Приета с ПМС № 17 от 31.01.2002 г.
(Обн., ДВ, бр. 15 от 8.02.2002 г.)
Глава първа
ОБЩИ ПОЛОЖЕНИЯ
Чл. 1. (1) С наредбата се определят изискванията към алгоритмите за усъвършенстван електронен подпис.
(2) Изискванията се прилагат към алгоритмите, чрез които се създават данните за създаване на усъвършенстван електронен подпис (двойката криптографски ключове), и към алгоритмите, чрез които се създава самият подпис (хешираните съобщения, комбинациите от частен ключ и хеширано съобщение и псевдослучайни цифрови поредици). Тези алгоритми следва да са признати за сигурни в практиката и да са възприети в действащи документи (стандарти, технически спецификации, препоръки, ръководства и доклади).
(3) Комисията за регулиране на съобщенията публикува и поддържа списък на действащи документи, съдържащи техническите изисквания към алгоритмите.
Чл. 2. (1) Лицата, които създават данни за създаване на усъвършенстван електронен подпис, и лицата, които извършват проверка на усъвършенстван електронен подпис, са длъжни в процеса на създаване и проверка да следват и спазват изискванията на наредбата.
(2) Когато лицето по ал. 1 е доставчик на удостоверителни услуги, то е длъжно да не съхранява или копира данни за създаване на частни ключове.
(3) Алгоритмите за проверка на подписите съставляват логическо цяло с алгоритмите за създаване на електронните подписи и трябва да се съхраняват заедно.
Чл. 3. Титулярят на усъвършенстван електронен подпис отговаря спрямо третите добросъвестни лица, когато при създаването на двойката публичен и частен ключ е използвал алгоритъм, който не отговаря на изискванията на наредбата.
Чл. 4. Всеки доставчик на удостоверителни услуги, предлагащ и услугата по създаване на данни за създаване на усъвършенстван електронен подпис, трябва да въвежда списък на прилаганите за тази цел от него алгоритми в „Практика при предоставяне на удостоверителни услуги", разработена съгласно изискванията на Наредбата за дейността на доставчиците на удостоверителни услуги, реда за нейното прекратяване и за изискванията при предоставяне на удостоверителни услуги.
Глава втора
ИЗИСКВАНИЯ КЪМ АЛГОРИТМИТЕ ЗА УСЪВЪРШЕНСТВАН ЕЛЕКТРОНЕН ПОДПИС
Чл. 5. Целта на поставените изисквания към алгоритмите за усъвършенстван електронен подпис е да бъде постигнато съответствие с функционалните изисквания за сигурност на защитния профил (Protection Profile-PP) на защитен механизъм за създаване на електронен подпис съгласно общите критерии (CC) за оценка на сигурността, определени в действащи документи.
Чл. 6. (1) Нивото на сигурност, което осигуряват алгоритмите, определено от работния фактор за тяхното компрометиране чрез използване на съвременни най-мощни информационно-изчислителни системи, трябва да е достатъчно високо.
(2) Реализациите на алгоритмите трябва да бъдат модулни, за да позволяват лесно въвеждане при необходимост на нови алгоритми с по-високо ниво на сигурност.
Чл. 7. За постигане на високо ниво на сигурност при създаване на усъвършенстван електронен подпис следва да се използва хардуерен механизъм (модул, базиран на чип-карта с микропроцесор, собствена операционна система, персонален идентификатор (РIN) и/или биометрични средства за идентифициране), който осигурява по-високо ниво на сигурност в сравнение със софтуерните механизми за създаване на подписа.
Чл. 8. (1) Защитеният механизъм за създаване на усъвършенстван електронен подпис и алгоритмите за създаване на данните за създаването на подписа подлежат на проверка.
(2) Проверката по ал. 1 се извършва:
1. съгласно изискванията, заложени в действащи документи на ETSI, CEN/ISSS за електронния подпис;
2. от организации, акредитирани и одобрени за тестване на криптографски модули (Cryptographic Module Testing Laboratories-CMTL) за съответствие с общите критерии на сигурността (Common Criteria-СC), според установените в международната практика документи.
(3) Организациите по ал. 2, т. 2 издават протокол от изпитванията на предоставяните за оценка потребителски криптографски модули.
(4) Въз основа на протоколите от изпитванията надлежно акредитирана сертифицираща организация в областта на сигурността издава на притежателя на оценения криптографски модул сертификат за валидност.
Чл. 9. (1) Използваните алгоритми за усъвършенстван електронен подпис следва да удовлетворяват изискванията на приложение № 1.
(2) Параметрите на данните за създаване на усъвършенстван електронен подпис следва да удовлетворяват изискванията на приложение № 2.
Чл. 10. Комисията за регулиране на съобщенията публикува и поддържа и списъци на:
1. организациите, извършващи проверка на сигурността на криптографски модули съгласно чл. 8, ал. 2, т. 2;
2. документите по чл. 5, чл. 8, ал. 2, т. 1 и 2 и по приложения № 1 и 2 към чл. 9.
ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
Параграф единствен. Наредбата се приема на основание чл. 16, ал. 3 във връзка с чл. 30, ал. 1 от Закона за електронния документ и електронния подпис.
Приложение № 1 към чл. 9, ал. 1
Конкретни изисквания за използваните алгоритми
за усъвършенствани електронни подписи
1. Хеш-функции:
1.1. С алгоритмите за създаване на усъвършенстван електронен подпис могат да се използват следните възприети за сигурни в практиката и определени като такива в действащи документи хеш-функции:
А. SHA-1 (Secure Hash Algorithm);
Б. RIPEMD-160 (Race Integrity Primitives Evaluation Message Digest).
1.2. Могат да се използват и други хеш-функции, които разкриват поне същото ниво на сигурност и са възприети в действащи документи.
1.3. За допълнение на хеш-стойностите могат да се използват и псевдослучайни числа. Необходимо е да се използват само генератори на случайни числа, възприети в действащи документи.
2. Алгоритми за усъвършенстван електронен подпис:
2.1. При създаване на усъвършенстван електронен подпис следва да се ползват някои от следните признати за сигурни в практиката алгоритми (с кратка добавка на базата на хеш-функции), възприети в действащи документи:
А. RSA (Rivest-Shamir-Adelman);
Б. DSA (Digital Signature Algorithm);
В. ECDSA (Elliptic Curve Digital Signature Algorithm).
2.2. Създаването на двойката ключове следва да се извършва чрез алгоритми, отговарящи на спецификациите за посочените в т. 2.1 алгоритми.
2.3. Могат да се използват и други алгоритми за създаване на двойки ключове и създаване на електронни подписи, които разкриват поне същото ниво на сигурност както посочените в т. 2.1 и са възприети в действащи документи.
3. Абстрактни езици и кодиращи формати: Използваните абстрактни езици и кодиращи формати за усъвършенствани електронни подписи, включително за XML-документи (документи във формата eXtensible Markup Language), както и използваните усъвършенствани електронни подписи в XML-документи е препоръчително да отговарят на изискванията на международно признати за прилагане в практиката спецификации.
Приложение № 2 към чл. 9, ал. 2
Конкретни изисквания за параметрите на използваните данни
за създаване на усъвършенстван електронен подпис
1. Дължините на хеш-функциите следва да са не по-малко от 128 бита, за да са изчислително сигурни.
2. Дължините на ключовете на данните за създаване на универсален електронен подпис следва да възлизат най-малко на 1024 бита за алгоритмите RSA и DSA и най-малко на 160 бита за алгоритмите ECDSA.
3. Дължината на частния ключ на доставчика на удостоверителни услуги трябва да е равна или по-голяма от дължината на частния ключ, използван за създаване на усъвършенстван електронен подпис.
4. Отклонения от условията по т. 1 и 2 се допускат в съответствие с промените в използваните алгоритми, публикувани в периодично издавания справочен документ на Европейския съюз „Алгоритми и параметри за електронни подписи с висока сигурност", подготвян от групата за проучване на алгоритмите (ALGO) към Европейската инициатива за стандартизиране на електронния подпис (EESSI).