ГОСТ Р ИСО/МЭК 19785-4—2012
жание второго компонента устанавливает первый компонент типа ContentlnfoCBEFFSB, то есть, если
первымкомпонентом является id-signatureRelatedData.товторымдолженбытьSignatureRelatedData, и,
если первым компонентом является id-authenticationRelatedData, то вторым должен быть
AuthenticationRelatedData. Таким образом, тип SignatureRelatedData используют в том случае, еслидля
обеспеченияцелостности биометрических данных используют цифровую подпись, и тип
authenticationRelatedData должен быть использован, если биометрические данные защищены АКС.
Цифровую подпись иАКС записывают в СБЗ или в ББД (втом числе зашифрованном).
5.8.3.1 Содержание типа SignatureRelatedData
5.8.3.1.1 Содержание типа SignatureRelatedData устанавливает идентификатор объекта
id-signatureRelatedData в соответствии с типом SignatureRelatedData. записанным в нотации АСН.1
(см. 5.8.1.3).
a) SignatureRelatedData представляет собой одну или несколько цифровых подписей. Любое
количество подписывающих инстанций (далее — подписантов) могут параллельно использовать циф
ровую подписьдля последовательности данных СБЗ идля записи ББД (в том числе зашифрованного). В
отличиеот типа SignedData (см. RFC 3852иRFC5911) тип SignatureRelatedData не содержитданных, к
которым была применена цифровая подпись;
b
) процесс создания SignatureRelatedData включает в себя следующие этапы, изображенные на
рисунке 1слева:
1) для каждого подписантадайджестсообщения (ил ихеш-значение)вычисляютиз последова
тельности данных СБЗ и записи ББД (в том числе зашифрованной) с использованием специфического
для данного подписанта алгоритма (САПС*). Результатом является сформированный дайджест сооб
щения (ДС**);
2) для каждого подписанта, кдайджестусообщения применяютцифровую подпись сиспользо
ванием закрытого ключа подписчика (ЗКП***) и специфического алгоритма подписи подписчика
(САПП*4);
3) для каждогоподписанта значение цифровойподписи (ЦП) идругиеданные являютсязначе
ниемSignerlnfo. требования ккоторомуустановлены вRFC 3852и RFC 5911. Сертификаты иСОС каждо го
подписанта, а такжедругие данные, неотносящиеся ккакому-либодругому подписанту, сохраняются
наданном этапе:
4) специфические алгоритмы дайджеста сообщения и соответствующие значения Signerlnfo
всех подписантов в свою очередьстановятся значением SignatureRelatedData:
c) процесс верификации SignatureRelatedData включает в себя несколько этапов (см. справа на
рисунке 1). Получатель вычисляет дайджест сообщения (ДС*5) из последовательности данных СБЗ и
записи ББД (в том числе зашифрованной), используя специфический алгоритм дайджеста сообщения
(САДС). Данный дайджест сообщения и открытый ключ подписанта (ОКП*6) используют для проверки
значения цифровой подписи (ЦП) путем сравнения дайджеста сообщения, вычисленного в процессе
верификации (ДС) и дайджеста сообщения подписанта (ДС1). Значение ДС’ находящееся в цифровой
подписи (ЦП), расшифровывают с помощью открытого ключа подписанта (ОКП) испецифическогоалго
ритма подписи подписанта(САПП*7).Открытыйключподписантаопределяютспомощью наименования
иоригинального серийногономераорганизации-разработчикаданнойсистемы цифровой подписи илис
помощью идентификационного ключа для однозначной идентификации сертификата подписанта,
содержащего открытый ключ. Сертификат подписанта может быть включен в содержимое поля
certificates типа SignatureRelatedData.
На рисунке 1 пунктирной линией от ЗКП к полю «certificates» указан способ включения в поле
«certificates» сертификатаоткрытого ключа, относящегося к закрытому ключу подписанта.
* САДС (специфический алгоритм дайджеста сообщения) — signer-specific message-digest algorithm (DA).
** ДС (дайджест сообщение) — message digest (MD).
*** ЗКП (закрытый ключ подписчика) — signer’s private key (PrK).
** САПП (специфический алгоритм подписи подписанта) — signer-specific signature algorithm (SA).
*5 В оригинале ИСО/МЭК 19785-3 допущена опечатка — вместо сокращения DS указано сокращение DS’.
*® Открытый ключ подписанта (ОКП) — signer’s public key (PbK).
*7 В оригинале ИСО/МЭК 19785-3допущена опечатка — вместо сокращения SA указано сокращение DS.
7