本通知规定了数字签名和数字签名验证服务的强制性标准目录,适用于提供数字签名验证服务的组织。主要亮点包括对HSM和Token卡的安全级别最低要求、使用AES加密算法以及采用六种SHA哈希函数之一。
Đối tượng áp dụng
国家公共专用数字签名验证服务提供商由工信部颁发证书,外国数字签名验证服务提供商由工信部颁发认可书。
Các điểm cốt lõi
- 数字签名验证服务提供商必须为HSM和Token卡(FIPS PUB 140-2,HSM为三级,Token为二级)应用最低安全标准。
- 按照GB/T 7816:2007或NIST 800-67标准使用AES加密算法。
- 对数字签名应用SHA系列中的六个哈希函数之一(SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256)。
- 应用数字证书格式标准、密文消息语法、私钥信息语法、验证要求、与密码卡通信接口、个人信息交换语法(PKCS)。
- 应用数字签名验证政策和制度标准(RFC 3647),数字证书存储和检索协议(RFC 2587、RFC 4523、RFC 2251),证书状态检查(RFC 2585、RFC 2560),时间戳服务(RFC 3161、GB/T 7818-1:2007、GB/T 7818-2:2007、GB/T 7818-3:2010)。
🌐 Tác động xã hội từ văn bản này
- 积极影响是增强了数字签名和验证服务的安全性,有助于提高电子交易的安全性。
- 负面影响是要求数字签名验证服务提供商遵守复杂的多项标准,可能在技术上和投资成本方面带来困难。
❓ Câu hỏi thường gặp
提供数字签名验证服务的组织需要应用哪些标准?
组织需要为HSM和Token卡(FIPS PUB 140-2,HSM为三级,Token为二级)应用安全标准,按照GB/T 7816:2007或NIST 800-67标准使用AES加密算法,采用SHA系列中的六个哈希函数之一(SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256),并应用数字证书格式标准、密文消息语法、私钥信息语法、验证要求、与密码卡通信接口、个人信息交换语法(PKCS)。
AES加密算法的应用程度是什么?
AES加密算法按照GB/T 7816:2007或NIST 800-67标准应用。
本标准中使用的SHA哈希函数有哪些?
使用的SHA哈希函数包括SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224和SHA-512/256。
外国数字签名验证服务提供商需要满足什么要求?
外国数字签名验证服务提供商由工信部颁发认可书,须遵守本通知规定的标准。
本通知自何时生效?
本通知自2015年9月15日起施行。
Toàn văn
通知
关于数字签名和数字签名认证服务强制性标准目录的规定
关于数字签名和数字签名认证服务的强制性标准目录的规定
______________
根据二零零五年十一月二十九日《电子交易法》;
根据二〇〇七年二月十五日国务院令第26号《电子交易法》实施细则关于数字签名和数字签名认证服务的规定,二〇一一年十一月二十三日国务院令第106号和二〇一三年十一月十三日国务院令第170号;
根据二〇一三年十月十六日国务院令第132号《关于信息产业部职能、任务、权限和组织结构的规定》;
根据科技司司长的建议,
信息和通信部发布本通知,规定 数字签名和数字签名认证服务的强制性标准目录。
第一条 调整范围
本通知规定了数字签名和数字签名认证服务的强制性标准目录(附录)。
第二条 适用对象
本通知适用于:
3. 公共电子签名认证服务组织;
2. 提供公共数字签名认证服务的机构;
3. 经信息产业部批准具备保障数字签名安全条件的专用数字签名认证服务提供机构;
4. 经信息产业部认可的外国数字签名认证服务提供机构。
第三条 实施组织
1. 随着不同时期的发展,信息产业部将根据技术发展情况和国家管理政策适时修订和补充本通知第一条规定的数字签名和数字签名认证服务的强制性标准目录。
2. 科技司负责定期审查并更新本通知第一条规定的数字签名和数字签名认证服务的强制性标准目录。
3. 国家电子认证中心负责指导应用本通知第一条规定的数字签名和数字签名认证服务的强制性标准目录。
第四条 施行日期
1. 本通知自2015年9月15日起生效。
2. 二〇〇八年十二月三十一日信息产业部令第59号《关于数字签名和数字签名认证服务的强制性标准目录》自本通知生效之日起失效,但该目录第二部分3项中关于“安全哈希函数”的规定继续有效至二〇一六年三月三十一日。
3. 在本通知与二〇一三年十二月二十三日信息产业部令第22号《关于政府机构信息技术应用技术标准目录》对同一相关标准存在差异的情况下,应适用本通知的规定。
4. 办公室主任、科技司司长、国家电子认证中心主任、各部属机关单位负责人以及有关组织和个人对执行本通知负有责任。
5. 在执行过程中如遇困难或问题,应及时向信息产业部反映以便研究解决。/
附录
数字签名和数字签名认证服务的强制性标准目录
(由信息产业部二〇一五年六月发布的第06/2015/TT-BTTTT号通知发布) 23 月 3 标准编号
|
姓名 |
类型 |
编号 |
全称 |
规定 |
|
1 |
- 最低级别3(level 3)的要求 |
|||
|
1.1 |
硬件安全模块(HSM)安全组件的安全要求 |
FIPS PUB 140-2 |
密码模块的安全需求
|
对Token卡和智能卡的安全要求 |
|
1.2 |
- 最低级别2(level 2)的要求 - 版本2.1 |
FIPS PUB 140-2 |
密码模块的安全需求
|
- 使用RSAES-OAEP进行加密和使用RSASSA-PSS进行签名 |
|
2 |
RSA密码标准 |
|||
|
2.1 |
- 应用其中一种标准。 |
- 对于RSA标准: |
版本2.1
|
建议使用三重数据加密算法(TDEA)块密码 应用六个散列函数之一:SHA-224, SHA-256, |
|
2.2 |
信息技术-密码技术-数据加密算法AES技术 |
(高级加密标准) - 应用其中一种标准。 |
NIST 800-67 |
安全散列函数 |
|
NIST 800-67 |
SHA-384, |
|||
|
2.3 |
应用以下散列函数之一:SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256、SHA3-224、SHA3-256、SHA3-384、SHA3-512、SHAKE128、SHAKE256 |
FIPS PUB 202 |
SHA-3标准:基于置换的散列和可扩展输出函数 |
SHA-512, SHA-512/224, SHA-512/256 数字签名认证标准政策和规程 数字证书存储和检索协议标准 RFC 4510, |
|
3 |
Internet X.509公钥基础设施证书和证书撤销列表(CRL)配置文件 |
|||
|
3.1 |
密码消息语法 |
PKCS #7 |
密码消息语法标准 |
|
|
3.2 |
版本1.5 |
认证请求语法 |
PCKS #10 |
认证请求语法标准 |
|
3.3 |
PKCS #8 |
私钥信息语法标准 |
版本 1.2 |
密码卡通信接口标准 |
|
3.4 |
版本1.7 |
数字签名认证政策和制度标准 |
认证框架和证书政策 |
RFC 3647 |
|
3.5 |
PKCS #11 |
密码令牌接口标准 |
版本 2.20 |
个人信息交换语法标准 |
|
3.6
|
PKCS #12 |
版本 1.0 |
政策和规章 |
标准 |
|
4 |
RFC 4511, |
|||
|
|
目录访问协议图 |
RFC 2587 |
Internet X.509公钥基础设施LDAPv2模式
|
|
|
5 |
RFC 4512, |
|||
|
5.1
|
RFC 2251 |
轻量级目录访问协议(v3)
|
应用RFC 2251或四个标准: |
安全散列函数 |
|
RFC 4510、RFC 4511、RFC 4512、RFC 4513 |
RFC 4510 |
|||
|
5.2 |
轻量级目录访问协议(LDAP):技术规范路线图 |
RFC 4511 |
轻量级目录访问协议(LDAP):协议 |
RFC 4512 轻量级目录访问协议(LDAP):协议 数字证书状态检查标准 时间戳服务标准 RFC 4513
|
|
RFC 4513 |
TSP 加密模块保护配置文件 - 第 5 部分:信任服务加密模块 |
|||
|
检查状态的标准 |
Internet X.509公钥基础设施-时间戳协议(TSP) |
|||
|
RFC 4512 |
轻量级目录访问协议(LDAP):目录信息模型 |
|||
|
RFC 4513
|
轻量级目录访问协议(LDAP):认证方法和安全机制 |
|||
|
6 |
TCVN 7818-1:2007 |
|||
|
6.1 |
数字证书传输接收协议和被撤销的数字证书列表 |
RFC 2585 |
Internet X.509 公钥基础设施 - 操作协议:FTP 和 HTTP |
应用一个或两个协议 FTP 和 HTTP |
|
6.2 |
在线数字证书状态检查协议 |
RFC 2560 |
X.509 Internet 公钥基础设施 - 在线证书状态协议 |
|
|
7 |
(ISO/IEC 18014- |
|||
|
7.1
|
信息技术 - 安全技术 - 时间戳 |
RFC 3161
|
信息技术-密码技术-时间戳服务-第一部分:总体框架
|
|
|
7.2 |
时间戳服务 |
应用三个标准: TCVN 7818-2:2007 1:2002) |
TCVN 7818-3:2010 |
(ISO/IEC 18014 - 应用三个标准: 信息技术-密码技术-时间戳服务-第二部分:独立生成机制 TCVN 7818-3:2010 (ISO/IEC 18014- |
|
信息技术-密码技术-时间戳服务-第二部分:独立生成机制 信息技术-密码技术-时间戳服务-第三部分:关联生成机制 2: 2002) |
信息技术-密码技术-时间戳服务-第2部分:独立发卡机制 |
|||
|
ISO/IEC 18014-3:2010 3: 2009) |
信息技术-密码技术-时间戳服务-第3部分:关联发卡机制 |
|||
Văn bản gốc (PDF)
Tải văn bản
Bản đồ quan hệ
Bấm vào một văn bản để mở. Viền đỏ = quan hệ làm thay đổi hiệu lực.
Bản dịch
Văn bản này có sẵn ở các ngôn ngữ sau: