Электронный документооборот

Формат криптографического сообщения в API

Формат криптографического сообщения в API

Криптографическое сообщение — это электронная подпись или зашифрованные данные, которые используются в СБИС.

Все криптографические сообщения на online.sbis.ru представляют собой двоичные данные в формате CMS/PKCS#7. Этот формат поддерживает российские криптоалгоритмы и используется в СКЗИ, которые сертифицированы ФСБ.

Как шифруются данные в криптографическом сообщении

Зашифрованные данные передаются в виде структуры «enveloped data». Данные шифруются при помощи симметричного алгоритма ГОСТ 28147-89 на сгенерированном сессионном ключе. Зашифрованный сессионный ключ содержится в криптографическом сообщении.

Вычисление криптографического хеша

Подписанные данные представлены в системе как структура «signed data». Алгоритм подписи — ГОСТ Р 34.11/ 34.10-2012. Подпись — вычисляется по формату электронной подписи CAdES-T. Хеш от подписываемых данных и тип данных — одни из обязательных атрибутов. Чтобы проверить подпись, СБИС сравнивает хеш от криптографического сообщения и расшифрованные данные подписи открытым ключом из сертификата подписанта. Алгоритм вычисления хеша — ГОСТ Р 34.11-2012.

Штамп времени

Штамп времени — это подписанный ЭП документ, которым Служба штампов времени (Time Stamping Authority — TSA) удостоверяет, что в указанный момент времени ей было предоставлено значение хеш-функции от документа. Само значение хеш-функции также указывается в штампе. Штамп времени (time-stamp) содержится в подписи, созданной СБИС. Значение хеш-функции от документа, на который получен штамп времени, связывает штамп с документом. Чтобы сохранить конфиденциальность документа перед Службой штампов времени, в штамп времени включается не сам документ, а значение хеш-функции. Служба штампов времени Тензор: https://online.sbis.ru/tsp/tsp.srf. Подробная информация о протоколе TSP описана в стандарте RFC 3161.

Требования к сертификату

Помимо проверки математической корректности подписи в online.sbis.ru также проверяется валидность сертификата подписи. Сертификат должен удовлетворять требованиям, а также быть действительным и квалифицированным для ряда регламентов документооборота. Это означает, что в сертификате должны быть определённые комбинации реквизитов и расширений. Подробная информация о расширениях сертификата описана в стандарте RFC5280.

Нормативные документы