Криптографическое сообщение — это электронная подпись или зашифрованные данные, которые используются в СБИС.
Все криптографические сообщения на online.sbis.ru представляют собой двоичные данные в формате CMS/PKCS#7. Этот формат поддерживает российские криптоалгоритмы и используется в СКЗИ, которые сертифицированы ФСБ.
Как шифруются данные в криптографическом сообщении
Зашифрованные данные передаются в виде структуры «enveloped data». Данные шифруются при помощи симметричного алгоритма ГОСТ 28147-89 на сгенерированном сессионном ключе. Зашифрованный сессионный ключ содержится в криптографическом сообщении.
Вычисление криптографического хеша
Подписанные данные представлены в системе как структура «signed data». Алгоритм подписи — ГОСТ Р 34.11/ 34.10-2012. Подпись — вычисляется по формату электронной подписи CAdES-T. Хеш от подписываемых данных и тип данных — одни из обязательных атрибутов. Чтобы проверить подпись, СБИС сравнивает хеш от криптографического сообщения и расшифрованные данные подписи открытым ключом из сертификата подписанта. Алгоритм вычисления хеша — ГОСТ Р 34.11-2012.
Штамп времени
Штамп времени — это подписанный ЭП документ, которым Служба штампов времени (Time Stamping Authority — TSA) удостоверяет, что в указанный момент времени ей было предоставлено значение хеш-функции от документа. Само значение хеш-функции также указывается в штампе. Штамп времени (time-stamp) содержится в подписи, созданной СБИС. Значение хеш-функции от документа, на который получен штамп времени, связывает штамп с документом. Чтобы сохранить конфиденциальность документа перед Службой штампов времени, в штамп времени включается не сам документ, а значение хеш-функции. Служба штампов времени Тензор: https://online.saby.ru/tsp/tsp.srf. Подробная информация о протоколе TSP описана в стандарте RFC 3161.
Требования к сертификату
Помимо проверки математической корректности подписи в online.sbis.ru также проверяется валидность сертификата подписи. Сертификат должен удовлетворять требованиям, а также быть действительным и квалифицированным для ряда регламентов документооборота. Это означает, что в сертификате должны быть определенные комбинации реквизитов и расширений. Подробная информация о расширениях сертификата описана в стандарте RFC5280.
Нормативные документы
- Стандарт ГОСТ 28147-89
- Стандарт ГОСТ Р 34.10-2012
- Использование ГОСТ в стандарте CSM
- Стандарт CMS (RFC3852)
- Стандарт PKCS#7 (RFC2315)
- Стандарт X.509 (RFC5280)
- Стандарт TSP (RFC 3161)
- Приказ ФСБ РФ от 27 декабря 2011 г.N 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи»
- API Криптопро 3.9
- API для встраивания метки времени. Показывает, как сформировать запрос и обработать ответ службы штампов времени. Запрос отправляется методом POST на службу штампов времени.
- Стандарт PKI и CRL
- Стандарт PKCS #11. Содержит примеры шифрования, расшифрования, хеширования,подписи хешированных данных и проверки подписи