Интеграция со СБИС

Формат криптографического сообщения

Формат криптографического сообщения

Криптографическое сообщение — электронная подпись или блок зашифрованных данных, используемые в системе СБИС.

Все криптографические сообщения (электронные подписи и блоки зашифрованных данных) на online.sbis.ru представляют собой двоичные данные в формате CMS/PKCS#7.

Стандарт CMS/PKCS#7 с поддержкой российских криптоалгоритмов реализован в сертифицированных ФСБ средствах криптографической защиты информации (СКЗИ).

Шифрование данных

Зашифрованные данные передаются как структура «enveloped data». Шифрование данных производится при помощи симметричного алгоритма ГОСТ 28147-89 на сгенерированном сессионном ключе. Сессионный ключ уже шифруется в адрес секретного ключа сертификата получателя алгоритмом ГОСТ Р 34.10-2001 , либо алгоритмом ГОСТ Р 34.10-2012. Зашифрованный сессионный ключ содержится в криптографическом сообщении.

Вычисление криптографического хеша

Подписанные данные представлены в системе как структура «signed data». Алгоритм подписи: ГОСТ Р 34.11/34.10-2001 или ГОСТ Р 34.11/34.10-2012. Подпись — это зашифрованный секретным ключом хэш от набора атрибутов. Обязательными атрибутами являются хэш от подписываемых данных и тип данных. Проверка подписи производится сравнением вычисленного хэша от криптографического сообщения и расшифрованных данных подписи открытым ключом из сертификата подписанта. Таким образом подпись вычисляется не от всего документа, а лишь от его хэша. Поэтому подписываться может как сам документ, так и хэш от него. Алгоритм вычисления хэша ГОСТ Р 34.11-94 или ГОСТ Р 34.11-2012.

Штамп времени

В подписи, созданной в системе СБИС, также содержится штамп времени (time-stamp), который позволяет доказать факт существования документа на определённый момент времени. Штамп времени это подписанный ЭП документ, которым Служба штампов времени (Time Stamping Authority - TSA) удостоверяет, что в указанный момент времени ей было предоставлено значение хэш-функции от другого документа. Само значение хэш-функции также указывается в штампе. Служба штампов времени - доверенный субъект Инфраструктуры открытых ключей (ИОК), обладающий точным и надёжным источником времени и оказывающий услуги по созданию штампов времени. Значение хэш-функции от документа, на который получен штамп времени, служит для связи штампа с документом. При включении в штамп времени не самого документа, а значения хэш-функции, сохраняется конфиденциальность документа перед Службой штампов времени. Штамп времени является расширением контейнера подписи. Служба штампов времени Тензор: https://online.sbis.ru/tsp/tsp.srf. Подробная информация о протоколе TSP описана в стандарте RFC 3161.

Требования к сертификату

Помимо проверки самой подписи в online.sbis.ru также проверяется валидность сертификата подписи. Сертификат должен удовлетворять ряду требований, а также быть действительным (не отозван, не истёк срок действия сертификата) и квалифицированным. Это означает наличие в сертификате определённых комбинаций реквизитов и расширений. Подробная информация о расширениях сертификата описана в стандарте RFC5280.

Нормативные документы: