04.11.2004 6:39:26 | Безопасность УЦ | | Ответов: 2 |
|
Vadim_K | | |
|
Читаю документ "КриптоПро УЦ ... Руководство по безопасности", раздел 3: "В прицессе установки и эксплуатации ПО СКЗИ КриптоПро CSP в составе ПАК "КриптоПро УЦ" ЗАПРЕЩАЕТСЯ: добавлять считыватель информации из реестра ("Реестр") в список установленных считывателей носителей секретных ключей". Интересно, это касается и Центров Сертивикации/Регистрации в том числе? Мне что, придется вставлять ключевой носитель каждый раз, когда им потребуется что-нибудь подписать? Например при издании нового СОС по расписанию. Меня ведь может и не быть в это время рядом. Или ЦС и ЦР считывают у меня ключи во время старта и больше в процессе работы их не запрашивают? Или вышеприведенная рекомендация не относится к ЦС и ЦР, а только к местам, где установлены АРМы сотрудников? |
|
Ответы:
|
04.11.2004 8:20:28 | Vadim_K |
|
В продолжение темы - в том же месте "Руководства по безопасности" говориться, что "ЗАПРЕЩАЕТСЯ контейнеры закрытых ключей уполномоченного лица УЦ ... помечать как экспортируемые", а в "Руководстве по восстановлению работоспособности компонент" для восстановления ЦС разумеется требуют закрытый ключ этого самого уполномоченного лица. Если этот ключ нельзя экспортировать, то для восстановления ЦС он действительно должен быть не в реестре, а на внешнем носителе (как и предписывает "Руководство по безопасности"), но тогда вопрос: ЦС считает у меня этот ключ при загрузке и будет держать его в памяти или .......
Пока формулировал вопрос, сам на него и ответил. Действительно, при настройке CSP на ЦС и ЦР требуется сказать, что ключи храняться в "Службе хранения ключей" и при этом надо ВКЛЮЧИТЬ КЭШИРОВАНИЕ.
Тогда более простой вопрос: в какой момент при включении ЦС и ЦР система просит вставить ключевой носитель? (Сам пока попробовать не могу - свои Соболя отправил на перепрошивку) |
|
04.11.2004 9:53:17 | Василий |
|
Ничего подобного.
Если переключатель способа хранения ключей в нашей панели стоит "в памяти приложений", то, при старте службы MS CA, ключ считывается с носителя и хранится в памяти этой службы до её перезапуска.
Т.е. носитель требуется только в момент старта службы, и, если ЦС подчинённый, при определённых условиях - в момент первой подписи сертификата или crl.
|
|