Таблица 2. Шаблон СОС

Таблица 2

Номер версии

СОС, выпускаемые УЦ службы ДТС, соответствуют X.509 v2.

Расширения СОС

Среди многих расширений CRL самыми важными являются два, из которых первое (поле AuthorityKeyIdentifier) позволяет идентифицировать ключ проверки ЭЦП, соответствующий ключу ЭЦП, примененному для подписания списка отозванных сертификатов, а второе (поле cRLNumber) содержит постепенно увеличиваемый номер списка CRL, издаваемого удостоверяющим центром (благодаря этому расширению пользователь списка может определить, когда один CRL заменил другой CRL).

Шаблон OCSP

Протокол проверки статуса сертификата в оперативном режиме (OCSP) применяется удостоверяющими центрами и позволяет определить состояние сертификата. Структура запросов и ответов СПСС соответствует RFC 6960. В связи с этим единственным разрешенным номером версии является 0 (это соответствует версии v1). СПСС УЦ службы ДТС работает в режиме авторизованного ответчика.

Сертификат сервера СПСС должен содержать в себе расширение под названием extKeyUsage, определенное в RFC 5280. Данное расширение должно быть обозначено как критическое и означает, что удостоверяющий центр, выдавая сертификат серверу OCSP, подтверждает своей подписью факт передачи ему права выдачи от его имени удостоверений о статусе сертификатов клиентов данного центра.

Сертификат может содержать также информацию о способе контакта с сервером центра проверки статуса сертификата. Данная информация содержится в поле расширения AuthorityInfoAccess.

Информация о статусе сертификата вносится в поле certStatus структуры SingleResponse. Она может принимать одно из трех разрешенных значений, определенных в Регламенте УЦ службы ДТС.

Шаблон запроса OCSP

OCSP-запрос принимает ASN.1-структуру в соответствии с RFC 6960 и имеет следующие ограничения.

Поле requestExtensions структуры tbsRequest содержит список расширений. Данный список должен содержать только расширение ocspNonce (OID 1.3.6.1.5.5.7.48.1.2).

Необязательное поле singleRequestExtensions структуры tbsRequest, содержащее список расширений для единичного запроса, должно отсутствовать.

В случае, если поле optionalSignature структуры OCSPRequest задано, то на него накладываются следующие ограничения:

поле signatureAlgorithm должно принимать значение "ГОСТ Р 34.11/34.10-2012" (OID 1.2.643.7.1.1.3.3);

поле certs должно включать сертификат для проверки ЭЦП запроса OCSP. Кроме того, поле requestorName из структуры tbsRequest должно присутствовать в обязательном порядке и представлять собой структуру directoryName, содержащую элемент CommonName (объектный идентификатор - 2.5.4.3).

Шаблон ответа OCSP

OCSP-ответ принимает ASN.1-структуру в соответствии с RFC 6960 и имеет следующие ограничения.

Поле responseType содержит объектный идентификатор типа ответа, который имеет значение 1.3.6.1.5.5.7.48.1.1. Поле response содержит структуру BasicOCSPResponse.

В случае, если в соответствующем OCSP-запросе присутствовало расширение ocspNonce, то в OCSP-ответе необязательное поле responseExtensions структуры ResponseData будет содержать расширение ocspNonce с аналогичным значением.

Поле signatureAlgorithm принимает значение "ГОСТ Р 34.11/34.10-2012" (OID 1.2.643.7.1.1.3.3).

В списке сертификатов certs содержится сертификат СПСС, необходимый для проверки ЭЦП.

Необязательное поле singleExtensions структуры SingleResponse, которое может содержать расширения OCSP-ответа, отсутствует.

Шаблон штампов времени

СШВ УЦ службы ДТС подписывает ЭЦП выдаваемые им же штампы времени при помощи ключа ЭЦП, специально зарезервированного для этой цели. В соответствии с рекомендацией RFC 5280, совместимые с ними сертификаты ключей проверки ЭЦП СШВ содержат поле, уточняющее узкое допустимое применение ключа (ExtKeyUsage), обозначенное как критическое. Это означает, что сертификат может быть использован СШВ и только для формирования ЭЦП в выдаваемых им штампах времени.

Штамп времени, выданный СШВ УЦ службы ДТС, содержит в себе информацию о штампе времени (структура TSTInfo), внесенную в структуру SignedData (в соответствии с RFC 2630), подписанную СШВ и закрепленную в структуре ContentInfo. Штампы времени, выдаваемые СШВ УЦ службы ДТС, соответствуют RFC 3161.

Шаблон запроса TSP

TSP-запрос представляет собой ASN.1-структуру в соответствии с RFC 2630 и имеет следующие ограничения:

необязательное поле reqPolicy структуры TimeStampReq должно отсутствовать либо содержать объектный идентификатор базовой политики (OID = 0.4.0.2023.1.1);

необязательное поле nonce должно отсутствовать либо содержать случайно сгенерированное 64-битное значение.

Шаблон ответа TSP

TSP-ответ представляет собой ASN.1-структуру в соответствии с RFC 2630 и имеет следующие ограничения:

поле digestAlgorithms структуры SignedData принимает значение "ГОСТ Р 34.11-2012 с длиной 512" (OID 1.2.643.7.1.1.2.3);

необязательное поле certificates структуры SignedData будет содержать сертификат службы TSP, если в TSP-запросе необязательное поле certReq структуры TimeStampReq содержало значение true;

необязательное поле crls структуры SignedData должно отсутствовать;

поле policy структуры TSTInfo должно содержать объектный идентификатор базовой политики (OID = 0.4.0.2023.1.1);

в случае, если в соответствующем TSP-запросе присутствовало необязательное поле nonce, то в TSP-ответе необязательное поле nonce структуры TSTInfo также будет содержать аналогичное значение;

необязательное поле tsa структуры TSTInfo отсутствует;

необязательное поле extensions структуры TSTInfo отсутствует;

поле digestAlgorithm структуры SignerInfo принимает значение "ГОСТ Р 34.11-2012 с длиной 512" (OID 1.2.643.7.1.1.2.3);

поле signedAttrs структуры SignerInfo будет содержать следующие объекты: тип подписываемого содержимого (OID 1.2.840.113549.1.9.16.1.4 (штамп времени)), значение хеш-функции штампа времени, информация о сертификате службы штампов времени;

поле signatureAlgorithm структуры SignerInfo принимает значение "ГОСТ Р 34.10-2-12 с длиной 512".