НАРЕДБА ЗА ИЗИСКВАНИЯТА КЪМ АЛГОРИТМИТЕ ЗА СЪЗДАВАНЕ И ПРОВЕРКА НА КВАЛИФИЦИРАН ЕЛЕКТРОНЕН ПОДПИС ОТ 2011 Г.
Обн. ДВ. бр.71 от 13 Септември 2011г., отм. ДВ. бр.70 от 24 Август 2018г.
Отменена с § 3 от преходните и заключителните разпоредби на Постановление № 176 от 20 август 2018 г. за приемане на Наредба за отговорността и за прекратяването на дейността на доставчиците на удостоверителни услуги - ДВ, бр. 70 от 24 август 2018 г., в сила от 24.08.2018 г.
Глава първа.
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. С наредбата се определят изискванията към алгоритмите за създаване на частен и публичен ключ за квалифициран електронен подпис и към алгоритмите за създаване и проверка на квалифициран електронен подпис.
Чл. 2. (1) Лицата, които създават частен и публичен ключ за квалифициран електронен подпис, и лицата, които създават и извършват проверка на квалифициран електронен подпис, са длъжни в процеса на създаването и проверката да спазват изискванията на наредбата.
(2) Когато лицето по ал. 1 е доставчик на удостоверителни услуги, то е длъжно да не съхранява или копира частни ключове и данни за създаването им.
Чл. 3. Доставчик на удостоверителни услуги, предлагащ и услугата по създаване на частен и публичен ключ за квалифициран електронен подпис, трябва да поддържа списък на прилаганите от него за тази цел алгоритми в "Практика при предоставяне на удостоверителни услуги", разработена съгласно изискванията на Наредбата за дейността на доставчиците на удостоверителни услуги, реда за нейното прекратяване и за изискванията при предоставяне на удостоверителни услуги, приета с Постановление № 17 на Министерския съвет от 2002 г. (ДВ, бр. 15 от 2002 г.).
Глава втора.
ИЗИСКВАНИЯ КЪМ АЛГОРИТМИТЕ ЗА КВАЛИФИЦИРАН ЕЛЕКТРОНЕН ПОДПИС
Чл. 4. (1) Създаването на частен и публичен ключ за квалифициран електронен подпис се осъществява чрез използване на алгоритъм, съответстващ на алгоритъма за създаване на квалифициран електронен подпис, и при използване на сигурен източник на случайни числа.
(2) Хеш алгоритмите и асиметричните алгоритми за квалифициран електронен подпис трябва да отговарят на изискванията на наредбата.
(3) Създаването на квалифициран електронен подпис включва:
1. прилагане на хеш алгоритъм за изчисляване на хеш идентификатор на електронното изявление;
2. прилагане на асиметричен алгоритъм за подписване;
3. прилагане на метод за допълване.
(4) Използваните алгоритми за квалифициран електронен подпис и изискванията към тях са посочени в приложението.
Чл. 5. Алгоритмите за проверка на квалифициран електронен подпис съставляват логическо цяло с алгоритмите за създаването му.
Чл. 6. Съответствието на устройството за сигурно създаване на подписа с изискванията на чл. 17, ал. 1 от Закона за електронния документ и електронния подпис се удостоверява с документ, издаден от акредитирана лаборатория за осъществяване на такава проверка.
Допълнителни разпоредби
§ 1. По смисъла на наредбата:
1. "Хеш алгоритъм" е математически алгоритъм, чрез който от електронно изявление с произволна дължина необратимо се създава хеш идентификатор на изявлението.
2. "Хеш идентификатор" е число с фиксирана дължина, получено вследствие на прилагане на хеш алгоритъм спрямо определено електронно изявление.
3. "Сигурен източник на случайни числа" е метод за генериране на последователност от числа, в която всяко следващо число не може да бъде изчислено от предишните.
4. "Метод за допълване (padding)" е процес, при който се преобразува хеш идентификаторът на електронното изявление преди прилагане на съответния алгоритъм за създаване на квалифициран електронен подпис.
5. "Мобилни приложения" са софтуерни приложения за устройства за сигурно създаване на подписа, използвани в мобилни телефонни апарати, работещи под контрола на мобилна наземна мрежа - GSM и UMTS.
§ 2. С наредбата се въвеждат относимите изисквания на Решение № 2011/130 на Европейската комисия от 25 февруари 2011 г. за установяване на минимални изисквания за трансгранична обработка на документи, подписани от компетентните органи съгласно Директива 2006/123/ЕО на Европейския парламент и на Съвета относно услугите на вътрешния пазар (OB, L 53/66 от 26.02.2011).
Преходни и Заключителни разпоредби
§ 3. (1) Издадените преди влизането в сила на наредбата удостоверения за квалифициран електронен подпис, които не отговарят на изискванията на наредбата, могат да се използват в срок до 5 години от влизането в сила на наредбата.
(2) Базовите и оперативните удостоверения на доставчиците на удостоверителни услуги, издадени преди влизането в сила на наредбата, могат да се използват и след изтичането на срока по ал. 1, но само за управление на издадени потребителски удостоверения за квалифициран електронен подпис до изтичането на срока им на валидност.
§ 4. Наредбата се приема на основание чл. 16, ал. 2 от Закона за електронния документ и електронния подпис и влиза в сила от деня на обнародването й в "Държавен вестник".
Приложение към чл. 4, ал. 4
Изисквания за използваните алгоритми за квалифицирани електронни подписи
1. Хеш алгоритми:
1.1. SHA-1 (Secure Hash Algorithm);
1.2. SHA-2 (224, 256, 384, 512 бита);
1.3. RIPEMD-160 (Race Integrity Primitives Evaluation Message Digest) (256, 320 бита).
2. Не се допуска използването на хеш алгоритми MD 4 и MD 5.
3. Допуска се използването и на други, различни от посочените в т. 1, хеш алгоритми, които са с най-малко същото ниво на сигурност.
4. Дължината на идентификатора на електронното изявление следва да е не по-малка от 160 бита.
5. Асиметрични алгоритми за квалифициран електронен подпис:
5.1. RSA (Rivest-Shamir-Adleman) с минимална дължина 1024;
5.2. DSA (Digital Signature Algorithm);
5.3. ECDSA (Elliptic Curve Digital Signature Algorithm).
6. Допуска се използване и на други алгоритми, различни от посочените в т. 5, за създаване на двойки ключове и за създаване на електронни подписи, които са с най-малко същото ниво на сигурност.
7. Приложимите комбинации на асиметрични и хеш алгоритми спрямо сигурността на квалифицирания електронен подпис по времетраене са следните:
Приложима | 1 | 3 | 6 | 20 |
комбинация | година | години | години* | години* |
sha1-with-rsa | 1 024 | 2048 | ||
sha256-with-rsa | 1 024 | 1 536 | 2 048 | 2048 |
RSASSA-PSS with | 1 024 | 1 536 | 2 048 | 2048 |
mgf1SHA-1Identifier | ||||
RSASSA-PSS with | 1 024 | 1 536 | 2 048 | 2048 |
mgf1SHA-224Identifier | ||||
RSASSA-PSS with | 1 024 | 1 536 | 2 048 | 2048 |
mgf1SHA-256Identifier | ||||
sha1-with-dsa | 1 024 | |||
sha1-with-ecdsa | 163 | |||
sha224-with-ecdsa | 224 | 224 | 224 | 224 |
sha256-with-ecdsa | 256 | 256 | 256 | 256 |
* Приложимата комбинация е допустима само за базови и оперативни удостоверения.
8. След изтичането на срока, посочен за съответната комбинация, трябва да се генерира нова двойка ключове и да се издава ново удостоверение за квалифициран електронен подпис.
9. Устойчивостта във времето на комбинацията от асиметричен и хеш алгоритъм на доставчика на удостоверителни услуги трябва да е по-голяма или равна на устойчивостта във времето на комбинацията от асиметричен и хеш алгоритъм, използвана за квалифициран подпис на краен потребител.
10. За нуждите на мобилни приложения се допуска използването на комбинацията sha1-with-rsa (1024) за издаване на удостоверение за квалифициран електронен подпис със срок на валидност не повече от 3 години.
11. При създаването на квалифициран електронен подпис трябва да се използват следните алгоритми: Canonical XML 1.0, Canonical XML 1.1 и Exclusive XML Canonicalization 1.0. Допуска се поддържането на други алгоритми или други версии на алгоритмите по изречение първо с оглед осигуряване на оперативна съвместимост за проверка на подписа.