დავა მეზობლებთან 

კვალიფიციური ელექტრონული ხელმოწერა - საინფორმაციო სისტემების OID-ების პრობლემები. ცუდი ხელმოწერა ხელმოწერა ვერ მოხერხდა დადასტურება დაკარგული ობიექტის იდენტიფიკატორი OID Oid გაშიფვრა

როდესაც შედიხართ თქვენს პირად ანგარიშში QEP-ის მოთხოვნით, გამოჩნდება შეტყობინება « კომპიუტერი არ არის კონფიგურირებული . გასაგრძელებლად გადადით კომპიუტერის პარამეტრების გვერდზე და მიჰყევით შემოთავაზებულ ნაბიჯებს » . პარამეტრების გვერდზე გადასვლისა და ყველა საჭირო კომპონენტის დაყენების შემდეგ პირადი ანგარიშიჩნდება შეტყობინება, რომ კომპიუტერი არ არის კონფიგურირებული.

შეცდომის გამოსასწორებლად, თქვენ უნდა:

1. დაამატეთ თქვენი პირადი ანგარიშის მისამართი https://i.kontur-ca.ru სანდო საიტებზე. Ამისთვის:

  • აირჩიეთ მენიუ "Start" > "Control Panel" > "Internet Options";
  • გადადით "უსაფრთხოების" ჩანართზე, აირჩიეთ ელემენტი "სანდო საიტები" (ან "სანდო საიტები") და დააჭირეთ ღილაკს "კვანძები";
  • მიუთითეთ შემდეგი კვანძის მისამართი https://i.kontur-ca.ru ზონაში დამატება ველში და დააჭირეთ ღილაკს დამატება.

თუ ეს მისამართი უკვე არის სანდო საიტების სიაში, გადადით შემდეგ ეტაპზე.

2. შეამოწმეთ, რომ პირადი ანგარიშის მისამართი https://i.kontur-ca.ru განსაზღვრულია სანდო:

  • თუ გამოიყენება Internet Explorer 8 ვერსია, მაშინ, ავტორიზაციის გვერდზე ყოფნისას, თქვენ უნდა შეამოწმოთ არის თუ არა სანდო საიტების ჩამრთველი გვერდის ბოლოში. თუ არ არის ჩამრთველი, მაგრამ არის წარწერა « ინტერნეტი”, შემდეგ მისამართი https://i.kontur-ca.ru არ არის დამატებული სანდო საიტებზე.
  • თუ გამოიყენება Internet Explorer 9 და უფრო მაღალი ვერსია, მაშინ, ავტორიზაციის გვერდზე ყოფნისას, თქვენ უნდა დააწკაპუნოთ მაუსის მარჯვენა ღილაკით ნებისმიერ გვერდზე, აირჩიეთ "თვისებები". ფანჯარაში, რომელიც იხსნება, "ზონის" ხაზი უნდა შეიცავდეს წარწერას "სანდო საიტები". წინააღმდეგ შემთხვევაში, მისამართი https://i.kontur-ca.ru არ დაემატა სანდო საიტებს.

თუ პირადი ანგარიშის მისამართი არ არის განსაზღვრული, როგორც სანდო, მაშინ უნდა დაუკავშირდეთ სისტემის ადმინისტრატორს თხოვნით, რომ დაამატოთ მისამართი https://i.kontur-ca.ru სანდო კვანძებში.

3. შეამოწმეთ, შეგიძლიათ თუ არა შეხვიდეთ თქვენს პირად ანგარიშზე. თუ შეცდომა მეორდება, მაშინ უნდა გაუშვათ RegOids პროგრამა ბმულიდან. ეს პროგრამა ავტომატურად დააკონფიგურირებს OID პარამეტრებს კომპიუტერის რეესტრში. თქვენ ასევე შეგიძლიათ ხელით შემოიტანოთ რეესტრის ერთ-ერთი ფილიალი, დაინსტალირებული ოპერაციული სისტემის ბიტიურობიდან გამომდინარე:

4. შეამოწმეთ, რომ კომპიუტერი იყენებს ადმინისტრატორის უფლებებს (შესამოწმებლად გადადით დაწყება - მართვის პანელი - მომხმარებლის ანგარიშები და ოჯახის უსაფრთხოება - მომხმარებლის ანგარიშები). თუ უფლებები არ არის საკმარისი, თქვენ უნდა მიანიჭოთ მომხმარებელს სრული უფლებები, ამისათვის დაუკავშირდით თქვენს ადმინისტრატორს.

5. მე-3 ნაბიჯის დასრულების შემდეგ აუცილებელია კომპიუტერის გადატვირთვა და პერსონალური ანგარიშის შესასვლელის შემოწმება.

თუ არცერთი ინსტრუქცია არ დაეხმარა, მაშინ უნდა დაუკავშირდეთ ტექნიკური მხარდაჭერამისამართით [ელფოსტა დაცულია]წერილში უნდა იყოს მითითებული:

1. დიაგნოსტიკის ნომერი.

ამისათვის თქვენ უნდა გადახვიდეთ სადიაგნოსტიკო პორტალზეhttps://help.kontur.ru , დააჭირეთ ღილაკს "დიაგნოსტიკის დაწყება » . გადამოწმების პროცესის დასრულების შემდეგ, დიაგნოსტიკური ნომერი გამოჩნდება ეკრანზე. წერილში მიუთითეთ მინიჭებული საცნობარო ნომერი.

2. შეცდომით ფანჯრის სკრინშოტი (Internet Explorer 9 და უფრო მაღალი ვერსიის გამოყენებისას ასევე უნდა დაურთოთ "თვისებები" ფანჯრის სკრინშოტი - იხილეთ პუნქტი 2).

3. ექსპორტი და დაურთეთ შემდეგი რეესტრის ფილიალები:

32-ბიტი: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo
64 ბიტი: HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo


  1. ზოგადი დებულებები.

    გარკვეული მონაცემების წარმოდგენის მეთოდის არჩევა და სერტიფიკატის ველების შემადგენლობის დამატებითი შეზღუდვები ეფუძნება შემდეგ პრინციპებს:

      სერტიფიკატში მონაცემების წარმოდგენა უნდა იყოს უკიდურესად მარტივი და ცალსახა, რათა გამოირიცხოს სხვადასხვა ვარიანტებიდოკუმენტის ინტერპრეტაცია უკვე განაცხადის შემუშავების ეტაპზე;

      ამ გზით შედგენილმა სპეციფიკაციამ უნდა დატოვოს აუცილებელი თავისუფლება, რომ შეიტანოს თვითნებური ტიპის დამატებითი მონაცემები სერტიფიკატში, სპეციფიკური EDS გასაღების სერთიფიკატების გამოყენების კონკრეტული სფეროსთვის;

      სერტიფიკატში ველების შემადგენლობა და მონაცემთა წარმოდგენის ფორმატები უნდა შეესაბამებოდეს საერთაშორისო რეკომენდაციებს (იხ. პუნქტი 2), სადაც ეს არ ეწინააღმდეგება EC კანონის მოთხოვნებს;

      გაცემული სერთიფიკატები გამოიყენება ინტერნეტ PKI-ში და ასეთი სისტემებისთვის საჯარო და კერძო გასაღებების მოქმედების პერიოდი განიხილება იგივე RFC 3280 (4.2.1.4) მიხედვით და სერთიფიკატში არ უნდა იყოს შეტანილი პირადი გასაღების გამოყენების პერიოდი.

  2. საერთაშორისო რეკომენდაციები. ეს დოკუმენტი შემუშავებულია საერთაშორისო რეკომენდაციების გათვალისწინებით:
    • RFC 3280 (RFC 2459-ის განახლება) ინტერნეტ X.509 საჯარო გასაღების ინფრასტრუქტურა. სერთიფიკატის და სერთიფიკატების გაუქმების სიის (CRL) პროფილი.
    • RFC 3039 Internet X.509 საჯარო გასაღების ინფრასტრუქტურა. კვალიფიციური სერტიფიკატის პროფილი - ეს RFC გვთავაზობს Ძირითადი მოთხოვნებისერტიფიკატების სინტაქსის (შედგენის) მიმართ, რომელთა გამოყენება იურიდიულად მნიშვნელოვანია.
  3. სერტიფიკატის ველების შემადგენლობა და დანიშნულება.

    ამ განყოფილებაში მოცემულია საჯარო გასაღების სერტიფიკატის ძირითადი ველების აღწერა, რომელიც შეესაბამება „ელექტრონული ციფრული ხელმოწერის შესახებ“ 10.01.2002 წ. კანონს.

    ამ განყოფილებაში გამოყენებული ცნებები, აღნიშვნები და ტერმინოლოგია ეფუძნება RFC 3280-სა და RFC 3039-ს, რომლებიც, თავის მხრივ, დაფუძნებულია ITU-T X.509 რეკომენდაციის მე-3 ვერსიაზე. სექციის შინაარსი არ აკოპირებს ამ დოკუმენტების შინაარსს. , მაგრამ მხოლოდ მიუთითებს ველების სერთიფიკატების გამოყენების განსხვავებებსა და მახასიათებლებზე, რომლებიც ახორციელებენ EDS სერთიფიკატის შემადგენლობის მოთხოვნებს EDS კანონის მე-6 მუხლით დადგენილ მოთხოვნებს.

    სერტიფიკატის ყველა ველისთვის, რომელიც მოითხოვს რუსულენოვანი სტრიქონების მნიშვნელობებს, სასურველია გამოიყენოთ უნივერსალური UTF-8 კოდირება (UTF8String ტიპის).

    ამ განყოფილების მიზანია სერტიფიკატის ველების შემადგენლობისა და დანიშნულების განსაზღვრა კონკრეტული სერტიფიკაციის ორგანოს მოთხოვნების გათვალისწინების გარეშე. დოკუმენტები, რომლებიც არეგულირებენ სერტიფიკაციის ორგანოს მუშაობას, შეიძლება შეზღუდონ სერტიფიკატის ველების შემადგენლობა და ატრიბუტების ნაკრები, რომლებიც გამოიყენება CA და სერტიფიკატის მფლობელების იდენტიფიცირებისთვის. ხელმოწერის გასაღებები.

      ვერსია
      ყველა გაცემული სერთიფიკატი უნდააქვს ვერსია 3.

      Სერიული ნომერი
      სერიული ნომრის ველი უნდაშეიცავდეს „... ხელმოწერის გასაღების მოწმობის უნიკალურ სარეგისტრაციო ნომერს“ (მუხლი 6, პუნქტი 1, პუნქტი 1). სერტიფიკატის ნომრის უნიკალურობა დაცული უნდა იყოს მოცემულ სერტიფიკაციის ორგანოში (CA).

      მოქმედების ვადა
      მოქმედების ველი უნდაშეიცავდეს „...სერთიფიკატის ცენტრის რეესტრში განთავსებული ხელმოწერის გასაღების მოწმობის დაწყების და მოქმედების ვადის გასვლის თარიღებს“ (მუხლი 6, პუნქტი 1, პუნქტი 1).

      SubjectPublicKeyInfo
      subjectPublicKeyInfo ველი უნდაშეიცავს „... ელექტრონული ციფრული ხელმოწერის საჯარო გასაღებს“ (მუხლი 6, პუნქტი 1, პუნქტი 3).

      ემიტენტი
      ფედერალური კანონი "EDS-ის შესახებ" ითვალისწინებს სერთიფიკატების გაცემას მხოლოდ ფიზიკურ პირებზე, ეს დებულება ასევე ეხება თავად CA-ების სერთიფიკატებს და რესურსების სერთიფიკატებს. ფედერალური კანონის ფორმალური მოთხოვნების შესასრულებლად, შემოთავაზებულია CA-ს ატრიბუტებში და რესურსების სერტიფიკატების მითითება ორგანიზაციის რეალური ინფორმაციის გათვალისწინებით, იმის გათვალისწინებით, რომ ასეთი სერტიფიკატი გაიცემა CA-ს ან რესურსის უფლებამოსილ პირზე და მითითებული ინფორმაცია უნდა იყოს ინტერპრეტირებული და დარეგისტრირებული, როგორც სერტიფიკატი ფსევდონიმისთვის, რაც დაშვებულია ფედერალური კანონით "EDS-ის შესახებ".
      ემიტენტის ველი უნდაცალსახად იდენტიფიცირება ორგანიზაცია, რომელმაც გასცა სერთიფიკატი და შეიცავს ორგანიზაციის ოფიციალურად რეგისტრირებულ სახელს.
      შემდეგი ატრიბუტები შეიძლება გამოყენებულ იქნას იდენტიფიკაციისთვის:

      • ქვეყნის სახელი
        		•  (ID-6-ზე)
      • stateOrProvinceName
        		•  (id-8-ზე)
      • ლოკაციის სახელი
        		•  (ID-ზე 7)
      • ორგანიზაციის დასახელება
        		•  (ID-10-ზე)
      • organizalUnitName
        		•  (ID-11-ზე)
      • საფოსტო მისამართი
        		•  (ID-16-ზე)
      • სერიული ნომერი
        		•  (ID-5-ზე)

      ემიტენტის ველი უნდააუცილებლად შეიტანეთ ატრიბუტები, რომლებიც აღწერს „სერთიფიკაციის ორგანოს სახელს და ადგილს, რომელმაც გასცა ხელმოწერის გასაღების სერტიფიკატი“ (მუხლი 6, პუნქტი 1, პუნქტი 5).

      სახელი უნდამითითებული ორგანიზაციაName ატრიბუტში. organizName ატრიბუტის გამოყენებისას შესაძლოა

      CA მდებარეობა შესაძლოამითითებული უნდა იყოს countryName, stateOrProvinceName, localityName ატრიბუტების ნაკრების გამოყენებით (რომელთაგან თითოეული არჩევითია) ან ერთი postalAddress ატრიბუტის გამოყენებით. რომელიმე ზემოთ ჩამოთვლილი მეთოდით, CA-ს მდებარეობა უნდა იყოს წარმოდგენილიმოწმობაში.

      უნდაშეიცავს სერტიფიცირების ორგანოს იურიდიულ მისამართს. შუალედი (სიმბოლო "0x20") უნდა იყოს გამოყენებული როგორც დელიმიტერი.

      ველის ატრიბუტი სათაური სერიაNumber უნდაგამოიყენება სახელების შეჯახებისას.

      საგანი
      სერტიფიკატის მფლობელის DN-ის (გამორჩეული სახელის) წარმოსაჩენად მაისიგამოიყენება შემდეგი ატრიბუტები:

      • ქვეყნის სახელი
        		•  (ID-6-ზე)
      • stateOrProvinceName
        		•  (id-8-ზე)
      • ლოკაციის სახელი
        		•  (ID-ზე 7)
      • ორგანიზაციის დასახელება
        		•  (ID-10-ზე)
      • organizalUnitName
        		•  (ID-11-ზე)
      • სათაური
        		•  (ID-12-ზე)
      • საერთო სახელი
        		•  (ID-ზე 3)
      • ფსევდონიმი
        		•  (ID-65-ზე)
      • სერიული ნომერი
        		•  (ID-5-ზე)
      • საფოსტო მისამართი
        		•  (ID-16-ზე)

      ფედერალური კანონის ფორმალური მოთხოვნების შესასრულებლად, შემოთავაზებულია CA-ს ატრიბუტებში და რესურსების სერტიფიკატების მითითება ორგანიზაციის რეალური ინფორმაციის გათვალისწინებით, იმის გათვალისწინებით, რომ ასეთი სერტიფიკატი გაიცემა CA-ს ან რესურსის უფლებამოსილ პირზე და მითითებული ინფორმაცია უნდა იყოს ინტერპრეტირებული და დარეგისტრირებული, როგორც სერტიფიკატი ფსევდონიმისთვის, რაც დაშვებულია ფედერალური კანონით "EDS-ის შესახებ".

      საგნის ველი უნდასავალდებულოა შეიცავდეს შემდეგ ინფორმაციას: „ხელმოწერის გასაღების მოწმობის მფლობელის გვარი, სახელი და პატრონიმი ან მფლობელის ფსევდონიმი“ (მუხლი 6, პუნქტი 1, პუნქტი 2).

      მფლობელის გვარი, სახელი და პატრონიმი უნდაშეიცავდეს commonName ატრიბუტში და ემთხვევა პასპორტში მითითებულს. შუალედი (სიმბოლო "0x20") უნდა იყოს გამოყენებული როგორც დელიმიტერი.

      მფლობელის მეტსახელი უნდაშეიცავს alias ატრიბუტს.

      ამ ატრიბუტების ერთ-ერთი გამოყენება გამორიცხავს მეორის გამოყენებას.

      დანარჩენი ატრიბუტები არჩევითია.

      „საჭიროების შემთხვევაში ხელმოწერის გასაღების სერტიფიკატში, დამადასტურებელი დოკუმენტების საფუძველზე, მითითებულია თანამდებობა (ორგანიზაციის სახელწოდებითა და მდებარეობით, რომელშიც დაფუძნებულია ეს თანამდებობა)...“ (მუხლი 6, პუნქტი 2).

      სერტიფიკატის მფლობელის დასახელება უნდამითითებულია სათაურის ატრიბუტში. ატრიბუტის მნიშვნელობა უნდაშეესაბამება სერტიფიკატის მფლობელისთვის დადგენილ თანამდებობის დამადასტურებელ დოკუმენტებში ჩანაწერს.

      სათაურის ატრიბუტი, RFC 3039-ის მიხედვით, უნდაჩართული იყოს subjectDirectoryAttributes გაფართოებაში. თუმცა, ეს დოკუმენტი (და RFC 3280) საშუალებას აძლევს მას შეიტანოს სათაურის ველში.

      საჭიროა სათაურის ატრიბუტის გამოყენებისას უნდამოიცავს ატრიბუტებს, რომლებიც აღწერს ორგანიზაციის სახელსა და ადგილს, რომელშიც დაფუძნებულია თანამდებობა.

      Კომპანიის სახელი უნდამითითებული ორგანიზაციაName ატრიბუტში. ატრიბუტის მნიშვნელობა უნდაემთხვევა ორგანიზაციის სახელწოდებას დამფუძნებელ ან სხვა გათანაბრებულ დოკუმენტებში. organizName ატრიბუტის გამოყენებისას შესაძლოაასევე გამოიყენება organizalUnitName ატრიბუტი.

      ორგანიზაციის ადგილმდებარეობა შესაძლოამითითებული უნდა იყოს countryName, stateOrProvinceName, localityName ატრიბუტების ნაკრების გამოყენებით (რომელთაგან თითოეული არჩევითია) ან ერთი postalAddress ატრიბუტის გამოყენებით.

      postalAddress ატრიბუტი, თუ გამოიყენება, უნდაშეიცავდეს ორგანიზაციის იურიდიულ მისამართს ან ხელმოწერის გასაღების მოწმობის მფლობელის საცხოვრებელი ადგილის მისამართს (ფიზიკური პირისთვის).

      თუ ორგანიზაციაName ატრიბუტი არსებობს, ქვეყნისName, stateOrProvinceName, localityName და postalAddress ატრიბუტები უნდაინტერპრეტირებული იყოს როგორც ორგანიზაციის მდებარეობა.

      საგნის ველის არასავალდებულო ატრიბუტები (countryName, stateOrProvinceName, localityName, OrganizationName, OrganizationalUnitName, სათაური, postalAddress) მაისიშეიტანება, თუ ეს განსაზღვრულია CA-ს რეგლამენტით, საგნის ველის ნაცვლად subjectDirectoryAttributes გაფართოებაში (იხ. პუნქტი 3.8.1). ამ შემთხვევაში ისინი არ უნდაჩართული იყოს საგანში და არ შეუძლიაგამოიყენება გასაღების სერტიფიკატების ხელმოწერის მფლობელთა გასარჩევად.

      serialNumber ატრიბუტი უნდასახელის შეჯახების შემთხვევაში ჩართული იყოს სერტიფიკატის სათაურის ველში. Ის ასევე შესაძლოაჩაირთვება, თუ ეს განისაზღვრება სერტიფიცირების ცენტრის დებულებით.

      serialNumber ატრიბუტი შესაძლოა:

      • იყოს თვითნებური (დავალება თავად სერტიფიკაციის ორგანოს მიერ);
      • შეიცავდეს სახელმწიფო (ან სხვა) ორგანიზაციის მიერ მინიჭებულ იდენტიფიკატორს (ნომერს) (მაგალითად, TIN, პასპორტის სერია და ნომერი, პირადობის მოწმობის ნომერი და ა.შ.).

    1. საჭირო გაფართოებები
      უნდამოიცავს შემდეგ გაფართოებებს:

      • გასაღების გამოყენება (id-ce 15)
      • სერტიფიკატის პოლიტიკა (ID-ce 32)

      1. გასაღების გამოყენება
        იმისათვის, რომ სერთიფიკატი გამოიყენებოდეს ციფრული ხელმოწერის დასადასტურებლად, keyUsage გაფართოებაში უნდაციფრული ხელმოწერის (0) და nonRepuduation (1) ბიტები უნდა იყოს დაყენებული.

        სერთიფიკატის პოლიტიკა
        CertificatePolicies გაფართოება მიზნად ისახავს სერტიფიკატის იურიდიულად შესაბამისი გამოყენების სფეროს განსაზღვრას.
        "... EDS ხელსაწყოების დასახელება, რომლითაც გამოიყენება ეს საჯარო გასაღები..." (მუხლი 6, პუნქტი 1, პუნქტი 4), "... ინფორმაცია ურთიერთობის შესახებ, რომლის განხორციელებაშიც ელექტრონული დოკუმენტი ელექტრონული ციფრული ხელმოწერაექნება იურიდიული მნიშვნელობა...“ (მუხლი 6, პუნქტი 1, მე-6 პუნქტი) და სხვა მონაცემები, რომლებიც არეგულირებს ხელმოწერის გასაღების სერტიფიკატების მიღებისა და გამოყენების პროცედურას, შეიძლება იყოსხელმისაწვდომია ამ გაფართოებაში მითითებულ CPSuri-ზე (Certificate Practice Statement URI).

      2. არჩევითი გაფართოებები
      როგორც ხელმოწერის გასაღების სერტიფიკატის ნაწილი მაისიმოიცავს ნებისმიერ სხვა გაფართოებას. EDS გასაღების სერტიფიკატში გაფართოებების ჩართვისას აუცილებელია სერტიფიკატში წარმოდგენილი ინფორმაციის თანმიმდევრულობა და გაურკვევლობა.
      ეს დოკუმენტი არ აკონკრეტებს გაფართოებების გამოყენებას, გარდა subjectDirectoryAttributes (id-ce 9) გაფართოებისა.

      1. SubjectDirectoryAttributes
        subjectDirectoryAttributes გაფართოება შესაძლოაშეიცავს ატრიბუტებს, რომლებიც ავსებენ საგნის ველში მოწოდებულ ინფორმაციას.
        RFC 3039-ში ჩამოთვლილი ატრიბუტების გარდა, რეკომენდირებულია შემდეგი ატრიბუტების მხარდაჭერა SubjectDirectoryAttributes გაფართოებაში:

        • კვალიფიკაცია
          		•  {-}
        • ქვეყნის სახელი
          		•  (ID-6-ზე)
        • stateOrProvinceName
          		•  (id-8-ზე)
        • ლოკაციის სახელი
          		•  (ID-ზე 7)
        • ორგანიზაციის დასახელება
          		•  (ID-10-ზე)
        • organizalUnitName
          		•  (ID-11-ზე)
        • სათაური
          		•  (ID-12-ზე)
        • საფოსტო მისამართი
          		•  (ID-16-ზე)

        „საჭიროების შემთხვევაში ხელმოწერის გასაღების მოწმობაში, დამადასტურებელი დოკუმენტების საფუძველზე, მითითებულია... ხელმოწერის გასაღების მოწმობის მფლობელის კვალიფიკაცია“ (მუხლი 6, პუნქტი 2).

        მონაცემები EDS გასაღების სერტიფიკატის მფლობელის კვალიფიკაციის შესახებ უნდამითითებულია კვალიფიკაციის ატრიბუტში. ეს ატრიბუტი არ არის განსაზღვრული საერთაშორისო რეკომენდაციებში (იხ. პუნქტი 2) და ექვემდებარება რეგისტრაციას.

        თუ countryName, stateOrProvinceName, localityName, OrganizationName, OrganizationalUnitName, title, postalAddress ატრიბუტები შედის subjectDirectoryAttributes გაფართოებაში, ისინი არ უნდაჩართული იყოს საგნის ველში.

        ხელმოწერის გასაღების სერტიფიკატის მფლობელის შესახებ სხვა ინფორმაციის შესანახად მაისიგამოიყენეთ სხვა (უკვე რეგისტრირებული ან რეგისტრაციას ექვემდებარება) ატრიბუტები, რომლებიც არ ეწინააღმდეგება სერტიფიკატის პოლიტიკის გაფართოებით დაწესებულ შეზღუდვებს და CA-ს მუშაობის მარეგულირებელ სხვა დოკუმენტებს.

ASN1 აპლიკაცია

id-at: OID ღირებულება: 2.5.4
OID აღწერა: X.500 ატრიბუტების ტიპები.
ID-ce: OID ღირებულება: 2.5.29
OID აღწერა:ობიექტის იდენტიფიკატორი 3 ვერსიის სერთიფიკატის გაფართოებებისთვის.

2.5.4.5 id-at-serialNumber serialNumber ATTRIBUTE::= ( WITH SYNTAX PrintableString(SIZE (1..64)) თანასწორობის შესატყვისი წესი caseIgnoreMatch SUBSTRINGS Matching Rule caseIgnoreSubstringsMatch ID-at-serialNumber )

(RFC 3039)
SerialNumber ატრიბუტის ტიპი SHALL, როდესაც არსებობს, გამოყენებული იქნება სახელების დიფერენცირებისთვის, სადაც საგნის ველი სხვაგვარად იდენტური იქნებოდა. ამ ატრიბუტს არ გააჩნია განსაზღვრული სემანტიკა საგნების სახელების უნიკალურობის უზრუნველყოფის გარდა. ის შეიძლება შეიცავდეს CA-ს მიერ მინიჭებულ ნომერს ან კოდს ან მთავრობის ან სამოქალაქო ხელისუფლების მიერ მინიჭებულ იდენტიფიკატორს. CA-ს პასუხისმგებლობაა უზრუნველყოს, რომ სერიული ნომერი საკმარისია საგნის სახელების ნებისმიერი შეჯახების მოსაგვარებლად.

2.5.4.3 - id-at-commonName

OID მნიშვნელობა: 2.5.4.3

OID აღწერა:საერთო სახელის ატრიბუტის ტიპი განსაზღვრავს ობიექტის იდენტიფიკატორს. საერთო სახელი არ არის დირექტორია სახელი; ეს არის (შესაძლოა ორაზროვანი) სახელი, რომლითაც ობიექტი საყოველთაოდ ცნობილია გარკვეული შეზღუდული მოცულობით (როგორიცაა ორგანიზაცია) და შეესაბამება იმ ქვეყნის ან კულტურის დასახელების კონვენციებს, რომელთანაც იგი ასოცირდება.

CommonName ატრიბუტი::= ( სახელის ქვეტიპი SYNTAX DirectoryString (ub-common-name) ID (id-at-commonName) )

(RFC 3039: კვალიფიციური სერტიფიკატის პროფილი)
OID ღირებულება: 2.5.4.65

ფსევდონიმი ATTRIBUTE::= (სახელის ქვეტიპი SYNTAX DirectoryString ID (id-at-ფსევდონიმი) )

OID მნიშვნელობა: 2.5.29.17

OID აღწერა: id-ce-subjectAltName ეს გაფართოება შეიცავს ერთ ან მეტ ალტერნატიულ სახელს, სხვადასხვა სახელების ფორმის გამოყენებით, ერთეულისთვის, რომელიც CA-ს მიერ არის მიბმული დამოწმებულ საჯარო გასაღებთან.

SubjectAltName EXTENSION::= ( SYNTAX GeneralNames IDENTIFIED BY id-ce-subjectAltName ) GeneralNames::= SEQUENCE SIZE (1..MAX) OF GeneralName GeneralName::= CHOICE ( otherName INSTANCE,dName INSTANCE,d85, Str. *) x400Address ORAddress, directoryName Name, ediPartyName EDIPartyName, uniformResourceIdentifier IA5String, IPaddress OCTET STRING, registeredID OBJECT IDENTIFIER ) (*) – თვითნებური სტრიქონი. OTHER-NAME::= SEQUENCE ( type-id OBJECT IDENTIFIER მნიშვნელობა EXPLICIT ANY DEFINED BY type-id )

OID მნიშვნელობა: 2.5.4.16

OID აღწერა:საფოსტო მისამართის ატრიბუტის ტიპი განსაზღვრავს მისამართის ინფორმაციას საფოსტო შეტყობინებების ფიზიკური მიწოდებისთვის საფოსტო სამსახურის მიერ დასახელებულ ობიექტზე. საფოსტო მისამართის ატრიბუტის მნიშვნელობა, როგორც წესი, შედგება არჩეული ატრიბუტებისაგან MHS არაფორმატირებული საფოსტო O/R მისამართის 1-ლი ვერსიიდან, CCITT Rec F.401-ის მიხედვით და შემოიფარგლება 6 სტრიქონით 30 სიმბოლოთი თითოეული, საფოსტო ქვეყნის სახელის ჩათვლით. ჩვეულებრივ, ასეთ მისამართში მოცემული ინფორმაცია შეიძლება შეიცავდეს ადრესატის სახელს, ქუჩის მისამართს, ქალაქს, შტატს ან პროვინციას, საფოსტო კოდს და, შესაძლოა, საფოსტო ყუთის ნომერს, დასახელებული ობიექტის სპეციფიკური მოთხოვნებიდან გამომდინარე.

PostalAddress ATTRIBUTE::= ( WITH SYNTAX PostalAddress EQUALITY MATCHING RULE caseIgnoreListMatch SUBSTRINGS MATCHING RULE caseIgnoreListSubstringsMatch ID id-at-postalAddress ) PostalAddress:= S-E-postalystr.

OID მნიშვნელობა: 2.5.4.12

OID აღწერა: Title ატრიბუტის ტიპი განსაზღვრავს ობიექტის დანიშნულ პოზიციას ან ფუნქციას ორგანიზაციაში. სათაურის ატრიბუტის მნიშვნელობა არის string.

Title ATTRIBUTE::= ( ქვეტიპი სახელი WITH SYNTAX DirectoryString (ub-title) ID id-at-title ) id-ce-certificatePolicies OBJECT IDENTIFIER::= ( id-ce 32 ) CertificatePolicies::= SEQUENCE S.IZ. მაქსიმალური) PolicyIformation PolicyInformation :: = თანმიმდევრობა (PolicyIdentifier CertPolicyID, PolicyQualifiers თანმიმდევრობის ზომა (1..max) PolicyQuierInfo სურვილისამებრ) სერტიფიკატი: ინტერნეტის პოლიტიკის კვალიფიკატორებისთვის id-qt OBJECT IDENTIFIER::= ( id-pkix 2 ) id-qt-cps OBJECT IDENTIFIER::= ( id-qt 1 ) id-qt-unotice OBJECT IDENTIFIER::= ( id-qt 2 ) PolicyQualifierId::= OBJECT IDENTIFIER (id-qt-cps | id-qt-unotice) კვალიფიკატორი::= CHOICE ( cPSuri CPSuri, userNotice UserNotice ) CPSuri::= IA5 სტრიქონი მომხმარებლის შენიშვნა::= SEQUENCE (ცნობის შენიშვნაRefTextTIONALText) NoticeReference::= SEQUENCE (ორგანი DisplayText, noticeNumbers მთელი რიცხვის თანმიმდევრობა ) DisplayText::= CHOICE (visibleString VisibleString (SIZE (1..200)), bmpString BMPString (SIZE (1..200)), utf8String UTF8String (SIZE (1.200)).

ვადიმ მალიხი
02.10.2013

რამდენიმე ხნის წინ ფეისბუქზე ფორუმი რუს ჯგუფში გაიმართა დისკუსია გამოყენების შესახებ ინფორმაციული სისტემებიაჰ ავტორიტეტები (დისკუსია იყო თემის მიღმა, შეგიძლიათ იხილოთ ქვემოთ მოცემულ კომენტარებში). დავის არსი მდგომარეობს იმაში, რომ საინფორმაციო სისტემების OID-ების (ობიექტის იდენტიფიკატორი - ობიექტის იდენტიფიკატორი) გამო, რომლებიც უნდა დარეგისტრირდეს თანამდებობის პირების კვალიფიციურ ელექტრონულ ხელმოწერის სერტიფიკატებში (ES), ეს იგივე ES უნდა შეიცვალოს კიდევ უფრო ხშირად, ვიდრე ერთხელ. წელი (რაც ნაკარნახევია უსაფრთხოების მოთხოვნებით) და ეს, თავის მხრივ, იწვევს დამატებით სირთულეებსა და ხარჯებს, რადგან ავტორიტეტების უმეტესობა მუშაობს კომერციულ CA-ებთან საკუთარის გარეშე. პრობლემას ამწვავებს საერთო გაგების არარსებობა, თუ რა არის ეს. OID უზრუნველყოფს და რამდენად აუცილებელია და/ან სავალდებულოა ისინი.

კამათის მსვლელობისას ჩემმა ოპონენტმა გამაფრთხილა, რომ საგნობრივი სფეროს ზოგიერთი საფუძვლების უცოდინრობის გამო, მომავალში შეიძლება შემექმნა გარკვეული პრობლემები კანონთან დაკავშირებით. კოლეგის ასეთი გაფრთხილება გვერდს ვერ ავუვლიდი, ამიტომ გადავწყვიტე კიდევ ერთხელ გულდასმით შემესწავლა ეს თემა და დავრწმუნდი, რომ ყველაფერი მესმის და სწორად ვაკეთებ. ქვემოთ მოცემულია ამ ექსკურსიის რამდენიმე შედეგი საგნობრივი სფერო. იქნებ ვინმე დაინტერესდეს.

ძირითადი ცნებებიდან დაწყებული, ელექტრონული ხელმოწერა ეფუძნება ასიმეტრიული დაშიფვრის ალგორითმებს. ამ ალგორითმების მთავარი მახასიათებელია ის, რომ ორი განსხვავებული გასაღები გამოიყენება შეტყობინების დაშიფვრისა და გაშიფვრის მიზნით. ფართო საზოგადოება უფრო კარგად იცნობს სიმეტრიულ ალგორითმებს, როდესაც ჩვენ ვშიფრავთ და გავშიფრავთ შეტყობინებას იმავე გასაღებით (ან პაროლით), მაგალითად, ვარქივებთ ფაილს პაროლით ან ვიცავთ MS Word დოკუმენტს.

ბევრი რამ დაფუძნებულია ასიმეტრიული დაშიფვრის ალგორითმებზე, თუმცა მხოლოდ ის ფაქტი, რომ სხვადასხვა გასაღებები გამოიყენება დაშიფვრისა და გაშიფვრისთვის, ჯერ კიდევ არ იძლევა ამ ალგორითმების რაიმე სასარგებლო გამოყენების საშუალებას. ამისათვის მათ უნდა ჰქონდეთ დამატებითი თვისებები. ჯერ ერთი, გასაღებები არ უნდა იყოს გამოთვლადი, ანუ თუ იცით ერთი გასაღები, მეორეს ვერ გამოთვლით. ასევე ძალიან მნიშვნელოვანია, რომ დაშიფვრის სხვადასხვა გასაღები შეესაბამებოდეს სხვადასხვა გაშიფვრის გასაღებს და პირიქით - მხოლოდ ერთი დაშიფვრის გასაღები შეესაბამება ერთ გაშიფვრის გასაღებს.

რა არის რეალური ხელმოწერა? ბოლოს და ბოლოს, ჩვენ უნდა მოვაწეროთ დოკუმენტი და არა მისი დაშიფვრა. ჯერ უნდა გესმოდეთ, რა არის ხელმოწერა და რატომ არის საჭირო. როდესაც თქვენს ხელმოწერას დებთ ქაღალდის დოკუმენტზე, თქვენ ამით დარწმუნდებით, რომ თქვენ (და არა ვინმე სხვა) იხილეთ (და ეთანხმებით) ამ კონკრეტულ დოკუმენტს (და არა სხვას). ყველაზე მნიშვნელოვანი ქონებახელმოწერები - არაუარყოფა. ეს ნიშნავს, რომ დოკუმენტზე ხელმოწერის შემდეგ, თქვენ არ შეგიძლიათ უარი თქვათ ამ ფაქტზე მოგვიანებით. ქაღალდის ხელმოწერის შემთხვევაში, ხელნაწერის ექსპერტიზა გაგამართლებთ, ელექტრონულის შემთხვევაში, ასიმეტრიული დაშიფვრის ალგორითმებზე დაფუძნებულ მათემატიკურ მეთოდებს.

როგორ მუშაობს ეს ყველაფერი, მოკლედ. ჩვენ ვიღებთ ასიმეტრიული დაშიფვრის ალგორითმს, ვქმნით გასაღების წყვილს (დაშიფვრისა და გაშიფვრისთვის). დაშიფვრის გასაღებს ვაძლევთ მას, ვინც ხელს მოაწერს დოკუმენტებს. ის ყოველთვის თან უნდა იყოს და არავის მისცეს. ამიტომ მას "პირადი" გასაღები ეწოდება. ჩვენ ყველას ვაძლევთ სხვა გასაღებს (გაშიფვრას), ასე რომ, ის არის "ღია". დოკუმენტზე ხელმოწერისას პირმა უნდა დაშიფროს იგი თავისი პირადი გასაღებით. ეს არ არის თავად დოკუმენტი, რომელიც რეალურად არის დაშიფრული, რადგან ის შეიძლება იყოს საკმაოდ დიდი და ჩვენ რეალურად არ გვჭირდება მისი დაშიფვრა. მაშასადამე, დოკუმენტისთვის მიიღება ჰეში - ეს არის გარკვეული რიცხვითი თანმიმდევრობა, დიდი ალბათობით, განსხვავებული სხვადასხვა დოკუმენტისთვის, როგორც დოკუმენტის "თითის ანაბეჭდი". ის დაშიფრულია ხელმომწერის პირადი გასაღებით. ეს დაშიფრული ჰეშია ელექტრონული ხელმოწერადოკუმენტი. ახლა, როდესაც აქვს დოკუმენტი, ხელმოწერა და საჯარო გასაღები, ნებისმიერს შეუძლია ადვილად გადაამოწმოს, რომ ეს კონკრეტული დოკუმენტი ხელმოწერილია ამ კონკრეტული პირადი გასაღებით. ამისათვის ჩვენ კვლავ ვიღებთ დოკუმენტის ჰეშს, ხელმოწერის გაშიფვრას საჯარო გასაღებით და ვადარებთ. უნდა მიიღოს ორი იდენტური რიცხვითი მიმდევრობა.

ეს ყველაფერი მშვენიერია, მაგრამ აქამდე მივიღეთ კერძო გასაღების ხელმოწერის არაუარყოფა, ანუ დავამტკიცეთ, რომ დოკუმენტს ხელს აწერს კონკრეტული გასაღები. ჩვენ უნდა დავამტკიცოთ, რომ მას ხელს აწერს კონკრეტული ადამიანი. ამისათვის არის სერტიფიცირების ცენტრები და ციფრული სერთიფიკატები. ყველაზე მნიშვნელოვანი, რასაც სერტიფიკაციის ორგანო აკეთებს, არის ის, რომ ის ადასტურებს, რომ პირადი გასაღები ეკუთვნის კონკრეტულ პირს. ამის გარანტირებისთვის, ეს არის სერტიფიცირების ცენტრი, რომელიც ქმნის გასაღების წყვილებს და პირადად გასცემს მათ მფლობელებს (არსებობს ვარიანტები მარიონეტული გზით, დისტანციურად, მაგრამ ეს არის დეტალები). გასაღებებთან ერთად იქმნება ციფრული სერთიფიკატი - ეს არის ელექტრონული დოკუმენტი (ზოგჯერ მისი ქაღალდის წარმომადგენლობა), რომელიც შეიცავს ინფორმაციას გასაღების მფლობელის, თავად გასაღების, სერტიფიცირების ორგანოს და სხვა ინფორმაციას. მფლობელი, როგორც წესი, მთელ ამ სიკეთეს იღებს დაცულ მედიაზე (სმარტ ბარათი, ru-token და ა.შ.), რომელიც შეიცავს კერძო გასაღებს და სერტიფიკატს ჩაშენებული საჯარო გასაღებით. თავად გადამზიდავი ყოველთვის უნდა იყოს თქვენთან და მისგან გადაწერილი საჯარო გასაღების სერტიფიკატი შეიძლება გადაეცეს ყველას, რათა დაადასტურონ თქვენი ელექტრონული ხელმოწერა.

ასე რომ, ხელმოწერა ხდება პირადი გასაღებით, ხოლო ხელმოწერის გადამოწმება საჯარო გასაღებით. ამიტომ ფრაზა „დოკუმენტს ხელს აწერს OID კომპლექტი“ (რომელიც დავის დროს იყო ნახსენები) უაზროა. ხელმოწერისა და გადამოწმების პროცედურაში ჩართულია მხოლოდ ორი გასაღები, 63-FZ-ში ისინი დასახელებულია შესაბამისად - ხელმოწერის გასაღები და ხელმოწერის გადამოწმების გასაღები.

და რა არის ეს ცნობილი OID? X.509 ციფრული სერტიფიკატის ფორმატი საშუალებას იძლევა შეინახოს მასში გაფართოებები. ეს არის რამდენიმე არჩევითი ატრიბუტი, რომელიც შეიძლება გამოყენებულ იქნას დამატებითი ინფორმაციის შესანახად. თითოეული ასეთი ატრიბუტი არის ობიექტი, რომელიც მითითებულია იდენტიფიკატორით იერარქიული დირექტორიადან. აქედან გამომდინარე OID - ობიექტის იდენტიფიკატორი. აზრი არ აქვს თავად OID-ების ბუნებაში ჩაღრმავებას. სინამდვილეში, ეს არის რამდენიმე დამატებითი ინფორმაცია, რომელიც შეიძლება იყოს სერთიფიკატში.

ეს დამატებითი ატრიბუტები შეიძლება გამოყენებულ იქნას სხვადასხვა მიზნებისთვის. მათ შეუძლიათ მიაწოდონ დამატებითი ინფორმაცია მფლობელის, გასაღებების, CA-ს შესახებ, ან ატარონ დამატებითი ინფორმაცია აპლიკაციებისა და სერვისებისთვის, რომლებიც იყენებენ ამ სერტიფიკატს. ყველაზე გავრცელებული გამოყენება არის როლებზე დაფუძნებული წვდომის კონტროლი. მაგალითად, სერთიფიკატში შეიძლება აღინიშნოს, რომ გასაღების მფლობელი არის ორგანიზაციის ხელმძღვანელი და ეს მისცემს მას შესაძლებლობას დაუყოვნებლივ მიიღოს წვდომა საჭირო ფუნქციებსა და ინფორმაციას ყველა IS-ში, თითოეულის ადმინისტრატორებთან დაკავშირების გარეშე. არის და შეცვალეთ წვდომის პარამეტრები. ეს ყველაფერი, რა თქმა უნდა, იმ პირობით, რომ ყველა ეს IS გამოიყენებს მომხმარებლის სერთიფიკატს ავტორიზაციისთვის და აანალიზებს იგივე ატრიბუტს (ამ მიზეზით, ატრიბუტები შეირჩევა დირექტორიადან და არა თვითნებურად დაყენებული).

განსხვავებული აპლიკაციების გამო ვიღებთ ორ სერთიფიკატს, რომლებიც ბუნებით სრულიად განსხვავებულია. ერთი - ადასტურებს, რომ მე ვარ და ეს ყოველთვის ასეა. კარგია, ის შეიძლება გაიცეს ერთხელ ან მეტჯერ ცხოვრებაში, როგორც პასპორტი. თუმცა, არსებული კრიპტოგრაფიული ალგორითმების არასრულყოფილების გამო, უსაფრთხოების მიზნით, ეს სერთიფიკატები ახლა ყოველწლიურად უნდა გაიცეს ხელახლა. მეორე ტიპის სერტიფიკატი მართავს დამატებით ინფორმაციას და შეიძლება შეიცვალოს ბევრად უფრო ხშირად, ვიდრე წელიწადში ერთხელაც კი. მისი შედარება შეიძლება სავიზიტო ბარათი. შეიცვალა პოზიცია, ფოსტა, ტელეფონი - ახალი სავიზიტო ბარათების დამზადება გჭირდებათ.

მსოფლიოში ამ ორი ტიპის სერთიფიკატს ეძახიან, შესაბამისად, საჯარო გასაღების სერთიფიკატი (PKC) და ატრიბუტის სერთიფიკატი (ან ავტორიზაციის სერთიფიკატი - AC). მეორე სახის სერთიფიკატი შეიძლება გაიცეს ბევრად უფრო ხშირად, ვიდრე პირველი, სხვა ორგანიზაციის მიერ და უნდა იყოს უფრო ხელმისაწვდომი და უფრო ადვილი მოსაპოვებელი, ვიდრე პირადი „საჯარო გასაღების“ სერტიფიკატი. ნებისმიერ შემთხვევაში, ეს არის ის, რასაც RFC 3281 გირჩევთ, რომელიც ეძღვნება ამ ტიპის სერთიფიკატს. მეორე სახის სერთიფიკატი უნდა შეიცავდეს მხოლოდ ბმულს საჯარო გასაღების სერთიფიკატთან, რათა სისტემამ, რომელიც მას იყენებს მომხმარებლის ავტორიზაციისთვის, შეძლოს პირველი პირის იდენტიფიცირება, რომელიც იყენებს PKC-ს.

ახლა მოდით მივუახლოვდეთ ჩვენს რეალობას. საკანონმდებლო დონეზე ელექტრონული ხელმოწერის გამოყენებასთან დაკავშირებული საკითხები ქ რუსეთის ფედერაცია, რეგულირდება ორი ძირითადი დოკუმენტით - რუსეთის ფედერაციის კანონი 04/06/2011 No63-FZ "ელექტრონული ხელმოწერის შესახებ" და რუსეთის ფედერაციის უშიშროების ფედერალური სამსახურის 12/27/2011 No. 795 „ელექტრონული ხელმოწერის დამადასტურებელი გასაღების კვალიფიციური მოწმობის ფორმის მოთხოვნების დამტკიცების შესახებ“. კვალიფიციური სერტიფიკატის შემადგენლობა აღწერილია 795-ე ბრძანებაში (ნაწილი II "მოთხოვნები კვალიფიციური სერტიფიკატის ველების ნაკრებისთვის") და ის არ შეიცავს მოთხოვნებს ატრიბუტებისთვის, რომლებიც აკონტროლებენ ავტორიზაციას ნებისმიერ საინფორმაციო სისტემაში. როგორც დამატებითი სავალდებულო ატრიბუტები, მითითებულია მხოლოდ ინფორმაცია, რომელიც საშუალებას გაძლევთ განსაზღვროთ ფიზიკური ან იურიდიული პირი რუსეთის ფედერაციაში (TIN, SNILS და ა.შ.). მიუხედავად იმისა, რომ არც კანონი და არც FSB-ის ბრძანება არ კრძალავს კვალიფიციურ სერტიფიკატში სხვა ინფორმაციის ჩართვას.

როგორც ხედავთ, არცერთი საკანონმდებლო ნორმა არ კარნახობს ავტორიზაციასთან დაკავშირებული ატრიბუტების კვალიფიციურ სერტიფიკატში სავალდებულო ყოფნას ნებისმიერ საინფორმაციო სისტემაში. საიდან მოდის ეს მოთხოვნები? და ისინი მოდიან დეველოპერებისგან (ან "მფლობელებისგან") კონკრეტული სისტემები. მაგალითად, ავიღოთ „ინსტრუქციები ელექტრონული ხელმოწერის გამოყენების შესახებ უწყებათაშორის ელექტრონულ ურთიერთქმედებაში (ვერსია 4.3)“, განთავსებულია SMEV ტექნოლოგიის პორტალზე. მართლაც, ამ დოკუმენტის მე-6 პუნქტში ვკითხულობთ: ”EP-SP სერთიფიკატის ფორმირებისთვის ინფორმაციის მომზადებისას, აუცილებელია განისაზღვროს Rosreestr-ისგან ინფორმაციის მოთხოვნის აუცილებლობა (ამონაწერი USRR-დან). თუ ასეთი მოთხოვნა აუცილებელია, OID უნდა მიეთითოს ველში „გაუმჯობესებული გასაღები“ (OID=2.5.29.37) ES-SP სერტიფიკატში Rosreestr-ის მოთხოვნების შესაბამისად“. ანუ Rosreestr საინფორმაციო სისტემა იყენებს ამ ატრიბუტს იმ ინფორმაციის დასადგენად, რომელიც შეიძლება გაიცეს სერტიფიკატის მფლობელზე. თუმცა, იგივე დოკუმენტი შეიცავს მნიშვნელოვან შენიშვნას, კერძოდ, ეს მოთხოვნა ძალაშია მანამ, სანამ ESIA (ერთჯერადი ავტორიზაციის სერვისი სახელმწიფო სისტემებში) სრულად არ ამოქმედდება და Rosreestr სისტემა არ იქნება დაკავშირებული. ეს მნიშვნელოვანი შენიშვნაა, გახსოვდეთ.

მე არ ვიქნები შტატში გამოყენებულ სხვა IP-ებთან. ორგანოები. მეეჭვება მსგავსი სიტუაცია იყოს. სახელმწიფო შესყიდვების პორტალი, ელექტრონული სავაჭრო პლატფორმები, სხვადასხვა საბუღალტრო და ფინანსური აპლიკაციები შეიძლება ასევე მოითხოვონ გარკვეული დამატებითი OID-ების არსებობა მომხმარებლის სერტიფიკატში. ამავდროულად, განცხადება, რომ სერთიფიკატში საინფორმაციო სისტემის OID-ის ჩაწერით, რატომღაც პასუხისმგებლობას ვანაწილებ სერტიფიკაციის ცენტრს, რბილად რომ ვთქვათ, არასწორია. CA შეაქვს ეს მონაცემები სერტიფიკატში ჩემი განაცხადის მიხედვით. თუ ჩემი პოზიცია შეიცვალა და დამავიწყდა განაცხადის წარდგენა ძველის გაუქმებაზე და ახალი მოწმობის გაცემაზე, CA არ იქნება პასუხისმგებელი ჩემს დავიწყებაზე. გარდა ამისა, კანონი 63-FZ პირდაპირ აკისრებს პასუხისმგებლობას სერტიფიკატის არასწორ გამოყენებაზე მის მფლობელს. მე-17 მუხლის მე-6 პუნქტში ვკითხულობთ:
კვალიფიციური სერტიფიკატის მფლობელმა უნდა:
1) არ გამოიყენოთ ელექტრონული ხელმოწერის გასაღები და დაუყოვნებლივ დაუკავშირდით აკრედიტებულ სერტიფიცირების ცენტრს, რომელმაც გასცა კვალიფიციური სერტიფიკატი, რომ გააუქმოს ეს სერტიფიკატი, თუ არსებობს საფუძველი იმის დასაჯერებლად, რომ დაირღვა ელექტრონული ხელმოწერის გასაღების კონფიდენციალურობა;
2) გამოიყენოს კვალიფიციური ელექტრონული ხელმოწერა კვალიფიციურ სერტიფიკატში მოცემული შეზღუდვების შესაბამისად (ასეთი შეზღუდვების დადგენის შემთხვევაში).

სერთიფიკატში ინფორმაციის შენახვის აუცილებლობა მომხმარებლის როლებისა და წვდომის შესახებ კონკრეტულ საინფორმაციო სისტემებში იწვევს პრობლემას, რამაც გამოიწვია დავა Facebook-ზე, კერძოდ, სერტიფიკატის ხელახლა გაცემა უნდა მოხდეს ბევრად უფრო ხშირად, ვიდრე პირადი ელექტრონული ხელმოწერის უსაფრთხოების მოთხოვნები კარნახობს. . პოზიცია შეიცვალა - ვაძლევთ სერთიფიკატს ხელახლა. გამოჩნდა ახალი IS - ჩვენ ხელახლა ვაძლევთ სერთიფიკატს. საჭირო იყო ინფორმაციის მოთხოვნა ახალი ორგანიზაციის IS-სგან (Rosreestr) - ჩვენ ხელახლა ვაძლევთ სერთიფიკატს.

არსებობს 100% დარტყმა კონცეფციაში, სახელწოდებით მსოფლიოში Attribute Certificate (ან ავტორიზაციის სერთიფიკატი), რომელიც ზემოთ იყო ნახსენები და რომელშიც რეკომენდირებულია ამ სერტიფიკატების გაცემა სხვა სასერტიფიკაციო ორგანოს მიერ (Attribute Autority, სერტიფიკატის ორგანოსგან განსხვავებით - რეგულარული CA, რომელიც გასცემს კვალიფიციურ ES სერთიფიკატებს) და გამარტივებული გზით. თავად ეს სერტიფიკატი არ უნდა შეიცავდეს ელექტრონული ხელმოწერის გასაღებს და ინფორმაციას მფლობელის შესახებ. ამის ნაცვლად, ის შეიცავს ბმულს მფლობელის საჯარო გასაღების სერტიფიკატთან, საიდანაც შეგიძლიათ მიიღოთ დანარჩენი საჭირო ინფორმაცია პირის შესახებ.

უნდა აღინიშნოს, რომ ამ სქემასაც ძალიან შეზღუდული გამოყენება აქვს და ყველა პრობლემას არ წყვეტს. რა მოხდება, თუ მომდევნო საინფორმაციო სისტემა გადაწყვეტს გამოიყენოს იგივე სერტიფიკატის ველი „გაუმჯობესებული გასაღები“ (OID=2.5.29.37), რომელიც უკვე დაკავებულია Rosreestr მნიშვნელობით, თავისი საჭიროებისთვის? ერთ ველში ორი განსხვავებული მნიშვნელობის შეყვანა არ იმუშავებს. ამიტომ, ჩვენ მოგვიწევს კიდევ ერთი AC გამოშვება! კიდევ ერთი პრობლემა დაკავშირებულია PKC-ის ხანმოკლე სიცოცხლესთან (ერთი წელი). თუ ჩვენ გვაქვს რამდენიმე AC (რომლებიც შეიცავს პერსონალურ სერთიფიკატთან ბმულს), ისინი ყველა ხელახლა უნდა გაიცეს PKC-ის ვადის ამოწურვის შემდეგ. AC-ის ეფექტური გამოყენებისთვის საჭიროა ერთი მომხმარებლის ავტორიზაციის ცენტრი ყველა საინფორმაციო სისტემაში და ყველა აპლიკაციამ უნდა გამოიყენოს სერტიფიკატის ატრიბუტები თანმიმდევრულად და ერთგვაროვნად.

ასეთი ერთიანი ავტორიზაციის ცენტრი სახელმწიფოსთვის. ხელისუფლება უკვე არსებობს - ეს არის ESIA. გავიხსენოთ შენიშვნა Rosreestr-ის OID-ებთან დაკავშირებით. მომავალში ისინი შეიცვლება ESIA-ს ინფორმაციით. სხვა საინფორმაციო სისტემები, რომლებშიც მუშაობენ საჯარო მოხელეები, ასევე უნდა მოიქცნენ. ავტორიზაციისთვის AC-ის გამოყენების ნაცვლად, აუცილებელია ESIA-სთან ინტეგრირება და იქიდან მიიღოს საჭირო ინფორმაცია ESIA-ს უნდა შეეძლოს დაკავშირება კვალიფიციური ES სერთიფიკატი ანგარიშთან, ასე რომ, საინფორმაციო სისტემები შეძლებენ მომხმარებლის ავტორიზაციას პირადი გასაღების გამოყენებით და მისცენ ავტორიზაციას (აპლიკაციაზე წვდომის უზრუნველყოფა) ESIA-ს მეშვეობით. ასეთი სისტემა, როგორც ჩანს, უფრო უნივერსალური და სანდოა, ვიდრე სერტიფიკატების ველების გამოყენება და მომავალში, ის ავტომატიზირებს წვდომის მართვას. თუ შეიქმნება საჯარო მოხელეთა პერსონალის ჩანაწერების ერთიანი სისტემა, ბსგზშ-ს შეეძლება ინფორმაციის მიღება. პირის უფლებამოსილებები პირდაპირ იქიდან. სხვა თანამდებობაზე გადასული პირი - ავტომატურად დაკარგა წვდომა ერთ სისტემაზე და მოიპოვა მეორე. ის აგრძელებს თავისი ES გასაღების გამოყენებას დოკუმენტების ხელმოწერისთვის, არაფრის ხელახლა გაცემა არ არის საჭირო.

CJSC AEI PRIME-ის ტექნიკური პირობების შესაბამისად, ინფორმაციის გამჟღავნება ფასიანი ქაღალდების და სხვა ფინანსური ინსტრუმენტების შესახებ, რომლებიც დამტკიცებულია რუსეთის ბანკის მიერ (), ელექტრონული დოკუმენტებისაჯარო ინფორმაციის შემცველი ინფორმაციის გამჟღავნების სუბიექტის მიერ ხელმოწერილი უნდა იყოს გაძლიერებული კვალიფიციური ელექტრონული ხელმოწერით (იხ. ტექნიკური პირობების პუნქტი 1.7). ეს მოთხოვნა ძალაშია 2017 წლის 1 თებერვლიდან.

ამჟამად PRIME-ის გამჟღავნების სერვერზე ელექტრონული ხელმოწერის გამოყენების სატესტო პერიოდი დაიწყო, რომელიც გაგრძელდება 2017 წლის 31 იანვრის ჩათვლით.

ფუნქციონირების შესამოწმებლად PRIME-ის მომხმარებლებს შეუძლიათ გამოიყენონ ნებისმიერი ES გასაღების სერტიფიკატი ადრე მიღებული ამ იურიდიული პირისთვის.

2017 წლის 1 თებერვლიდან ტექნიკური პირობების მოთხოვნით (იხ. პუნქტები 1.7. და 9.6.), მომხმარებლის ელექტრონული ხელმოწერის დამადასტურებელი გასაღების კვალიფიციური სერტიფიკატი უნდა შეესაბამებოდეს ბრძანებით დადგენილ კვალიფიციური სერტიფიკატის ფორმის მოთხოვნებს. რუსეთის უშიშროების ფედერალური სამსახური 2011 წლის 27 დეკემბრის No795 „ელექტრონული ხელმოწერის გადამოწმების გასაღების კვალიფიციური სერტიფიკატის ფორმის დამტკიცების მოთხოვნების შესახებ. გასაღების მომხმარებლის სერთიფიკატის გაფართოება ( ობიექტის იდენტიფიკატორი 2.5.29.37) უნდა შეიცავდეს გამჟღავნების ობიექტის იდენტიფიკატორს PRIME - OID 1.2.643.6.42.5.5.5

ინფორმაციის გამჟღავნების მომხმარებლის პირად ანგარიშზე შესვლა "PRIME" განხორციელდება კლიენტის მიერ ადრე მიღებული LOGIN-ისა და PASSWORD-ით.

კლიენტის ქმედებები ინფორმაციის გამჟღავნების არხში შეტყობინებების გამოქვეყნების, ინტერნეტის გვერდზე დოკუმენტების განთავსების, ინფორმაციის გამჟღავნების სისტემაში ემიტენტის სარეგისტრაციო ბარათში ცვლილებების შეტანის შესახებ უნდა დადასტურდეს ელექტრონული ხელმოწერით.

PRIME ინფორმაციის გამჟღავნების სერვერზე ES-ის გამოსაყენებლად, კლიენტმა ჯერ უნდა დააინსტალიროს დანამატი (ინსტალაცია უფასოა მომხმარებლებისთვის და დიდ დროს არ იღებს). იხილეთ მოდულის ინსტალაციის ინსტრუქციები ქვემოთ.

ინფორმაციის გამჟღავნების მომხმარებლის პირად ანგარიშში, მას შემდეგ, რაც კლიენტი დააინსტალირებს დანამატს, ინფორმაციის გამჟღავნების არხში შეტყობინების გამოქვეყნების ან ინტერნეტში დოკუმენტის განთავსების ფორმების შევსებისას, აგრეთვე სარეგისტრაციო ბარათის მონაცემების შეცვლისას, გამოჩნდება დამატებითი ველები „დოკუმენტის ელექტრონული ხელმოწერა“, სადაც საჭირო იქნება შესაბამისი სერვისის ველის ხელმოწერის გასაღების სერტიფიკატში გამოსახულის არჩევა და ღილაკზე „ხელმოწერა“ დაწკაპუნებით. ამ გზით კლიენტი დაადასტურებს თავის ქმედებებს ინფორმაციის გამჟღავნების ან სარეგისტრაციო ბარათში ცვლილებების შეტანის მიზნით.

  • შეტყობინების ელექტრონული ხელმოწერით ხელმოწერის შემდეგ კლიენტმა უნდა დააჭიროს ღილაკს „გამოქვეყნება“.
  • დოკუმენტზე ელექტრონული ხელმოწერით ხელმოწერის შემდეგ კლიენტმა უნდა დააჭიროს ღილაკს „დოკუმენტის დამატება“.
  • სარეგისტრაციო ბარათში ცვლილებების ელექტრონული ხელმოწერით ხელმოწერის შემდეგ კლიენტმა უნდა დააჭიროს ღილაკს „საიდენტიფიკაციო ფორმის გაგზავნა“.

გთხოვთ, გაითვალისწინოთ, რომ კლიენტების მიერ პირადი ანგარიშის მეშვეობით გაგზავნილი ყველა შეტყობინება ავტორიზაციის "ტესტის შესვლა (მუშაობა ES-თან)" გამოქვეყნდება ინფორმაციის გამჟღავნების არხში სამუშაო რეჟიმში. კლიენტების მიერ პირადი ანგარიშის მეშვეობით განთავსებული ყველა დოკუმენტი "სატესტო შესვლის (მუშაობა ES-თან)" ავტორიზაციის საშუალებით ავტომატურად განთავსდება ემიტენტების გვერდებზე სამუშაო რეჟიმში.

წინააღმდეგ შემთხვევაში, PRIME ინფორმაციის გამჟღავნების სერვერის პირად ანგარიშზე ემიტენტის ქმედებების პროცედურა არ იცვლება.