Thông tư 41/2017/TT-BTTTT về quy định sử dụng chữ ký số cho văn bản điện tử trong cơ quan nhà nước do Bộ trưởng Bộ Thông tin và Truyền thông ban hành
Số hiệu: | 41/2017/TT-BTTTT | Loại văn bản: | Thông tư |
Nơi ban hành: | Bộ Thông tin và Truyền thông | Người ký: | Trương Minh Tuấn |
Ngày ban hành: | 19/12/2017 | Ngày hiệu lực: | 05/02/2018 |
Ngày công báo: | 15/01/2018 | Số công báo: | Từ số 43 đến số 44 |
Lĩnh vực: | Công nghệ thông tin | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Văn bản tiếng việt
Văn bản tiếng anh
BỘ THÔNG TIN VÀ |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 41/2017/TT-BTTTT |
Hà Nội, ngày 19 tháng 12 năm 2017 |
QUY ĐỊNH SỬ DỤNG CHỮ KÝ SỐ CHO VĂN BẢN ĐIỆN TỬ TRONG CƠ QUAN NHÀ NƯỚC
Căn cứ Luật Giao dịch điện tử ngày 29 tháng 11 năm 2005;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 06 năm 2006;
Căn cứ Nghị định số 26/2007/NĐ-CP ngày 15 tháng 02 năm 2007 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số; Nghị định số 106/2011/NĐ-CP ngày 23 tháng 11 năm 2011 sửa đổi, bổ sung một số điều của Nghị định số 26/2007/NĐ-CP của Chính phủ ngày 15 tháng 02 năm 2007; Nghị định số 170/2013/NĐ-CP ngày 13 tháng 11 năm 2013 sửa đổi, bổ sung một số điều của Nghị định số 26/2007/NĐ-CP ngày 15 tháng 02 năm 2007 và Nghị định số 106/2011/NĐ-CP ngày 23 tháng 11 năm 2011 của Chính phủ;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Nghị định số 01/2013/NĐ-CP ngày 03 tháng 01 năm 2013 của Chính phủ quy định chi tiết thi hành một số điều của Luật Lưu trữ;
Căn cứ Nghị định số 17/2017/NĐ-CP ngày 17 tháng 02 năm 2017 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;
Bộ trưởng Bộ Thông tin và Truyền thông ban hành Thông tư quy định sử dụng chữ ký số cho văn bản điện tử trong cơ quan nhà nước.
1. Thông tư này quy định về ký số, kiểm tra chữ ký số trên văn bản điện tử; yêu cầu kỹ thuật và chức năng của phần mềm ký số, phần mềm kiểm tra chữ ký số cho văn bản điện tử trong cơ quan nhà nước.
2. Thông tư này không quy định việc sử dụng chữ ký số cho văn bản điện tử chứa thông tin thuộc danh mục bí mật nhà nước.
1. Thông tư này được áp dụng đối với các cơ quan, tổ chức (bao gồm: các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các cấp, các đơn vị sự nghiệp sử dụng ngân sách nhà nước) và tổ chức, cá nhân liên quan sử dụng chữ ký số cho văn bản điện tử của cơ quan nhà nước.
2. Khuyến khích các cơ quan, tổ chức khác áp dụng.
Trong Thông tư này, các từ ngữ dưới đây được hiểu như sau:
1. "Chứng thư số cơ quan, tổ chức" là chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp cho người đứng đầu cơ quan, tổ chức theo quy định của pháp luật.
2. "Chứng thư số cá nhân" là chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp cho các chức danh nhà nước, người có thẩm quyền của cơ quan, tổ chức theo quy định của pháp luật về quản lý và sử dụng con dấu.
3. "Khóa bí mật con dấu" là khóa bí mật tương ứng với chứng thư số cơ quan, tổ chức.
4. "Khóa bí mật cá nhân" là khóa bí mật tương ứng với chứng thư số cá nhân.
5. "Chữ ký số cơ quan, tổ chức" là chữ ký số được tạo ra khi sử dụng khóa bí mật con dấu.
6. "Chữ ký số cá nhân" là chữ ký số được tạo ra khi sử dụng khóa bí mật cá nhân.
7. "Phần mềm ký số" là chương trình phần mềm có chức năng ký số vào văn bản điện tử.
8. "Phần mềm kiểm tra chữ ký số" là chương trình phần mềm có chức năng kiểm tra tính hợp lệ của chữ ký số trên văn bản điện tử.
9. "Tính xác thực của văn bản điện tử ký số" là văn bản điện tử thông qua chữ ký số được ký số gắn với văn bản điện tử xác định được người ký số hoặc cơ quan, tổ chức ký số vào văn bản điện tử.
10. "Tính toàn vẹn của văn bản điện tử ký số" là văn bản điện tử sau khi được ký số nội dung không bị thay đổi trong suốt quá trình trao đổi, xử lý và lưu trữ.
11. "Hệ thống kiểm tra trạng thái chứng thư số trực tuyến" (OCSP) là hệ thống cung cấp dịch vụ cho phép xác định trạng thái hiện thời của chứng thư số.
12. "Thiết bị lưu khóa bí mật" là thiết bị vật lý chứa khóa bí mật và chứng thư số của thuê bao.
1. Chữ ký số phải gắn kèm văn bản điện tử sau khi ký số.
2. Văn bản điện tử được ký số phải đảm bảo tính xác thực, tính toàn vẹn xuyên suốt quá trình trao đổi, xử lý và lưu trữ văn bản điện tử được ký số.
1. Người có thẩm quyền ký số có trách nhiệm bảo quản an toàn khóa bí mật cá nhân.
2. Người đứng đầu cơ quan, tổ chức có trách nhiệm giao cho nhân viên văn thư quản lý, sử dụng khóa bí mật con dấu theo quy định.
3. Thiết bị lưu khóa bí mật con dấu phải được cất giữ an toàn tại trụ sở cơ quan, tổ chức.
1. Việc ký số được thực hiện thông qua phần mềm ký số; việc ký số vào văn bản điện tử thành công hoặc không thành công phải được thông báo thông qua phần mềm.
2. Ký số trên văn bản điện tử
a) Trường hợp quy định người có thẩm quyền ký số trên văn bản điện tử, thông qua phần mềm ký số, người có thẩm quyền sử dụng khóa bí mật cá nhân để thực hiện việc ký số vào văn bản điện tử;
b) Trường hợp quy định cơ quan, tổ chức ký số trên văn bản điện tử, thông qua phần mềm ký số, văn thư được giao sử dụng khóa bí mật con dấu của cơ quan, tổ chức để thực hiện việc ký số vào văn bản điện tử;
3. Hiển thị thông tin về chữ ký số của người có thẩm quyền và chữ ký số của cơ quan, tổ chức trên văn bản điện tử thực hiện theo quy định của Bộ Nội vụ.
4. Thông tin về người có thẩm quyền ký số, cơ quan, tổ chức ký số phải được quản lý trong cơ sở dữ liệu đi kèm phần mềm ký số. Nội dung thông tin quản lý quy định tại khoản 4, Điều 1, Nghị định số 106/2011/NĐ-CP ngày 23 tháng 11 năm 2011 của Chính phủ.
1. Kiểm tra chữ ký số trên văn bản điện tử thực hiện như sau:
a) Giải mã chữ ký số bằng khóa công khai tương ứng;
b) Kiểm tra, xác thực thông tin của người ký số trên chứng thư số gắn kèm văn bản điện tử; việc kiểm tra, xác thực thông tin người ký số được thực hiện theo Điều 8 Thông tư này;
c) Kiểm tra tính toàn vẹn của văn bản điện tử ký số.
2. Chữ ký số trên văn bản điện tử là hợp lệ khi việc kiểm tra, xác thực thông tin về chứng thư số của người ký số tại thời điểm ký còn hiệu lực, chữ ký số được tạo ra đúng bởi khóa bí mật tương ứng với khóa công khai trên chứng thư số và văn bản điện tử đảm bảo tính toàn vẹn.
3. Thông tin về người ký số; cơ quan, tổ chức ký số trên văn bản điện tử phải được quản lý trong cơ sở dữ liệu đi kèm phần mềm kiểm tra chữ ký số. Nội dung thông tin quản lý quy định tại khoản 4, Điều 1, Nghị định số 106/2011/NĐ-CP ngày 23 tháng 11 năm 2011 của Chính phủ.
1. Thực hiện kiểm tra hiệu lực của chứng thư số tại thời điểm ký số thực hiện theo các bước sau:
a) Kiểm tra hiệu lực chứng thư số qua danh sách chứng thư số bị thu hồi (CRL) được công bố tại thời điểm ký số hoặc kiểm tra hiệu lực chứng thư số bằng phương pháp kiểm tra trạng thái chứng thư số trực tuyến (OCSP) ở chế độ trực tuyến;
b) Việc kiểm tra chứng thư số của người ký số trên văn bản điện tử phải kiểm tra đến tận tổ chức cung cấp dịch vụ chứng thực chữ ký số gốc (Root CA).
2. Chứng thư số có hiệu lực khi đáp ứng tất cả các tiêu chí sau:
a) Có hiệu lực tại thời điểm ký;
b) Phù hợp phạm vi sử dụng của chứng thư số và trách nhiệm pháp lý của người ký;
c) Trạng thái của chứng thư số còn hoạt động tại thời điểm ký số.
3. Chứng thư số không có hiệu lực khi không đáp ứng một trong các tiêu chí tại khoản 2 Điều này.
1. Thông tin lưu trữ kèm theo văn bản điện tử ký số, bao gồm:
a) Đối với văn bản gửi đi:
- Chứng thư số của người ký số tại thời điểm ký;
- Danh sách chứng thư số thu hồi tại thời điểm ký của tổ chức cung cấp dịch vụ chứng thực chữ ký số;
- Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số vào thời điểm ký;
- Thông tin về trách nhiệm của người ký;
- Chứng thực dấu thời gian hợp lệ vào thời điểm ký.
b) Đối với văn bản đến:
- Các chứng thư số tương ứng với các chữ ký số trên văn bản điện tử đến;
- Danh sách thu hồi chứng thư số vào thời điểm ký của tổ chức cung cấp dịch vụ chứng thực chữ ký số;
- Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số vào thời điểm ký;
- Thông tin về trách nhiệm của người ký;
- Chứng thực dấu thời gian hợp lệ vào thời điểm nhận.
3. Thông tin lưu trữ kèm theo văn bản điện tử được quản lý bằng phần mềm ký số, phần mềm kiểm tra chữ ký số phù hợp thời gian lưu trữ của văn bản điện tử theo quy định.
1. Thông tin lưu trữ kèm theo văn bản điện tử bị hủy bỏ đồng thời với văn bản điện tử.
2. Việc hủy bỏ thông tin lưu trữ kèm theo văn bản điện tử ký số không được làm ảnh hưởng đến các văn bản điện tử khác và đảm bảo sự hoạt động bình thường của hệ thống.
3. Hủy bỏ thông tin lưu trữ kèm theo văn bản điện tử ký số được thực hiện bằng phần mềm.
Phần mềm ký số là phần mềm độc lập hoặc một thành phần (module) phần mềm đáp ứng các yêu cầu sau:
1. Đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật quy định tại phụ lục kèm theo Thông tư này;
2. Có các chức năng ký số trên văn bản điện tử đáp ứng quy định tại khoản 2, 3 và 4 Điều 6 Thông tư này;
3. Có chức năng kiểm tra hiệu lực chứng thư số quy định tại Điều 8 Thông tư này;
4. Có chức năng quản lý thông tin lưu trữ kèm theo văn bản điện tử ký số quy định tại Điều 9 Thông tư này;
5. Có chức năng hủy bỏ thông tin lưu trữ kèm theo văn bản điện tử ký số quy định tại Điều 10 Thông tư này;
6. Có chức năng thông báo (bằng chữ/bằng ký hiệu) cho người ký số biết việc ký số vào văn bản điện tử thành công hay không thành công;
7. Hỗ trợ cài đặt, tích hợp chứng thư số gốc của tổ chức chứng thực chữ ký số cấp chứng thư số để ký số văn bản điện tử vào phần mềm ký số để kiểm tra hiệu lực chứng thư số trên văn bản điện tử;
8. Đóng dấu thời gian tại thời điểm ký số.
Phần mềm kiểm tra chữ ký số là phần mềm độc lập hoặc một thành phần (module) phần mềm có các chức năng kiểm tra chữ ký số trên văn bản điện tử đáp ứng các yêu cầu sau:
1. Đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật quy định tại phụ lục kèm theo Thông tư này;
2. Có chức năng kiểm tra chữ ký số trên văn bản điện tử quy định tại khoản 1, 2 và 3 Điều 7 Thông tư này;
3. Có chức năng quản lý thông tin lưu trữ kèm theo văn bản điện tử ký số quy định tại Điều 9 Thông tư này;
4. Có chức năng hủy bỏ thông tin kèm theo văn bản điện tử ký số quy định tại Điều 10 Thông tư này;
5. Hỗ trợ cài đặt, tích hợp chứng thư số gốc của tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp chứng thư số để ký số văn bản điện tử vào phần mềm kiểm tra chữ ký số để kiểm tra chữ ký số trên văn bản điện tử;
6. Có chức năng thông báo kết quả kiểm tra chữ ký số là hợp lệ hoặc không hợp lệ cho người kiểm tra biết;
7. Đóng dấu thời gian tại thời điểm tiếp nhận văn bản đến.
1. Lưu trữ đầy đủ, chính xác, cập nhật, công bố toàn bộ các thông tin sau đây trên trang tin điện tử (website) của tổ chức cung cấp dịch vụ chứng thực chữ ký số và trang tin điện tử phải đảm bảo hoạt động 24 giờ trong ngày và 7 ngày trong tuần (để hỗ trợ xác định tính hợp lệ của chữ ký số trên văn bản điện tử)
a) Thông tin liên quan đến hoạt động tạm dừng, thu hồi chứng thư số và các chứng thư số bị thu hồi của thuê bao;
b) Thông tin liên quan đến chứng thư số của thuê bao, danh sách các chứng thư số có hiệu lực hoặc đã hết hiệu lực;
c) Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
2. Công bố các đặc tả kỹ thuật (cả tài liệu và bộ công cụ) liên quan đến tổ chức cung cấp dịch vụ chứng thực chữ ký số và các tiêu chuẩn chữ ký số; cung cấp chứng thư số gốc của tổ chức cung cấp dịch vụ chứng thực chữ ký số cho các nhà phát triển phần mềm để tích hợp vào phần mềm kiểm tra chữ ký số.
3. Khuyến khích tổ chức cung cấp dịch vụ chứng thực chữ ký số cung cấp dịch vụ kiểm tra trạng thái chứng thư số trực tuyến (OCSP).
4. Cung cấp dịch vụ cấp dấu thời gian.
1. Ứng dụng phần mềm ký số, phần mềm kiểm tra chữ ký số quy định tại các Điều 11 và 12 Thông tư này.
2. Triển khai kết nối mạng theo quy định tại khoản 3, Điều 8, Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ đảm bảo an toàn, bảo mật và tính sẵn sàng cao.
3. Tổ chức quản lý các sản phẩm phần mềm (theo phiên bản) có chức năng ký số, kiểm tra chữ ký số, lưu trữ thông tin kèm theo văn bản điện tử ký số tương ứng với tiêu chuẩn, quy chuẩn kỹ thuật về chữ ký số mà phần mềm hỗ trợ nhằm đảm bảo tính sẵn sàng, tương thích và an toàn bảo mật trong quá trình sử dụng văn bản điện tử ký số đã lưu trữ.
1. Thực hiện trách nhiệm của người đứng đầu quy định tại khoản 1, Điều 8, Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính phủ.
2. Thường xuyên kiểm tra nhằm đảm bảo việc quản lý, sử dụng chữ ký số, chứng thư số tại cơ quan, tổ chức mình được thực hiện theo Thông tư này và các quy định khác có liên quan.
3. Căn cứ vào yêu cầu tổ chức, nghiệp vụ và đảm bảo an toàn thông tin trong giao dịch điện tử đề xuất cấp, thu hồi, tạm dừng chứng thư số cá nhân và chứng thư số cơ quan, tổ chức thuộc quyền quản lý.
4. Khi có yêu cầu chuyển đổi văn bản điện tử ký số đang được lưu trữ sang định dạng tệp văn bản mới (vì nguyên nhân an toàn thông tin hoặc vì sự lỗi thời của phần cứng, phần mềm), phải xây dựng phương án và được phê duyệt bởi cơ quan chuyên trách về công nghệ thông tin, đảm bảo khả năng tương thích và xác thực hiệu lực của chữ ký số.
Chậm nhất sau 12 tháng kể từ ngày Thông tư có hiệu lực thi hành, các cơ quan, tổ chức đang sử dụng các phần mềm có chức năng ký số, kiểm tra chữ ký số chưa đáp ứng yêu cầu kỹ thuật và chức năng quy định tại Thông tư này thực hiện việc nâng cấp, bổ sung phần mềm ký số, phần mềm kiểm tra chữ ký số để đáp ứng quy định.
1. Trung tâm Chứng thực điện tử quốc gia có trách nhiệm chủ trì, phối hợp với Vụ Pháp chế và các đơn vị có liên quan hướng dẫn, hỗ trợ kỹ thuật việc thực hiện các nội dung của Thông tư này.
2. Sở Thông tin và Truyền thông các tỉnh, thành phố trực thuộc Trung ương, các đơn vị chuyên trách về công nghệ thông tin các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ có trách nhiệm:
a) Phổ biến việc thực hiện các quy định của Thông tư này;
b) Hàng năm báo cáo Bộ Thông tin và Truyền thông (Trung tâm Chứng thực điện tử quốc gia) về tình hình sử dụng chữ ký số cho văn bản điện tử tại cơ quan, tổ chức.
1. Thông tư này có hiệu lực thi hành kể từ ngày 05 tháng 02 năm 2018.
2. Chánh Văn phòng, Giám đốc Trung tâm Chứng thực điện tử quốc gia, cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Thông tư này.
4. Trong quá trình thực hiện, nếu có khó khăn, vướng mắc, các cơ quan, tổ chức và cá nhân phản ánh kịp thời về Bộ Thông tin và Truyền thông (Trung tâm Chứng thực điện tử quốc gia) để xem xét, giải quyết./.
Nơi nhận: |
BỘ TRƯỞNG |
VỀ CHỮ KÝ SỐ VÀ ĐỊNH DẠNG VĂN BẢN ĐIỆN TỬ KÝ SỐ
(Ban hành kèm theo Thông tư số 41/2017/TT-BTTTT ngày 19 tháng 12 năm 2017 của Bộ trưởng Bộ Thông tin và Truyền thông)
Số TT |
Loại tiêu chuẩn |
Ký hiệu tiêu chuẩn |
Tên đầy đủ của tiêu chuẩn |
Quy định áp dụng |
1 |
Tiêu chuẩn về định dạng văn bản điện tử |
|||
1.1 |
Văn bản điện tử ký số (đáp ứng yêu cầu tại Điều 6 Thông tư này) |
(.pdf) |
Định dạng Portable |
Bắt buộc áp dụng |
1.2 |
Định dạng văn bản điện tử ký số khác bao gồm: văn bản, bảng tính, trình diễn, ảnh đồ họa |
Tiêu chuẩn về văn bản, bảng tính, trình diễn, ảnh đồ họa thuộc danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ quan nhà nước. |
Khuyến khích áp dụng |
|
2 |
Tiêu chuẩn về chữ ký số |
|||
2.1 |
Tiêu chuẩn mật mã chữ ký số |
PKCS#1 |
RSA Cryptography Standard (Phiên bản 2.1 trở lên) |
Bắt buộc áp dụng |
Các kỹ thuật mật mã - Chữ ký số. |
||||
2.2 |
Tiêu chuẩn hàm băm an toàn |
FIPS PUB 180-4 |
Secure Hash Standard |
Bắt buộc áp dụng hàm băm SHA- 256, 384, 512. |
2.3 |
An toàn trao đổi bản tin XML |
XML Encryption Syntax and Processing |
XML Encryption Syntax and Processing |
Bắt buộc áp dụng |
XML Signature Syntax and Processing |
XML Signature Syntax and Processing |
Bắt buộc áp dụng |
||
2.4 |
Quản lý khóa công khai bản tin XML |
XKMS v2.0 |
XML Key Management Specification version 2.0 |
Bắt buộc áp dụng |
2.5 |
Chuẩn cú pháp thông điệp mật mã cho ký số và mã hóa |
PKCS#7 v1.5 (RFC 2315) |
Cryptographic message syntax for file-based signing and encrypting |
Bắt buộc áp dụng |
3 |
Tiêu chuẩn dịch vụ cấp dấu thời gian |
|||
3.1 |
Giao thức cấp dấu thời gian |
RFC 3161 |
Internet X.509 Public Key Infrastructure - Time stample Prototol |
Bắt buộc áp dụng |
3.2 |
Dịch vụ cấp dấu thời gian |
ISO/IEC |
Information technology- Security techniques - Time Stamping services - Part 1: Framework |
Bắt buộc áp dụng - Áp dụng bộ ba tiêu chuẩn: ISO/IEC 18014- 1:2008); ISO/IEC 18014- 2:2009); ISO/IEC 18014- 3:2009. |
ISO/IEC |
Information technology - Security techniques - Time Stamping services -Part 2: Mechanisms producing independent tokens |
|||
ISO/IEC |
Information technology - Security techniques - Time-stamping services - Part 3: Mechanisms producing linked tokens |
THE MINISTRY OF INFORMATION AND COMMUNICATIONS |
SOCIALIST REPUBLIC OF VIET NAM |
No. 41/2017/TT-BTTTT |
Hanoi, December 19, 2017 |
ON USE OF DIGITAL SIGNATURES FOR ELECTRONIC DOCUMENTS OF REGULATORY AGENCIES
Pursuant to the Law on E-Transactions dated November 29, 2005;
Pursuant to the Law on Information Technology dated June 29, 2006;
The Government’s Decree No. 26/2017/ND-CP dated February 15, 2007 on guidelines for the Law on E-transactions about digital signatures and authentication of digital signatures, Government’s Decree No. 106/2011/ND-CP dated November 23, 2011 on amendments to Government’s Decree No. 26/2017/ND-CP and Government’s Decree No. 170/2013/ND-CP dated November 13, 2013 on amendments to Government’s Decree No. 26/2007/ND-CP and Decree No. 106/2011/ND-CP.
Pursuant to the Government's Decree No. 64/2007/ND-CP of April 10, 2007 on the application of information technology to the operation of regulatory agencies;
Pursuant to Decree No. 01/2013/ND-CP dated January 3, 2013 of the Government detailing the implementation of a number of articles of the Law on Archives;
Pursuant to the Government's Decree No. 17/2017/ND-CP dated February 17, 2017 defining the functions, tasks, powers and organizational structure of the Ministry of Information and Communications;
The Minister of Information and Communication promulgates a Circular on the use of digital signatures for electronic documents of regulatory agencies.
1. This Circular set forth file-based signing and validation of digital signatures on electronic documents (e-documents); technical and functional requirements of digital signature software, digital signature validation software for electronic documents of regulatory agencies.
2. This Circular does not provide for the use of digital signatures for electronic documents containing information on the list of state secrets.
1. This Circular applies to agencies and organizations (including: ministries, ministerial-level agencies, Governmental agencies, People's Committees at all levels, and public sector entities funded by state budget) and related organizations and individuals using digital signatures for electronic documents of regulatory agencies.
2. Other agencies and organizations are recommended to apply this Circular.
Article 3. Interpretation of terms
For the purposes of this Circular, these terms below shall be construed as follows:
1. “corporate digital certificate” means a digital certificate issued by a certificate authority (CA) to the head of a corporate as per the law.
2. “private digital certificate” means a digital certificate issued by a CA to a person holding title in a regulatory agency, a competent person in a corporate as per the law on management and use of seals.
3. “seal secret key” means a secret key corresponding to a corporate digital certificate.
4. “private key” means a secret key corresponding to a private digital certificate.
5. “corporate digital signature” means a digital signature created when using a seal secret key.
6. “private digital signature” means a digital signature created when using a private secret key.
7. “digital signature software” means software used to digitally sign an e-document.
8. “digital signature validation software” means a software used to verify the validity of the digital signature of the e-document.
9. “authenticity of a digitally-signed document” means that an e-document with a digital signature thereto can identify the digital signer, either personal signer or corporate signer, of the e-document.
10. “integrity of a digitally-signed document” means that the content of an e-document, after digitally signed, does not alter throughout the exchange, process and storing process.
11. “online certificate status protocol” (OCSP) means a protocol which enable applications to determine the state of digital certificates.
12. “security device” means a physical device to store digital certificate and private key of a subscriber.
Article 4. Rules for using digital signatures for electronic documents
1. A digital signature must be attached to the e-document after digitally signing.
2. A digitally-signed document must ensure authenticity and integrity throughout the process of exchanging, processing and storing the digitally-signed document.
Article 5. Management of private key and seal secret key
1. The person authorized to digitally sign document is responsible for securing the private key.
2. The head of corporate is responsible for assigning the clerical staff to manage and use the seal secret key as prescribed.
3. The device to store the seal secret key must be safely kept at the head office of the corporate.
DIGITAL SIGNING AND VERIFICATION OF DIGITAL SIGNATURE ON ELECTRONIC DOCUMENTS OF REGULATORY AGENCIES
Article 6. Digital signing on e-documents
1. The digital signing is done through digital signature software; the successful or unsuccessful digital signing of e-documents must be notified through the software.
2. Digital signing on e-documents
a) In case of personal signer, through digital signature software, the competent person shall use the private key to digitally sign the e-document;
b) In case of corporate signer, through digital signature software, the clerical staff assigned to use the seal secret key of the corporate shall digitally sign the e-document;
3. Information about digital signatures of personal or corporate signer on e-documents shall be displayed in accordance with regulations of the Ministry of Home Affairs.
4. Information about the personal or corporate signer shall be managed in the database accompanying the digital signature software. Information subject to management is specified in Clause 4, Article 1 of the Government's Decree No. 106/2011/ND-CP dated November 23, 2011.
Article 7. Verification of digital signature on e-document
1. Digital signature on e-document shall be verified as follows:
a) Decrypt the digital signature with the corresponding public key;
b) Verify the information of the personal signer on the digital certificate attached to the e-document; The verification of digital signer shall comply with Article 8 of this Circular;
c) Check the integrity of the digitally-signed document.
2. The digital signature on the e-document is valid when the verification of information about the digital certificate of the digital signer at the signing time is still valid, the digital signature is created by the secret key corresponding to the public key on digital certificate and the integrity of the e-document is ensured.
3. Information about the personal or corporate signer on e-documents must be managed in the database accompanying the digital signature validation software. Information subject to management is specified in Clause 4, Article 1 of the Government's Decree No. 106/2011/ND-CP dated November 23, 2011.
Article 8. Examination of validity period of the digital certificate
1. The validity of a digital certificate at the time of digital signing shall be checked following the steps below:
a) Examine the validity of the digital certificate through the certificate revocation list (CRL) published at the time of digital signing or through OCSP;
b) To check the digital certificate of a personal signer on an e-document, it is required to pay a visit to the Root CA.
2. A digital certificate is valid when it meets all of the following criteria:
a) It still remains valid at the time of signing;
b) It is consistent with the scope of use and legal liability of the signer;
c) The status of the digital certificate is still active at the time of digital signing.
3. The digital certificate is invalid when it fails to meet one of the criteria in Clause 2 of this Article.
Article 9. Profile attached to digitally-signed document
1. Profile attached to digitally-signed document includes:
a) Regarding outgoing documents:
- Digital certificate of the personal signer at the time of signing;
- The certificate revocation list (CRL) at the time of signing of CA;
- Certificate practices statement of CA at the time of signing;
- Liability of the signer;
- Certificate of valid time stamp at the time of signing.
b) Regarding incoming documents:
- Digital certificates corresponding to digital signatures on incoming documents;
- The certificate revocation list (CRL) at the time of signing of CA;
- Certificate practices statement of CA at the time of signing;
- Liability of the signer;
- Certificate of valid time stamp at the time of receipt.
3. Profile attached to the e-document shall be managed using digital signature software, digital signature validation software suitable with the storage time of the e-document as prescribed.
Article 10. Cancellation of profile attached to digitally-signed document
1. The profile attached to e-document shall be cancelled together with the e-document.
2. The cancellation of profile attached to e-document may not prejudice other e-documents and shall ensure the ordinary course of the system.
3. The profile attached to e-document shall be cancelled using a software.
TECHNICAL AND FUNCTIONAL REQUIREMENTS FOR DIGITAL SIGNATURE SOFTWARE, DIGITAL SIGNATURE VERIFICATION SOFTWARE
Article 11. Technical and functional requirements for digital signature software, digital signature verification software
Digital signature software is an independent software or a software module that meets the following requirements:
1. Satisfying the technical standards and regulations specified in the appendix to this Circular;
2. Having function of digital signing on e-documents as prescribed in Clauses 2, 3 and 4, Article 6 of this Circular;
3. Having function of examining the validity of digital certificates specified in Article 8 of this Circular;
4. Having the function of managing profile attached to digitally-signed documents specified in Article 9 of this Circular;
5. Having the function of cancelling profile attached to digitally-signed documents specified in Article 10 of this Circular;
6. Having the function of notifying (by words/by symbols) to the digital signer that the digital signing is successful or unsuccessful;
7. Supporting the installation and integration of root digital certificate of the CA to digitally sign documents into digital signature software to check the validity of the digital certificate on e-documents;
8. Affixing the time stamp at the time of digital signing.
Article 12. Technical and functional requirements for digital signature verification software
Digital signature validation software is an independent software or a software module with functions to verify digital signatures on e-documents that meets the following requirements:
1. Satisfying the technical standards and regulations specified in the appendix to this Circular;
2. Having function of verifying digital signing on e-documents as prescribed in Clauses 1, 2 and 3, Article 7 of this Circular;
3. Having the function of managing profile attached to digitally-signed documents specified in Article 9 of this Circular;
4. Having the function of cancelling cache attached to digitally-signed documents specified in Article 10 of this Circular;
5. Supporting the installation and integration of root digital certificate of the CA to digitally sign documents into digital signature validation software to check the validity of the digital certificate on e-documents;
6. Having the function of notifying the result of checking whether the digital signature is valid or invalid to the inspector;
7. Affixing the time stamp at the time of receiving incoming document.
Article 13. Responsibilities of the CA
1. Store, update and publish all of sufficient and accurate information on the website of the CA and the website must be available 24 hours a day and 7 days a week (to assist in determining the validity of digital signatures on e-documents)
a) Information related to the suspension and revocation of digital certificates and revoked digital certificates of the subscribers;
b) Information related to the subscriber's digital certificate, the list of digital certificates that are valid or have expired;
c) Certificate practices statement of the CA.
2. Disclose technical specifications (both documentation and toolkit) related to the CA and digital signature standards; provide the root digital certificate of the CA to software developers to integrate into the digital signature validation software.
3. Encourage the CA to provide OCSP.
4. Provide Time Stamping services.
Article 14. Responsibilities of corporate using digital signatures for e-documents.
1. Apply digital signature software and digital signature validation software specified in Articles 11 and 12 of this Circular.
2. Initiate the network connection according to the provisions of Clause 3, Article 8 of the Government's Decree No. 64/2007/ND-CP of April 10, 2007 with safety, security and high availability.
3. Manage software products (according to their versions) that have functions of digital signing, verification of digital signatures, storing information attached to digitally-signed documents corresponding to technical regulations and standards to ensure the availability, compatibility and security in the process of using stored digitally-signed document.
Article 15. Responsibilities of the head of corporate using digital signature
1. Perform the responsibilities of the head specified in Clause 1, Article 8 of the Government's Decree No. 64/2007/ND-CP of April 10, 2007.
2. Regularly check to ensure that the management and use of digital signatures and digital certificates at the corporate comply with this Circular and other relevant regulations.
3. Based on practice requirements and requirements for information security in electronic transactions, make requests for issue, revocation and suspension of personal and corporate digital certificates within scope of management.
4. Upon request to convert stored digitally-signed documents into new file format (for reasons of information security or obsolete hardware or software), the head shall plan and seek approval from the information technology authority, to ensure compatibility and validity of digital signatures.
Article 16. Transitional provision
Within 12 months from the effective date of this Circular, agencies and organizations using software with digital signing and digital signature validation functions that have not met technical requirements and functions as prescribed in this Circular shall upgrade and supplement digital signature software and digital signature validation software to meet regulations.
1. The National Electronic Authentication Center (NEAC) shall assume take charge and cooperate with the Legal Department and concerned units in, guiding and providing technical assistance for the implementation of this Circular.
2. The Departments of Information and Communications of the provinces and centrally-affiliated cities, the information technology authorities of the ministries, the ministerial-level agencies, the Governmental agencies shall have the following responsibilities:
a) Disseminate the implementation of the provisions of this Circular;
b) Annually report to the Ministry of Information and Communications (via National Electronic Authentication Center) on the use of digital signatures for e-documents at agencies or organizations.
1. This Circular comes into force as of February 5, 2018.
2. Chief of Office, Director of National Electronic Authentication Center, relevant agencies, organizations and individuals shall implement this Circular.
4. Difficulties that arise during the implementation of this Circular should be reported to National Electronic Authentication Center (affiliated to the Ministry of Information and Communication) for consideration./.
|
MINISTER |
LIST OF STANDARDS IN DIGITAL SIGNATURES AND FORMAT OF DIGITALLY-SIGNED DOCUMENTS
(Issued together with Circular No. 41/2017/TT-BTTTT dated December 19, 2017 of the Ministry of Information and Communications)
No. |
Type of standard |
Standard symbol |
Description of standard |
Application |
1 |
Standard in format of electronic document |
|||
1.1 |
Digitally-signed document (meeting requirements in Article 6) |
(.pdf) |
Portable Document (.pdf) - Version 1.4 or later |
Compulsory |
1.2 |
Other format of digitally-signed document including: docs, sheets, slides, graphic arts |
Standard in docs, sheets, slides, graphic arts in the list of technical standards in terms of application of information technology in regulatory agencies. |
Recommended |
|
2 |
Standard in digital signature |
|||
2.1 |
Standard in digital signature |
PKCS#1 |
RSA Cryptography Standard (version 2.1 or later) |
Compulsory |
TCVN 7635:2007 |
Cryptography techniques - digital signature |
|||
2.2 |
Secure Hash Standard |
FIPS PUB 180-4 |
Secure Hash Standard |
SHA-256, 384, 512 are compulsory |
2.3 |
XML Encryption Syntax and Processing |
XML Encryption Syntax and Processing |
XML Encryption Syntax and Processing |
Compulsory |
XML Signature Syntax and Processing |
XML Signature Syntax and Processing |
Compulsory |
||
2.4 |
XML Key Management Specification |
XKMS v2.0 |
XML Key Management Specification version 2.0 |
Compulsory |
2.5 |
Cryptographic message syntax for file-based signing and encrypting |
PKCS#7 v1.5 (RFC 2315) |
Cryptographic message syntax for file-based signing and encrypting |
Compulsory |
3 |
Standard in Time Stamping services |
|||
3.1 |
Time stample Protocol |
RFC 3161 |
Internet X.509 Public Key Infrastructure - Time stample Protocol |
Compulsory |
3.2 |
Time Stamping services |
ISO/IEC |
Information technology- Security techniques - Time Stamping services - Part 1: Framework |
Compulsory - Apply ISO/IEC 18014- 1:2008); ISO/IEC 18014- 2:2009); ISO/IEC 18014- 3:2009. |
ISO/IEC |
Information technology - Security techniques - Time Stamping services -Part 2: Mechanisms producing independent tokens |
|||
ISO/IEC |
Information technology - Security techniques - Time-stamping services - Part 3: Mechanisms producing linked tokens |
Tình trạng hiệu lực: Còn hiệu lực