本决定发布在实施数字签名和数字签名验证服务时必须遵守的技术标准清单。这些标准按照以下类别划分:密码学和数字签名、数据信息、认证政策和制度、数字证书存储和检索协议、数字证书状态检查、为提供数字签名验证服务的组织管理密钥的HSM的安全要求、客户密钥管理系统、数字证书和数字签名生成系统。
Scope of application
提供远程签名(Remote signing)或移动设备签名(Mobile signing)模式下的数字签名验证服务的机构
Key points
- 对于远程签名,非对称密码和数字签名的标准PKCS #1要求最小密钥长度为2048位;对于移动设备签名,非对称密码和数字签名的标准PKCS #1要求最小密钥长度为2048位或3072位。
- 客户密钥管理系统中的SIM卡安全要求需符合FIPS PUB 140-2二级或TCVN 8709 EAL 4级标准。
- 移动设备签名的Web服务接口和安全框架需遵循ETSI TS 102 203、ETSI TS 102 204、ETSI TR 102 206标准。
- 远程签名中数字签名服务器的安全策略和要求需遵循ETSI TS 119 431-1、ETSI TS 119 431-2标准。
- 远程签名中数字签名生成协议需遵循ETSI TS 119 432标准。
🌐 Social impact of this document
- 加强远程或移动设备上数字签名验证和生成系统的安全性
- 发展安全可靠的电子服务市场
- 改进客户密钥管理和数字签名生成的有效性
❓ Frequently asked questions
在执行远程签名时需要遵守哪些标准?
非对称密码和数字签名的标准PKCS #1要求最小密钥长度为2048位,提供数字签名验证服务的组织管理密钥的HSM的安全要求需符合FIPS PUB 140-2三级或EN 419221-5:2018标准。
在移动设备签名中,客户密钥管理系统、数字证书和数字签名生成系统有哪些安全要求?
客户密钥管理系统中的SIM卡安全要求需符合FIPS PUB 140-2二级或TCVN 8709 EAL 4级标准。
移动设备签名的Web服务接口和安全框架需遵循哪些标准?
移动设备签名的Web服务接口和安全框架需遵循ETSI TS 102 203、ETSI TS 102 204、ETSI TR 102 206标准。
远程签名中数字签名服务器的安全策略和要求需遵循哪些标准?
远程签名中数字签名服务器的安全策略和要求需遵循ETSI TS 119 431-1、ETSI TS 119 431-2标准。
Full text
|
信息和 |
中华人民共和国 |
|
使用政府经常性预算资金并由中央机关、组织下达订单的公共服务产品(包括公益服务产品和公共福利服务产品)(不包括管理和维护铁路基础设施的服务): 16/2019/TT-BTTTT |
北京,2019年12月5日 十二月 签署的自由贸易协定 |
通知
关于移动设备数字签名和远程数字签名服务强制性标准目录的规定
的规定
2017年11月15日颁布根据2005年11月29日颁布的《电子交易法》 (二)2015年5月6日计划投资部部长第03/2015/TT-BKHĐT号通知《关于编制施工招标文件的细则》。
根据第1号30/2018/NĐ-CP,2010年9月27日政府法令第8号政府关于电子签名实施细则的决定贯彻实施《电子交易法》中有关电子签名的规定 并就电子签名服务作出具体规定; 和数字签名验证服务;
根据2017年2月17日政府法令第17号2017年2月17日政府法令第17号政府关于信息通信部职能、任务、权限和组织结构的规定;
根据科技司司长的建议,
信息通信部部长发布本通知,规定移动设备数字签名和远程数字签名服务的强制性标准目录。本通知规定了移动设备数字签名和远程数字签名服务的强制性标准目录。 以及与之相关的认证服务。 第 数字签名 和远程数字签名。 远程号码。
第一条 调整范围
本通知规定了移动设备数字签名和远程数字签名服务的强制性标准目录(附录)。
第二条 适用对象
本通知适用于提供公共数字签名认证服务的组织、为机关和组织提供专用数字签名认证服务并获得符合安全要求证书的组织、在越南获得信息通信部认可的外国数字证书机构提供的移动设备数字签名和远程数字签名服务;开发使用数字签名的应用程序和提供移动设备数字签名和远程数字签名解决方案的组织和个人。
第三条 实施组织
1. 信息通信部应根据技术发展情况和国家管理政策,审查并适时修改和完善本通知第一条规定的移动设备数字签名和远程数字签名服务的强制性标准目录。
2. 科技司负责主持审查并更新本通知第一条规定的移动设备数字签名和远程数字签名服务的强制性标准目录。
3. 国家电子认证中心负责指导、检查和评估本通知第一条规定的强制性标准目录中的标准应用情况。
第四条 施行日期
1. 本通则自2020年4月1日起生效。
2. 在本通知的规定与2017年12月15日发布的第39/2017/TT-BTTTT号通知中关于同一技术标准的规定不一致时,应适用本通知的规定。
3. 办公室主任、科技司司长、国家电子认证中心主任、各部属机关负责人及有关组织和个人对执行本通知负有责任。
4. 在执行过程中如遇困难或问题,应及时向信息通信部反映以便研究解决。/
|
|
部长 |
附 录
移动设备数字签名和远程数字签名服务强制性标准目录
(2019年12月5日信息通信部部长第16号通知发布)/201类别标准代号 移动设备数字签名和相关认证服务(Mobile PKI)
|
参加人员 信息类别 |
密码和数字签名标准 |
非对称密码和数字签名||| 农业部门 |
标准全称 |
应用规定 |
|
1 |
PKCS #1 |
|||
|
1.1 |
RSA密码标准 |
|||
|
1.1.1 |
- 应用其中一种标准。 |
- 对于RSA标准: |
版本2.1 |
使用RSAES-OAEP加密和RSASSA-PSS签名。 密钥长度最小为1024位 - 对于ECDSA标准:密钥长度最小为256位 ANSI X9.62-2005 金融服务业公钥密码学:椭圆曲线数字签名算法(ECDSA) 对称密码 |
|
TCVN 7816:2007 |
(FIPS PUB 197) |
|||
|
1.1.2 |
信息技术-密码技术-数据加密算法AES技术 |
(高级加密标准) - 应用其中一种标准。 |
NIST 800-67 三重数据加密算法(TDEA)块密码建议 |
安全散列函数 |
|
FIPS PUB 180-4 |
安全散列标准 |
|||
|
1.1.3 |
应用以下散列函数之一:SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256、SHA3-224、SHA3-256、SHA3-384、SHA3-512、SHAKE128、SHAKE256 |
FIPS PUB 202 |
SHA-3标准:基于置换的散列和可扩展输出函数 |
信息和数据标准 |
|
数字证书格式和撤销列表 |
RFC 5280 |
|||
|
1.2 |
Internet X.509公钥基础设施证书和证书撤销列表(CRL)配置文件 |
|||
|
1.2.1 |
密码消息语法 |
PKCS #7 |
密码消息语法标准 |
|
|
1.2.2 |
版本1.5 |
认证请求语法 |
PCKS #10 |
认证请求语法标准 |
|
1.2.3 |
版本1.7 |
数字签名认证政策和制度标准 |
认证框架和证书政策 |
RFC 3647 |
|
1.3 |
Internet X.509公钥基础设施-证书政策和认证实践框架存储和检索数字证书的标准 |
|||
|
1.3.1 |
目录访问协议图 |
RFC 2587 |
Internet X.509公钥基础设施LDAPv2模式 |
|
|
1.4 |
RFC 4523轻量级目录访问协议(LDAP)X.509证书模式定义目录访问协议 |
|||
|
1.4.1 |
RFC 2251 |
轻量级目录访问协议(v3) |
应用RFC 2251或四个标准: |
安全散列函数 |
|
|
|
RFC 4510、RFC 4511、RFC 4512、RFC 4513 |
RFC 4510 |
|
|
1.4.2 |
轻量级目录访问协议(LDAP):技术规范路线图 |
RFC 4511 |
轻量级目录访问协议(LDAP):协议 |
RFC 4512 轻量级目录访问协议(LDAP):目录信息模型 |
|
RFC 4513 |
轻量级目录访问协议(LDAP):身份验证方法和安全机制 |
|||
|
检查状态的标准 |
轻量级目录访问协议(LDAP):协议 |
|||
|
RFC 4512 |
轻量级目录访问协议(LDAP):目录信息模型 |
|||
|
RFC 4513 |
轻量级目录访问协议(LDAP):认证方法和安全机制 |
|||
|
1.5 |
状态检查标准数字证书号 |
|||
|
1.5.1 |
数字证书传输接收协议和被撤销的数字证书列表 |
RFC 2585 |
Internet X.509 公钥基础设施 - 操作协议:FTP 和 HTTP |
应用一个或两个协议 FTP 和 HTTP |
|
1.5.2 |
在线数字证书状态检查协议 |
RFC 2560 |
X.509 Internet 公钥基础设施 - 在线证书状态协议 |
|
|
1.6 |
组织服务认证数字签名硬件安全模块(HSM)管理密钥的安全标准 |
|||
|
1.6.1 |
硬件安全模块(HSM)安全组件的安全要求 |
FIPS PUB 140-2 |
密码模块的安全需求 |
最低级别 3 的安全要求 |
|
1.7 |
客户端密钥管理、证书和数字签名生成设备系统标准 |
|||
|
1.7.1 |
SIM 卡的安全要求 |
FIPS PUB 140-2 |
密码模块的安全需求 |
使用RSAES-OAEP加密和RSASSA-PSS签名。 对于 FIPS PUB 140-2 标准: 最低级别 2 的安全要求 对于 TCVN 8709(ISO/IEC 15408)标准: 最低 EAL 级别 4 的安全要求 |
|
TCVN 8709(ISO/IEC 15408) |
信息技术 - 安全技术 - 信息技术安全评估准则 (通用准则信息科技安全评估) |
|||
|
1.7.2 |
功能和业务要求 |
ETSI TR 102 203 |
移动商务(M-COMM);移动签名;业务和功能要求 |
版本 V1.1.1 |
|
1.7.3 |
Web 服务接口 |
ETSI TS 102 204 |
移动商务(M-COMM);移动签名服务;Web 服务接口 |
版本 V1.1.4 |
|
1.7.4 |
安全框架 |
ETSI TR 102 206 |
移动商务(M-COMM);移动签名服务;安全框架 |
版本 V1.1.3 |
|
1.7.5 |
漫游规范 |
ETSI TS 102 207 |
移动商务(M-COMM);移动签名服务;漫游在移动签名服务中的规范 |
版本 V1.1.3 |
|
2 |
基于远程签名模型的数字签名和数字签名认证服务 |
|||
|
2.1 |
RSA密码标准 |
|||
|
2.1.1 |
- 应用其中一种标准。 |
PKCS #1 |
版本2.1 |
使用RSAES-OAEP加密和RSASSA-PSS签名。 密钥长度最小为1024位 - 对于ECDSA标准:密钥长度最小为256位 ANSI X9.62-2005 密钥长度最小为 2048 位 对称密码 |
|
ANSI X9.62-2005 |
(FIPS PUB 197) |
|||
|
2.1.2 |
信息技术-密码技术-数据加密算法AES技术 |
TCVN 7816:2007(FIPS PUB 197) |
NIST 800-67 |
安全散列函数 |
|
NIST 800-67 |
安全散列标准 |
|||
|
2.1.3 |
应用以下散列函数之一:SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256、SHA3-224、SHA3-256、SHA3-384、SHA3-512、SHAKE128、SHAKE256 |
FIPS PUB 202 |
SHA-3标准:基于置换的散列和可扩展输出函数 |
应用以下哈希函数之一: SHA-224,SHA-256,SHA-384,SHA-512,SHA-512/224,SHA-512/256,SHA3-224,SHA3-256,SHA3-384,SHA3-512,SHAKE128,SHAKE256 |
|
数字证书格式和撤销列表 |
RFC 5280 |
|||
|
2.2 |
信息和数据标准 私钥信息语法 |
|||
|
2.2.1 |
密码消息语法 |
PKCS #7 |
密码消息语法标准 |
|
|
2.2.2 |
版本1.5 |
认证请求语法 |
PCKS #10 |
认证请求语法标准 |
|
2.2.3 |
版本1.7 |
数字签名认证政策和制度标准 |
认证框架和证书政策 |
RFC 3647 |
|
2.2.4 |
PKCS #8 |
私钥信息语法标准 |
版本 1.2 |
密码卡通信接口标准 |
|
2.2.5 |
PKCS #11 |
密码令牌接口标准 |
版本 2.20 |
个人信息交换语法标准 |
|
2.2.6 |
PKCS #12 |
版本 1.0 |
政策和规章 |
标准 |
|
2.3 |
RFC 4523信息和数据 数字证书存储和检索协议标准存储和检索数字证书的标准 |
|||
|
2.3.1 |
目录访问协议图 |
RFC 2587 |
Internet X.509公钥基础设施LDAPv2模式 |
|
|
2.4 |
应用 RFC 2251 或四个标准:RFC 4510,RFC 4511,RFC 4512,RFC 4513轻量级目录访问协议(LDAP):技术规范路线图 |
|||
|
2.4.1 |
RFC 2251 |
轻量级目录访问协议(v3) |
应用RFC 2251或四个标准: |
安全散列函数 |
|
RFC 4510、RFC 4511、RFC 4512、RFC 4513 |
RFC 4510 |
|||
|
2.4.2 |
轻量级目录访问协议(LDAP):技术规范路线图 |
RFC 4511 |
轻量级目录访问协议(LDAP):协议 |
EN 419221-5:2018 |
|
RFC 4513 |
TSP 加密模块保护配置文件 - 第 5 部分:信任服务加密模块 |
|||
|
检查状态的标准 |
轻量级目录访问协议(LDAP):协议 |
|||
|
RFC 4512 |
轻量级目录访问协议(LDAP):目录信息模型 |
|||
|
RFC 4513 |
轻量级目录访问协议(LDAP):认证方法和安全机制 |
|||
|
2.5 |
状态检查标准数字证书号 |
|||
|
2.5.1 |
数字证书传输接收协议和被撤销的数字证书列表 |
RFC 2585 |
Internet X.509 公钥基础设施 - 操作协议:FTP 和 HTTP |
应用一个或两个协议 FTP 和 HTTP |
|
2.5.2 |
在线数字证书状态检查协议 |
RFC 2560 |
X.509 Internet 公钥基础设施 - 在线证书状态协议 |
|
|
2.6 |
组织服务认证数字签名硬件安全模块(HSM)管理密钥的安全标准 |
|||
|
2.6.1 |
硬件安全模块(HSM)安全组件的安全要求 |
FIPS PUB 140-2 |
密码模块的安全需求 |
使用RSAES-OAEP加密和RSASSA-PSS签名。 对于 FIPS PUB 140-2 标准: 最低级别 3 的安全要求 |
|
密钥管理、证书和数字签名生成设备系统标准 |
数字签名 |
|||
|
2.7 |
信任服务提供者的政策和安全要求ETSI TS 119 431-1电子签名和基础设施(ESI);信任服务提供者的政策和安全要求;第 1 部分:操作远程 QSCD/SCDev 的信任服务组件 第 使用服务 |
|||
|
2.7.1 |
应用两部分标准; |
版本 V1.1.1(2018年12月) |
ETSI TS 119 431-2 |
电子签名和基础设施(ESI);信任服务提供者的政策和安全要求;第 2 部分:支持 AdES 数字签名创建的信任服务组件 数字签名生成协议 |
|
ETSI TS 119 432 |
电子签名和基础设施(ESI);远程数字签名生成协议 |
|||
|
2.7.2 |
版本 V1.1.1(2019年3月) |
服务器签名应用 |
EN 419241-1:2018 |
支持服务器签名的可信系统 - 第 1 部分:一般系统安全要求 |
|
2.7.3 |
数字签名模块的要求 |
EN 419241-2:2019 |
支持服务器签名的可信系统 - 第 2 部分:QSCD 保护配置文件用于服务器签名 |
|
|
2.7.4 |
数字签名模块要求 |
EN 419241-2:2019 |
可信系统支持服务器签名-第2部分:QSCD服务器签名保护配置文件 |
|
|
2.7.5 |
硬件安全模块(HSM)安全组件的安全要求 |
密钥管理、证书和数字签名生成设备系统标准 |
数字签名 |
|
Original document (PDF)
Download
Relations map
Click a document to open. A red border = a relation that changes validity.
Translations
This document is available in the following languages: