ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА
ПРИКАЗ
от 2 июля 2009 г. N ММ-7-6/353@
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К СЕРТИФИКАТУ КЛЮЧА ПОДПИСИ И СПИСКУ ОТОЗВАННЫХ СЕРТИФИКАТОВ ДЛЯ ОБЕСПЕЧЕНИЯ ЕДИНОГО ПРОСТРАНСТВА ДОВЕРИЯ СЕРТИФИКАТАМ КЛЮЧЕЙ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
(в ред. Приказа ФНС РФ от 07.08.2009 N ММ-7-6/402@)
В целях унификации процесса информационного взаимодействия налоговых органов и хозяйствующих субъектов в электронном виде с использованием электронной цифровой подписи в рамках единого пространства доверия сертификатам ключей электронной цифровой подписи приказываю:
1. Утвердить прилагаемые Требования к сертификату ключа подписи и списку отозванных сертификатов для обеспечения единого пространства доверия сертификатам ключей электронной цифровой подписи (далее - Требования к сертификату ключа подписи и списку отозванных сертификатов).
2. Ввести в действие Требования к сертификату ключа подписи и списку отозванных сертификатов с 01.09.2009. (в ред. Приказа ФНС РФ от 07.08.2009 N ММ-7-6/402@)
3. Управлению информатизации (В.Г. Колесников) привести в соответствие с прилагаемыми Требованиями к сертификату ключа подписи и списку отозванных сертификатов имеющиеся нормативные документы ФНС России, регламентирующие деятельность удостоверяющих центров, входящих в Сеть доверенных удостоверяющих центров ФНС России.
4. ФГУП ГНИВЦ ФНС России (И.Н. Задворнов):
доработать программное обеспечение для приведения в соответствие с прилагаемыми Требованиями к сертификату ключа подписи и списку отозванных сертификатов;
обеспечить исполнение Требований к сертификату ключа подписи и списку отозванных сертификатов в рамках Сети доверенных удостоверяющих центров ФНС России;
зарегистрировать в установленном порядке атрибут INN в списке объектных идентификаторов (OID) согласно пункту 7.2 прилагаемых Требований к сертификату ключа подписи и списку отозванных сертификатов.
5. Руководителям управлений ФНС России по субъектам Российской Федерации не позднее трех рабочих дней со дня издания настоящего Приказа обеспечить доведение до всех участников информационного взаимодействия в электронном виде по телекоммуникационным каналам связи информацию о вводе в действие Требований к сертификату ключа подписи и списку отозванных сертификатов.
6. Контроль исполнения настоящего Приказа возложить на заместителя руководителя Федеральной налоговой службы Н.Е. Мельникова.
Руководитель
Федеральной налоговой службы
М.П.МОКРЕЦОВ
УТВЕРЖДЕНЫ
Приказом ФНС России
от 2 июля 2009 г. N ММ-7-6/353@
ТРЕБОВАНИЯ
К СЕРТИФИКАТУ КЛЮЧА ПОДПИСИ И СПИСКУ ОТОЗВАННЫХ СЕРТИФИКАТОВ ДЛЯ ОБЕСПЕЧЕНИЯ ЕДИНОГО ПРОСТРАНСТВА ДОВЕРИЯ СЕРТИФИКАТАМ КЛЮЧЕЙ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
Термины
C - country - страна.
CN - common name - поле в DN - общее имя = ФИО или псевдоним.
DN - distinguished name - расширение в СКП, в которое помещается отличительное имя владельца СКП, состоящее из нескольких полей.
E - e-mail - поле в DN - электронная почта.
L - locality - место расположения, например город.
O - organization - поле в DN - организация.
OU - organization unit - поле в DN - подразделение организации.
S - state or province - область, регион.
T - title - должность.
АРМ ДиС (Суппорт) - АРМ диагностики и сопровождения, предназначен для мониторинга серверов обмена электронными документами ПК ГНИВЦ ПРИЕМ и ГНИВЦ ПРИЕМ Регион (ранее использовался для регистрации абонентов).
ДУЦ - доверенный удостоверяющий центр.
Кросс - СКП, выпущенный Организатором Сети ДУЦ для уполномоченного лица ДУЦ. Этот СКП используется для формирования доверительных отношений к СКП пользователей, изданных ДУЦ.
ИНН - индивидуальный номер налогоплательщика.
ИП - индивидуальный предприниматель.
ИРУЦ - информационный ресурс Удостоверяющего центра Организатора Сети Доверенных удостоверяющих центров.
НБО - налоговые декларации и бухгалтерская отчетность.
НО - налоговый орган.
НП - налогоплательщик.
САОЭД - сервер автоматической обработки электронных документов.
СИОЭД - система информационного обмена электронными документами с электронной цифровой подписью по телекоммуникационным каналам связи.
СКП - сертификат ключа подписи.
СОС (CRL) - список отозванных сертификатов.
СОЭД - сервер обмена электронными документами.
Спецоператор - специализированный оператор связи.
УП - уполномоченный представитель налогоплательщика.
УЦ - удостоверяющий центр.
ФИО - фамилия, имя, отчество.
ФЛ - физическое лицо.
ЦСДИ - центр сбора диагностической информации.
ЮЛ - юридическое лицо.
Требования к СКП и СОС
Доверие СКП (рис. 1) строится от одного корневого СКП - СКП организатора сети ДУЦ.
Рис. 1. Схема доверия СКП и СОС в ИРУЦ
СКП делятся на 2 основных типа:
1. СКП, которые могут быть издателями других СКП и СОС.
2. Конечные СКП пользователей.
Все СКП делятся на 4 группы:
1. Корневой СКП - издатель всех СКП для ключевых узлов СИОЭД (и, при необходимости, для НП тоже).
2. Кросс СКП УЦ ФНС России - кросс, выданный организатором сети ДУЦ для СКП УЦ ФНС России. УЦ ФНС России выдает СКП НО (для систем ГНИВЦ ПРИЕМ, ГНИВЦ ПРИЕМ Регион):
- СОЭД.
- САОЭД.
- Налоговый инспектор.
- АРМ ДиС.
Примечание. Сам СКП УЦ ФНС России в СИОЭД использовать запрещено.
3. Кросс СКП ДУЦ - кросс, выданный организатором сети ДУЦ для СКП УЦ ДУЦ, который является издателем СКП НП.
Примечание. Сам СКП УЦ ДУЦ в СИОЭД использовать запрещено.
4. СКП ключевых узлов СИОЭД - конечные СКП.
- Эти СКП не могут быть издателями других СКП.
- Эти СКП могут быть изданы только на Корневом СКП Организатора Сети ДУЦ.
5. СКП НП - конечные СКП.
- СКП для ЮЛ, ИП или УП.
- Эти СКП не могут быть издателями других СКП.
- Эти СКП могут быть изданы на Корневом СКП Организатора Сети ДУЦ или на СКП УЦ ДУЦ, кросс которого используется в СИОЭД.
Все СКП ключевых узлов СИОЭД выдаются только Организатором Сети ДУЦ:
- Оператор ИРУЦ.
- Спецоператор.
- Веб-сервер ИРУЦ.
- Сервер регистрации ИРУЦ.
Конечные СКП НП выдаются ДУЦ. При необходимости СКП НП может выдавать Организатор Сети ДУЦ.
Требования к СКП
Ключевая пара СКП должна соответствовать стандарту ГОСТ Р 34.10-2001.
Поля СКП должны заполняться в соответствии рекомендациям IETF RFC5280 и ITU-T x.509 (если не указано другое).
Для любого текста, используемого в СКП, разрешается использовать набор символов из Приложения 10 (если не указано другое).
Каждый СКП должен содержать следующие атрибуты и расширения:
1. Версия СКП (version) - должна быть не ниже 3.
2. Серийный номер (serialNumber) - уникальная последовательность в рамках одного УЦ, не более 160 бит.
3. Алгоритм подписи (signature) - в поле algorithm должен содержаться идентификатор алгоритма подписи ГОСТ Р 34.11-94/34.10-2001 (OID.1.2.643.2.2.3, в соответствии с RFC4491).
4. DN издателя СКП (issuer) - данные из поля субъект СКП издателя.
Для Корневого СКП Организатора Сети ДУЦ значение DN издателя должно быть равно DN субъекта.
5. Дата и время начала действия СКП (notBefore).
6. Дата и время окончания действия СКП (notAfter).
7. В DN субъекта СКП (subject) должны быть заполнены поля:
7.1. CN (OID.2.5.4.3) - обязательно к заполнению - для конечных СКП должно быть записано ФИО владельца СКП (Приложение 1).
Примечание. В СКП центров сертификации, а также СКП ключевых узлов СИОЭД (веб-сервер ИРУЦ, сервер регистрации ИРУЦ, АРМ ДиС, ЦСДИ и т.д.) допускается указывать псевдоним владельца СКП (Приложение 2).
7.2. INN (OID.1.2.643.3.xxx.1.1, OID должен быть зарегистрирован) - обязательно к заполнению. Должен быть записан один из вариантов:
- ИНН организации, сотрудником которой является владелец СКП.
- ИНН физического лица владельца СКП.
- при отсутствии ИНН - 0 (цифра ноль 0x30 Код Windows-1251).
7.3. OU (OID.2.5.4.11) - обязательно к заполнению. Должен быть записан один из вариантов:
- подразделение организации, сотрудником которого является владелец СКП (Приложение 3).
- при отсутствии - 0 (цифра ноль 0x30 Код Windows-1251).
7.4. E (OID.1.2.840.113549.1.9.1) - обязательно к заполнению. Должен быть записан один из вариантов:
- действующий адрес электронной почты владельца СКП (Приложение 4).
- при отсутствии - 0 (цифра ноль 0x30 Код Windows-1251).
7.5. O (OID.2.5.4.10) - обязательно к заполнению. Должен быть записан один из вариантов:
- для ЮЛ или ИП должно быть записано краткое название ЮЛ или ИП - владельца СКП в соответствии с ЕГРЮЛ (Приложение 5).
- при отсутствии - 0 (цифра ноль 0x30 Код Windows-1251).
7.6. C (OID.2.5.4.6) - обязательно к заполнению - должен быть записан двухсимвольный код страны, две прописные латинские буквы в соответствии с ISO 3166 (ISO 3166-1 alpha-2).
7.7. L (OID.2.5.4.7) - обязательно к заполнению. Должен быть записан один из вариантов:
- название города или населенного пункта, где зарегистрированы ЮЛ, ИП или ФЛ (Приложение 6).
- при отсутствии - 0 (цифра ноль 0x30 Код Windows-1251).
7.8. S (OID.2.5.4.8) - обязательно к заполнению. Должен быть записан один из вариантов:
- название региона, где зарегистрированы ЮЛ, ИП или ФЛ (Приложение 7).
- при отсутствии - 0 (цифра ноль 0x30 Код Windows-1251).
7.9. T (OID.2.5.4.12) - обязательно к заполнению. Должен быть записан один из вариантов:
- для ЮЛ должность владельца СКП (Приложение 9).
- при отсутствии - 0 (цифра ноль 0x30 Код Windows-1251).
7.10. SN (OID.2.5.4.5) - не обязательно к заполнению - указывается серийный номер имени владельца сертификата (для обеспечения различимости имен владельцев СКП, если их Фамилии Имя и Отчество полностью совпадают). Для заполнения использовать цифры: 1, 2 и т.д.
Примечание. Каждое поле в DN, описанное в пп. 7.1 - 7.10, допускается использовать только 1 раз. УЦ могут использовать дополнительные поля, если это не противоречит RFC, однако эти поля не будут обрабатываться в ИРУЦ.
8. Открытый ключ (subjectPublicKeyInfo):
8.1. Атрибут AlgorithmIdentifier поле algorithm - идентификатор алгоритма открытого ключа по ГОСТ Р 34.10-2001 (OID.1.2.643.2.2.19, в соответствии с RFC4491).
8.2. Атрибут AlgorithmIdentifier поле parameters - два параметра с OID.1.2.643.2.2.36.0 и OID.1.2.643.2.2.30.1 (в соответствии с RFC4491).
8.3. Для Корневого СКП Организатора Сети ДУЦ и Кросс СКП ДУЦ значение поля parameters формируется в соответствии с RFC4491.
8.4. Атрибут subjectPublicKey - открытый ключ.
9. Расширение extKeyUsage (OID.2.5.29.37) - расширенное использование ключа - должно содержать идентификатор использования "Защищенная электронная почта" (OID.1.3.6.1.5.5.7.3.4). Также сюда могут быть добавлены другие идентификаторы использования по усмотрению ДУЦ, но при этом это расширение должно содержать не более 100 элементов.
Для Корневого СКП Организатора Сети ДУЦ и Кросс СКП ДУЦ расширение extKeyUsage может отсутствовать.
10. Расширение subjectKeyIdentifier (OID.2.5.29.14) - идентификатор ключа субъекта - должно содержать идентификатор открытого ключа в СКП в виде уникальной последовательности, формируемой в соответствие с RFC.
11. Расширение authorityKeyIdentifier (OID.2.5.29.35 или OID.2.5.29.1) - идентификатор ключа центра сертификатов - должно быть заполнено поле keyIdentifier значением расширения subjectKeyIdentifier в СКП издателя. OID.2.5.29.1 является устаревшим, для всех вновь выдаваемых СКП его использовать не разрешается.
Примечание. Для Корневого СКП Организатора Сети ДУЦ расширение authorityKeyIdentifier может отсутствовать.
Поля authorityCertIssuer и authorityCertSerialNumber могут отсутствовать в расширении, но если они заполнены, то должны содержать:
- authorityCertIssuer - DN Субъекта из СКП Издателя.
- authorityCertSerialNumber - Серийный номер из СКП издателя.
12. Расширение keyUsage (OID.2.5.29.15) - использование ключа:
12.1. Для конечных СКП должны быть установлены в 1 биты:
- 0 (цифровая подпись) или 1 (неотрекаемость) или оба, и 2 (шифрование ключей);
- биты 5 (подпись СКП) и 6 (подпись СОС) должны быть установлены в 0.
12.2. Для Корневого СКП Организатора Системы и Кросс СКП ДУЦ биты 5 (подпись СКП) и 6 (подпись СОС) должны быть установлены в 1.
12.3. Остальные биты должны заполняться в соответствии с рекомендациями RFC.
13. Расширение cRLDistributionPoints (OID.2.5.29.31) - точка распределения списка отзыва - должно содержать валидный путь к файлу CRL (ссылка на файл в Интернет по протоколу http). По этой ссылке УЦ, выдавший СКП, должен обеспечить круглосуточный доступ к валидному файлу CRL.
Примечание. Для Корневого СКП Организатора Сети ДУЦ расширение cRLDistributionPoints может отсутствовать.
Не позднее чем за 1 час до истечения старого CRL должен быть выпущен новый CRL и файл по ссылке в cRLDistributionPoints должен быть заменен этим новым CRL.
14. Расширение FreshestCRL (OID.2.5.29.46) - точка распределения дельты списка отзыва - должно содержать валидный путь к файлу дельты CRL (ссылка на файл в Интернет по протоколу http). По этой ссылке УЦ, выдавший СКП, должен обеспечить круглосуточный доступ к валидному файлу дельты CRL.
Примечание. Это расширение является необязательным и должно добавляться в СКП, только если ДУЦ выпускает дельты CRL.
Примечание. Для Корневого СКП Организатора Сети ДУЦ расширение FreshestCRL может отсутствовать.
15. Расширение Certificate Policies (OID.2.5.29.32) - политики сертификата - в котором указываются только OID'ы, описывающие юридическую сферу применения СКП, и ссылку на ресурс, содержание которого поясняет используемые OID.
Формат заполнения этого расширения должен соответствовать рекомендациям RFC.
Указываемые OID информируют о следующем: квалификация подписи (директор, бухгалтер и т.д.), роль владельца СКП в информационных системах ФНС (НП, инспектор НО, уполномоченный представитель НП и т.д.), возможность пользоваться сервисами ИОН.
Идентификаторы политик назначаются по схеме, где каждая арка описывает признак применимости СКП (Приложение 11).
Количество политик в СКП не должно превышать 100 штук.
Остальные расширения могут содержать любые данные в соответствии с рекомендациями IETF RFC и ITU-T.
Размер файла СКП в формате base64 с тегами не должен превышать 8000 байт.
Требования к СОС
Поля СОС должны заполняться в соответствии рекомендациям IETF RFC5280 и ITU-T x.509 (если не указано другое).
Размер файла СОС должен быть не более 250 Кбайт.
Для любого текста, используемого в СОС, разрешается использовать набор символов из Приложения 10.
Каждый СОС должен содержать следующие атрибуты и расширения:
1. Версия (version) - версия должна быть 2.
2. Издатель (issuer) - данные из поля субъект СКП издателя.
3. Дата издания СОС (thisUpdate).
4. Дата издания следующего СОС (nextUpdate).
5. Алгоритм подписи (signature) - должен содержать идентификатор алгоритма подписи ГОСТ Р 34.11-94/34.10-2001 (OID.1.2.643.2.2.3 в соответствии с RFC4491).
6. Расширение authorityKeyIdentifier (OID.2.5.29.35 или OID.2.5.29.1) - идентификатор ключа центра сертификатов - должно быть заполнено поле keyIdentifier значением расширения subjectKeyIdentifier в СКП издателя. OID.2.5.29.1 является устаревшим, для всех вновь выдаваемых СКП его использовать не разрешается.
Поля authorityCertIssuer и authorityCertSerialNumber могут отсутствовать в расширении, но если они заполнены, то должны содержать:
- authorityCertIssuer - DN Субъекта из СКП Издателя
- authorityCertSerialNumber - Серийный номер из СКП издателя
7. Номер СОС cRLNumber (OID.2.5.29.20) - порядковый номер, начинающийся с 1 и увеличивающийся каждый раз на 1 при выпуске нового СОС. Допускается формирование значения номера СОС и дельта СОС выполнять по правилу, описанному в rfc 5280: каждый последующий номер должен быть больше предыдущего и длинна номера должна быть не более 160 бит.
8. Индикатор дельты СОС deltaCRLIndicator (OID.2.5.29.27) критическое расширение - если в СОС присутствует это расширение, то СОС считается дельтой. Должен содержать номер, равный или меньший, чем номер основного СОС из расширения cRLNumber.
Остальные расширения могут содержать любые данные, сформированные в соответствии с рекомендациями IETF RFC и ITU-T.
Требования к построению цепочек доверия СКП и СОС
Цепочки доверия СКП и СОС строятся по равенствам данных в расширении subjectKeyIdentifier издателя и authorityKeyIdentifier в изданном СКП или СОС.
Если в расширении authorityKeyIdentifier содержатся заполненные поля authorityCertIssuer и authorityCertSerialNumber, то дополнительно выполняется проверка соответствия DN из поля authorityCertIssuer атрибуту issuer из СКП издателя и соответствие серийного номера из поля authorityCertSerialNumber серийному номеру СКП издателя.
ФОРМАТ ФИО ВЛАДЕЛЬЦА СКП
1. ФИО владельца СКП записывается в атрибут CN (OID.2.5.4.3) поля DN субъекта СКП.
2. Длина текста не более 64 символов.
3. ФИО должно быть указано полностью так, как оно указано в документе, удостоверяющем личность владельца (например паспорт). Формат:
а. первое слово - Фамилия;
б. 1 пробел;
в. второе слово - Имя;
г. 1 пробел;
д. третье слово - Отчество;
е. 1 пробел (если есть еще текст после отчества);
ж. остальные слова (если есть) могут быть отнесены к отчеству, в зависимости от контекста обработки.
4. Каждое слово в тексте должно быть отделено 1 пробелом.
5. Не разрешается использовать пробел в начале и в конце текста.
6. Разрешается использовать только 1 атрибут CN в DN субъекта.
7. Разрешается использование символов из набора (Приложение 10), за исключением символов:
ФОРМАТ ПСЕВДОНИМА ВЛАДЕЛЬЦА СКП
1. Псевдоним владельца СКП записывается в атрибут CN (OID.2.5.4.3) поля DN субъекта СКП.
2. Длина текста не более 64 символов.
3. Каждое слово в тексте должно быть отделено 1 пробелом.
4. Не разрешается использовать пробел в начале и в конце текста.
5. Разрешается использовать только 1 атрибут CN в DN субъекта.
Разрешается использование символов из набора (Приложение 10). При этом следующие символы разрешается использовать только в том случае, если они встречаются внутри псевдонима:
Приложение 3
ФОРМАТ ПОДРАЗДЕЛЕНИЯ ОРГАНИЗАЦИИ ВЛАДЕЛЬЦА СКП
1. Подразделение организации владельца СКП записывается в атрибут OU (OID.2.5.4.11) поля DN субъекта СКП.
2. Длина текста не более 64 символов.
3. Каждое слово в тексте должно быть отделено 1 пробелом.
4. Не разрешается использовать пробел в начале и в конце текста.
5. Разрешается использовать только 1 атрибут OU в DN субъекта.
Разрешается использование символов из набора (Приложение 10). При этом следующие символы разрешается использовать только в том случае, если они встречаются внутри официального названия подразделения организации:
ФОРМАТ АДРЕСА ЭЛЕКТРОННОЙ ПОЧТЫ ВЛАДЕЛЬЦА СКП
1. Адрес электронной почты организации владельца СКП записывается в атрибут E (OID.1.2.840.113549.1.9.1) поля DN субъекта СКП.
2. Длина текста не более 255 символов.
3. Не разрешается использовать пробел в начале и в конце текста.
4. Разрешается использование символов из набора, определенного в RFC 822.
5. Разрешается использовать только 1 атрибут E в DN субъекта, в котором разрешается указывать только 1 адрес электронной почты.
Приложение 5
ФОРМАТ НАЗВАНИЯ ОРГАНИЗАЦИИ ВЛАДЕЛЬЦА СКП
1. Название организации владельца СКП записывается в атрибут O (OID.2.5.4.10) поля DN субъекта СКП.
2. Длина текста не более 64 символов.
3. Каждое слово в тексте должно быть отделено 1 пробелом.
4. Не разрешается использовать пробел в начале и в конце текста.
5. Разрешается использовать только 1 атрибут O в DN субъекта.
Разрешается использование символов из набора (Приложение 10). При этом следующие символы разрешается использовать только в том случае, если они встречаются внутри официального названия организации:
ФОРМАТ НАЗВАНИЯ ГОРОДА ИЛИ НАСЕЛЕННОГО ПУНКТА
1. Названия города или населенного пункта, где зарегистрирована организация владельца СКП, записывается в атрибут L (OID.2.5.4.7) поля DN субъекта СКП.
2. Длина текста не более 128 символов.
3. Каждое слово в тексте должно быть отделено 1 пробелом.
4. Не разрешается использовать пробел в начале и в конце текста.
5. Разрешается использовать только 1 атрибут L в DN субъекта.
Разрешается использование символов из набора (Приложение 10). При этом следующие символы разрешается использовать только в том случае, если они встречаются внутри официального названия города или населенного пункта:
ФОРМАТ НАЗВАНИЯ РЕГИОНА
1. Название региона, где зарегистрирован ЮЛ или ИП владельца СКП, записывается в атрибут S (OID.2.5.4.8) поля DN субъекта СКП.
2. Длина текста не более 128 символов. Формат:
- первое слово - номер региона (Таблица 1), 2 цифры, лидирующий ноль указывать обязательно;
- 1 пробел;
- остальной текст - название региона с заглавной буквы (Таблица 1).
3. Каждое слово в тексте должно быть отделено 1 пробелом.
4. Не разрешается использовать пробел в начале и в конце текста.
5. Разрешается использовать только 1 атрибут S в DN субъекта.
Разрешается использование символов из набора (Приложение 10).
Таблица 1
Справочник кодов регионов
ФОРМАТ ИНН ЮЛ ИЛИ ИП
1. Текст длиной 10 цифр для ЮЛ или 12 цифр для ИП и ФЛ.
2. Разрешается использовать только 1 ИНН.
3. Не разрешается использовать пробел в начале и в конце текста.
4. Разрешается использование символов из набора:
1234567890.
Примечание: Использование ИНН, которые не проходят проверку корректности на контрольный разряд, запрещается!
Приложение 9
ФОРМАТ ДОЛЖНОСТИ ВЛАДЕЛЬЦА СКП
1. Должность владельца СКП записывается в атрибут T (OID.2.5.4.12) поля DN субъекта СКП.
2. Длина текста не более 64 символов.
3. Каждое слово в тексте должно быть отделено 1 пробелом.
4. Не разрешается использовать пробел в начале и в конце текста.
5. Разрешается использовать только 1 атрибут T в DN субъекта.
Разрешается использование символов из набора (Приложение 10). При этом следующие символы разрешается использовать только в том случае, если они встречаются внутри официального названия должности владельца СКП:
НАБОР РАЗРЕШЕННЫХ СИМВОЛОВ В СКП
В СКП любой используемый текст должен быть представлен в формате UNICODE, где каждый символ кодируется двумя байтами (16 бит). Для непосредственной записи в СКП текст должен быть закодирован по стандарту UTF-8 (RFC 3629).
При наборе текста для СКП разрешается использовать только символы, UNICODE коды которых приведенные в табл. 2.
При извлечении и декодировании текста из СКП для дальнейшей его обработки в программном обеспечении (в том числе и в ПО СИОЭД) код каждого символа должен быть дополнительно приведен к однобайтовому коду (8 бит) в кодовой странице Windows-1251, в соответствии с кодами в табл. 2.
Символы, UNICODE коды которых не соответствуют табл. 2, использовать не разрешается.
Таблица 2
Набор разрешенных символов для текстов в СКП
(все коды даны в шестнадцатеричной системе счисления)
СТРУКТУРА ЕДИНОГО OID
1.2.643.3.<Координирующая организация>.<Эмитент1>. <эмитент2>.<Роль владельца СКП в информационных системах ФНС России (НП, НО, уполномоченный представитель НП, СпецОператор и т.д.)>.<Квалификация подписи (директор, бухгалтер, инспектор НО и т.д.)>.<Пользователь сервисов системы>.<Другие назначения1>.<другие назначения2>
N арки
1. - 4. зафиксировано 1.2.643.3
5. Координирующая организация - ФНС или Организатор Сети ДУЦ
6. Эмитент1 - ДУЦ. Содержит идентификатор ДУЦ, формируемый как 1000+Nпаспорта ДУЦ. УЦ ГНИВЦ ФНС России имеет идентификатор 1000
7. эмитент2 - УЦ, подчиненный ДУЦ
8. Роль владельца СКП в информационных системах ФНС - НП, инспектор НО, уполномоченный представитель НП, ИРУЦ, СОЭД, САОЭД, СпецОператор и т.д.
9. Квалификация подписи - 1-я подпись (директор, заместитель директора и т.д.), 2-я подпись (главный бухгалтер, бухгалтер и т.д.), 1-я и 2-я подпись, право подписи отсутствует - только шифровать и/или отправка, квалификация подписи не установлена и т.д.
10. Пользователь сервисов системы - сервис ИОН on-line (да или нет), др. сервисы
11. Другие назначения1 - зарезервировано
12. другие назначения2 - зарезервировано
Если в арке N 6 стоит число меньше 1000, то эта арка - управляющая, она содержит назначение данных, которые размещены в следующей арке (N 7), если в арке N 7 число меньше 1000, то арка - управляющая и содержит тип данных, которые размещены в следующей арке (N 8) и т.д. В случае с управляющими арками приведенная в начале приложения схема OID применяться не может.
Если арка N 6 содержит единицу, то арка - управляющая, указывает на то, что в следующей арке будет указан OID поля сертификата ключа подписи.
Примеры использования шестой арки:
1.2.643.3.xxx.1001 - показывает, что OID используется ДУЦ с паспортом N 1.
1.2.643.3.xxx.1.1 - показывает, что это OID поля IN N (пп. 7.2).