ГОСТ Р ИСО/МЭК 19785-4—2012
П р и м е ч а н и е 2 — Элементы данных С63 содержат значения, описывающие незашифрованный Б6Д
(до проведения шифрования), и не описывают атрибуты зашифрованной ББД.
5.8.2.1 Содержание типа envelopeRelatedData
5.8.2.1.1 Содержание типа envelopeRelatedData устанавливает идентификатор объекта
id-envelopeRelatedData в соответствии с типом EnvelopeRelatedData в нотации АСН.1 (см. 5.8.1.3).
a) EnvelopeRelatedData содержит информацию об алгоритме шифрования и зашифрованных
ключахшифрованиядляодногоили несколькихполучателей. Зашифрованные биометрическиеданные
находятсяв ББД. Биометрическиеданные могут бытьзашифрованыдля произвольногочисла получате
лей с помощью любой из поддерживаемых технологий управления ключами шифрования для каждого
пользователя.
П р и м е ч а н и е — Подробная информация о системе управления ключами шифрования приведена в
RFC 3852.
b
) Пользователь расшифровывает один из зашифрованных ключей шифрования, входящих в
составданных типа EnvelopeRelatedData. а затем с помощью данного ключа расшифровывает биомет
рическиеданные. находящиеся в ББД.
5.8.2.1.2 Тип EnvelopeRelatedData представляет собойследующую запись:
EnvelopeRelatodData::= SEQUENCE {
version CBEFFSBVersion DEFAULTvO.
originatorlnfo (0] IMPLICIT Originatorlnfo OPTIONAL,
recipientlnfos Recipientlnfos.
contentEncryptionAlgorithm ContentEncryptionAlgorithmldentifier
}
a) поле version предназначено для указания версии типа CBEFFSBVersion и представляет собой
следующую запись:
CBEFFSBVersion ::= INTEGER { v0(0)} ( vO....)
b) поле originatorlnfo типа Originatorlnfo предназначенодля указания информации об устройстве,
сгенерировавшим БЗИ. Данное поле присутствует только в том случае, если этого требует алгоритм
управления ключами. Данное поле может содержать сертификаты и СОС. Требования к типу
Originatorlnfo установлены в RFC 3852 и RFC 5911;
c) поле recipientlnfos типа Recipientlnfos предназначено для записи информационных блоков о
получателях. Данное поле должно содержать не менее одного информационного блока. Тип
Recipientlnfos представляет собой последовательность типов Recipientlnfo. Требования к типу
Recipientlnfo установлены в RFC 3852 и RFC 5911;
d) полеcontentEncryptionAlgorithm предназначенодляуказанияалгоритма шифрования ивспомо
гательныхпараметров. использованныхдля шифрования биометрическихданных. Для всех пользова
телейуказываютединый алгоритм и ключ шифрования.
5.8 2.2 TnnencryptionRelatedData
5.8.2.2.1Информационное содержимое типа encryptionRelatedData представляет собой иденти
фикатор объекта id-encryptionRelatedData в соответствиис типом EncryptionRelatedData, записанным в
нотации АСН.1 (см. 5.8.1.3):
a) в отличие от типа envelopeRelatedData, тип encryptionRelatedData несодержит информации об
алгоритме шифрования и зашифрованных ключахшифрованиядля получателей. Управление ключами
шифрованиядолжно осуществлятьсядругими способами.
П р и м е ч а н и е — Информационное содержимое типа encryptionRelatedData используют при шифровании
биометрических данных для локального хранения, при этом ключи шифрования получают с помощью паролей;
b
) тип EncryptionRelatedData представляетсобой следующую запись:
EncryptionRelatedData ::= SEQUENCE {
version CBEFFSBVersion DEFAULT vO.
contentEncryptionAlgorithm ContentEncryptionAlgorithmldentifier
}
5.8.3 Целостность
Если в элементе данных CBEFF_BIR_integrity_options установлено значение INTEGRITY.
ЗБИ должен содержать тип ContentlnfoCBEFFSB. первым компонентом которого является
id-signatureRelatedData или id-authenticationRelatodData. В соответствии стребованиями 5.1.8.3 содер-
6