gesign.mn

Qualified Electronic Signature (QES) Policy

gesign.mn — Квалифайд цахим гарын үсгийн бодлого

Policy OID2.16.496.1.0.1.3
Policy нэрgesign.mn QES Policy
Хувилбар1.0
Огноо2026-03-19
ОлгогчГерэгэ ХХК (gesign.mn)
СтандартeIDAS Article 3(12), ETSI EN 319 411-2

1. Зорилго

Энэхүү бодлого нь gesign.mn платформоос олгох Qualified Electronic Signature (QES) буюу Квалифайд цахим гарын үсгийн шаардлага, дүрмийг тодорхойлно. QES нь eIDAS зохицуулалтын дагуу гар үсэгтэй хуулийн адил хүчинтэй цахим гарын үсгийн хамгийн дээд түвшин юм.

2. Гарын үсгийн түвшин

QES нь AES-ийн бүх шаардлагыг хангахын зэрэгцээ нэмэлт 2 шаардлага хангана:

  • AES-ийн 4 шаардлага (unique, identify, sole control, integrity)
  • Qualified Electronic Signature Creation Device (QSCD) — сертификатлагдсан HSM төхөөрөмж (EN 419 221-5, Common Criteria EAL4+)
  • Qualified Certificate — Qualified Trust Service Provider (QTSP)-аас олгосон гэрчилгээ

3. Зурагчийн баталгаажуулалт

  • Level of Assurance (LoA): 3 (хамгийн дээд)
  • Биометрик баталгаажуулалт (нүүр таних, хурууны хээ), эсвэл
  • Нүүр тулсан бичиг баримтын шалгалт
  • DAN (Дижитал Ажил Нэвтрэлт) системээр бүрэн баталгаажсан

4. Гэрчилгээний шаардлага

  • X.509 v3 Qualified Certificate (ETSI EN 319 412)
  • QcStatements extension (OID: 1.3.6.1.5.5.7.1.3):
    • QcCompliance — qualified cert тэмдэглэгээ
    • QcQSCD — QSCD төхөөрөмжид байгаа тэмдэглэгээ
    • QcType — eSign төрөл
  • Subject DN: ETSI EN 319 412 стандартын дагуу
  • Key Usage: Digital Signature, Non-Repudiation
  • OCSP URL + CRL Distribution Points

5. Түлхүүр удирдлага

  • Түлхүүр хадгалалт: QSCD — сертификатлагдсан HSM (EN 419 221-5, CC EAL4+)
  • Түлхүүр алгоритм: ECDSA P-256 (secp256r1)
  • Нууц түлхүүр: HSM-ээс хэзээ ч гарахгүй (CKA_EXTRACTABLE=false, CKA_SENSITIVE=true)
  • SAM (Signature Activation Module): EN 419 241-2 — зурагчийн sole control баталгаажуулалт

6. Гарын үсгийн формат

  • PAdES (ETSI EN 319 142) — PDF баримтад
  • XAdES (ETSI EN 319 132) — XML баримтад
  • CAdES (ETSI EN 319 122) — дурын файлд

7. Hash алгоритм

SHA-256 (OID: 2.16.840.1.101.3.4.2.1). SHA-384, SHA-512 бас дэмжигдэнэ.

8. Цагийн тамга (Timestamp)

  • RFC 3161 Time-Stamp Protocol
  • Qualified TSA-аас олгогдсон timestamp
  • Signature түвшин: B-T (Basic with Timestamp) ба түүнээс дээш

9. Хүчингүй болгох (Revocation)

  • OCSP (RFC 6960): https://api.gesign.mn/ocsp
  • CRL (RFC 5280): https://api.gesign.mn/crl

10. Хүчинтэй хугацаа

Гэрчилгээний хүчинтэй хугацаагаар тодорхойлогдоно (1-3 жил).

11. Баталгаажуулалт (Validation)

ETSI EN 319 102-1 стандартын дагуу бүрэн шалгалт хийгдэнэ.

12. Хууль эрх зүйн хүчин чадал

QES нь eIDAS Article 25(2)-ийн дагуу гар үсэгтэй хуулийн адил хүчинтэй. Бүрэн нотлох чадвартай бөгөөд EU бүх гишүүн улсад хүлээн зөвшөөрөгдөнө.

Бусад policy түвшин: SES Policy · AES Policy