КАБІНЕТ МІНІСТРІВ УКРАЇНИ ПОСТАНОВА від 12 грудня 2023 р. № 1298 Київ Про затвердження вимог до форматів удосконалених електронних підписів та печаток, які використовуються для надання електронних публічних послуг, та вимог до створення та перевірки удосконалених електронних підписів та печаток, що базуються на кваліфікованих сертифікатах відкритих ключів Відповідно до частин другої і третьої статті 171 Закону України “Про електронну ідентифікацію та електронні довірчі послуги” Кабінет Міністрів України постановляє: 1. Затвердити такі, що додаються: вимоги до форматів удосконалених електронних підписів та печаток, які використовуються для надання електронних публічних послуг; вимоги до створення та перевірки удосконалених електронних підписів та печаток, що базуються на кваліфікованих сертифікатах відкритих ключів. 2. Ця постанова набирає чинності одночасно із Законом України від 1 грудня 2022 р. № 2801-IX “Про внесення змін до деяких законодавчих актів України щодо забезпечення укладення угоди між Україною та Європейським Союзом про взаємне визнання кваліфікованих електронних довірчих послуг та імплементації законодавства Європейського Союзу у сфері електронної ідентифікації”. Прем’єр-міністр України Д. ШМИГАЛЬ Інд. 49 ЗАТВЕРДЖЕНО постановою Кабінету Міністрів України від 12 грудня 2023 р. № 1298 ВИМОГИ до форматів удосконалених електронних підписів та печаток, які використовуються для надання електронних публічних послуг 1. Ці вимоги визначають формати удосконалених електронних підписів та печаток, які використовуються для надання електронних публічних послуг. Дія цих вимог не поширюється на надання електронних довірчих послуг відповідно до положень абзацу другого частини першої статті 2 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”. 2. У цих вимогах терміни вживаються у такому значенні: засіб удосконаленого електронного підпису та печатки — апаратно-програмний або апаратний пристрій чи програмне забезпечення, які реалізують криптографічні алгоритми генерації пар ключів та/або створення удосконаленого електронного підпису та печатки, та/або перевірки удосконаленого електронного підпису та печатки, та/або зберігання особистого ключа удосконаленого електронного підпису та печатки; удосконалений електронний підпис — електронний підпис, створений за результатом криптографічного перетворення електронних даних, з якими пов’язаний такий електронний підпис, з використанням засобу удосконаленого електронного підпису та особистого ключа, однозначно пов’язаного з підписувачем, і який дає змогу здійснити електронну ідентифікацію підписувача та виявити порушення цілісності електронних даних, з якими пов’язаний такий електронний підпис; контейнер удосконалених електронних підписів та печаток — файл, структура і зміст якого відповідають вимогам специфікації формату, що застосовується для окремих удосконалених електронних підписів та печаток. Інші терміни вживаються у значенні, наведеному у Законі України “Про електронну ідентифікацію та електронні довірчі послуги” та інших нормативно-правових актах у сфері електронної ідентифікації та електронних довірчих послуг. 3. Удосконалені електронні підписи та печатки, які використовуються для отримання електронних публічних послуг, повинні створюватися відповідно до положень стандартів, визначених пунктами 1—6 додатка, в одному з форматів, визначених стандартами, зазначеними у пунктах 7—21 додатка. 4. Удосконалені електронні підписи та печатки, отримані у надавача електронних довірчих послуг, відомості про якого не внесені до Довірчого списку, використовуються для надання електронних публічних послуг, якщо такий надавач електронних довірчих послуг відповідає вимогам, визначеним частиною четвертою статті 13 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”, а засоби підтвердження удосконаленого електронного підпису та печатки відповідають цим вимогам та є придатними для автоматизованої обробки. 5. Удосконалені електронні підписи та печатки, які використовуються для отримання електронних публічних послуг, можуть бути у форматах XML, CMS, PDF, ASN.1, JSON на рівні відповідності B-B, B-T, B-LT чи B-LTA або створюються за допомогою відповідного контейнера удосконалених електронних підписів та печаток, якщо такі підписи та печатки відповідають стандартам, визначеним у додатку. Удосконалені електронні підписи та печатки в інших форматах, ніж зазначені в абзаці першому цього пункту, можуть використовуватися для отримання електронних публічних послуг, якщо надавач електронних довірчих послуг відповідає вимогам, визначеним частиною четвертою статті 13 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”, а засоби підтвердження удосконаленого електронного підпису та печатки відповідають цим вимогам та є придатними для автоматизованої обробки. _____________________
Додаток до вимог до форматів удосконалених електронних підписів та печаток, які використовуються для надання електронних публічних послуг ПЕРЕЛІК стандартів, якими визначаються вимоги до форматів удосконалених електронних підписів та печаток ДСТУ ETSI TS 119 101:2016 (ETSI TS 119 101:2016, IDT) “Електронні підписи та інфраструктури. Вимоги та політики безпеки для додатків формування та перевірки підписів”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 23 вересня 2016 р. № 279. ДСТУ ETSI EN 319 102-1:2022 (ETSI EN 319 102-1 V1.3.1 (2021-11), IDT) “Електронні підписи та інфраструктури (ESI). Процедури створення та перевірки цифрових підписів AdES. Частина 1. Формування та перевірка”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 29 листопада 2022 р. № 232. ДСТУ ETSI TS 119 172-1:2016 (ETSI TS 119 172-1:2015, IDT) “Електронні підписи та інфраструктури (ESI). Політики підпису. Частина 1. Складники та зміст документів щодо політик підпису, придатних для читання людиною”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 27 грудня 2016 р. № 451. ДСТУ ETSI TS 119 172-2:2021 (ETSI TS 119 172-2 V1.1.1 (2019-12), IDT) “Електронні підписи та інфраструктури (ESI). Політика підписування. Частина 2. Формат XML для політики підписування”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 16 грудня 2021 р. № 512. ДСТУ ETSI TS 119 172-3:2021 (ETSI TS 119 172-3 V1.1.1 (2019-12), IDT) “Електронні підписи та інфраструктури (ESI). Політика підписування. Частина 3. Формат ASN.1 для політики підписування”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 16 грудня 2021 р. № 512. ДСТУ ETSI TS 119 192:2022 (ETSI TS 119 192 V1.1.1 (2021-05), IDT) “Електронні підписи та інфраструктури (ESI). Уніфікований ідентифікатор ресурсу, пов’язаний з AdES”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 29 листопада 2022 р. № 232. ДСТУ ETSI EN 319 132-1:2022 (ETSI EN 319 132-1 V1.2.1 (2022-02), IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Частина 1. Структурні блоки та базові підписи XAdES”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 29 листопада 2022 р. № 232. ДСТУ ETSI EN 319 132-2:2021 (ETSI EN 319 132-2 V1.1.1 (2016-04), IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Частина 2. Розширені підписи XAdES”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 15 грудня 2021 р. № 508. ДСТУ ETSI TS 119 132-3:2022 (ETSI TS 119 132-3 V1.1.1 (2021-01), IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи XAdES. Частина 3. Уведення механізмів синтаксису запису доказів (ERS) у XAdES”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 29 листопада 2022 р. № 232. ДСТУ ETSI EN 319 122-1:2021 (ETSI EN 319 122-1 V1.2.1 (2021-10), IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи CAdES. Частина 1. Структурні блоки та базові підписи CAdES”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 21 грудня 2021 р. № 523. ДСТУ ETSI EN 319 122-2:2021 (ETSI EN 319 122-2 V1.1.1 (2016-04), IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи CAdES. Частина 2. Розширені підписи CAdES”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 21 грудня 2021 р. № 523 (із змінами, внесеними згідно з наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 19 серпня 2022 р. № 168). ДСТУ ETSI EN 319 142-1:2016 (ETSI EN 319 142-1:2016, IDT) “Електронні підписи та інфраструктури. Цифрові підписи PAdES. Частина 1. Структурні елементи та базові PAdES підписи”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 23 вересня 2016 р. № 279. ДСТУ ETSI EN 319 142-2:2016 (ETSI EN 319 142-2:2016, IDT) “Електронні підписи та інфраструктури. Цифрові підписи PAdES. Частина 2. Додаткові профілі підписів PAdES”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 23 вересня 2016 р. № 279. ДСТУ ETSI EN 319 162-1:2021 (ETSI EN 319 162-1 V1.1.1 (2016-04), IDT) “Електронні підписи та інфраструктури (ESI). Контейнери пов’язаних підписів (ASiC). Частина 1. Структурні блоки та базові контейнери ASiC”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 21 грудня 2021 р. № 523. ДСТУ ETSI EN 319 162-2:2021 (ETSI EN 319 162-2 V.1.1.1 (2016-04), IDT) “Електронні підписи та інфраструктури (ESI). Контейнери пов’язаних підписів (ASiC). Частина 2. Додаткові контейнери ASiC”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 21 грудня 2021 р. № 523. ДСТУ ETSI TS 102 778-1:2015 (ETSI TS 102 778-1:2009, IDT) “Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 1. Огляд серії PAdES — базові принципи PAdES”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 18 грудня 2015 р. № 193. ДСТУ ETSI TS 102 778-2:2015 (ETSI TS 102 778-2:2009, IDT) “Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 2. Базовий PAdES — профілі, що базуються на ISO 32000-1”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 18 грудня 2015 р. № 193. ДСТУ ETSI TS 102 778-3:2015 (ETSI TS 102 778-3:2010, IDT) “Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 3. Посилений PAdES — профілі PAdES-BES і PadES-EPES”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 18 грудня 2015 р. № 193. ДСТУ ETSI TS 102 778-4:2015 (ETSI TS 102 778-4:2009, IDT) “Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 4. Довгостроковий PAdES — профіль PAdES LTV”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 18 грудня 2015 р. № 193. ДСТУ ETSI TS 102 778-5:2015 (ETSI TS 102 778-5:2009, IDT) “Електронні підписи та інфраструктура (ESI). Профілі розширених електронних підписів PDF. Частина 5. PAdES для XML контенту — профілі для підписів XAdES”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 18 грудня 2015 р. № 193. ДСТУ ETSI TS 119 182-1:2022 (ETSI TS 119 182-1 V1.1.1 (2021-03), IDT) “Електронні підписи та інфраструктури (ESI). Цифрові підписи JAdES. Частина 1. Структурні блоки та базові підписи JAdES”, затверджений наказом державного підприємства “Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості” від 29 листопада 2022 р. № 232. _____________________
ЗАТВЕРДЖЕНО постановою Кабінету Міністрів України від 12 грудня 2023 р. № 1298 ВИМОГИ до створення та перевірки удосконалених електронних підписів та печаток, що базуються на кваліфікованих сертифікатах відкритих ключів 1. Ці вимоги визначають умови створення та перевірки удосконалених електронних підписів та печаток, що базуються на кваліфікованих сертифікатах відкритих ключів. Дія цих вимог не поширюється на надання електронних довірчих послуг відповідно до положень абзацу другого частини першої статті 2 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”. 2. У цих вимогах термін “контейнер електронного документа” означає файл, структура і зміст якого відповідають вимогам специфікації формату, що застосовується для окремого документа. Інші терміни вживаються у значенні, наведеному в Законі України “Про електронну ідентифікацію та електронні довірчі послуги” та інших нормативно-правових актах у сфері електронних довірчих послуг. 3. Вимоги до створення та перевірки удосконалених електронних підписів та печаток, що базуються на кваліфікованих сертифікатах відкритих ключів, визначаються стандартами, перелік яких наведено в додатку до вимог до форматів удосконалених електронних підписів та печаток, які використовуються для надання електронних публічних послуг, затверджених постановою Кабінету Міністрів України від 12 грудня 2023 р. № 1298. З метою створення та надання інформації щодо статусу кваліфікованих сертифікатів відкритих ключів, а також перевірки удосконалених електронних підписів та печаток, що базуються на кваліфікованих сертифікатах відкритих ключів, застосовуються положення ДСТУ 4145-2002 “Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння”, а для застосування функції гешування — положення ДСТУ 34.311-95 “Інформаційна технологія. Криптографічний захист інформації. Функція гешування”. 4. У процесі підтвердження удосконалених електронних підписів та печаток, які базуються на кваліфікованих сертифікатах відкритих ключів, дійсність такого підпису підтверджується за умови дотримання положень абзаців другого – п’ятого, сьомого та восьмого частини другої статті 18 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”. 5. Засоби підтвердження удосконалених електронних підписів та печаток повинні: 1) давати можливість користувачу електронних довірчих послуг підтверджувати удосконалені електронні підписи та печатки он-лайн безоплатно; 2) бути зазначені у підписаних документах та/або документах з печаткою, удосконалених електронних підписах та печатках або у контейнерах електронних документів; 3) підтверджувати дійсність удосконаленого електронного підпису та печатки за умови, що: сертифікат, на якому базується удосконалений електронний підпис або печатка, був дійсним на момент підписання; у разі коли удосконалений електронний підпис та печатка базуються на кваліфікованому сертифікаті, такий кваліфікований сертифікат на момент підписання був кваліфікованим сертифікатом електронного підпису відповідно до положень Закону України “Про електронну ідентифікацію та електронні довірчі послуги” і виданий кваліфікованим надавачем електронних довірчих послуг; значення відкритого ключа відповідає його значенню, яке міститься в кваліфікованому сертифікаті електронного підпису та печатки; правильне внесення унікального набору даних визначає підписувача або створювача електронної печатки до кваліфікованого сертифіката удосконаленого електронного підпису та печатки; у кваліфікованому сертифікаті електронного підпису зазначено про використання в ньому псевдоніма (у разі його використання особою на момент створення удосконаленого електронного підпису); у випадках створення удосконаленого електронного підпису та/або печатки засобом для створення кваліфікованих електронних підписів та/або печаток про використання такого засобу повідомлено користувачу електронних довірчих послуг; порушення цілісності електронних даних, з якими пов’язаний такий удосконалений електронний підпис та печатка, відсутнє; дотримано вимог, встановлених частиною першою статті 171 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”, на момент створення удосконаленого електронного підпису та печатки; інформаційна та інформаційно-комунікаційна системи, що використовуються для підтвердження удосконаленого електронного підпису та печатки, надають користувачу електронних довірчих послуг правильний результат процесу підтвердження та дають йому можливість виявляти будь-які проблеми, пов’язані з інформаційною безпекою. 6. Перевірку та підтвердження удосконалених електронних підписів, які базуються на кваліфікованих сертифікатах відкритих ключів, здійснюють лише кваліфіковані надавачі електронних довірчих послуг, які: забезпечують підтвердження удосконалених електронних підписів, які базуються на кваліфікованих сертифікатах відкритих ключів, згідно з вимогами цього пункту; дають можливість будь-яким особам отримувати результат процесу підтвердження із застосуванням удосконаленого електронного підпису та печатки кваліфікованого надавача електронних довірчих послуг автоматизованим способом. 7. Підписувачі зобов’язані під час створення удосконалених електронних підписів, які базуються на кваліфікованих сертифікатах відкритих ключів, перевірити чинність свого кваліфікованого сертифіката відкритого ключа відповідно до вимог статті 24 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”. Підписувачу забороняється створювати удосконалені електронні підписи, які базуються на кваліфікованих сертифікатах відкритих ключів, якщо кваліфікований сертифікат відкритого ключа підписувача є нечинним або одержати інформацію про його статус неможливо. 8. В інформаційно-комунікаційних системах, в яких функціонує програмне забезпечення створення (валідації, додавання) підпису (SCA/SVA/SAA) або управління (DA), відповідно до вимог ДСТУ ETSI TS 119 101:2016 впроваджується комплексна система захисту інформації або система управління інформаційною безпекою з підтвердженою відповідністю. Під час впровадження комплексної системи захисту інформації або системи управління інформаційною безпекою вживаються заходи, визначені пунктами 7.2 — 7.6 ДСТУ ETSI TS 119 101:2016. 9. У засобах удосконаленого електронного підпису реалізуються криптографічні алгоритми відповідно до вимог ДСТУ ETSI TS 119 312:2022 (ETSI TS 119 312 V1.4.2 (2022-02), IDT) “Електронні підписи та інфраструктури (ESI). Криптографічні пакети” та вітчизняні криптографічні алгоритми, визначені такими національними стандартами України: ДСТУ 4145-2002 “Інформаційні технології. Криптографічний захист інформації. Цифровий підпис, що ґрунтується на еліптичних кривих. Формування та перевіряння”; ДСТУ 7564:2014 “Інформаційні технології. Криптографічний захист інформації. Функція гешування”; ДСТУ 7624:2014 “Інформаційні технології. Криптографічний захист інформації. Алгоритм симетричного блокового перетворення”. Вітчизняні криптографічні алгоритми застосовуються з урахуванням таких криптографічних параметрів: позначення криптографічних алгоритмів: – dstu4145 — для алгоритму, визначеного ДСТУ 4145-2002; – kupyna256 — для алгоритму, визначеного ДСТУ 7564-2014, з довжиною геш-вектора 256 бітів; – kupyna384 — для алгоритму, визначеного ДСТУ 7564-2014, з довжиною геш-вектора 384 біти; – kupyna512 — для алгоритму, визначеного ДСТУ 7564-2014, з довжиною геш-вектора 512 бітів; криптографічні пакети: – dstu4145-with-kupyna256; – dstu4145-with-kupyna384; – dstu4145-with-kupyna512, де “-with-” означає “та”; вибір криптографічних пакетів для вітчизняних криптографічних алгоритмів здійснюється за такою аналогією з криптографічними алгоритмами, визначеними ДСТУ ETSI TS 119 312:2022: – dstu4145-with-kupyna256 аналогічно ecdsa-with-sha256; – dstu4145-with-kupyna384 аналогічно ecdsa-with-sha384; – dstu4145-with-kupyna512 аналогічно ecdsa-with-sha512; всі дані, зазначені в таблицях 4, 9, 10 ДСТУ ETSI TS 119 312:2022, стосовно криптографічних пакетів ecdsa-with-sha256/384/512 можуть бути розповсюджені на відповідні криптографічні пакети dstu4145-with-kupyna256/384/512; для алгоритму, визначеного ДСТУ 4145-2002, використовуються еліптичні криві 6, 7, 8, 9, 10, наведені в таблиці Г.1 (для поліноміального базису), та 4, 5, наведені в таблиці Г.2 (для оптимального нормального базису); необхідна стійкість криптографічного алгоритму, визначеного ДСТУ 7564-2014, обирається за такою аналогією з ДСТУ ETSI TS 119 312 (таблиця 5): – kupyna256 аналогічно SHA-256 або SHA3-256; – kupyna384 аналогічно SHA-384 або SHA3-256; – kupyna512 аналогічно SHA-512 або SHA3-512. Реалізація у засобах удосконаленого електронного підпису вимог криптографічного захисту інформації, встановлених цими вимогами, підтверджується позитивним експертним висновком за результатами державної експертизи у сфері криптографічного захисту інформації або документом про відповідність, виданим за результатами сертифікації таких засобів відповідно до Закону України “Про технічні регламенти та оцінку відповідності”. Підписувачі та створювачі електронної печатки зобов’язані застосовувати електронну позначку часу в разі підписання електронного документа для отримання електронних публічних послуг. Такі електронні довірчі послуги, як створення, перевірка та підтвердження удосконаленого електронного підпису та печатки, а також формування, перевірка та підтвердження чинності кваліфікованого сертифіката електронного підпису та печатки, надаються відповідно до вимог до надавачів електронних довірчих послуг (зокрема вимог з безпеки та захисту інформації та вимог до працівників надавача електронних довірчих послуг) та їх відокремлених пунктів реєстрації, порядку перевірки їх дотримання, що встановлюються відповідно до частини шостої статті 13 Закону України “Про електронну ідентифікацію та електронні довірчі послуги”. _____________________ |