного пункта, где зарегистрирована организация владельца СКП, записывается в атрибут L (OID.2.5.4.7) поля DN субъекта СКП.
2. Длина текста не более 128 символов.
3. Каждое слово в тексте должно быть отделено 1 пробелом.
4. Не разрешается использовать пробел в начале и в конце текста.
5. Разрешается использовать только 1 атрибут L в DN субъекта.
Разрешается использование символов из набора (Приложение 10). При этом следующие символы разрешается использовать только в том случае, если они встречаются внутри официального названия города или населенного пункта:
Приложение 7
Формат названия организации владельца скп
1. Название организации владельца СКП записывается в атрибут O (OID.2.5.4.10) поля DN субъекта СКП.
2. Длина текста не более 64 символов.
3. Каждое слово в тексте должно быть отделено 1 пробелом.
4. Не разрешается использовать пробел в начале и в конце текста.
5. Разрешается использовать только 1 атрибут O в DN субъекта.
Разрешается использование символов из набора (Приложение 10). При этом, следующие символы разрешается использовать только в том случае, если они встречаются внутри официального названия организации:
Приложение 6
Формат названия региона
1. Название региона, где зарегистрирован ЮЛ или ИП владельца СКП, записывается в атрибут S (OID.2.5.4.8) поля DN субъекта СКП.
2. Длина текста не более 128 символов. Формат:
– первое слово – номер региона (Таблица 1), 2 цифры, лидирующий ноль указывать обязательно;
– 1 пробел;
– остальной текст – название региона с заглавной буквы (Таблица 1).
3. Каждое слово в тексте должно быть отделено 1 пробелом.
4. Не разрешается использовать пробел в начале и в конце текста.
5. Разрешается использовать только 1 атрибут S в DN субъекта.
Разрешается использование символов из набора (Приложение 10).
Таблица 1
Формат подразделения организации владельца скп
1. Подразделение организации владельца СКП записывается в атрибут OU (OID.2.5.4.11) поля DN субъекта СКП.
2. Длина текста не более 64 символов.
3. Каждое слово в тексте должно быть отделено 1 пробелом.
4. Не разрешается использовать пробел в начале и в конце текста.
5. Разрешается использовать только 1 атрибут OU в DN субъекта.
Разрешается использование символов из набора (Приложение 10). При этом, следующие символы разрешается использовать только в том случае, если они встречаются внутри официального названия подразделения организации:
Приложение 4
Формат псевдонима владельца скп
1. Псевдоним владельца СКП записывается в атрибут CN (OID.2.5.4.3) поля DN субъекта СКП.
2. Длина текста не более 64 символов.
3. Каждое слово в тексте должно быть отделено 1 пробелом.
4. Не разрешается использовать пробел в начале и в конце текста.
5. Разрешается использовать только 1 атрибут CN в DN субъекта.
Разрешается использование символов из набора (Приложение 10). При этом следующие символы разрешается использовать только в том случае, если они встречаются внутри псевдонима:
Приложение 3
Формат фио владельца скп
1. ФИО владельца СКП записывается в атрибут CN (OID.2.5.4.3) поля DN субъекта СКП.
2. Длина текста не более 64 символов.
3. ФИО должно быть указано полностью так, как оно указано в документе, удостоверяющем личность владельца (например, паспорт). Формат:
а. первое слово – Фамилия;
б. 1 пробел;
в. второе слово – Имя;
г. 1 пробел;
д. третье слово – Отчество;
е. 1 пробел (если есть еще текст после отчества);
ж. остальные слова (если есть) могут быть отнесены к отчеству, в зависимости от контекста обработки.
4. Каждое слово в тексте должно быть отделено 1 пробелом.
5. Не разрешается использовать пробел в начале и в конце текста.
6. Разрешается использовать только 1 атрибут CN в DN субъекта.
7. Разрешается использование символов из набора (Приложение 10), за исключением символов:
Приложение 2