04.11.2004 6:39:26Безопасность УЦ Ответов: 2
Vadim_K
Читаю документ "КриптоПро УЦ ... Руководство по безопасности", раздел 3: "В прицессе установки и эксплуатации ПО СКЗИ КриптоПро CSP в составе ПАК "КриптоПро УЦ" ЗАПРЕЩАЕТСЯ: добавлять считыватель информации из реестра ("Реестр") в список установленных считывателей носителей секретных ключей". Интересно, это касается и Центров Сертивикации/Регистрации в том числе? Мне что, придется вставлять ключевой носитель каждый раз, когда им потребуется что-нибудь подписать? Например при издании нового СОС по расписанию. Меня ведь может и не быть в это время рядом. Или ЦС и ЦР считывают у меня ключи во время старта и больше в процессе работы их не запрашивают? Или вышеприведенная рекомендация не относится к ЦС и ЦР, а только к местам, где установлены АРМы сотрудников?
 
Ответы:
04.11.2004 8:20:28Vadim_K
В продолжение темы - в том же месте "Руководства по безопасности" говориться, что "ЗАПРЕЩАЕТСЯ контейнеры закрытых ключей уполномоченного лица УЦ ... помечать как экспортируемые", а в "Руководстве по восстановлению работоспособности компонент" для восстановления ЦС разумеется требуют закрытый ключ этого самого уполномоченного лица. Если этот ключ нельзя экспортировать, то для восстановления ЦС он действительно должен быть не в реестре, а на внешнем носителе (как и предписывает "Руководство по безопасности"), но тогда вопрос: ЦС считает у меня этот ключ при загрузке и будет держать его в памяти или .......

Пока формулировал вопрос, сам на него и ответил. Действительно, при настройке CSP на ЦС и ЦР требуется сказать, что ключи храняться в "Службе хранения ключей" и при этом надо ВКЛЮЧИТЬ КЭШИРОВАНИЕ.

Тогда более простой вопрос: в какой момент при включении ЦС и ЦР система просит вставить ключевой носитель? (Сам пока попробовать не могу - свои Соболя отправил на перепрошивку)
04.11.2004 9:53:17Василий
Ничего подобного.
Если переключатель способа хранения ключей в нашей панели стоит "в памяти приложений", то, при старте службы MS CA, ключ считывается с носителя и хранится в памяти этой службы до её перезапуска.
Т.е. носитель требуется только в момент старта службы, и, если ЦС подчинённый, при определённых условиях - в момент первой подписи сертификата или crl.