| ||||
| ||||
| Ответьте знающие люди! Есть УЦ, но лица (уполномоченные), непосредственно работающие с сертификатами (выдача, отзыв, публикование СОС), меняются часто (такая специфика...) - следовательно, необходимо каждый раз заменять все выданные сертификаты - что неудобно. Вопросы: 1. Можно ли зарегистрировать в УФО в качестве уполномоченного лица директора УЦ, а полномочия по работе с сертификатами (т.е. и закрытый ключ) по внутренним документам передать сотруднику УЦ (закрытый ключ в контейнере на eToken PRO, помеченный как неэкспортируемый, CryptoPRO 3.0)? 2. Т.о. при увольнении сотрудника УЦ не придется заменять выданные сертификкаты? 3. Не противоречит ли это законодательству РФ и технологии PKI? 4. Существуют ли другие механизмы решение подобной задачи? Заранее благодарен за ответ. | ||||
| Ответы: | ||||
| ||||
| 1. Нет. По ФЗ Об ЭЦП передача кому либо закрытого ключа запрещена и трактуется как компрометация с последующим отзывом. Далее по ФЗ Об ЭЦП, тот кто выпускает сертификаты, тот и должен быть зарегистрирован в ЕГР, но более подробно - обратитесь в ФАИТ. 2. Не факт. 3. см. п1. 4. Существуют, т.н. режимы многосменности функционирования УЦ. | ||||
| ||||
| Позволю себе с Вами не согласиться. А вот почему. В ФЗ Об ЭЦП нет слов "передача кому-либо закрытого ключа запрещена" (если я что-то пропусил - приведите номер статьи). В ФЗ Об ЭЦП есть ст.12, где говорится, что владелец обязан "хранить в тайне закрытый ключ", а передача контейнера с закрытым неэкспортипуемым ключом по приказу, по-моему, не есть нарушение тайны закрытого ключа (т.к. собственником контейнера с закрытым ключом является УЦ - юр. лицо, возглавляемая директором). Тем более подписывать сертификаты в бумажном виде всё равно будет директор - ведь он уполномоченное лицо. Так что считаю, что вышеозвученные вопросы остаются в силе. | ||||
| ||||
| Ответьте, пожалуйста! | ||||
| ||||
| Ответ очень простой - ФЗ Об ЭЦП регулирует ЭЦП в отношении ТОЛЬКО физлиц!!! Это, если хотите, специфика отечественного законодательства и одно из отличий по отношению к аналогичным зарубежным нормативным актам. По сему Статья 12 п.1 рассматривается именно таким образом. Полный аналог с бумажным документооборотом, где расписывается человек. Если хотите чтобы расписывались несколько людей – приобретайте-формируйте несколько сертификатов + указание доп. информации производственного характера в сертификате + бумажные приказы. С УЛ УЦ несколько сложнее вам придется создать единую область доверия из этих самых независимых издателей – различных физлиц. Но и эти задачи решаемы. | ||||
| ||||
| Соглашусь со Стасом: приведенная схема с назначением уполномоченным лицом Руководителя - удобна, проста и не противоречит нормам ФЗ "Об ЭЦП". Что касается статьи 12, то п.2 косвенно подтверждает возможность использования данного варианта. | ||||
| ||||
| С одной стороны я с Вами (Муругов Сергей Михайлович) согласен: можно передавать не саму подпись, а лишь право подписи. Но ФЗ Об ЭЦП не запрещает передавать закрытый ключ кому-либо, но устанавливает ответственного за это. Однако, прочитав http://cryptopro.ru/cryptopro/forum/view.asp?q=3196 мне и пришли в голову мысли как временно передать закрытый ключ УЦ ответственному сотруднику УЦ. В свете вышеуказанной статьи Ваше мнение не изменилось? | ||||
| ||||
| To fav: мне кажется не верным изначально строить систему противоречащую Ст. 12 п 1. поскольку передача закрытого ключа в пользование другого физлица и есть нарушение тайны закрытого ключа. Ст. 12 п.2 – это ответственность, а не разрешение. To Стас: В указанном вами топике Юрий сам себе противоречит с одной стороны говоря что ключи принадлежат физлицам, с другой, что собственником ключа является юрлицо. Юрлицо единственное что может сделать, так это назначить роль (переходящую, временную, замещение на период отпуска и т.п.) своему сотруднику, в данном случае выполнять функции УЛ УЦ, но оно не может заставить физлицо подписываться (вырабатывать ЭЦП) другой фамилией, поскольку Ст. 6 п. 1 явно указывает на принадлежность ключа конкретному лицу, даже если оно и оформлено через псевдоним. Подытоживая, если у вас серьезные намерения обратитесь в первоисточник – организатор PKI в РФ, а именно ФАИТ, пусть оно вам авторитетно разъяснит. | ||||
| ||||
| 1. Всё равно я не согласен с Вами (Муругов Сергей Михайлович): нигде не описано, что такое "нарушение тайны закрытого ключа", поэтому считаю, что если внутренними нормативными документами организации установленно, что санкционированная передача закрытого ключа сотруднику организации не есть нарушение тайны закрытого ключа, то передача возможна (тем более, если сотрудник не сможет скопировать закрытый ключ). 2. Не подскажите контактный адрес ФАИТ? 3. Действительно ли закрытый ключ в контейнере на eToken PRO, помеченный как неэкспортируемый нельзя скопировать? | ||||
| ||||
| 1. Это ваше право :-). Но хочется указать на комизм ситуации, где начиная со времени Х Сидоров подписывается как Иванов :-) и это все утверждено «внутренними нормативными документами организации». При любом разборе полетов вам сложно будет это объяснить окружающим. Я бы сконцентрировал ваше внимание на предыдущем абзаце Ст.12 п1. 2. http://www.reestr-pki.ru поищите там. 3. Конечно можно, но не средствами CSP. Объясняю почему, eToken в данном случае используется в роли дискеты с паролем и не более, поскольку среда eToken ничего не знает об отечественных алгоритмах и не контролирует экспорт секрета своими внутренними (на которые невозможно воздействовать из вне) средствами, то скорее всего контейнер просто размещен в защищенной памяти, доступ к которой ограничен знанием ПИН-кода. Справедливости ради следует отметить, что это не ошибочное решение разработчиков КП, они просто по другому не могли это реализовать, у всех остальных разработчиков подход точно такой же. И это будет продолжаться до тех пор, пока сами устройства не будут «понимать», что им загружен объект называемый закрытым ключом с вот такими атрибутами, свойствами и алгоритмом. | ||||
| ||||
| Я выскажу одно замечание по 3-му пункту. Если реально будет ключ, который нельзя будет экспортировать (или бэкапировать) никакими средствами, то, если носитель сломается (или, в случае смарткарт/токенов заблокируется при превышении числа попыток ввода ПИНа) - УЦ остановится и не сможет выполнять свои функции с весьма ощутимыми финансовыми потерями для организации. Я лично не рекомендовал бы такой носитель для хранения ключа Уполномоченного лица действующего УЦ. | ||||
Стас