gesign.mn

Advanced Electronic Signature (AES) Policy

gesign.mn — Дэвшилтэт цахим гарын үсгийн бодлого

Policy OID2.16.496.1.0.1.2
Policy нэрgesign.mn AES Policy
Хувилбар1.0
Огноо2026-03-19
ОлгогчГерэгэ ХХК (gesign.mn)
СтандартeIDAS Article 26, ETSI EN 319 411-1

1. Зорилго

Энэхүү бодлого нь gesign.mn платформоос олгох Advanced Electronic Signature (AES) буюу Дэвшилтэт цахим гарын үсгийн шаардлага, дүрмийг тодорхойлно. AES нь eIDAS зохицуулалтын дагуу SES-ээс өндөр нотлох чадвартай.

2. Гарын үсгийн түвшин

AES нь eIDAS Article 26-д заасан 4 шаардлагыг хангана:

  • Зурагчтай unique холбоотой — гэрчилгээ нь зөвхөн нэг хүнд олгогдсон
  • Зурагчийг таних боломжтой — Subject DN дотор нэр, регистрийн дугаар бүртгэгдсэн
  • Sole control — нууц түлхүүр HSM-д хадгалагдаж, зөвхөн эзэмшигч нь ашиглана
  • Бүрэн бүтэн байдал — баримт өөрчлөгдвөл гарын үсэг хүчингүй болно

3. Зурагчийн баталгаажуулалт

  • Level of Assurance (LoA): 2+
  • Иргэний бичиг баримтаар баталгаажсан (иргэний үнэмлэх, гадаад паспорт), эсвэл
  • DAN (Дижитал Ажил Нэвтрэлт) системээр баталгаажсан
  • Регистрийн дугаар шалгагдсан

4. Гэрчилгээний шаардлага

  • X.509 v3 гэрчилгээ
  • Subject DN: eIDAS / ETSI EN 319 412 стандартын дагуу (CN, GN, SN, SERIALNUMBER, C)
  • Key Usage: Digital Signature, Non-Repudiation
  • OCSP URL: Authority Information Access extension
  • CRL URL: CRL Distribution Points extension

5. Түлхүүр удирдлага

  • Түлхүүр хадгалалт: HSM (Hardware Security Module)
  • Түлхүүр алгоритм: ECDSA P-256 (secp256r1)
  • Нууц түлхүүр: HSM-ээс хэзээ ч гарахгүй (CKA_EXTRACTABLE=false)
  • Түлхүүр хос үүсгэх: HSM дотор PKCS#11 C_GenerateKeyPair

6. Гарын үсгийн формат

  • PAdES (ETSI EN 319 142) — PDF баримтад
  • XAdES (ETSI EN 319 132) — XML баримтад
  • CAdES (ETSI EN 319 122) — дурын файлд

7. Hash алгоритм

SHA-256 (OID: 2.16.840.1.101.3.4.2.1). SHA-384, SHA-512 бас дэмжигдэнэ.

8. Цагийн тамга (Timestamp)

  • RFC 3161 Time-Stamp Protocol
  • Гарын үсэг зурсан цагийг итгэмжлэгдсэн TSA баталгаажуулна
  • Signature түвшин: B-T (Basic with Timestamp) ба түүнээс дээш

9. Хүчингүй болгох (Revocation)

  • OCSP (RFC 6960) — real-time статус шалгалт: https://api.gesign.mn/ocsp
  • CRL (RFC 5280) — хүчингүй гэрчилгээний жагсаалт: https://api.gesign.mn/crl
  • Шалтгаан: ажлаас гарсан, түлхүүр алдагдсан, мэдээлэл өөрчлөгдсөн гэх мэт

10. Хүчинтэй хугацаа

Гэрчилгээний хүчинтэй хугацаагаар тодорхойлогдоно (1-3 жил). Хугацаа дуусахаас өмнө сунгах боломжтой.

11. Баталгаажуулалт (Validation)

Гарын үсэг шалгахдаа ETSI EN 319 102-1 стандартын дагуу:

  • Гарын үсгийн математик шалгалт (crypto verification)
  • Гэрчилгээний гинж шалгалт (certificate chain validation)
  • Хүчингүй болсон эсэх шалгалт (OCSP/CRL)
  • Цагийн тамга шалгалт (timestamp validation)

Бусад policy түвшин: SES Policy · QES Policy