Unbekannte Schlüsselverwendung 1,2 643,2 23,3. Ungültige Signatur. Überprüfung der Signatur fehlgeschlagen. Fehlende Objekt-OID

Vielen Dank, Mikhail, alles wurde zeitnah erledigt und vor allem war es mir klar... Da du und ich eine gemeinsame Sprache gefunden haben. Ich möchte auch in Zukunft weiterhin mit Ihnen kommunizieren. Ich hoffe auf eine fruchtbare Zusammenarbeit.

Olesya Mikhailovna – Generaldirektorin LLC „VKS“

Im Namen des staatlichen Einheitsunternehmens „Sevastopol Aviation Enterprise“ bedanken wir uns für die Professionalität und Effizienz Ihres Unternehmens! Wir wünschen Ihrem Unternehmen weiterhin Wohlstand!

Guskova Liliya Ivanovna - Managerin. Staatliches Einheitsunternehmen „SAP“

Vielen Dank, Mikhail, für deine Hilfe beim Design. Sehr qualifizierter Mitarbeiter +5!

Nadiya Shamilievna - Unternehmerin IP Anoshkina

Im Namen des Unternehmens AKB-Auto und in meinem eigenen Namen möchte ich Ihnen und allen Mitarbeitern Ihres Unternehmens meinen Dank für die produktive und qualitativ hochwertige Arbeit, die Sensibilität gegenüber Kundenanforderungen und die Effizienz bei der Ausführung der bestellten Arbeiten aussprechen.

Nasibullina Alfira – Senior Managerin„AKB-Auto“

Ich möchte Berater Mikhail für seine hervorragende Arbeit, pünktliche und umfassende Beratungen danken. Er geht sehr aufmerksam auf die Probleme und Fragen des Kunden ein und löst umgehend die für mich schwierigsten Situationen. Es ist eine Freude, mit Mikhail zusammenzuarbeiten!!! Jetzt werde ich Ihr Unternehmen meinen Kunden und Freunden empfehlen. Und auch die Berater des technischen Supports sind sehr höflich, aufmerksam und haben bei der schwierigen Installation des Schlüssels geholfen. Danke!!!

Olga Sevostyanova.

Der Kauf des Schlüssels gestaltete sich sehr einfach und sogar angenehm. Vielen Dank an Manager Mikhail für seine Unterstützung. Erklärt komplexe und schwer verständliche Sachverhalte prägnant, aber sehr klar. Außerdem rief ich die gebührenfreie Hotline an und hinterließ online eine Anfrage bei Mikhail. Sie haben innerhalb von zwei Werktagen einen Schlüssel für mich angefertigt. Im Allgemeinen empfehle ich es, wenn Sie Zeit sparen, aber gleichzeitig wissen möchten, was Sie kaufen und wofür Sie bezahlen. Danke.

Levitsky Alexander Konstantinovich Samara

Persönlicher Dank geht an den Berater Michail Wladimirowitsch für die schnelle Beratung und die Bemühungen, den Erhalt eines elektronischen Signaturzertifikats zu beschleunigen. Im Vorgespräch wird das optimale Set an Einzelleistungen ausgewählt. Das Endergebnis wird sofort empfangen.

Stoyanova N.L. - Hauptbuchhalter LLC „SITECRIM“

Vielen Dank für Ihre prompte Arbeit und kompetente Hilfe! Ich war mit der Beratung sehr zufrieden!

Dmitri Fomin

Expert System LLC dankt Berater Mikhail für seine schnelle Arbeit! Wir wünschen Ihrem Unternehmen Wachstum und Wohlstand!

Sukhanova M.S. - GutachterExpert System LLC, Wolgograd

Vielen Dank an den Berater, der sich als Mikhail vorstellte, für seine Effizienz bei der Arbeit mit Kunden.

Ponomarev Stepan Gennadijewitsch

Vielen Dank an Berater Mikhail für seine Unterstützung bei der Erlangung der digitalen Signatur. Für schnelle Bearbeitung und Beratung bei Fragen, die während des Registrierungsprozesses auftreten.

Leonid Nekrassow

Das Unternehmen, vertreten durch Berater Mikhail, schafft das Unmögliche! Beschleunigung der Akkreditierung in weniger als 1 Stunde! Zahlung bei Erbringung der Dienstleistung. Ich dachte, das würde nicht passieren. In voller Verantwortung kann ich Ihnen raten, sich an das Zentrum für die Ausstellung elektronischer Signaturen zu wenden.

Gemäß den von der Bank von Russland () genehmigten technischen Bedingungen für die Durchführung von Maßnahmen der AEI PRIME CJSC zur Offenlegung von Informationen über Wertpapiere und andere Finanzinstrumente müssen elektronische Dokumente, die öffentliche Informationen enthalten, vom Subjekt der Informationsoffenlegung mit einem unterzeichnet werden erweiterte qualifizierte elektronische Signatur (siehe Abschnitt 1.7 der Technischen Bedingungen). Diese Anforderung tritt ab dem 1. Februar 2017 in Kraft.

Derzeit hat auf dem PRIME-Offenlegungsserver ein Testzeitraum für die Verwendung einer elektronischen Signatur begonnen, der bis einschließlich 31. Januar 2017 dauern wird.

Zum Testen der Funktionalität können PRIME-Kunden verwenden jedes zuvor für diese juristische Person erhaltene digitale Schlüsselzertifikat.

Ab dem 1. Februar 2017 muss auf Verlangen der Technischen Bedingungen (siehe Abschnitte 1.7. und 9.6.) ein qualifiziertes Zertifikat des Verifizierungsschlüssels für die elektronische Signatur eines Benutzers den Anforderungen an die Form eines qualifizierten Zertifikats entsprechen, die durch die Verordnung festgelegt wurden FSB Russlands vom 27. Dezember 2011 Nr. 795 „Zu den Genehmigungsanforderungen für die Form eines qualifizierten Schlüsselzertifikats zur Überprüfung elektronischer Signaturen.“ Die Benutzerzertifikaterweiterung „Enhanced Key“ (Objektkennung 2.5.29.37) muss die Objektkennung zur Informationsoffenlegung enthalten PRIME – OID 1.2.643.6.42.5.5.5

Die Anmeldung zum persönlichen Konto des Benutzers der Informationsoffenlegung „PRIME“ erfolgt mit dem zuvor vom Kunden erhaltenen LOGIN und PASSWORT.

Die Handlungen des Kunden, Nachrichten im Information Disclosure Feed zu veröffentlichen, Dokumente auf einer Seite im Internet zu veröffentlichen, Änderungen an der Registrierungskarte des Emittenten im Information Disclosure System vorzunehmen, müssen durch eine elektronische Signatur bestätigt werden.

Um die elektronische Signatur auf dem PRIME Information Disclosure Server nutzen zu können, muss der Client zunächst das Plugin installieren (die Installation ist für Benutzer kostenlos und nimmt nicht viel Zeit in Anspruch). Anweisungen zur Installation des Plugins finden Sie unten.

Im persönlichen Konto des Information Disclosure-Benutzers werden nach der Installation des Plugins durch den Kunden beim Ausfüllen von Formularen zum Veröffentlichen einer Nachricht im Information Disclosure Feed oder beim Veröffentlichen eines Dokuments im Internet sowie beim Ändern der Registrierungskartendaten zusätzliche Felder angezeigt Es erscheint „Elektronische Signatur eines Dokuments“, wo Sie das im entsprechenden Servicefeld angezeigte Signaturschlüsselzertifikat auswählen und auf die Schaltfläche „Signieren“ klicken müssen. Auf diese Weise bestätigt der Kunde seine Handlungen zur Offenlegung von Informationen oder zur Vornahme von Änderungen an seiner Registrierungskarte.

Nach dem Signieren der Nachricht mit einer elektronischen Signatur muss der Kunde auf die Schaltfläche „Veröffentlichen“ klicken
Nach der Unterzeichnung des Dokuments mit einer elektronischen Signatur muss der Kunde auf die Schaltfläche „Dokument hinzufügen“ klicken.
Nach der Unterzeichnung der Änderungen in der Meldekarte mit einer elektronischen Signatur muss der Kunde auf die Schaltfläche „Ausweisformular senden“ klicken.

Bitte beachten Sie, dass alle Nachrichten, die Kunden über ihr persönliches Konto mit der Berechtigung „Testanmeldung (Arbeiten mit elektronischer Signatur)“ senden, im Informationsoffenlegungs-Feed im Arbeitsmodus veröffentlicht werden. Alle Dokumente, die Kunden über ihr persönliches Konto mit der Berechtigung „Test-Login (Arbeiten mit elektronischer Signatur)“ veröffentlichen, werden automatisch auf den Seiten des Ausstellers im Arbeitsmodus veröffentlicht.

Ansonsten ändert sich die Vorgehensweise des Emittenten in seinem persönlichen Konto auf dem PRIME-Informationsoffenlegungsserver nicht.

Allgemeine Bestimmungen.
Die Wahl der Methode zur Darstellung bestimmter Daten und zusätzlicher Einschränkungen bei der Zusammensetzung von Zertifikatsfeldern basiert auf folgenden Grundsätzen:
Internationale Empfehlungen. Dieses Dokument wurde unter Berücksichtigung internationaler Empfehlungen entwickelt:
- RFC 3280 (Update auf RFC 2459) Internet X.509 Public Key Infrastructure. Profil für Zertifikate und Zertifikatssperrlisten (CRL).
- RFC 3039 Internet X.509 Public Key Infrastructure. Qualifiziertes Zertifikatsprofil – dieser RFC schlägt allgemeine Anforderungen für die Syntax (Zusammensetzung) von Zertifikaten vor, deren Verwendung rechtlich bedeutsam ist.

Zusammensetzung und Zweck der Zertifikatsfelder.

Dieser Abschnitt enthält eine Beschreibung der Hauptfelder des Public-Key-Zertifikats, das dem Gesetz „Über elektronische digitale Signaturen“ vom 10. Januar 2002 entspricht.

Die in diesem Abschnitt verwendeten Konzepte, Symbole und Terminologie basieren auf RFC 3280 und RFC 3039, die wiederum auf der ITU-T-Empfehlung X.509 Version 3 basieren. Der Inhalt des Abschnitts kopiert nicht den Inhalt dieser Dokumente , weist jedoch nur auf die Unterschiede und Merkmale der Verwendung von Feldzertifikaten hin, die die in Artikel 6 des EDS-Gesetzes festgelegten Anforderungen an die Zusammensetzung des EDS-Zertifikats umsetzen.

Für alle Zertifikatsfelder, die russische String-Werte implizieren, ist es vorzuziehen, die universelle UTF-8-Kodierung (Typ UTF8String) zu verwenden.

Der Zweck dieses Abschnitts besteht darin, die Zusammensetzung und den Zweck der Felder des Zertifikats zu bestimmen, ohne die Anforderungen einer bestimmten Zertifizierungsstelle zu berücksichtigen. Dokumente, die die Arbeit einer Zertifizierungsstelle regeln, können die Zusammensetzung der Zertifikatsfelder und den Satz von Attributen einschränken, die zur Identifizierung von Zertifizierungsstellen und Eigentümern von Signaturschlüsselzertifikaten verwendet werden.

Ausführung
Alle ausgestellten Zertifikate muss Habe Version 3.

Seriennummer
serialNumber-Feld muss enthalten „... die eindeutige Registrierungsnummer des Signaturschlüsselzertifikats“ (Artikel 6, Satz 1, Absatz 1). Im Rahmen dieser Zertifizierungsstelle (CA) ist auf die Eindeutigkeit der Zertifikatsnummer zu achten.

Gültigkeit
Gültigkeitsfeld muss enthalten „... das Beginn- und Enddatum der Gültigkeitsdauer des im Register der Zertifizierungsstelle befindlichen Signaturschlüsselzertifikats“ (Artikel 6 Satz 1 Absatz 1).

SubjectPublicKeyInfo
subjectPublicKeyInfo-Feld muss enthalten „...den öffentlichen Schlüssel der elektronischen digitalen Signatur“ (Artikel 6, Absatz 1, Absatz 3).

Aussteller
Das Bundesgesetz „Über EDS“ sieht die Ausstellung von Zertifikaten nur an Einzelpersonen vor; diese Bestimmung gilt auch für Zertifikate von Zertifizierungsstellen selbst und Ressourcenzertifikate. Um die formalen Anforderungen des Bundesgesetzes zu erfüllen, wird vorgeschlagen, dass in den Zertifikaten von Zertifizierungsstellen und Ressourcen in den Attributen die tatsächlichen Informationen der Organisation angegeben werden sollten, wobei zu berücksichtigen ist, dass ein solches Zertifikat an eine autorisierte Person der Organisation ausgestellt wurde CA oder Ressource und die angegebenen Informationen sollten als Zertifikat für einen Alias interpretiert und registriert werden, was durch das Bundesgesetz „Über EDS“ zulässig ist.
Feld „Emittent“. muss Identifizieren Sie eindeutig die Organisation, die das Zertifikat ausgestellt hat, und enthalten Sie den offiziell registrierten Namen der Organisation.
Zur Identifizierung können folgende Attribute verwendet werden:

Ländername	(id-at 6)
stateOrProvinceName	(ID-um 8)
Ortsname	(id-at 7)
Organisationsname	(id-at 10)
Name der Organisationseinheit	(ID-um 11)
Anschrift	(id-at 16)
Seriennummer	(id-at 5)

Feld „Emittent“. muss Es ist obligatorisch, Attribute anzugeben, die „Name und Standort der Zertifizierungsstelle beschreiben, die das Signaturschlüsselzertifikat ausgestellt hat“ (Artikel 6, Satz 1, Absatz 5).

Name muss im Attribut „organizationName“ angegeben. Bei Verwendung des Attributs organizationName Vielleicht

Standort des Zertifizierungszentrums Vielleicht wird mithilfe einer Reihe von Attributen „countryName“, „stateOrProvinceName“ und „locityName“ (jeweils optional) oder mithilfe eines einzelnen postalAddress-Attributs angegeben. Mit einer der oben genannten Methoden, Standort der Zertifizierungsstelle muss anwesend sein im Zertifikat.

muss enthalten die gesetzliche Adresse der Zertifizierungsstelle. Als Trennzeichen muss ein Leerzeichen (Zeichen „0x20“) verwendet werden.

Feldattribut „Subject serialNumber“. muss Wird verwendet, wenn eine Namenskollision vorliegt.

Thema
Stellt den DN (Distinguished Name) des Zertifikatsinhabers dar dürfen Folgende Attribute werden verwendet:

Ländername	(id-at 6)
stateOrProvinceName	(ID-um 8)
Ortsname	(id-at 7)
Organisationsname	(id-at 10)
Name der Organisationseinheit	(ID-um 11)
Titel	(ID-um 12)
gemeinsamen Namen	(id-at 3)
Pseudonym	(id-at 65)
Seriennummer	(id-at 5)
Anschrift	(id-at 16)

Um die formalen Anforderungen des Bundesgesetzes zu erfüllen, wird vorgeschlagen, dass in den Zertifikaten von Zertifizierungsstellen und Ressourcen in den Attributen die tatsächlichen Informationen der Organisation angegeben werden sollten, wobei zu berücksichtigen ist, dass ein solches Zertifikat an eine autorisierte Person der Organisation ausgestellt wurde CA oder Ressource und die angegebenen Informationen sollten als Zertifikat für einen Alias interpretiert und registriert werden, was durch das Bundesgesetz „Über EDS“ zulässig ist.

Betrefffeld muss muss folgende Angaben enthalten: „Nachname, Vorname und Vatersname des Inhabers des Signaturschlüsselzertifikats oder Pseudonym des Inhabers“ (Art. 6 Abs. 1 Abs. 2).

Nachname, Vorname und Vatersname des Eigentümers muss sind im Attribut commonName enthalten und stimmen mit den im Passport angegebenen Angaben überein. Als Trennzeichen muss ein Leerzeichen (Zeichen „0x20“) verwendet werden.

Spitzname des Besitzers muss im Pseudonym-Attribut enthalten.

Die Verwendung eines dieser Attribute schließt die Verwendung des anderen aus.

Die übrigen Attribute sind optional.

„Gegebenenfalls wird die Position (unter Angabe des Namens und des Standorts der Organisation, in der diese Position eingerichtet ist) im Signaturschlüsselzertifikat auf der Grundlage von Belegen angegeben …“ (Artikel 6, Absatz 2).

Position des Zertifikatsinhabers muss im Titelattribut angegeben. Attributwert muss entsprechen dem Eintrag in den Dokumenten, die die für den Zertifikatsinhaber festgelegte Position bestätigen.

Das Titelattribut gemäß RFC 3039, muss in der subjectDirectoryAttributes-Erweiterung enthalten. Dieses Dokument (und RFC 3280) erlaubt jedoch die Aufnahme in das Themenfeld.

Bei Verwendung des Titelattributs ist es erforderlich muss enthalten Attribute, die den Namen und den Standort der Organisation beschreiben, in der diese Position eingerichtet ist.

Name der Firma muss im Attribut „organizationName“ angegeben. Attributwert muss mit der Eintragung des Namens der Organisation in die Gründungsurkunde oder andere gleichwertige Dokumente übereinstimmen. Bei Verwendung des Attributs organizationName Vielleicht Das Attribut „OrganizationalUnitName“ wird ebenfalls verwendet.

Standort der Organisation Vielleicht Wird mithilfe einer Reihe von Attributen „countryName“, „stateOrProvinceName“, „locityName“ (jeweils optional) oder einem einzelnen postalAddress-Attribut angegeben.

Das postalAddress-Attribut, falls verwendet, muss enthalten die juristische Adresse der Organisation oder die Registrierungsadresse des Inhabers des Signaturschlüsselzertifikats (für eine Einzelperson).

Wenn das Attribut „organizationName“ vorhanden ist, werden die Attribute „countryName“, „stateOrProvinceName“, „locityName“ und „postalAddress“ verwendet muss als Standort der Organisation interpretiert werden.

Optionale Attribute des Betrefffelds (CountryName, StateOrProvinceName, LocalityName, OrganizationName, OrganizationalUnitName, Title, PostAddress) dürfen sofern in den Betriebsvorschriften der Zertifizierungsstelle festgelegt, anstelle des Felds „subject“ in die Erweiterung „subjectDirectoryAttributes“ eingefügt werden (siehe Abschnitt 3.8.1). In diesem Fall sie sollte nicht im Betreff enthalten sein und kann nicht zur Unterscheidung der Besitzer von Signaturschlüsselzertifikaten verwendet werden.

serialNumber-Attribut muss im Betrefffeld des Zertifikats eingefügt werden, wenn es zu einer Namenskollision kommt. Er auch Vielleicht einbezogen werden, wenn dies durch die Vorschriften der Zertifizierungsstelle festgelegt ist.

serialNumber-Attribut Vielleicht:

willkürlich sein (von der Zertifizierungsstelle selbst zugewiesen);
eine von einer staatlichen (oder anderen) Organisation zugewiesene Kennung (Nummer) enthalten (z. B. TIN, Serie und Nummer eines Reisepasses, Personalausweisnummer usw.).

Erforderliche Erweiterungen
muss beinhaltet folgende Erweiterungen:
- KeyUsage (id-ce 15)
- CertificatePolicies (id-ce 32)
1. Schlüsselverwendung
  Damit das Zertifikat zur Überprüfung einer digitalen Signatur verwendet werden kann, in der Erweiterung keyUsage muss Die Bits digitalSignature(0) und nonRepuduation(1) müssen gesetzt sein.
  Zertifikatsrichtlinien
  Die Erweiterung „certificatePolicies“ soll den Umfang der rechtlich bedeutsamen Nutzung eines Zertifikats definieren.
  „... der Name der digitalen Signatur bedeutet, mit welchem dieser öffentliche Schlüssel verwendet wird...“ (Artikel 6, Satz 1, Absatz 4), „... Informationen über die Beziehungen, bei deren Umsetzung ein elektronisches Dokument mit eine elektronische digitale Signatur hat rechtliche Bedeutung ...“ (Artikel 6, Satz 1, Absatz 6) und andere Daten, die das Verfahren zur Erlangung und Verwendung von Signaturschlüsselzertifikaten regeln, kann sein verfügbar über den in dieser Erweiterung angegebenen CPSuri (Certificate Practice Statement URI).

Optionale Erweiterungen
Im Signaturschlüsselzertifikat enthalten dürfen Fügen Sie alle anderen Erweiterungen hinzu. Bei der Aufnahme von Erweiterungen in das Zertifikat des digitalen Signaturschlüssels ist es notwendig, die Konsistenz und Eindeutigkeit der im Zertifikat enthaltenen Informationen sicherzustellen.
Dieses Dokument regelt nicht die Verwendung von Erweiterungen, mit Ausnahme der subjectDirectoryAttributes-Erweiterung (id-ce 9).

SubjectDirectoryAttributes
subjectDirectoryAttributes-Erweiterung Vielleicht enthalten Attribute, die die im Betrefffeld bereitgestellten Informationen ergänzen.
Zusätzlich zu den in RFC 3039 aufgeführten Attributen wird empfohlen, dass die folgenden Attribute in der Erweiterung subjectDirectoryAttributes unterstützt werden:

Qualifikation	{-}
Ländername	(id-at 6)
stateOrProvinceName	(ID-um 8)
Ortsname	(id-at 7)
Organisationsname	(id-at 10)
Name der Organisationseinheit	(ID-um 11)
Titel	(ID-um 12)
Anschrift	(id-at 16)

„Gegebenenfalls muss das Signaturschlüsselzertifikat anhand von Belegen die Qualifikation des Inhabers des Signaturschlüsselzertifikats angeben“ (Artikel 6 Absatz 2).

Angaben zur Qualifikation des Inhabers des EDS-Schlüsselzertifikats muss im Qualifikationsattribut angegeben. Dieses Attribut ist in internationalen Empfehlungen nicht definiert (siehe Abschnitt 2) und registrierungspflichtig.

Wenn die Attribute „countryName“, „stateOrProvinceName“, „locityName“, „organizationName“, „organizationUnitName“, „title“ und „postAddress“ in der Erweiterung „subjectDirectoryAttributes“ enthalten sind, werden sie sollte nicht in das Betrefffeld aufgenommen werden.

Zum Speichern weiterer Informationen über den Eigentümer des Signaturschlüsselzertifikats dürfen Verwenden Sie andere (bereits registrierte oder registrierungspflichtige) Attribute, die nicht im Widerspruch zu den Einschränkungen stehen, die durch die Zund andere Dokumente, die die Arbeit der Zertifizierungsstelle regeln, auferlegt werden.

ASN1-Anwendung

ID-at: OID-Wert: 2.5.4
OID-Beschreibung: X.500-Attributtypen.
id-ce: OID-Wert: 2.5.29
OID-Beschreibung: Objektbezeichner für Zertifikaterweiterungen der Version 3.

2.5.4.5 id-at-serialNumber serialNumber ATTRIBUTE::= ( WITH SYNTAX PrintableString(SIZE (1..64)) EQUALITY MATCHING RULE caseIgnoreMatch SUBSTRINGS MATCHING RULE caseIgnoreSubstringsMatch ID id-at-serialNumber )

(RFC 3039)
Der Attributtyp „serialNumber“ MUSS, sofern vorhanden, zur Unterscheidung zwischen Namen verwendet werden, bei denen das Betrefffeld ansonsten identisch wäre. Dieses Attribut hat keine definierte Semantik, die über die Gewährleistung der Eindeutigkeit von Subjektnamen hinausgeht. Es KANN eine von der CA zugewiesene Nummer oder einen Code oder eine von einer Regierung oder Zivilbehörde zugewiesene Kennung enthalten. Es liegt in der Verantwortung der Zertifizierungsstelle, sicherzustellen, dass die Seriennummer ausreicht, um etwaige Konflikte mit Betreffnamen aufzulösen.

2.5.4.3 – id-at-commonName

OID-Wert: 2.5.4.3

OID-Beschreibung: Der Attributtyp „Common Name“ gibt einen Bezeichner eines Objekts an. Ein allgemeiner Name ist kein Verzeichnisname; Dabei handelt es sich um einen (möglicherweise mehrdeutigen) Namen, unter dem das Objekt in einem begrenzten Bereich (z. B. einer Organisation) allgemein bekannt ist und der den Namenskonventionen des Landes oder der Kultur entspricht, mit der es verbunden ist.

CommonName ATTRIBUTE::= ( SUBTYPE OF name WITH SYNTAX DirectoryString (ub-common-name) ID (id-at-commonName) )

(RFC 3039: Qualifiziertes Zertifikatsprofil)
OID-Wert: 2.5.4.65

pseudonym ATTRIBUTE::= ( SUBTYPE OF name WITH SYNTAX DirectoryString ID (id-at-pseudonym) )

OID-Wert: 2.5.29.17

OID-Beschreibung: id-ce-subjectAltName Diese Erweiterung enthält einen oder mehrere alternative Namen unter Verwendung verschiedener Namensformen für die Entität, die von der Zertifizierungsstelle an den zertifizierten öffentlichen Schlüssel gebunden ist.

SubjectAltName EXTENSION::= ( SYNTAX GeneralNames IDENTIFIED BY id-ce-subjectAltName ) GeneralNames::= SEQUENCE SIZE (1..MAX) OF GeneralName GeneralName::= CHOICE ( otherName INSTANCE OF OTHER-NAME, rfc822Name IA5String, dNSName IA5String, ( *) x400Address OAddress, Verzeichnisname Name, ediPartyName EDIPartyName, uniformResourceIdentifier IA5String, IPAddress OCTET STRING, RegisteredID OBJECT IDENTIFIER ) (*) – beliebige Zeichenfolge. OTHER-NAME::= SEQUENCE (Typ-ID OBJECT IDENTIFIER Wert EXPLICIT ANY DEFINED BY Typ-ID)

OID-Wert: 2.5.4.16

OID-Beschreibung: Der Attributtyp „Postadresse“ gibt die Adressinformationen für die physische Zustellung von Postnachrichten durch die Postbehörde an das benannte Objekt an. Ein Attributwert für die Postadresse besteht in der Regel aus ausgewählten Attributen der MHS Unformatted Postal O/R Address Version 1 gemäß CCITT Rec F.401 und ist auf 6 Zeilen mit jeweils 30 Zeichen, einschließlich eines Postlandnamens, beschränkt. Normalerweise umfassen die in einer solchen Adresse enthaltenen Informationen den Namen des Adressaten, die Straße, die Stadt, das Bundesland oder die Provinz, die Postleitzahl und möglicherweise eine Postfachnummer, abhängig von den spezifischen Anforderungen des benannten Objekts.

PostalAddress ATTRIBUTE::= ( MIT SYNTAX PostalAddress EQUALITY MATCHING RULE caseIgnoreListMatch SUBSTRINGS MATCHING RULE caseIgnoreListSubstringsMatch ID id-at-postalAddress ) PostalAddress::= SEQUENZGRÖSSE (1..ub-postal-address) OF DirectoryString (ub-postal-string)

OID-Wert: 2.5.4.12

OID-Beschreibung: Der Attributtyp „Titel“ gibt die festgelegte Position oder Funktion des Objekts innerhalb einer Organisation an. Ein Attributwert für Titel ist eine Zeichenfolge.

Title ATTRIBUTE::= ( SUBTYPE OF name WITH SYNTAX DirectoryString (ub-title) ID id-at-title ) id-ce-certificatePolicies OBJECT IDENTIFIER::= ( id-ce 32 ) CertificatePolicies::= SEQUENCE SIZE (1.. MAX) OF PolicyInformation PolicyInformation::= SEQUENCE ( PolicyIdentifier CertPolicyId, PolicyQualifiers SEQUENCE SIZE (1..MAX) OF PolicyQualifierInfo OPTIONAL ) CertPolicyId::= OBJECT IDENTIFIER PolicyQualifierInfo::= SEQUENCE ( PolicyQualifierId PolicyQualifierId, Qualifier ANY DEFINED BY PolicyQualifierI d) -- PolicyQualifierIds für Internetrichtlinien-Qualifizierer id-qt OBJEKT-IDENTIFIER::= ( id-pkix 2 ) id-qt-cps OBJEKT-IDENTIFIER::= ( id-qt 1 ) id-qt-unotice OBJEKT-IDENTIFIER::= ( id-qt 2 ) PolicyQualifierId::= OBJECT IDENTIFIER (id-qt-cps | id-qt-unotice) Qualifier::= CHOICE ( cPSuri CPSuri, userNotice UserNotice ) CPSuri::= IA5String UserNotice::= SEQUENCE ( NoticeRef NoticeReference OPTIONAL, explizitText DisplayText OPTIONAL ( 1 ..200)) )

Wenn Sie sich in Ihrem persönlichen Konto anmelden, um ein CEP anzufordern, wird eine Meldung angezeigt « Der Computer ist nicht konfiguriert . Um fortzufahren, gehen Sie zur Computer-Setup-Seite und befolgen Sie die vorgeschlagenen Schritte » . Nachdem Sie die Setup-Seite aufgerufen und alle erforderlichen Komponenten in Ihrem persönlichen Konto installiert haben, erscheint erneut eine Meldung, dass der Computer nicht konfiguriert ist.

Um den Fehler zu beheben, müssen Sie:

1. Fügen Sie Ihre persönliche Kontoadresse https://i.kontur-ca.ru zu vertrauenswürdigen Knoten hinzu. Dafür:

Wählen Sie das Menü „Start“ > „Systemsteuerung“ > „Internetoptionen“;
Gehen Sie zur Registerkarte „Sicherheit“, wählen Sie das Element „Vertrauenswürdige Sites“ (oder „Vertrauenswürdige Sites“) und klicken Sie auf die Schaltfläche „Sites“.
Geben Sie im Feld „Folgenden Knoten zur Zone hinzufügen“ die Adresse https://i.kontur-ca.ru ein und klicken Sie auf die Schaltfläche „Hinzufügen“.

Wenn diese Adresse bereits in der Liste der vertrauenswürdigen Knoten vorhanden ist, sollten Sie mit dem nächsten Schritt fortfahren.

2. Überprüfen Sie, ob die persönliche Kontoadresse https://i.kontur-ca.ru als zuverlässig definiert ist:

Wenn Sie Internet Explorer Version 8 verwenden, sollten Sie auf der Autorisierungsseite überprüfen, ob das Kontrollkästchen „Vertrauenswürdige Sites“ unten auf der Seite aktiviert ist. Wenn kein Kontrollkästchen vorhanden ist, aber eine Inschrift vorhanden ist « Internet“, was bedeutet, dass die Adresse https://i.kontur-ca.ru nicht zu vertrauenswürdigen Knoten hinzugefügt wurde.

Wenn Sie Internet Explorer Version 9 und höher verwenden, sollten Sie auf der Autorisierungsseite mit der rechten Maustaste irgendwo auf der Seite klicken und „Eigenschaften“ auswählen. In dem sich öffnenden Fenster sollte die Zeile „Zone“ die Worte „Vertrauenswürdige Sites“ enthalten. Andernfalls wird die Adresse https://i.kontur-ca.ru nicht zu vertrauenswürdigen Knoten hinzugefügt.

Wenn die Adresse Ihres persönlichen Kontos nicht als zuverlässig definiert ist, sollten Sie sich an Ihren Systemadministrator wenden und ihn bitten, die Adresse https://i.kontur-ca.ru zu vertrauenswürdigen Knoten hinzuzufügen.

3. Prüfen Sie, ob Sie sich bei Ihrem persönlichen Konto anmelden können. Wenn der Fehler erneut auftritt, sollten Sie das RegOids-Dienstprogramm über den Link ausführen. Dieses Dienstprogramm konfiguriert automatisch die OID-Einstellungen in der Registrierung des Computers. Sie können einen der Registrierungszweige auch manuell importieren, abhängig von der Bitrate des installierten Betriebssystems:

4. Überprüfen Sie, ob auf dem Computer Administratorrechte verwendet werden (zur Überprüfung gehen Sie zu Start – Systemsteuerung – Benutzerkonten und Familiensicherheit – Benutzerkonten). Reichen die Rechte nicht aus, müssen Sie dem Benutzer die vollen Rechte geben; wenden Sie sich dazu an Ihren Administrator.

5. Nach Abschluss von Schritt 3 müssen Sie Ihren Computer neu starten und Ihre Anmeldung bei Ihrem persönlichen Konto überprüfen.

Sollte kein einziger Punkt in der Anleitung weiterhelfen, dann wenden Sie sich bitte an den technischen Support unter [email protected]. Das Schreiben muss Folgendes enthalten:

1. Diagnosenummer.

Dazu müssen Sie das Diagnoseportal unter aufrufenhttps://help.kontur.ru , Drücken Sie den Knopf " Diagnose starten“ . Sobald der Verifizierungsprozess abgeschlossen ist, wird die Diagnosenummer auf dem Bildschirm angezeigt. Bitte geben Sie im Schreiben die zugeteilte Anfragenummer an.

2. Screenshot des Fensters mit dem Fehler (bei Verwendung des Internet Explorers ab Version 9 müssen Sie zusätzlich einen Screenshot des Fensters „Eigenschaften“ anhängen – siehe Punkt 2).

3. Exportieren Sie die folgenden Registrierungszweige und hängen Sie sie an:

32-Bit: HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo
64-Bit: HKLM\SOFTWARE\Wow6432Node\Microsoft\Cryptography\OID\EncodingType 0\CryptDllFindOIDInfo

Vadim Malykh
02.10.2013

Vor einiger Zeit gab es in der Facebook-Gruppe „Forum Rus“ eine Diskussion über den Einsatz staatlicher Informationssysteme in Informationssystemen (die Diskussion war nicht zum Thema gehörend, Sie können sie in den unteren Kommentaren sehen). Der Kern des Streits besteht darin, dass aufgrund der OIDs (Objektidentifikatoren) von Informationssystemen, die in Zertifikaten qualifizierter elektronischer Signaturen (ES) von Beamten registriert werden müssen, diese ES sogar noch häufiger als einmal im Jahr geändert werden müssen (das heißt). Dies führt wiederum zu zusätzlicher Komplexität und Kosten, da die meisten Behörden mit kommerziellen Zertifizierungsstellen zusammenarbeiten, ohne über eigene Zertifizierungsstellen zu verfügen. Das Problem wird durch das Fehlen eines gemeinsamen Verständnisses darüber verschärft, was genau diese OIDs leisten und wie notwendig und/oder verpflichtend sind.

Während der Auseinandersetzung warnte mich mein Gegner, dass ich aufgrund der Unkenntnis einiger Grundlagen des Fachgebiets in Zukunft in gewisse Probleme mit dem Recht geraten könnte. Ich konnte eine solche Warnung eines Kollegen nicht ignorieren und beschloss, dieses Thema noch einmal sorgfältig zu studieren und sicherzustellen, dass ich alles verstanden habe und es richtig gemacht habe. Nachfolgend finden Sie einige Ergebnisse dieser Exkursion in das Themengebiet. Vielleicht hat jemand Interesse.

Grundsätzlich basiert das elektronische Signieren auf asymmetrischen Verschlüsselungsalgorithmen. Das Hauptmerkmal dieser Algorithmen besteht darin, dass zum Ver- und Entschlüsseln einer Nachricht zwei unterschiedliche Schlüssel verwendet werden. Der breiten Öffentlichkeit sind symmetrische Algorithmen besser bekannt, bei denen wir einen Schlüssel (oder ein Passwort) verwenden, um eine Nachricht sowohl zu verschlüsseln als auch zu entschlüsseln, beispielsweise eine Datei mit einem Passwort zu archivieren oder ein MS Word-Dokument zu schützen.

Viele Dinge basieren auf asymmetrischen Verschlüsselungsalgorithmen, obwohl die bloße Tatsache, dass für die Ver- und Entschlüsselung unterschiedliche Schlüssel verwendet werden, keinen sinnvollen Einsatz dieser Algorithmen ermöglichen würde. Dazu müssen sie über einige zusätzliche Eigenschaften verfügen. Erstens sollten die Schlüssel nicht berechenbar sein, d. h. wenn Sie einen Schlüssel kennen, können Sie den zweiten nicht berechnen. Es ist auch sehr wichtig, dass unterschiedliche Verschlüsselungsschlüssel unterschiedlichen Entschlüsselungsschlüsseln entsprechen und umgekehrt – nur ein Verschlüsselungsschlüssel entspricht einem Entschlüsselungsschlüssel.

Was hat die Signatur eigentlich damit zu tun? Schließlich müssen wir das Dokument signieren und nicht verschlüsseln. Zunächst müssen Sie verstehen, was eine Signatur eigentlich ist und warum sie benötigt wird. Wenn Sie Ihre handschriftliche Unterschrift auf ein Papierdokument setzen, versichern Sie damit, dass Sie (und nicht jemand anderes) dieses bestimmte Dokument (und nicht ein anderes) gesehen haben (und damit einverstanden sind). Die wichtigste Eigenschaft einer Signatur ist die Unbestreitbarkeit. Das bedeutet, dass Sie, sobald Sie ein Dokument unterschrieben haben, später nicht mehr auf diese Tatsache verzichten können. Bei einer Papiersignatur belastet Sie eine graphologische Untersuchung, bei einer elektronischen Signatur kommen mathematische Verfahren zum Einsatz, die auf asymmetrischen Verschlüsselungsalgorithmen basieren.

Wie alles funktioniert, kurz und bündig. Wir nehmen einen asymmetrischen Verschlüsselungsalgorithmus und generieren ein Schlüsselpaar (zur Verschlüsselung und Entschlüsselung). Wir geben den Verschlüsselungsschlüssel an die Person weiter, die die Dokumente signieren wird. Er muss es immer bei sich behalten und darf es niemandem geben. Deshalb wird er auch „privater“ Schlüssel genannt. Den anderen Schlüssel (Entschlüsselung) geben wir an alle weiter, er ist also „offen“. Beim Signieren eines Dokuments muss eine Person es mit ihrem privaten Schlüssel verschlüsseln. Tatsächlich wird nicht das Dokument selbst verschlüsselt, da es recht groß sein kann und wir es eigentlich nicht verschlüsseln müssen. Daher wird aus einem Dokument ein Hash gewonnen – dabei handelt es sich um eine bestimmte Zahlenfolge, die höchstwahrscheinlich für verschiedene Dokumente unterschiedlich ist, wie ein „Fingerabdruck“ des Dokuments. Es wird mit dem privaten Schlüssel des Unterzeichners verschlüsselt. Dieser verschlüsselte Hash ist die elektronische Signatur des Dokuments. Da nun ein Dokument, eine Signatur und ein öffentlicher Schlüssel vorhanden sind, kann jeder leicht überprüfen, ob dieses bestimmte Dokument mit diesem bestimmten privaten Schlüssel signiert wurde. Dazu ermitteln wir erneut den Hash des Dokuments, entschlüsseln die Signatur mit dem öffentlichen Schlüssel und vergleichen. Sie sollten zwei identische Zahlenfolgen erhalten.

Das ist alles großartig, aber bisher haben wir die Unbestreitbarkeit der Signatur für den privaten Schlüssel erhalten, das heißt, wir haben bewiesen, dass das Dokument mit einem bestimmten Schlüssel signiert ist. Wir müssen nachweisen, dass es von einer bestimmten Person unterzeichnet wurde. Zu diesem Zweck gibt es Zertifizierungsstellen und digitale Zertifikate. Das Wichtigste, was eine Zertifizierungsstelle tut, ist die Zertifizierung, dass der private Schlüssel einer bestimmten Person gehört. Um dies zu gewährleisten, ist es die Zertifizierungsstelle, die Schlüsselpaare generiert und diese persönlich an die Eigentümer ausgibt (es gibt Optionen per Proxy oder aus der Ferne, aber das sind Details). Zusammen mit den Schlüsseln wird ein digitales Zertifikat generiert – dabei handelt es sich um ein elektronisches Dokument (manchmal eine Papierdarstellung davon), das Informationen über den Besitzer des Schlüssels, den Schlüssel selbst, die Zertifizierungsstelle und einige andere Informationen enthält. Der Eigentümer erhält all diese Dinge in der Regel auf einem sicheren Medium (Smartcard, Ru-Token usw.), das einen privaten Schlüssel und ein Zertifikat mit eingebettetem öffentlichen Schlüssel enthält. Das Medium selbst muss immer bei Ihnen bleiben und ein Zertifikat mit einem daraus kopierten öffentlichen Schlüssel kann jedem ausgehändigt werden, damit dieser Ihre elektronische Signatur überprüfen kann.

Das Signieren erfolgt also mit einem privaten Schlüssel und die Signaturüberprüfung mit einem öffentlichen Schlüssel. Daher ist der Satz „Das Dokument ist mit einer Reihe von OIDs signiert“ (der im erwähnten Streit geäußert wurde) bedeutungslos. Am Signierungs- und Verifizierungsvorgang sind nur zwei Schlüssel beteiligt, die in 63-FZ entsprechend benannt sind – der Signaturschlüssel und der Signaturverifizierungsschlüssel.

Was sind diese berüchtigten OIDs? Das digitale Zertifikatformat X.509 ermöglicht die Speicherung von Erweiterungen darin. Dies sind einige optionale Attribute, die zum Speichern zusätzlicher Informationen verwendet werden können. Jedes dieser Attribute ist ein Objekt, das durch eine Kennung aus einem hierarchischen Verzeichnis spezifiziert wird. Daher OID – Objektidentifikator. Es hat keinen Sinn, sich hier mit der Natur der OIDs selbst zu befassen. Im Wesentlichen handelt es sich hierbei um einige zusätzliche Informationen, die im Zertifikat enthalten sein können.

Diese zusätzlichen Attribute können für verschiedene Zwecke verwendet werden. Sie können entweder zusätzliche Informationen über den Eigentümer, die Schlüssel und die Zertifizierungsstelle bereitstellen oder einige zusätzliche Informationen für Anwendungen und Dienste enthalten, die dieses Zertifikat verwenden. Die häufigste Anwendung ist die rollenbasierte Zugriffskontrolle. Beispielsweise kann in einem Zertifikat angegeben werden, dass der Eigentümer des Schlüssels der Leiter der Organisation ist, und dies gibt ihm die Möglichkeit, sofort Zugriff auf die erforderlichen Funktionen und Informationen in allen ISs zu erhalten, ohne sich an die Administratoren der einzelnen ISs wenden zu müssen und Zugriffseinstellungen ändern. Dies alles natürlich unter der Voraussetzung, dass alle diese ISs das Zertifikat des Benutzers verwenden, um ihn zu autorisieren und dasselbe Attribut auf die gleiche Weise zu analysieren (aus diesem Grund werden die Attribute aus dem Verzeichnis ausgewählt und nicht willkürlich festgelegt).

Aufgrund der unterschiedlichen Anwendungen erhalten wir zwei völlig unterschiedliche Zertifikate. Man bescheinigt mir, dass ich ich bin, und das ist immer so. Im Idealfall könnte es wie ein Reisepass einmal oder mehrmals im Leben ausgestellt werden. Aufgrund der Unzulänglichkeiten bestehender kryptografischer Algorithmen müssen diese Zertifikate aus Sicherheitsgründen nun jedoch jedes Jahr neu ausgestellt werden. Die zweite Art von Zertifikaten regelt zusätzliche Informationen und kann sich viel häufiger als einmal im Jahr ändern. Es kann mit einer Visitenkarte verglichen werden. Ihre Position, E-Mail-Adresse und Telefonnummer haben sich geändert – Sie müssen neue Visitenkarten erstellen.

In der Welt werden diese beiden Arten von Zertifikaten als Public Key Certificate (PKC) bzw. Attributzertifikat (oder Autorisierungszertifikat – AC) bezeichnet. Ein Zertifikat des zweiten Typs kann viel häufiger von einer anderen Organisation ausgestellt werden als das erste und sollte leichter zugänglich und leichter zu erhalten sein als ein persönliches „Public-Key“-Zertifikat. Auf jeden Fall empfiehlt RFC 3281, der sich dieser Art von Zertifikaten widmet, dies. Ein Zertifikat des zweiten Typs darf nur einen Link zum Public-Key-Zertifikat enthalten, damit das System, das es zur Autorisierung des Benutzers verwendet, zunächst die Person identifizieren kann, die PKC verwendet.

Kommen wir nun näher an unsere Realität heran. Auf gesetzgeberischer Ebene werden Fragen im Zusammenhang mit der Verwendung elektronischer Signaturen in der Russischen Föderation durch zwei Hauptdokumente geregelt – das RF-Gesetz vom 6. April 2011 Nr. 63-FZ „Über elektronische Signaturen“ und die Verordnung des FSB der Russischen Föderation vom 27. Dezember 2011 Nr. 795 „Über die Genehmigung der Anforderungen an die Form des qualifizierten Zertifikats des Verifizierungsschlüssels der elektronischen Signatur.“ Die Zusammensetzung eines qualifizierten Zertifikats ist in Order 795 (Teil II „Anforderungen an die Felder eines qualifizierten Zertifikats“) beschrieben und es gibt keine Anforderungen für Attribute, die die Autorisierung in Informationssystemen steuern. Als zusätzliche obligatorische Attribute werden nur Informationen angegeben, die eine Identifizierung einer natürlichen oder juristischen Person in der Russischen Föderation ermöglichen (TIN, SNILS usw.). Obwohl weder das Gesetz noch die FSB-Anordnung die Aufnahme anderer Informationen in ein qualifiziertes Zertifikat verbieten.

Wie wir sehen, schreiben keine gesetzlichen Normen die obligatorische Anwesenheit von Attributen im Zusammenhang mit der Autorisierung in Informationssystemen in einem qualifizierten Zertifikat vor. Woher kommen dann diese Forderungen? Und sie stammen von den Entwicklern (oder „Eigentümern“) bestimmter Systeme. Nehmen wir zum Beispiel den „Leitfaden für den Einsatz elektronischer Signaturen in der abteilungsübergreifenden elektronischen Interaktion (Version 4.3)“ auf dem Technologieportal SMEV. Tatsächlich lesen wir in Absatz 6 dieses Dokuments: „Bei der Vorbereitung von Informationen zur Erstellung eines EP-SP-Zertifikats muss festgestellt werden, ob Informationen von Rosreestr angefordert werden müssen (Auszüge aus dem einheitlichen Staatsregister). Wenn eine solche Anfrage erforderlich ist, muss die OID im Feld „Verbesserter Schlüssel“ (OID=2.5.29.37) im EP-SP-Zertifikat gemäß den Anforderungen von Rosreestr angegeben werden.“ Das heißt, das Rosreestr-Informationssystem verwendet dieses Attribut, um die Informationen zu bestimmen, die an den Zertifikatsinhaber ausgegeben werden können. Dasselbe Dokument enthält jedoch einen wichtigen Hinweis: Diese Anforderung gilt bis zur vollständigen Einführung des ESIA (einheitlicher Autorisierungsdienst in staatlichen Systemen) und der Anbindung des Rosreestr-Systems daran. Das ist ein wichtiger Hinweis, erinnern wir uns daran.

Ich werde mich nicht mit anderen im Staat verwendeten IP-Adressen befassen. Organe Ich vermute, dass die Situation dort ähnlich ist. Ein öffentliches Beschaffungsportal, elektronische Handelsplattformen und verschiedene Buchhaltungs- und Finanzanwendungen erfordern möglicherweise auch das Vorhandensein bestimmter zusätzlicher OIDs im Benutzerzertifikat. Gleichzeitig ist die Aussage, dass ich durch das Schreiben der OID eines Informationssystems in ein Zertifikat irgendwie die Verantwortung an die Zertifizierungsstelle delegiere, gelinde gesagt falsch. Die CA trägt diese Daten gemäß meinem Antrag in das Zertifikat ein. Wenn sich meine Position geändert hat und ich vergessen habe, den Widerruf des alten und die Ausstellung eines neuen Zertifikats zu beantragen, kann die Zertifizierungsstelle in keiner Weise für meine Vergesslichkeit verantwortlich gemacht werden. Darüber hinaus weist das Gesetz 63-FZ die Verantwortung für die fehlerhafte Verwendung eines Zertifikats direkt seinem Eigentümer zu. In Artikel 17 Absatz 6 lesen wir:
Der Inhaber eines qualifizierten Zertifikats ist verpflichtet:
1) Verwenden Sie den elektronischen Signaturschlüssel nicht und wenden Sie sich unverzüglich an die akkreditierte Zertifizierungsstelle, die das qualifizierte Zertifikat ausgestellt hat, um die Gültigkeit dieses Zertifikats zu beenden, wenn Grund zu der Annahme besteht, dass die Vertraulichkeit des elektronischen Signaturschlüssels verletzt wurde;
2) eine qualifizierte elektronische Signatur gemäß den im qualifizierten Zertifikat enthaltenen Einschränkungen verwenden (sofern solche Einschränkungen festgelegt sind).

Die Notwendigkeit, Informationen über Benutzerrollen und Zugriffe in bestimmten Informationssystemen in einem Zertifikat zu speichern, führt zu einem Problem, das auf Facebook für Streit sorgte: Das Zertifikat muss viel häufiger neu ausgestellt werden, als es die Sicherheitsanforderungen für eine persönliche elektronische Signatur vorschreiben. Die Position hat sich geändert – wir stellen das Zertifikat neu aus. Eine neue IP ist aufgetaucht – wir stellen das Zertifikat erneut aus. Es bestand die Notwendigkeit, Informationen beim IS einer neuen Organisation (Rosreestr) anzufordern – wir stellen das Zertifikat erneut aus.

Es besteht eine hundertprozentige Einhaltung des in der Welt oben erwähnten Konzepts namens Attributzertifikat (oder Autorisierungszertifikat), in dem empfohlen wird, diese Zertifikate von einer anderen Zertifizierungsstelle auszustellen (Attribute Authority, im Gegensatz zur Zertifizierungsstelle – eine reguläre CA, die qualifizierte ES-Zertifikate ausstellt) und nach einem vereinfachten Schema. Dieses Zertifikat selbst sollte keinen elektronischen Signaturschlüssel und keine Informationen über den Eigentümer enthalten. Stattdessen enthält es einen Link zum Public-Key-Zertifikat des Eigentümers, aus dem die restlichen notwendigen Informationen über die Person entnommen werden können.

Es ist zu beachten, dass dieses Schema nur sehr begrenzte Anwendungsmöglichkeiten hat und nicht alle Probleme löst. Was passiert, wenn das nächste Informationssystem beschließt, für seine Zwecke dasselbe Zertifikatsfeld „Verbesserter Schlüssel“ (OID=2.5.29.37) zu verwenden, das bereits mit dem Rosreestr-Wert belegt ist? Es ist nicht möglich, in einem Feld zwei unterschiedliche Werte einzugeben. Daher müssen wir ein weiteres AC veröffentlichen! Ein weiteres Problem ist die kurze Lebensdauer von PKC (ein Jahr). Wenn wir mehrere ACs haben (die einen Link zu einem persönlichen Zertifikat enthalten), müssen diese nach Ablauf des PKC alle neu ausgestellt werden. Um AC effektiv nutzen zu können, ist in allen Informationssystemen ein einziges Benutzerautorisierungszentrum erforderlich, und alle Anwendungen müssen Zertifikatsattribute konsistent und einheitlich verwenden.

So ein einziges Autorisierungszentrum für die Regierung. Es gibt bereits Gremien – das ist die ESIA. Erinnern wir uns an den Hinweis zu den OIDs von Rosreestr. In Zukunft werden sie durch Informationen aus dem Unified Identification and Autonomous Information System ersetzt. Andere Informationssysteme, in denen Beamte arbeiten, sollten dasselbe tun. Anstatt AC für die Autorisierung zu verwenden, ist es ist notwendig, um sich in das Unified Identification and Autonomous Information System zu integrieren und die notwendigen Informationen von dort zu erhalten. Die Unified Identification and Authentication muss in der Lage sein, ein qualifiziertes digitales Signaturzertifikat mit einem Konto zu verknüpfen, damit Informationssysteme den Benutzer mithilfe eines authentifizieren können Persönlicher Schlüssel, und autorisieren Sie ihn (Bereitstellung des Zugriffs auf die Anwendung) durch einheitliche Identifizierung. Ein solches System scheint universeller und zuverlässiger zu sein als die Verwendung von Zertifikatsfeldern und wird in Zukunft die Automatisierung der Zugriffsverwaltung ermöglichen. Wenn ein einheitliches Personalaktensystem für zivile Diener werden geschaffen, das Einheitliche Identifikations- und Informationssystem wird in der Lage sein, direkt von dort Informationen über die Befugnisse einer Person zu erhalten. Wenn eine Person auf eine andere Position versetzt wird, verliert sie automatisch den Zugriff auf einige Systeme und erhält Zugriff auf andere. Am Gleichzeitig verwendet er weiterhin seinen elektronischen Signaturschlüssel zum Signieren von Dokumenten, eine Neuausstellung ist nicht erforderlich.