21.02.2007 10:19:15Необходимо ли УЦ регистрировать свой OID? Ответов: 4
Стас
Есть система: клиенты сдают отчеты в органы статистики в режиме online по протоколу SSL. Есть УЦ, которое выдает клиентам сертификаты с единственным применением: для проверки подлинности клиента (1.3.6.1.5.5.7.3.3). Верно ли это, т.е. будет ли эта переписка юридически значимой? Или надо УЦ регистрировать свой OID (допустим на Центральном Телеграфе) вроде "Сдача отчетности в органы статистики" и выдавать сертификаты с этими сферами применения?
 
Ответы:
26.02.2007 13:35:37Василий
Вопрос об интерпретации OID-ов использования ключа решается в рамках договорных отношений между УЦ, организатором информационной системы и клиентами.
27.02.2007 15:09:17Стас
Я так понял, что использование только сферы применения проверки подлинности клиента (1.3.6.1.5.5.7.3.3) будет достаточно для признания этого документооборота юридически значимым?
27.02.2007 17:41:59Юрий Маслов
Позвольте встряну в обсуждение...
Согласно ФЗ-1 "Об ЭЦП", сертификат ключа подписи должен содержать сведения об отношениях при которых электронный документ имеет юридическую силу. Согласно этому же закону, КАК эти сведения заносятся в сертификат (в какой части сертификата) - определяется соглашением участников корпоративной (а у нас все системы корпоративные) информационной системы.
Мы в ПАК "КриптоПро УЦ" предлагаем заносить в сертификат эти сведения в расширение EKU, т.е. добавляю туда специфичные OIDы, которые ОДНОЗНАЧНО указывают на эти отношения.
Объектный идентификатор 1.3.6.1.5.5.7.3.3 - это идентификатор с уже определенной смысловой нагрузкой, а именно - проверка подлинности клиента для SSL/TLS соединений. Менять смысловую нагрузку - неправильно. Поэтому для обеспечения юридической значимости нужно водить свои, специальные, OIDы, которые указываю на сведения об отношениях, при которых электронный документ имеет юридическую силу.
Посмотрите пример (Регламент), как это сделано для одной из систем http://ats.cryptopro.ru/
28.02.2007 14:52:31Стас
Большое спасибо!