ИПС "Әділет"

Unofficial translation

In accordance with subparagraph 13-3) of paragraph 1 of Article 5 of the Law of the Republic of Kazakhstan dated January 7, 2003 "On Electronic Document and Electronic Digital Signature" I HEREBY ORDER:

1. To approve the attached Rules for the creation, use, and storage of private keys of electronic digital signature in the certification center.

2. The Committee for Public Services of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan, in accordance with the established legislative procedure, shall ensure:

1) state registration of this Order with the Ministry of Justice of the Republic of Kazakhstan;

2) posting this Order on the Internet resource of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan after its official publication;

3) within ten working days after the state registration of this Order with the Ministry of Justice of the Republic of Kazakhstan, submission to the Legal Department of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan the information on the implementation of the measures provided for in subparagraphs 1) and 2) of this paragraph.

3. Control over the implementation of this Order shall be entrusted to the supervising Vice-Minister of Digital Development, Innovation, and Aerospace Industry of the Republic of Kazakhstan.

4. This Order shall come into effect upon the expiration of ten calendar days after the day of its first official publication.

Minister of Digital Development
Innovation and Aerospace
Industry of the Republic of Kazakhstan

B. Mussin

"AGREED"
Ministry of Trade and Integration of the
Republic of Kazakhstan

"AGREED"
National Security Committee of the
Republic of Kazakhstan

Approved
by Order of the Minister of Digital
Development, Innovation and
Aerospace Industry of the
Republic of Kazakhstan
dated October 27, 2020
№ 405/НҚ

Rules for creation, use, and storage of private keys of electronic digital signature in the certification center Chapter 1. General Provisions

1. These Rules for the creation, use and storage of private keys of an electronic digital signature in a certification centre (hereinafter referred to as the Rules) have been developed in accordance with the Law of the Republic of Kazakhstan “On Electronic Documents and Electronic Digital Signatures” (hereinafter referred to as the Law) and shall determine the procedure for creation, use, and storing private keys of electronic digital signatures in cloud services.

Footnote. Paragraph 1 – as amended by the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 17.03.2023 № 95/НҚ (shall come into effect ten calendar days after the day of its first official publication).

2. The following concepts shall be applied in these Rules:

1) biometric authentication – a set of measures that identify a person based on physiological and immutable biological characteristics;

2) blockchain - information and communication technology that ensures the immutability of information in a distributed data platform based on a chain of interconnected data blocks, specified integrity confirmation algorithms and encryption tools;

3) multi-factor authentication – a method of verifying user authenticity using a combination of various parameters, including generating and entering passwords or authentication features (digital certificates, tokens, smart cards, one-time password generators and biometric identification tools);

4) certification centre (hereinafter referred to as CA) - a legal entity that certifies the correspondence of the public key of an electronic digital signature to the private key of an electronic digital signature, as well as confirming the authenticity of the registration certificate;

5) owner of the registration certificate (hereinafter referred to as the Owner) - an individual or legal entity in whose name the registration certificate was issued, who legally owns the private key corresponding to the public key specified in the registration certificate;

6) electronic digital signature (hereinafter referred to as EDS) – a set of electronic digital symbols created through an electronic digital signature and confirming the authenticity of the electronic document, its ownership and immutability of content;

7) EDS public key - a sequence of electronic digital symbols, accessible to any person and intended to confirm the authenticity of an electronic digital signature in an electronic document;

8) EDS private key - a sequence of electronic digital symbols intended to create an electronic digital signature using electronic digital signature tools;

9) electronic digital signature tools - a set of software and hardware used to create and verify the authenticity of an electronic digital signature;

10) cloud digital signature – a service of a certification centre that allows the creation, use, storing and deletion of private keys of an electronic digital signature in the HSM of a certification centre, where access to the private key is carried out by the owner remotely through at least two authentication factors, one of which is biometric;

11) hash – the transformation of an array of input data of arbitrary length into a bit side of a fixed length;

12) hardware cryptographic module (Hardware Security Module) (hereinafter referred to as HSM) - a hardware cryptographic module designed to encrypt information and manage public and private digital signature keys.

Footnote. Paragraph 2 – as amended by the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 17.03.2023 № 95/НҚ (shall come into effect ten calendar days after the day of its first official publication).

Chapter 2. The procedure for creation private EDS keys in the certification center

3. Private EDS keys shall be created by the CC:

1) on the carrier of the owner's key information, which shall be transferred to the owner;

2) in the cloud EDS.

4. Private EDS keys of cloud EDS shall be generated strictly within HSM. The private key shall not be retrieved in clear text from the HSM.

Therewith the HSM shall:

1) correspond to at least the third level of security in accordance with the requirements established by ST RK 1073-2007 “Means of cryptographic information protection. General technical requirements";

2) be designed with physical perimeter security (anti-tamper security), using sensors to detect tampering and then remove key information required by the HSM.

3) comply with the standards of protection efficiency and methods for assessing the security of information and technical means in accordance with the requirements of the current legislation of the Republic of Kazakhstan.

5. Archiving of key information from HSM shall be possible only in encrypted form and only with the division of the encryption key according to the M out of N scheme (at least 3 out of 5). Encryption keys according to the M of N scheme shall be stored on secured tokens. For state CCs, N of tokens shall be permanently stored in the authorized body in the field of informatization, in the national security bodies, and at the CC. Protected tokens shall be used only when restoring an archive to a backup HSM.

6. Before the creation of a private EDS key and issuing an EDS registration certificate, the owner shall grant consent to the collection and processing of personal data.

The owner shall be authenticated:

1) remotely, using multi-factor authentication, one of the methods shall be biometric authentication;

2) at the registration center of the CC using biometric authentication, if necessary, having passed the procedure for collecting biometric data, the CC shall provide storage of biometric data.

The owner shall grant consent to store the private EDS key in the CC cloud EDS.

7. After creation, the private EDS key shall be saved in HSM in encrypted form using the GOST 28147-89 standard. In the function of the secret values, the password shall be used, set by the owner, which shall not be stored in the CC. The CC, to verify the password from the owner's private key, shall store the password hash in the HSM.

Chapter 3. The procedure for using private EDS keys stored in the certification center

8. When using private EDS keys stored in the CC, the owner shall undergo multi-factor authentication, one of the methods shall be biometric authentication.

9. Signing of electronic documents shall be carried out in the HSM memory by transferring the signed file or its hash to the HSM.

10. When the owner is authenticated in the CC, the password shall be transferred from the owner (browser, mobile application) to the HSM in encrypted form, while the password is encrypted on the owner's side, in a personal computer or smartphone.

11. Password recovery from the private EDS key in the cloud EDS shall not be performed.

12. The CC shall provide the owner of the cloud EDS private key with access to information on all signed electronic documents through the CC's account. The storage period for information on all signed electronic documents shall be at least one year after the expiration of the owner's registration certificate.

13. In case of revealing the fact of comprometation of the private keys of the electronic signature of the owners of registration certificates, the CC shall immediately publish information on this fact and the measures taken to minimize the damage caused on its Internet resource.

14. CA shall provide logging of the following events:

1) generating a private EDS key for a cloud EDS;

2) use of the private EDS key of the cloud EDS;

3) deletion (erasure) of the private EDS key of the cloud EDS.

The storage period for the work protocols shall be one year from the date of the expiration of the registration certificate.

When logging actions, the following information shall be recorded:

1) owner ID;

2) date, time;

3) event.

15. Event logs shall be converted daily into a hash and the hash data shall be stored in the blockchain event chain. The blockchain used for this shall be available on the Internet.

Chapter 4. The procedure for storing private EDS keys in the certification center

16. The CC shall ensure the protection of the EDS private keys in the CC.

17. The storage period for private EDS keys in the cloud EDS shall be described in the Rules for the application of CA registration certificates approved by the CC in accordance with subparagraph 2-1) of paragraph 1 of Article 21 of the Law.

18. According to paragraph 92 of the Uniform requirements in the field of information and communication technologies and information security, approved by the Government of the Republic of Kazakhstan dated December 20, 2016 № 832 (hereinafter referred to as ET), the cloud EDS software and hardware shall be located on the territory of the Republic of Kazakhstan.

19. Protection of private keys shall be provided by a complex of organizational, software, and technical measures in accordance with the requirements described in ET.

20. The CA shall ensure that it is not possible to sign electronic documents using private EDS keys of a cloud EDS without multi-factor authentication.

Footnote. Paragraph 20 – as amended by the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 17.03.2023 № 95/НҚ (shall come into effect ten calendar days after the day of its first official publication).

21. Fulfillment of the requirements of these Rules shall be a prerequisite for the accreditation of the CC in accordance with the Rules for the accreditation of certification centers approved by Order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated June 1, 2020 № 224/NҚ (registered in the State Registration Register of Regulatory Legal Acts under № 20815).

В соответствии с подпунктом 13-3) пункта 1 статьи 5 Закона Республики Казахстан от 7 января 2003 года "Об электронном документе и электронной цифровой подписи" ПРИКАЗЫВАЮ:

1. Утвердить прилагаемые Правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре.

2. Комитету государственных услуг Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательном порядке обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Министр цифрового развития,
инноваций и аэрокосмической
промышленности Республики Казахстан

Б. Мусин

"СОГЛАСОВАН"
Министерство торговли и интеграции
Республики Казахстан

"СОГЛАСОВАН"
Комитет национальной безопасности
Республики Казахстан


	Утверждены приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 27 октября 2020 года № 405/НҚ

Правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре

Глава 1. Общие положения

1. Настоящие Правила создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре (далее- Правила) разработаны в соответствии с Законом Республики Казахстан "Об электронном документе и электронной цифровой подписи" (далее - Закон) и определяют порядок создания, использования, и хранения закрытых ключей электронной цифровой подписи в облачных сервисах.

Сноска. Пункт 1 – в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 17.03.2023 № 95/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

2. В настоящих Правилах применяются следующие понятия:

1) биометрическая аутентификация – комплекс мер, идентифицирующих личность на основании физиологических и неизменных биологических признаков;

2) блокчейн - информационно-коммуникационная технология, обеспечивающая неизменность информации в распределенной платформе данных на базе цепочки взаимосвязанных блоков данных, заданных алгоритмов подтверждения целостности и средств шифрования;

3) многофакторная аутентификация – способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации);

4) удостоверяющий центр (далее - УЦ) - юридическое лицо, удостоверяющее соответствие открытого ключа электронной цифровой подписи закрытому ключу электронной цифровой подписи, а также подтверждающее достоверность регистрационного свидетельства;

5) владелец регистрационного свидетельства (далее - владелец) – физическое или юридическое лицо, на имя которого выдано регистрационное свидетельство, правомерно владеющее закрытым ключом, соответствующим открытому ключу, указанному в регистрационном свидетельстве;

6) электронная цифровая подпись (далее - ЭЦП) – набор электронных цифровых символов, созданный средствами электронной цифровой подписи и подтверждающий достоверность электронного документа, его принадлежность и неизменность содержания;

7) открытый ключ ЭЦП - последовательность электронных цифровых символов, доступная любому лицу и предназначенная для подтверждения подлинности электронной цифровой подписи в электронном документе;

8) закрытый ключ ЭЦП - последовательность электронных цифровых символов, предназначенная для создания электронной цифровой подписи с использованием средств электронной цифровой подписи;

9) средства электронной цифровой подписи - совокупность программных и технических средств, используемых для создания и проверки подлинности электронной цифровой подписи;

10) облачная ЭЦП – сервис удостоверяющего центра, позволяющий создавать, использовать, хранить и удалять закрытые ключи электронной цифровой подписи в HSM удостоверяющего центра, где доступ к закрытому ключу осуществляется владельцем удалҰнно посредством не менее двух факторов аутентификации, одним из которых является биометрическая;

11) хэш – преобразование массива входных данных произвольной длины в битовую сторону фиксированной длины;

12) аппаратный криптографический модуль (Hardware Security Module) (далее - HSM) - аппаратный криптографический модуль предназначенный для шифрования информации и управления открытыми и закрытыми ключами ЭЦП.

Сноска. Пункт 2 – в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 17.03.2023 № 95/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 2. Порядок создания закрытых ключей ЭЦП в удостоверяющем центре

3. Закрытые ключи ЭЦП создаются УЦ:

1) на носителе ключевой информации владельца, которая передается владельцу;

2) в облачной ЭЦП.

4. Закрытые ключи ЭЦП облачной ЭЦП генерируются строго внутри HSM. Закрытый ключ не извлекается из HSM в открытом виде.

При этом HSM:

1) соответствует не ниже третьего уровня безопасности в соответствии с требованиями, установленными СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования";

2) спроектирован с физической защитой периметра (защита от вскрытия корпуса), использующей датчики для определения факта вскрытия корпуса и последующего удаления ключевой информации, необходимой для HSM.

3) соответствует нормам эффективности защиты и методикам оценки защищенности информации и технических средств согласно требованиям действующего законодательства Республики Казахстан.

5. Архивирование ключевой информации с HSM возможно только в зашифрованном виде и только с разделением ключа шифрования по схеме М из N (не менее 3 из 5). Ключи шифрования по схеме М из N хранятся на защищенных токенах. Для государственных УЦ N токенов постоянно хранится в уполномоченном органе в сфере информатизации, в органах национальной безопасности и у УЦ. Защищенные токены используются только при восстановлении архива на резервном HSM.

6. Перед созданием закрытого ключа ЭЦП и выпуском регистрационного свидетельства ЭЦП владелец дает согласие на сбор и обработку персональных данных.

Владелец проходит аутентификацию:

1) удаленно, с использованием многофакторной аутентификации, одним из методов является биометрическая аутентификация;

2) в центре регистрации УЦ с использованием биометрической аутентификации, при необходимости пройдя процедуру сбора биометрических данных, УЦ обеспечивает хранение биометрических данных.

Владелец дает согласие на хранение закрытого ключа ЭЦП в облачной ЭЦП УЦ.

7. После создания, закрытый ключ ЭЦП сохраняется в HSM в зашифрованном виде с использованием стандарта ГОСТ 28147-89. В качестве секретных значений участвуют пароль, заданный владельцем который в УЦ не хранится. УЦ, для проверки пароля от закрытого ключа владельца, хранит хэш пароля в HSM.

Глава 3. Порядок использования закрытых ключей ЭЦП, хранящихся в удостоверяющем центре

8. При использовании закрытых ключей ЭЦП, хранящихся в УЦ, владелец проходит многофакторную аутентификацию, одним из методов является биометрическая аутентификация.

9. Подписание электронных документов осуществляется в памяти HSM путем передачи подписываемого файла или его хэш в HSM.

10. При аутентификации владельца в УЦ, передача пароля от владельца (браузер, мобильное приложение) в HSM производится в зашифрованном виде, при этом шифрование пароля производится на стороне владельца, в персональном компьютере или смартфоне.

11. Восстановление пароля от закрытого ключа ЭЦП в облачной ЭЦП не осуществляется.

12. УЦ предоставляет владельцу закрытого ключа облачной ЭЦП доступ к информации о всех подписанных электронных документах через личный кабинет УЦ. Срок хранения информации обо всех подписанных электронных документах составляет не менее одного года после истечения срока действия регистрационного свидетельства владельца.

13. В случае выявления факта компрометации закрытых ключей электронной подписи владельцев регистрационных свидетельств, УЦ незамедлительно публикует на своем интернет-ресурсе информацию о данном факте и принятых мерах по минимизации нанесенного ущерба.

14. УЦ обеспечивает протоколирование следующих событий:

1) формирование закрытого ключа ЭЦП облачной ЭЦП;

2) использование закрытого ключа ЭЦП облачной ЭЦП;

3) удаление (стирание) закрытого ключа ЭЦП облачной ЭЦП.

Срок хранения протоколов работы составляет один год с даты истечения срока действия регистрационного свидетельства.

При протоколировании действий записывается следующая информация:

1) идентификатор владельца;

2) дата, время;

3) событие.

15. Протоколы событий ежедневно преобразуется в хэш, и данные хэш хранятся в цепочке событий блокчейн. Применяемая для этого блокчейн доступна в Интернет.

Глава 4. Порядок хранения закрытых ключей ЭЦП в удостоверяющем центре

16. УЦ обеспечивает защиту закрытых ключей ЭЦП в УЦ.

17. Срок хранения закрытых ключей ЭЦП в облачной ЭЦП описывается в правилах применения регистрационных свидетельств УЦ утверждаемых УЦ в соответствии подпункта 2-1) пункта 1 статьи 21 Закона.

18. Согласно пункта 92 Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 (далее - ЕТ), программно-аппаратное обеспечение облачной ЭЦП размещается на территории Республики Казахстан.

19. Защита закрытых ключей обеспечивается комплексом организационных, программных и технических мероприятий в соответствии с требованиями описанные в ЕТ.

20. УЦ обеспечивает отсутствие возможности подписания электронных документов с использованием закрытых ключей ЭЦП облачной ЭЦП без многофакторной аутентификации.

Сноска. Пункт 20 – в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 17.03.2023 № 95/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

21. Выполнение требований настоящих Правил является необходимым условием при аккредитации УЦ в соответствии с Правилами проведения аккредитации удостоверяющих центров, утвержденных приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 1 июня 2020 года № 224/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 20815).

On approval of the Rules for creation, use, and storage of electronic digital signature private keys in the certification center