.png)
АДМIНIСТРАЦIЯ ДЕРЖАВНОЇ СЛУЖБИ СПЕЦIАЛЬНОГО ЗВ'ЯЗКУ ТА ЗАХИСТУ IНФОРМАЦIЇ УКРАЇНИ
НАКАЗ
| вiд 12 червня 2007 року | N 114 |
|---|
Про затвердження Iнструкцiї про порядок
постачання i використання ключiв до засобiв
криптографiчного захисту iнформацiї
| Зареєстровано в Мiнiстерствi юстицiї України 25 червня 2007 р. за N 729/13996 |
Вiдповiдно до Законiв України "Про iнформацiю", "Про
Державну службу спецiального зв'язку та захисту
iнформацiї України", "Про
електронний цифровий пiдпис", "Про
захист iнформацiї в
iнформацiйно-телекомунiкацiйних системах",
Положення про Адмiнiстрацiю Державної служби
спецiального зв'язку та захисту iнформацiї,
затвердженого постановою Кабiнету Мiнiстрiв
України вiд 24.06.2006 N 868, наказую:
1. Затвердити Iнструкцiю про порядок постачання i використання ключiв до засобiв криптографiчного захисту iнформацiї, що додається.
2. Начальнику Департаменту регулювання дiяльностi у сферi криптографiчного захисту iнформацiї Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України забезпечити подання цього наказу в установленому порядку на державну реєстрацiю до Мiнiстерства юстицiї України.
3. Контроль за виконанням цього наказу покласти на першого заступника Голови Державної служби спецiального зв'язку та захисту iнформацiї України.
| Голова Служби | Ю. Б. Чеботаренко |
| ПОГОДЖЕНО: | |
| Заступник Голови Державного комiтету України з питань технiчного регулювання та споживчої полiтики | С. Т. Черепков |
| ЗАТВЕРДЖЕНО наказом Адмiнiстрацiї Державної служби спецiального зв'язку та захисту iнформацiї України вiд 12 червня 2007 р. N 114 |
|
| Зареєстровано в Мiнiстерствi юстицiї України 25 червня 2007 р. за N 729/13996 |
IНСТРУКЦIЯ
про порядок постачання i використання ключiв до
засобiв криптографiчного захисту iнформацiї
1. Загальнi положення
1.1. Iнструкцiя про порядок постачання i використання ключiв до засобiв криптографiчного захисту iнформацiї (далi - Iнструкцiя) розроблена вiдповiдно до Законiв України "Про iнформацiю", "Про Державну службу спецiального зв'язку та захисту iнформацiї України", "Про електронний цифровий пiдпис", "Про захист iнформацiї в iнформацiйно-телекомунiкацiйних системах", Положення про Адмiнiстрацiю Державної служби спецiального зв'язку та захисту iнформацiї, затвердженого постановою Кабiнету Мiнiстрiв України вiд 24.06.2006 N 868.
1.2. Iнструкцiя встановлює порядок постачання та використання ключiв до засобiв криптографiчного захисту iнформацiї (далi - КЗI), якi реалiзують криптографiчний алгоритм, визначений ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования" (далi - ГОСТ 28147-89).
1.3. Вимоги цiєї Iнструкцiї обов'язковi для виконання органами державної влади та органами мiсцевого самоврядування, пiдприємствами, установами та органiзацiями всiх форм власностi, якi здiйснюють розроблення, виробництво, використання, експлуатацiю, сертифiкацiйнi випробування, тематичнi дослiдження, експертизу, увезення, вивезення криптосистем i засобiв КЗI, що реалiзують криптографiчний алгоритм, визначений ГОСТ 28147-89, надають послуги в галузi КЗI з використанням зазначених засобiв КЗI (у тому числi послуги електронного цифрового пiдпису), здiйснюють їх постачання або торгiвлю ними.
1.4. Дiя цiєї Iнструкцiї не розповсюджується на дiяльнiсть, пов'язану з постачанням i використанням ключiв до засобiв КЗI, що становить державну таємницю.
1.5. Використанi в цiй Iнструкцiї термiни мають такi значення:
довгостроковий ключовий елемент (далi - ДКЕ) - ключ, що визначає заповнення таблиць блока пiдстановки алгоритму криптографiчного перетворення, визначеного ГОСТ 28147-89;
замовник - юридична особа будь-якої форми власностi, яка замовляє встановленим порядком ключi до засобiв КЗI, у тому числi засобiв електронного цифрового пiдпису, у яких реалiзується криптографiчний алгоритм, визначений ГОСТ 28147-89. Як замовники можуть виступати розробники, виробники, постачальники та користувачi засобами КЗI;
методика генерацiї ключiв - опис послiдовностi операцiй (алгоритму), що виконуються у процесi генерацiї ключiв;
методика розподiлу ключiв - опис послiдовностi операцiй (алгоритму), що виконуються у мережi захищеного iнформацiйного обмiну з метою формування (отримання) необхiдних ключiв;
носiй ключової iнформацiї (далi - НКI) - матерiальний носiй iнформацiї, що призначений для запису та збереження ключiв;
постачальник - пiдприємство, установа, органiзацiя або пiдроздiл Державної служби спецiального зв'язку та захисту iнформацiї України (далi - Держспецзв'язку), якi визначаються Держспецзв'язку для здiйснення постачання ключових документiв до засобiв КЗI;
разовий (сеансовий) ключ (далi - РК) - ключ, який визначає порядок заповнення ключового запам'ятовувального пристрою засобу КЗI, що реалiзує алгоритм криптографiчного перетворення, визначений ГОСТ 28147-89.
Iншi термiни застосовуються у значеннях, наведених у нормативно-правових актах з питань криптографiчного захисту iнформацiї, електронного цифрового пiдпису, а також ГОСТ 28147-89.
2. Порядок використання ключiв
2.1. РК можуть бути отриманi вiд постачальника або генеруватися замовником iз застосуванням засобу КЗI, який має сертифiкат вiдповiдностi або позитивний експертний висновок Адмiнiстрацiї Держспецзв'язку.
2.2. ДКЕ можуть бути отриманi вiд постачальника або обираються з перелiку ДКЕ, якi рекомендуються до застосування у засобах КЗI, який наведений в додатку 1 до цiєї Iнструкцiї.
2.3. ДКЕ можуть обиратися з перелiку, наведеного в додатку 1 до цiєї Iнструкцiї, у разi:
використання у генераторах випадкових послiдовностей згiдно з додатком А до ДСТУ 4145-2002 "Iнформацiйнi технологiї. Криптографiчний захист iнформацiї. Цифровий пiдпис, що ґрунтується на елiптичних кривих. Формування та перевiряння";
обчислення ґешфункцiї згiдно з ГОСТ 34.311-95 "Информационная технология. Криптографическая защита информации. Функция хеширования";
криптографiчного захисту конфiденцiйної iнформацiї (крiм iнформацiї з обмеженим доступом, вимога щодо захисту якої встановлена Законом) з метою забезпечення її конфiденцiйностi та iмiтозахисту при зберiганнi та (або) обмiнi iнформацiєю каналами (лiнiями) зв'язку;
використання у засобах КЗI категорiї "Р" (крiм засобiв, призначених для криптографiчного захисту конфiденцiйної iнформацiї, що є власнiстю держави).
2.4. У випадках, передбачених пунктом 2.3 цiєї Iнструкцiї, ДКЕ можуть також обиратися з посилених сертифiкатiв вiдкритого ключа електронного цифрового пiдпису.
2.5. ДКЕ для криптографiчного захисту конфiденцiйної iнформацiї, що є власнiстю держави, постачаються встановленим порядком.
При цьому генерацiя ДКЕ та їх запис на НКI здiйснюються постачальником.
2.6. Генерацiя РК у засобах КЗI повинна здiйснюватися вiдповiдно до нацiональних стандартiв або за методикою генерацiї ключiв, яка погоджується встановленим порядком на пiдставi результатiв державної експертизи у сферi КЗI.
2.7. Ключi можуть розподiлятися мiж засобами КЗI каналами (лiнiями) зв'язку в захищеному виглядi. Розподiл ключiв повинен здiйснюватися вiдповiдно до нацiональних стандартiв або за методикою розподiлу ключiв, погодженою встановленим порядком на пiдставi результатiв державної експертизи у сферi КЗI.
2.8. Дозволяється методику генерацiї ключiв та методику розподiлу ключiв викладати в одному документi - методицi генерацiї та розподiлу ключiв.
2.9. Термiн дiї ДКЕ, наведених у додатку 1 до цiєї Iнструкцiї, а також термiн дiї РК, генерацiя яких здiйснена вiдповiдно до нацiональних стандартiв, визначається замовником.
В iнших випадках термiн дiї ДКЕ та РК визначається за результатами сертифiкацiї або державної експертизи у сферi КЗI конкретного засобу КЗI, до якого вони призначенi.
2.10. Необхiднiсть обмеження доступу до ДКЕ, що призначенi для використання у випадках, якi передбаченi пунктом 2.3 цiєї Iнструкцiї, у тому числi отриманих вiд постачальника, визначається замовником.
В iнших випадках ступiнь обмеження доступу до ДКЕ, а також ступiнь обмеження доступу до РК повинен вiдповiдати ступеню обмеження доступу, установленому для iнформацiї, криптографiчнi перетворення якої здiйснюються iз застосуванням цих ключiв.
2.11. Умови зберiгання, використання, формування та обмiну ключами повиннi унеможливлювати їх несанкцiоновану модифiкацiю або пiдмiну.
Для ключiв, щодо яких установлена необхiднiсть обмеження доступу, умови зберiгання, використання та обмiну ключами додатково повиннi унеможливлювати ознайомлення з їх змiстом стороннiх осiб.
2.12. Порядок використання ключiв та поводження з НКI, термiн дiї та ступiнь обмеження доступу вказуються в експлуатацiйнiй документацiї на засоби КЗI, для яких призначенi НКI.
3. Порядок постачання ключiв
3.1. Постачання ключiв здiйснюється на пiдставi укладених договорiв мiж постачальником та замовником.
3.2. Ключi постачаються на НКI у виглядi ключових документiв. Ключовий документ мiстить один НКI, який вмiщено в спецiальну захисну упаковку, на яку нанесено вiдповiдне маркування.
Типи рекомендованих НКI та форматiв ключiв, що розмiщуються на них, наведенi в додатку 2 до цiєї Iнструкцiї.
3.3. Постачання ключiв здiйснюється у такому порядку:
подача замовником заявки;
розгляд заявки та прийняття вiдповiдного рiшення щодо постачання ключiв;
укладання договору постачання ключових документiв з постачальником;
здiйснення постачання ключових документiв замовнику;
контроль за дотриманням порядку постачання та використання ключiв.
3.4. Подача замовником заявки
3.4.1. У разi необхiдностi одержання замовником ключiв вiн направляє до Адмiнiстрацiї Держспецзв'язку заявку, у якiй вказуються:
мiсцезнаходження та iншi реквiзити замовника;
вiдомостi щодо наявностi лiцензiї на право провадження господарської дiяльностi у сферi КЗI (серiя, номер лiцензiї, термiн дiї, види робiт, особливi умови);
призначення ключiв (у тому числi, у яких засобах КЗI будуть використовуватися ключi, наявнiсть сертифiката вiдповiдностi або експертного висновку на зазначенi засоби КЗI, криптосистеми тощо);
тип, необхiдна кiлькiсть комплектiв (серiй) НКI та кiлькiсть примiрникiв у кожному комплектi (серiї);
ступiнь обмеження доступу до ключiв;
гарантiї оплати робiт за договором постачання ключових документiв.
3.4.2. У разi, коли тип НКI, структура та формат даних, що мiститься на ньому, не вiдповiдають вимогам, зазначеним у додатку 2 до цiєї Iнструкцiї, до заявки додаються матерiали, у яких викладаються:
опис зовнiшнього вигляду НКI (тип носiя, змiст та порядок маркування НКI, порядок розташування даних на НКI тощо);
повний та однозначний опис структури даних, що повиннi мiститися на НКI, у тому числi опис усiх елементiв даних та порядку їх розташування, спосiб нанесення iнформацiї, порядок застосування вiльних дiлянок, опис алгоритму або порядку формування службової iнформацiї, яка мiститься на НКI, особливостi розташування та змiсту даних у залежностi вiд серiї та номера примiрника у серiї тощо).
3.5. Розгляд заявки та прийняття вiдповiдного рiшення
3.5.1. Адмiнiстрацiя Держспецзв'язку розглядає заявку та приймає рiшення про можливiсть постачання чи вiдмову в постачаннi ключових документiв.
3.5.2. Про прийняте рiшення Адмiнiстрацiя Держспецзв'язку повiдомляє замовника в письмовому виглядi протягом 30 днiв з дня отримання заявки.
3.5.3. За умови позитивного рiшення щодо постачання ключових документiв Адмiнiстрацiя Держспецзв'язку повiдомляє замовника та передає матерiали постачальнику, який надсилає замовнику проект вiдповiдного договору.
3.5.4. У разi негативних результатiв розгляду заявки Адмiнiстрацiя Держспецзв'язку iнформує замовника про причини вiдмови в постачаннi ключових документiв.
3.6. Укладання договору постачання ключових документiв
3.6.1. Договiр постачання ключових документiв укладається за домовленiстю мiж постачальником та замовником.
3.6.2. Змiст договору постачання ключових документiв повинен вiдповiдати вимогам законодавства України.
Крiм того, у договорi постачання ключових документiв обов'язково вказуються:
порядок оплати, умови та термiни постачання ключових документiв;
порядок звiтностi та здiйснення контролю за використанням ключових документiв;
порядок використання та постачання ключових документiв iншим учасникам захищеного iнформацiйного обмiну або пiдроздiлам (фiлiям) замовника (за потреби у разi такого використання чи постачання).
3.7. Здiйснення постачання ключових документiв
3.7.1. Постачання ключових документiв здiйснюється вiдповiдно до договору постачання ключових документiв, який укладено мiж постачальником та замовником.
3.7.2. Про виконання договору постачання ключових документiв постачальник повiдомляє Адмiнiстрацiю Держспецзв'язку.
3.8. Замовник має право здiйснювати постачання ключових документiв, отриманих вiд постачальника, своїм структурним пiдроздiлам та взаємодiючим з ним юридичним та фiзичним особам у порядку, передбаченому договором, який укладається вiдповiдно до пункту 3.6 цiєї Iнструкцiї.
При цьому забороняється тиражувати отриманi вiд постачальника ключовi документи та копiювати ключi на iншi НКI, якщо це не визначено експлуатацiйною документацiєю на конкретний засiб КЗI.
| Начальник Департаменту регулювання дiяльностi у сферi криптографiчного захисту iнформацiї Адмiнiстрацiї Держспецзв'язку | В. П. Грєбнєв |
| ПОГОДЖЕНО: | |
| В. о. Голови Держпiдприємництва України | К. О. Ващенко |
| Додаток 1 до пункту 2.2 Iнструкцiї про порядок постачання i використання ключiв до засобiв криптографiчного захисту iнформацiї |
Перелiк ДКЕ,
якi рекомендуються до застосування у засобах КЗI
ДКЕ N 1
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | А | 9 | D | 6 | E | B | 4 | 5 | F | 1 | 3 | C | 7 | 0 | 8 | 2 |
| К2 | 8 | 0 | C | 4 | 9 | 6 | 7 | B | 2 | 3 | 1 | F | 5 | E | A | D |
| К3 | F | 6 | 5 | 8 | E | B | A | 4 | C | 0 | 3 | 7 | 2 | 9 | 1 | D |
| К4 | 3 | 8 | D | 9 | 6 | B | F | 0 | 2 | 5 | C | A | 4 | E | 1 | 7 |
| К5 | F | 8 | E | 9 | 7 | 2 | 0 | D | C | 6 | 1 | 5 | B | 4 | 3 | A |
| К6 | 2 | 8 | 9 | 7 | 5 | F | 0 | B | C | 1 | D | E | A | 3 | 6 | 4 |
| К7 | 3 | 8 | B | 5 | 6 | 4 | E | A | 2 | C | 1 | 7 | 9 | F | D | 0 |
| К8 | 1 | 2 | 3 | E | 6 | D | B | 8 | F | A | C | 5 | 7 | 9 | 0 | 4 |
ДКЕ N 2
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | E | 9 | 3 | 7 | F | 4 | C | B | 6 | A | D | 1 | 0 | 5 | 8 | 2 |
| К2 | A | D | C | 7 | 6 | E | 8 | 1 | F | 3 | B | 4 | 0 | 9 | 5 | 2 |
| К3 | 4 | B | 1 | F | 9 | 2 | E | C | 6 | A | 8 | 7 | 3 | 5 | 0 | D |
| К4 | 4 | 5 | 1 | C | 7 | E | 9 | 2 | A | F | B | D | 0 | 8 | 6 | 3 |
| К5 | C | B | 3 | 9 | F | 0 | 4 | 5 | 7 | 2 | E | D | 1 | A | 8 | 6 |
| К6 | 8 | 7 | 3 | A | 9 | 6 | E | 5 | D | 0 | 4 | C | 1 | 2 | F | B |
| К7 | F | 0 | E | 6 | 8 | D | 5 | 9 | A | 3 | 1 | C | 4 | B | 7 | 2 |
| К8 | 4 | 3 | E | D | 5 | 0 | 2 | B | 1 | A | 7 | 6 | 9 | F | 8 | C |
ДКЕ N 3
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | D | 9 | 1 | E | 7 | 2 | C | 5 | 4 | B | 6 | F | 3 | 8 | A | 0 |
| К2 | 7 | 8 | 6 | B | 0 | 3 | 4 | D | 9 | 5 | F | E | A | C | 2 | 1 |
| К3 | A | 5 | 3 | C | 9 | 8 | D | 6 | 4 | F | E | 0 | 2 | B | 1 | 7 |
| К4 | B | A | C | 1 | 5 | 6 | 9 | E | 2 | D | F | 7 | 0 | 4 | 3 | 8 |
| К5 | 5 | B | 3 | 0 | F | 9 | E | 4 | 1 | C | 8 | 6 | 2 | A | 7 | D |
| К6 | 4 | 3 | B | D | 1 | F | 8 | 2 | 7 | E | C | 9 | A | 0 | 6 | 5 |
| К7 | 3 | 7 | 8 | B | 1 | E | 5 | 0 | D | 4 | C | A | 2 | 9 | F | 6 |
| К8 | 6 | D | C | A | B | 7 | 9 | 3 | F | E | 1 | 2 | 0 | 8 | 4 | 5 |
ДКЕ N 4
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | 9 | C | 3 | D | 7 | 6 | E | 1 | A | 2 | 0 | 4 | 8 | F | 5 | B |
| К2 | A | 5 | B | E | 7 | 6 | 0 | C | 2 | 8 | F | 4 | D | 3 | 9 | 1 |
| К3 | 4 | C | 3 | 0 | D | 2 | E | B | 7 | F | 5 | 9 | 1 | 8 | A | 6 |
| К4 | 3 | 9 | 4 | 5 | E | 7 | 8 | 6 | D | 0 | 2 | F | B | C | A | 1 |
| К5 | 2 | 9 | C | F | D | B | 4 | 1 | 7 | 5 | 3 | E | 6 | 8 | A | 0 |
| К6 | E | 5 | D | B | 1 | 9 | 4 | 2 | F | 8 | 7 | 0 | 3 | C | A | 6 |
| К7 | E | 6 | 5 | A | 9 | D | 4 | 8 | B | C | 0 | 3 | 7 | 1 | F | 2 |
| К8 | 1 | 9 | C | B | 7 | 6 | 8 | 3 | 2 | F | E | 0 | 5 | A | 4 | D |
ДКЕ N 5
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | 3 | 4 | D | 8 | C | 7 | A | 2 | 0 | E | 9 | F | B | 1 | 5 | 6 |
| К2 | C | 7 | 6 | 9 | 3 | 8 | B | 5 | F | A | 0 | D | 4 | 2 | 1 | E |
| К3 | E | 4 | 8 | 7 | B | 3 | A | C | 1 | 2 | 6 | 9 | D | F | 0 | 5 |
| К4 | 3 | 9 | 6 | D | 8 | F | A | 2 | 7 | E | C | 0 | B | 4 | 1 | 5 |
| К5 | 5 | C | A | 7 | 2 | 1 | F | D | E | 3 | B | 4 | 0 | 8 | 9 | 6 |
| К6 | 1 | 8 | B | E | 7 | 4 | A | 0 | C | 3 | 5 | D | 9 | F | 6 | 2 |
| К7 | 9 | B | A | D | 5 | E | 2 | 3 | 0 | 6 | 4 | C | F | 1 | 7 | 8 |
| К8 | E | 9 | 1 | 8 | 5 | F | B | 0 | 6 | 2 | C | 7 | A | 4 | D | 3 |
ДКЕ N 6
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | F | C | 9 | 6 | E | 2 | 1 | B | 0 | D | 4 | A | 7 | 8 | 3 | 5 |
| К2 | E | C | 5 | 0 | 7 | 4 | A | 3 | 2 | 6 | 1 | D | 9 | B | F | 8 |
| К3 | 5 | 6 | D | 9 | B | E | A | 3 | F | 2 | 8 | 1 | 4 | 0 | 7 | C |
| К4 | 1 | F | 7 | 4 | 2 | E | C | 3 | 6 | B | 9 | 8 | 0 | 5 | A | D |
| К5 | F | 9 | E | 6 | D | 1 | 5 | 8 | 4 | 2 | 3 | C | A | B | 0 | 7 |
| К6 | B | 0 | D | 7 | C | E | 1 | 4 | 2 | 3 | 6 | 8 | A | 5 | F | 9 |
| К7 | 7 | E | F | 8 | D | 0 | B | 3 | A | 1 | 4 | 2 | 9 | C | 6 | 5 |
| К8 | 1 | 5 | E | B | 2 | C | 3 | 8 | A | 0 | 9 | 7 | F | 6 | 4 | D |
ДКЕ N 7
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | F | D | A | 5 | C | 0 | 1 | 6 | 9 | 2 | E | 7 | 3 | B | 4 | 8 |
| К2 | 2 | 5 | A | 0 | 6 | 9 | 1 | F | D | 4 | 7 | E | B | 3 | 8 | C |
| К3 | 3 | E | 4 | B | 5 | 9 | 1 | 2 | F | 6 | 8 | D | 7 | 0 | A | C |
| К4 | 4 | A | B | 9 | F | 2 | E | 5 | D | 1 | 3 | 6 | 0 | 7 | C | 8 |
| К5 | F | 6 | 5 | 8 | 9 | 7 | C | B | 0 | A | 3 | 1 | 2 | 4 | D | E |
| К6 | C | B | F | 4 | 5 | 1 | E | 9 | 0 | 8 | D | 2 | A | 7 | 3 | 6 |
| К7 | D | 2 | 4 | 8 | B | C | 1 | 3 | A | 5 | 9 | E | 7 | F | 0 | 6 |
| К8 | 1 | 5 | 0 | F | 6 | A | 3 | E | 7 | 2 | C | D | B | 8 | 9 | 4 |
ДКЕ N 8
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | E | 4 | B | 2 | 8 | 7 | 5 | C | 9 | D | 0 | 3 | 1 | F | 6 | A |
| К2 | 3 | E | C | A | 6 | 2 | D | 1 | 9 | 8 | 7 | 4 | 0 | F | 5 | B |
| К3 | 5 | 2 | 8 | 7 | 1 | F | E | 6 | 4 | D | B | 0 | A | 3 | C | 9 |
| К4 | C | A | 7 | D | E | 3 | 0 | 2 | 9 | 5 | 1 | 6 | B | 4 | F | 8 |
| К5 | 6 | 3 | F | 7 | 0 | 9 | A | 8 | B | C | 4 | 1 | 5 | 2 | D | E |
| К6 | 6 | D | F | 1 | 5 | 3 | 8 | 0 | B | A | E | 4 | 9 | C | 2 | 7 |
| К7 | 2 | F | C | 5 | B | 1 | 3 | E | 0 | 6 | D | A | 7 | 9 | 4 | 8 |
| К8 | 3 | 0 | 5 | C | 8 | F | D | E | B | 6 | 2 | 9 | 7 | 1 | 4 | A |
ДКЕ N 9
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | 9 | 0 | B | C | 2 | 4 | 3 | F | D | 6 | E | 1 | A | 7 | 5 | 8 |
| К2 | 3 | 5 | 0 | F | 8 | 7 | E | C | D | A | 1 | 6 | B | 2 | 4 | 9 |
| К3 | 8 | 4 | 5 | A | E | B | D | 6 | C | F | 7 | 9 | 3 | 1 | 2 | 0 |
| К4 | 5 | 4 | F | 0 | C | B | A | 9 | 1 | E | 8 | 6 | 3 | 2 | D | 7 |
| К5 | 7 | C | 3 | 0 | 6 | 8 | E | B | 1 | F | D | A | 9 | 5 | 2 | 4 |
| К6 | 7 | 4 | 3 | B | 6 | A | 8 | 1 | 9 | C | E | D | 0 | F | 2 | 5 |
| К7 | 7 | E | 9 | F | 1 | 4 | 8 | 3 | B | D | 0 | 2 | 6 | A | 5 | C |
| К8 | E | 2 | 8 | F | 3 | 0 | 7 | C | B | D | 1 | 5 | 6 | 4 | 9 | A |
ДКЕ N 10
| 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | |
| К1 | 8 | 4 | 6 | 9 | B | C | 1 | 2 | 3 | 7 | E | 0 | D | A | F | 5 |
| К2 | 7 | D | 1 | 8 | A | E | 4 | F | 9 | 0 | 6 | 3 | 2 | C | B | 5 |
| К3 | C | 8 | D | 1 | A | 2 | 9 | 6 | 3 | 4 | E | 7 | 5 | F | 0 | B |
| К4 | 2 | B | 3 | 4 | C | 7 | 9 | D | F | 8 | 5 | 0 | 1 | E | A | 6 |
| К5 | 8 | 3 | D | A | E | F | 5 | 1 | 4 | 7 | B | C | 2 | 0 | 6 | 9 |
| К6 | 4 | C | 9 | B | E | A | 7 | 6 | 3 | 5 | 0 | F | 1 | 2 | 8 | D |
| К7 | 5 | 8 | E | 7 | 3 | 0 | 1 | D | A | 6 | 9 | 2 | F | B | C | 4 |
| К8 | A | 3 | 5 | 9 | 0 | D | 7 | 8 | C | 4 | 1 | 6 | B | F | 2 | E |
| Начальник Департаменту регулювання дiяльностi у сферi криптографiчного захисту iнформацiї Адмiнiстрацiї Держспецзв'язку |
В. П. Грєбнєв |
| Додаток 2 до пункту 3.2 Iнструкцiї про порядок постачання i використання ключiв до засобiв криптографiчного захисту iнформацiї |
Типи рекомендованих НКI та форматiв ключiв, що розмiщуються на них
1. Загальнi положення
1.1. Залежно вiд типу та кiлькостi ключiв, що мiстяться на НКI, а також типу носiя постачальником можуть постачатися рiзнi типи НКI.
1.2. Найменування НКI, що однозначно визначає його тип, складається з трьох частин:
частина 1, визначає тип ключiв, що мiстяться на НКI (РК або ДКЕ);
частина 2, визначає тип фiзичного носiя (А, Б, В, Г, Д);
частина 3, визначає кiлькiсть ключiв, якi розмiщуються на НКI.
Наприклад: РК-А-001, ДКЕ-Б-005, РК-Г-366 тощо.
1.3. Тип фiзичного носiя визначається, виходячи з такого:
"А" - ключi представленi у виглядi таблицi, яка надрукована на аркушi паперу;
"Б" - ключi представленi у виглядi файла вiдповiдного формату, який розмiщується на стандартному накопичувачi на гнучкому магнiтному диску (1,44 Мб, 3,5");
"В" - ключi представленi у виглядi файла вiдповiдного формату, який розмiщується на стандартному компакт-диску типу CD-R, дiаметром 12 см.;
"Г" - ключi представленi у виглядi файла вiдповiдного формату, який розмiщується на стандартному компакт-диску типу CD-R, дiаметром 8 см.;
"Д" - ключi представленi у виглядi файла вiдповiдного формату, який розмiщується на запам'ятовувальному пристрої типу USB-флеш, виконаному у виглядi брелока.
1.4. Кiлькiсть ключiв, що можуть розмiщуватися на електронних носiях (носiї типу "Б", "В", "Г" та "Д"), визначається замовником, але не бiльше нiж 999. На носiях типу "А" розмiщується лише по одному ключу.
1.5. НКI виготовляються серiями у визначенiй замовником кiлькостi примiрникiв.
1.6. Кожний НКI постачається замовнику у вiдповiднiй захиснiй упаковцi, яка забезпечує захист НКI вiд впливу зовнiшнього середовища та унеможливлює безконтрольне вилучення НКI та ознайомлення з її вмiстом.
1.7. Зовнiшнiй вигляд упаковки, розташування елементiв маркування та порядок розкриття упаковок визначаються правилами розкриття НКI в упаковках вiдповiдного типу, якi постачаються замовнику разом з НКI.
2. НКI типу "РК-А-001"
2.1. НКI типу "РК-А-001" (рис. 1) являє собою аркуш паперу формату А5, на якому друкарським способом нанесено:
ступiнь обмеження доступу;
найменування (тип) НКI;
ключовi данi РК;
номер серiї;
номер примiрника.
| Примiтка. | Використовуванi умовнi позначення мають вiдповiдати позначенням, наведеним у ГОСТ 28147-89. |
Рис. 1. Зовнiшнiй вигляд НКI типу "РК-А-001" (приклад).
2.2. Ключовi данi РК визначають заповнення вiдповiдних 32-розрядних накопичувачiв ключового запам'ятовувального пристрою.
2.3. Заповнення накопичувачiв ключового запам'ятовувального пристрою представлено шiстнадцятьковим 32-розрядним словом. При цьому молодший бiт вiдповiдає молодшому розряду вiдповiдного накопичувача (див. рис. 3).
2.4. Постачальником можуть уноситися незначнi змiни в зовнiшнiй вигляд НКI, порядок взаємного розташування iнформацiї на ньому, розмiри та шрифт лiтер, а також наноситися iнша додаткова iнформацiя.
3. НКI типу ДКЕ-А-001
3.1. НКI типу "ДКЕ-А-001" (рис. 2) являє собою аркуш паперу формату А5, на якому друкарським способом нанесено:
ступiнь обмеження доступу;
найменування ключового документа;
ключовi данi ДКЕ;
номер серiї;
номер примiрника.
| Примiтка. | Використовуванi умовнi позначення мають вiдповiдати позначенням, наведеним у ГОСТ 28147-89. |
Рис. 2. Зовнiшнiй вигляд носiя "ДКЕ-А-001" (приклад).
3.2. Ключовi данi ДКЕ визначають заповнення таблиць блока пiдстановки К. Кожний вузол замiни (К1, К2, ..., К8) визначає таблицю з шiстнадцяти рядкiв (вiд 0 до 15), кожен з яких мiстить по 4 бiти (представленi в шiстнадцятьковому виглядi). При цьому за молодшою адресою розташовується молодший бiт (див. рис. 4).
Кожний вузол замiни є пiдстановкою на множинi чисел 0, 1, 2 ... F.
3.3. Постачальником можуть уноситися незначнi змiни в зовнiшнiй вигляд НКI, порядок взаємного розташування iнформацiї на ньому, розмiри та шрифт лiтер, а також наноситися iнша додаткова iнформацiя.
4. Електроннi НКI
4.1. До електронних НКI належать носiї типiв "Б", "В", "Г" та "Д", якi дають змогу записувати та зчитувати данi стандартними засобами електронної обчислювальної технiки, якi обладнанi вiдповiдними пристроями зчитування (запису).
4.2. Ключовi данi РК та ДКЕ на електронних НКI розмiщуються у вiдповiдних ключових файлах, кiлькiсть яких визначається замовником.
4.3. Ключовi файли розмiщуються на електронних НКI в каталозi "KEY". Структура НКI не повинна мiстити будь-яких iнших файлiв та каталогiв.
4.4. Найменування ключових файлiв, якi мiстять ключовi данi РК - "RKXXXXXX.YYY", де RK - ознака ключового файла, що визначає тип ключа, XXXXXX - номер серiї НКI (однаковий для всiх ключових файлiв, що мiстяться на НКI, YYY - номер ключового файла (001, 002, ... 999). Довжина ключового файла - 256 бiт (32 байти).
4.5. Найменування ключових файлiв, якi мiстять ключовi данi ДКЕ - "DKXXXXXX.YYY", де DK - ознака ключового файла, що визначає тип ключа, XXXXXX - номер серiї НКI (однаковий для всiх ключових файлiв, що мiстяться на НКI, YYY - номер ключового файла (001, 002, ... 999). Довжина ключового файла - 512 бiт (64 байти).
4.6. Структура ключового файла, який мiстить ключовi данi РК, представлена на рис. 3.
4.7. РК довжиною 256 бiт (32 байти) мiстить (умовно) 8 блокiв (Х0, Х1, ..., Х7) по 32 бiти (4 байти) у кожному. Блоки розмiщуються один за одним у порядку зростання їх номерiв.
4.8. Кожний блок (32-розрядне слово - 4 байти) визначає заповнення вiдповiдного накопичувача ключового запам'ятовувального пристрою. При цьому молодший бiт вiдповiдає молодшому розряду накопичувача.
| Примiтки. | 1. Використовуванi умовнi позначення
мають вiдповiдати позначенням, наведеним у ГОСТ
28147-89. 2. Як ключ представлено РК, наведений як приклад НКI "РК-А-001". |
Рис. 3. Структура ключового файла, який мiстить ключовi данi РК (приклад).
4.9. Структура ключового файла, який мiстить ключовi данi ДКЕ, представлена на рис. 4.
| Примiтки. | 1. Використовуванi умовнi позначення
мають вiдповiдати позначенням, наведеним у ГОСТ
28147-89. 2. Як ключ представлено ДКЕ, наведений як приклад НКI "ДКЕ-А-001". |
Рис. 4. Структура ключового файла, який мiстить ключовi данi ДКЕ (приклад).
4.10. ДКЕ довжиною 512 бiт (64 байти) мiстить (умовно) 8 вузлiв замiни (К1, К2, ..., К8) по 64 бiти (8 байт) у кожному. Вузли розмiщуються один за одним в порядку зростання їх номерiв.
4.11. Кожний вузол замiни (64-розрядне слово - 8 байт) визначає таблицю з 16 рядкiв по 4 бiти в кожному. При цьому молодша тетрада вiдповiдає молодшому номеру рядка в таблицi.
| Начальник Департаменту регулювання дiяльностi у сферi криптографiчного захисту iнформацiї Адмiнiстрацiї Держспецзв'язку | В. П. Грєбнєв |
