| ||||
| ||||
| Опять я со своими глупыми вопросами. Читаю документ "КриптоПро Регламент" - 7.2. Сроки действия ключей уполномоченного лица Удостоверяющего Центра Срок действия закрытого ключа уполномоченного лица Удостоверяющего Центра составляет 3 года. ... Срок действия сертификата открытого ключа, соответствующего закрытому ключу уполномоченного лица Удостоверяющего Центра составляет 6 лет. Смотрю на сертификат своего тестового УЦ и вижу, что он выдан на 7 лет. К тому же не вижу, что закрытый ключ имеет меньший срок действия (точнее вообще не вижу второго срока). Вопрос: Это так надо? Знаю, что в бухгалтерской отчетности надо. А как сделать? А может быть всё проще? В смысле, что мне надо дать право подписи на 1 год, а право проверки этой подписи на 1год+5лет? | ||||
| Ответы: | ||||
| ||||
| Срок действия закрытого ключа задается при конфигурации ЦР (Политики - Дополнительные параметры - KeyValidityPeriod, по умолчанию - 1 год 3 месяца). Для каждого сертификата этот срок хранится в БД ЦР. Посмотреть его можно через АРМ Администратора ЦР (в списке "Сертификаты", столбец "Срок действия ключа"). Сертификат действует в течение срока, который указан в нём. По истечении срока действия закрытого ключа пользователю высылается уведомление (если задача рассылки писем настроена) с предложением произвести плановую смену ключа. | ||||
| ||||
| А существует ли понятие "срок действия открытого ключа"? | ||||
| ||||
| Разумеется, он равен сроку действия сертификата. | ||||
| ||||
| C Вашей помощью умнею на глазах, но глупые вопросы остаются :-) Как можно стандартными средствами (не через АРМ Администратора) посмотреть срок действия закрытого ключа? При простом просмотре сертификата я этой даты не вижу. Кто (какая часть софта) не должна дать поставить ЭЦП, если срок действия закрытого ключа закончен, с открытого ещё нет? Что будет если такое всё же случится (подпись поставлена после окончания действия закрытого ключа)? При проверке получим "подпись не верна"? | ||||
| ||||
| Уважаемый Вадим, для того чтобы срок действия закрытого ключа можно было бы посмотреть всем желающим, об этом должно быть указание в самом сертификате через расширение Private Key Usage Period, однако для Интернет систем по RFC 3280 (4.2.1.4) его использование крайне нежелательно. И скорее всего все приложения (поскольку нет данного расширения или они его следуя RFC не поддерживают) разрешат вам выработать и проверить подпись. Эти ограничения должны контролироваться оргмерами, чтобы соблюсти требования формуляров ФСБ на данную продукцию. | ||||
| ||||
| Дополнение по последнему ответу такое: срок действия закрытого ключа заранее оговаривается между сторонами (собственно УЦ и Пользователями УЦ), например, определяется в Регламенте услуг Удостоверяющего Центра. Заключая договор на обслуживание на УЦ, пользователь автоматически соглашается со всеми положениями, в т.ч., со сроком действия ключей и сертификатов. | ||||
| ||||
| Какой интересный параметр! Ладно, с оргмерами я понял - РЕГЛАМЕНТ, РЕГЛАМЕНТ и еще раз РЕГЛАМЕНТ, а все таки, с технической точки зрения - если в сертификате нет расширения Private Key Usage Period, то значит никто (кроме самого УЦ конечно) и не узнает, что это период истек? Или какими-то хитрыми программными способами эту информацию все же можно получить? Вопрос не в том КАКИМИ, а в том МОЖНО или НЕТ? | ||||
| ||||
| Ответ - нет. Информация о сроке действия ключа имеется только в БД ЦР. Техническое ограничение на использование просроченного закрытого ключа - задача приложения, работающего с сертификатами. Можно поступить так - определить срок действия закрытого ключа - от начала действия сертификата на заранее заданный период. И не давать использовать этот сертификат для действий, требующих закрытого ключа. | ||||
Vadim_K