28.12.2006 10:05:02Как быть уполномоченным лицом УЦ? Ответов: 11
Стас
Здравствуйте гуру PKI!

Помогите, пожалуйста, ответить на такой вопрос:
У Удостоверяющего центра есть уполномоченное лицо, это - работник. Соответственно, у него есть отпуск, болезни, командировки... Получается, что во время отсутствия уполномоченного лица работа УЦ приостанавливается (ведь закрытым ключом УЦ владеет он, и подписывать выдаваемые сертификаты имеет право только он)? Какой выход из сложившейся ситуации может быть по практике функционирования УЦ и согласно законодательству РФ?
Очень волнующий вопрос, помогите, пожалуйста!
 
Ответы:
28.12.2006 10:53:59Остен
Кроме этого возникла схожая проблемма: кого желательно ставить уполномоченным лицом УЦ? У директора на это времени как обычно нет, начальнику отдела? Также, для моего ламерского понимания, подскажите пожалуйста, каким макаром уполномоченному лицу выдается сертификат? Как обычному присоединившемуся к регламенту или у него права другие?
28.12.2006 11:22:13Василий
Уполномоченное лицо назначается приказом по организации, осуществляющей деятельность УЦ. Это может быть любой сотрудник. На время отпуска и т.п. ключи передаются другому лицу (опять же, приказом по организации).
Запрос на сертификат (и соответствующий секретный ключ) уполномоченного лица изготавливается при установке ПО УЦ (например, в случае КриптоПро УЦ - при установке службы сертификации на сервере ЦС). Если это не подчинённый ЦС, то сертификат изготавливается сразу, при установке. Если ЦС подчинённый, запрос обрабатывается на вышестоящем УЦ.
28.12.2006 13:00:54Стас
Встает вопрос: а передача другому лицу ключей (УЦ!), даже по приказу, не будет считаться компрометацией, с последующей сменой всех выданных сертификатов? Ведь то лицо (временное, на время отпуска) могло скопировать закрытый ключ и, в принципе, может спокойно несанкционированно выдавать сертификаты от имени того УЦ. Ответственность будет на уполномоченном лице УЦ (как на владельце сертификата)! Как быть?
28.12.2006 14:09:33Василий
Если нет доверенного человека, которому можно поручить исполнение обязанностей Уполномоченного лица УЦ, то, очевидно, выход один: прекратить деятельность УЦ на время отсутствия основного Уполномоченного лица.
28.12.2006 14:51:27Стас
Получается, что технологией PKI (и законодательством РФ) не предусмотренно функционирование УЦ при временном отсутствии (болезнь, отпуск) уполномоченного лица без передачи закрытого ключа уполномоченного лица другому "неуполномоченному" лицу (т.к. у УЦ - одно упол. лицо)?

И сразу другой похожий вопрос. Допустим я - бухгалтер. Мое предприятие хочет сдавать отчетность в электронном виде. В УЦ на мое имя выдали сертификат. С помощью моего закрытого ключа я подписываю документы и отправляю их в гос. органы. Я ушел в отпуск, а документы отправлять надо, как быть?
Заранее благодарю за ответ.
28.12.2006 15:11:30Василий
Электронная подпись во многом аналогична собственноручной подписи человека.

По первому - например, если некий документ может подписать директор, а он в отпуске, может быть назначаен исполняющий обязанности, который имеет право подписи. Так же и с Уполномоченным лицом - если этого человека нет, его функции могут быть переданы другому лицу на время.

По второму. Как правило, на организацию выдаётся несколько ключей и сертификатов для электронной подписи. Если же ключ один, и его владелец отсутствует - то ключ и сертификат может быть передан другому лицу, исполняющему обязанности первого. Можно и не передавать - тогда документы не могут быть подписаны.
28.12.2006 15:43:37Стас
При всем уважении, все-таки считаю, Вы не совсем правы. Я считаю (по аналогии с собственноручной подписью) что ответственное лицо перед отпуском передает ПРАВО подписи определенных документов, а не саму подпись. И перенося все это на ЭЦП, думаю, что каждое лицо должно иметь свое ЭЦП (а вот уже право подписи передается по доверенность, приказу). А вот передача закрытого ключа другому лицу - не законна. Я прав? А если нет, то в чем.
28.12.2006 16:04:47Василий
Конечно, идеальный случай - когда у каждого человека имеется свой персональный ключ и сертификат. Тогда никому ничего не передаётся.
Уполномоченных лиц УЦ может быть несколько, каждый со своим ключом и сертификатом. Правда, далеко не всё существующее ПО (для обеспечения деятельности ЦС) позволяет это делать.
28.12.2006 16:36:59Стас
Скажите мне конкретно. Я уполномоченное лицо УЦ. Я разварачиваю защищенный электронный документооборот между бюджетными организациями и казначейством. Пишу инструкции... Надо ли мне требовать с предприятия чтобы они делали две ЭЦП на двух лиц (основного и замещающего)?
До сих пор не понял...
09.01.2007 17:27:58fav
Относительно вашего последнего вопроса. В общем случае - регистрация двух лиц и изготовление им сертификатов описанной проблемы не решит (эти двое также могут быть одновременно не работоспособны). Наверное более всего вас беспокоит, что будет если возникнет конфликтная ситуация между участниками вашей системы. Скорее всего сторонами спора в случае возникновения конфликта (к сожалению не знаю порядков вашей системы) будут являться юридические лица (которые взаимодействуют посредством своих полномочных представителей - владельцев сертификатов), а не непосредственно владельцы сертификатов - здесь будет важно не кто конкретно подписал документ, а представитель какой организации подписал документ. А вот решение вопросов - кто и как пользовался ключами внутри организации, кому и как их передавал - пусть решается внутри организации своими порядками (одна захочет для каждого своего потенциального подписчика изготовить сертификат, другая для одного сотрудника изготовит сертификат, содержащий например псевдоним - "наименование компании", и внутренними документами установит порядок обращения и премения ключевых документов). С физическими лицами еще проще - необходимости кому-либо передавать ему свой ключ нет, а если уж все-таки есть, то это полностью проблемы владельца - будет считаться, что подписывает документы именно он.
22.01.2007 13:40:26Стас
ФЗ Об ЭЦП Статья 12. Обязательства владельца сертификата ключа подписи

1. Владелец сертификата ключа подписи обязан:
не использовать для электронной цифровой подписи открытые и закрытые ключи электронной цифровой подписи, если ему известно, что эти ключи используются или использовались ранее;
хранить в тайне закрытый ключ электронной цифровой подписи;
немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа электронной цифровой подписи нарушена.
2. При несоблюдении требований, изложенных в настоящей статье, возмещение причиненных вследствие этого убытков возлагается на владельца сертификата ключа подписи.

Получается, что если владелец передал (нарушил тайну) свой закрытый ключ другому лицу все убытки несет владелец. Я прав?