ФОРМАТ КРИПТОГРАФИЧЕСКОГО СООБЩЕНИЯ

Формат криптографического сообщения

Криптографическое сообщение – электронная подпись или блок зашифрованных данных, используемые в системе СБИС.

Все криптографические сообщения (электронные подписи и блоки зашифрованных данных) на online.sbis.ru представляют собой двоичные данные в формате CMS/PKCS#7.

Стандарт CMS/PKCS#7 с поддержкой российских криптоалгоритмов реализован в сертифицированных ФСБ средствах криптографической защиты информации (СКЗИ).

Шифрование данных

Зашифрованные данные передаются как структура «enveloped data». Шифрование данных производится при помощи симметричного алгоритма ГОСТ 28147-89 на сгенерированном сессионном ключе. Сессионный ключ уже шифруется в адрес секретного ключа сертификата получателя алгоритмом ГОСТ Р 34.10-2001. Зашифрованный сессионный ключ содержится в криптографическом сообщении.

Вычисление криптографического хеша

Подписанные данные представлены в системе как структура «signed data». Алгоритм подписи: ГОСТ Р 34.11/34.10-2001. Подпись – это зашифрованный секретным ключом хэш от набора атрибутов. Обязательными атрибутами являются хэш от подписываемых данных и тип данных. Проверка подписи производится сравнением вычисленного хэша от криптографического сообщения и расшифрованных данных подписи открытым ключом из сертификата подписанта. Таким образом подпись вычисляется не от всего документа, а лишь от его хэша. Поэтому подписываться может как сам документ, так и хэш от него. Алгоритм вычисления хэша ГОСТ Р 34.11-94.

Штамп времени

В подписи, созданной в системе СБИС, также содержится штамп времени (time-stamp), который позволяет доказать факт существования документа на определённый момент времени. Штамп времени это подписанный ЭП документ, которым Служба штампов времени (Time Stamping Authority - TSA) удостоверяет, что в указанный момент времени ей было предоставлено значение хэш-функции от другого документа. Само значение хэш-функции также указывается в штампе. Служба штампов времени - доверенный субъект Инфраструктуры открытых ключей (ИОК), обладающий точным и надёжным источником времени и оказывающий услуги по созданию штампов времени. Значение хэш-функции от документа, на который получен штамп времени, служит для связи штампа с документом. При включении в штамп времени не самого документа, а значения хэш-функции, сохраняется конфиденциальность документа перед Службой штампов времени. Штамп времени является расширением контейнера подписи. Подробная информация о протоколе TSP описана в стандарте RFC 3161.

Требования к сертификату

Помимо проверки самой подписи в online.sbis.ru также проверяется действительность сертификата подписи. Сертификат должен удовлетворять ряду требований, а также быть действительным (не отозван, не истёк срок действия сертификата),

Примеры реализации и использования методов криптографии:

 

0
0
Оставьте свой отзыв:
ОТПРАВИТЬ