logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline redu4  
#1 Оставлено : 7 марта 2019 г. 15:55:28(UTC)
redu4

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.01.2016(UTC)
Сообщений: 8

Добрый день, коллеги.
Вступительная часть :
1) В квалифицированных сертификатах выданными некоторыми УЦ иногда нет ссылок на их OCSP сервера.
2) Никто не хочет покупать OCSP или TSP client лицензии из пользователей
3) Мы хотим проверить подпись и сертификат пользователя(и как можно больше себя обезопасить при разбирательстве в суде)
Варианты :
1) Купить OCSP+TSP сервер+клиентские лицензии для доступа к ним. Настроить список доверенных УЦ, получить сертификат с правами "Проверка подлинности сервера" на свою организацию
2) Купить OCSP+TSP клиента, заказать услугу у доверенного УЦ на использование их OCSP+TSP сервиса. Они настраивают список доверенных УЦ, обновляют их. НО ! Сертификат проверки подлинности сервера(и OCSP и TSP) будет на имя самого УЦ - какие с этим вариантом будут проблемы ?

Также попутные вопросы :
1) Как вернее\правильнее\или без разницы - накладывать подписи на документы по очередности подписания или достаточно хранить их все по отдельности(отсоединенные)
2) Достаточно ли делать cades-bes подпись для 120% покрытия рисков ? Не делать даже cades-t, CAdES-X Long Type 1, cades-A.(см. вопрос 4))
3) Можем ли мы сами проверять валидность подписи и сертификата не используя покупной DSS\SVS. Нужна ли какая то сертификация(ФСБ) ? Как доказать что наше ПО выполнило все требования по проверке ?
4) Почему 99% сайтов не показывает документ на превью перед подписью, является ли это грубейшим нарушения 63 закона ?

Отредактировано пользователем 7 марта 2019 г. 16:29:43(UTC)  | Причина: Не указана

Offline Alexey I  
#2 Оставлено : 7 марта 2019 г. 18:06:03(UTC)
Alexey I

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.04.2009(UTC)
Сообщений: 111
Мужчина

Сказал «Спасибо»: 2 раз
Поблагодарили: 24 раз в 17 постах
Выскажу свое личное мнение, не претендующее на истину, тут возможно и юристы смогут проконсультировать и технические специалисты, в т.ч. от КриптоПро, т.к. вопрос в самом деле актуальный.
Автор: redu4 Перейти к цитате

1) В квалифицированных сертификатах выданными некоторыми УЦ иногда нет ссылок на их OCSP сервера.

Обязанности включать в сертификат иную информацию, кроме той, которая установлена Федеральным законом "Об электронной подписи" и Требованиями к форме квалифицированного сертификата ключа проверки электронной подписи, утвержденными приказом ФСБ России от 27.12.2011 № 795, у удостоверяющих центров нет.

Автор: redu4 Перейти к цитате

3) Мы хотим проверить подпись и сертификат пользователя(и как можно больше себя обезопасить при разбирательстве в суде)

Тут ответственность:
- в части проверки заявителя, выдачи сертификата, публикации и доступности списка отозванных сертификатов и т.п. - лежит на УЦ в соответствии с частью 4 статьи 13, пункта 2 части 3 статьи 16 Федерального закона "Об электронной подписи";
- в части использования ключа ЭП - на владельце, в т.ч. по обеспечению конфиденциальности ключа ЭП;
- в части проверки ЭП - на принимающей стороне. Но проверить, что конфиденциальность ключа ЭП нарушена вы не сможете, даже если будет использоваться проверка ЭП с использованием OCSP и TSP.

Автор: redu4 Перейти к цитате

Варианты :
1) Купить OCSP+TSP сервер+клиентские лицензии для доступа к ним. Настроить список доверенных УЦ, получить сертификат с правами "Проверка подлинности сервера" на свою организацию

Рекомендация - не создавать свою сеть "доверенных УЦ" - это уже проходили и ФНС, ПФР(тут ещё и ФАС обратило внимание) и другие, перспектив в этом направлении нет.
Есть перечень аккредитованных УЦ, деятельность которых контролирует Минкомсвязь России.
Если есть собственный УЦ, то нет проблем получить ключ ЭП и квалифицированный сертификат (не обязательно с расширением "Проверка подлинности сервера" - такой сертификат нужен для проверки подлинности сервера при TLS соедиениях), достаточно пользовательского, чтобы было возможность подписывать документы (пакет документов) либо в автоматическом режиме (реализовать в ИС), либо вручную (оператором), при этом ОСSP ответы по ЭП с использованием этого ключа будут от своего УЦ. TSP ответы можно получать от своей службы OCSP или использовать сторонние. Документы пользователя и ЭП можно рассматривать при этом как "пакет документов" - часть 4 статьи 6 Федерального закона "Об электронной подписи".

Автор: redu4 Перейти к цитате

2) Купить OCSP+TSP клиента, заказать услугу у доверенного УЦ на использование их OCSP+TSP сервиса. Они настраивают список доверенных УЦ, обновляют их. НО ! Сертификат проверки подлинности сервера(и OCSP и TSP) будет на имя самого УЦ - какие с этим вариантом будут проблемы ?

В этом случае вы попадете в зависимость от УЦ по реализации технологии. Нет гарантии, что сервисы УЦ будут всегда доступны, что он не прекратит деятельность или у него не приостановят аккредитацию.

Автор: redu4 Перейти к цитате

1) Как вернее\правильнее\или без разницы - накладывать подписи на документы по очередности подписания или достаточно хранить их все по отдельности(отсоединенные)

Если документ пользователя ИС и ЭП (или несколько документов и ЭП к ним) рассматривать как пакет документов, то пользователь подписывает каждый документ - ИС (или оператор) подписывает "накладывает" подпись на каждый документ и (или) на весь пакет документов в зависимости от того, требуется ли в дальнейшем использовать совокупность поданных документов. По примерно такому принципу реализуется подача документов в ЛК ЮЛ ФНС.

Автор: redu4 Перейти к цитате

4) Почему 99% сайтов не показывает документ на превью перед подписью, является ли это грубейшим нарушения 63 закона ?

В этом случае надо смотреть является ли сервис подписания, реализованный на сайте, средством электронной подписи, который удовлетворят ст.12 Федерального закона "Об электронной подписи", если да, в этом случае, вероятно, появляются ещё требования к встраиванию.

Отредактировано пользователем 7 марта 2019 г. 18:11:52(UTC)  | Причина: Не указана

Offline basid  
#3 Оставлено : 9 марта 2019 г. 7:33:36(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 728

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 92 раз в 84 постах
Автор: redu4 Перейти к цитате
Вступительная часть :
1) В квалифицированных сертификатах выданными некоторыми УЦ иногда нет ссылок на их OCSP сервера.
2) Никто не хочет покупать OCSP или TSP client лицензии из пользователей
Регулярно обновляйте списки отзыва.
В минимальном варианте достаточно один раз установить списки отзыва конкретного УЦ конкретному пользователю и дальше всё будет работать на автомате.
Более правильный вариант - устанавливать списки отзывов в системное хранилище и регулярно обновлять их заданием планировщика.
Цитата:
3) Мы хотим проверить подпись и сертификат пользователя(и как можно больше себя обезопасить при разбирательстве в суде)
Если вы не собираетесь предъявлять результаты проверки в суде, то актуальные списки отзыва - всё, что вам нужно.
Если собираетесь, то требуется как-то заверять результаты проверки. Если "по безбумажной технологии" - потребуются штампы времени.
Если, кроме того, вы хотите, чтобы подлинность результата вашей проверки была возможна без дополнительных сетевых обращений, то формат подписи будет, если не ошибаюсь, CADES-Long и для ЭП проверяющих потребуется сертификаты с OCSP-/TSP-ссылками.
Цитата:
Также попутные вопросы :
1) Как вернее\правильнее\или без разницы - накладывать подписи на документы по очередности подписания или достаточно хранить их все по отдельности(отсоединенные)
Это зависит от смысла подписей.
Если подписи должны делаться "строго по цепочке", то разумно подписать исходный документ и уже имеющиеся подписи, если они должны быть.
Для отсоединённых подписей такой функционал придётся делать ручками, для присоединённых - не знаю.
Цитата:
2) Достаточно ли делать cades-bes подпись для 120% покрытия рисков ?
Отталкивайтесь от того, что в CADES-BES время подписания находится среди неподписанных атрибутов и, технически, может быть легко подделано.
Цитата:
3) Можем ли мы сами проверять валидность подписи и сертификата не используя покупной DSS\SVS.
Проверка подписи - базовый функционал СКЗИ. Остальное - вопрос регламентации технических аспектов.
Цитата:
4) Почему 99% сайтов не показывает документ на превью перед подписью, является ли это грубейшим нарушения 63 закона ?
Адресуйте этот вопрос каждому из 99% сайтов.

Offline Андрей Писарев  
#4 Оставлено : 10 марта 2019 г. 10:40:50(UTC)
Андрей Писарев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 8,039
Мужчина
Российская Федерация

Сказал «Спасибо»: 271 раз
Поблагодарили: 1099 раз в 873 постах
Здравствуйте.

Автор: basid Перейти к цитате
Отталкивайтесь от того, что в CADES-BES время подписания находится среди неподписанных атрибутов и, технически, может быть легко подделано.


basid, а можно пример такой подписи?

Не встречал время в неподписанных атрибутах, обычно записывают в ту же структуру, что и messageDigest, комментарий и другие данные и любые изменения (времени\комментария) - приводят к "неправильная подпись".

В CADES-BES время подписания - это атрибут, добавленый на стороне подписанта (локальное время или время полученное с сервера "точного времени") - и в случае помещения в подписанные атрибуты - подписывается самим подписантом - именно в этом проблема, которую и решает третья сторона - доверенный TSP-сервис.


Snimok ehkrana ot 2019-03-10 11-40-25.png (12kb) загружен 11 раз(а).
Offline basid  
#5 Оставлено : 10 марта 2019 г. 17:09:58(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 728

Сказал(а) «Спасибо»: 5 раз
Поблагодарили: 92 раз в 84 постах
Хорошо, возможно я неправ, факт остаётся фактом - отметки времени в CADES-BES нельзя доверять.
Offline redu4  
#6 Оставлено : 11 марта 2019 г. 10:44:52(UTC)
redu4

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.01.2016(UTC)
Сообщений: 8

Цитата:

3) Мы хотим проверить подпись и сертификат пользователя(и как можно больше себя обезопасить при разбирательстве в суде)

Тут ответственность:
- в части проверки заявителя, выдачи сертификата, публикации и доступности списка отозванных сертификатов и т.п. - лежит на УЦ в соответствии с частью 4 статьи 13, пункта 2 части 3 статьи 16 Федерального закона "Об электронной подписи";
- в части использования ключа ЭП - на владельце, в т.ч. по обеспечению конфиденциальности ключа ЭП;
- в части проверки ЭП - на принимающей стороне. Но проверить, что конфиденциальность ключа ЭП нарушена вы не сможете, даже если будет использоваться проверка ЭП с использованием OCSP и TSP.


рассматриваем только принимающую сторону, тк в законе есть что владелец ЭП несет всю ответственность за её использование(в т.ч. несанкционированное)

Цитата:

Варианты :
1) Купить OCSP+TSP сервер+клиентские лицензии для доступа к ним. Настроить список доверенных УЦ, получить сертификат с правами "Проверка подлинности сервера" на свою организацию
Рекомендация - не создавать свою сеть "доверенных УЦ" - это уже проходили и ФНС, ПФР(тут ещё и ФАС обратило внимание) и другие, перспектив в этом направлении нет.
Есть перечень аккредитованных УЦ, деятельность которых контролирует Минкомсвязь России.
Если есть собственный УЦ, то нет проблем получить ключ ЭП и квалифицированный сертификат (не обязательно с расширением "Проверка подлинности сервера" - такой сертификат нужен для проверки подлинности сервера при TLS соедиениях), достаточно пользовательского, чтобы было возможность подписывать документы (пакет документов) либо в автоматическом режиме (реализовать в ИС), либо вручную (оператором), при этом ОСSP ответы по ЭП с использованием этого ключа будут от своего УЦ. TSP ответы можно получать от своей службы OCSP или использовать сторонние. Документы пользователя и ЭП можно рассматривать при этом как "пакет документов" - часть 4 статьи 6 Федерального закона "Об электронной подписи".


доверяем всем УЦ от мин.ком связи + список приостановленных УЦ
своего УЦ нет

Цитата:

2) Купить OCSP+TSP клиента, заказать услугу у доверенного УЦ на использование их OCSP+TSP сервиса. Они настраивают список доверенных УЦ, обновляют их. НО ! Сертификат проверки подлинности сервера(и OCSP и TSP) будет на имя самого УЦ - какие с этим вариантом будут проблемы ?
В этом случае вы попадете в зависимость от УЦ по реализации технологии. Нет гарантии, что сервисы УЦ будут всегда доступны, что он не прекратит деятельность или у него не приостановят аккредитацию.


этот риск понятен,
тут больше вопрос в том - не критично ли то что ответы OCSP и TSP подписаны каким-то сертификатом, выданным не на нашу организацию.
поэтому и начинается вся свистопляска со своим OCSP и TSP серверами
Допустим - это не корректно, тогда нужно знать все адреса OCSP и TSP серверов УЦ которым мы доверяем(списку мин.ком связи) чтобы отправлять запросы на те сервера где ЭЦП выдана

Цитата:

4) Почему 99% сайтов не показывает документ на превью перед подписью, является ли это грубейшим нарушения 63 закона ?
В этом случае надо смотреть является ли сервис подписания, реализованный на сайте, средством электронной подписи, который удовлетворят ст.12 Федерального закона "Об электронной подписи", если да, в этом случае, вероятно, появляются ещё требования к встраиванию.

требования по визуализации и т.д. выполняем, но нужны ли какие-то еще лицензии на ПО ? как доказать что проверка подписи прошла с соблюдением всех требований ?
Offline Alexey I  
#7 Оставлено : 11 марта 2019 г. 13:51:38(UTC)
Alexey I

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.04.2009(UTC)
Сообщений: 111
Мужчина

Сказал «Спасибо»: 2 раз
Поблагодарили: 24 раз в 17 постах
Автор: redu4 Перейти к цитате

тут больше вопрос в том - не критично ли то что ответы OCSP и TSP подписаны каким-то сертификатом, выданным не на нашу организацию.
поэтому и начинается вся свистопляска со своим OCSP и TSP серверами

Если нет своего УЦ, берете на свою организацию сертификат в любом АУЦ, который предоставляет возможность работы с OCSP и TSP, вам нужны будут только клиентские лицензии OCSP и TSP. Далее дорабатываете информационную систему, чтобы была возможность проверять (возможно в автоматическом режиме)ЭП документов пользователей, заверять документы (или пакет документов) усовершенствованной ЭП и отправлять в БД "на хранение".
В этом случае, по сути, будут исполняться функции доверенной третьей стороны из законопроекта https://regulation.gov.ru/projects#npa=83642
Цитата:
17) доверенная третья сторона – юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами;
18) средства доверенной третьей стороны – программные и (или) аппаратные средства, используемые для оказания услуг доверенной третьей стороной, прошедшие процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом;
19) метка доверенного времени – информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центром или оператором информационной системы и полученная в установленном Правительством Российской Федерации порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.»;



Автор: redu4 Перейти к цитате

требования по визуализации и т.д. выполняем, но нужны ли какие-то еще лицензии на ПО ? как доказать что проверка подписи прошла с соблюдением всех требований ?

Лицензии или сертификаты соответствия? По встраиванию были темы на форуме, например, Какое ПО нуждается в сертификации?
Есть ещё темы:
Долгосрочное хранение документов
Обеспечению юридической значимости при долговременном хранении (50 лет и более)
Offline redu4  
#8 Оставлено : 11 марта 2019 г. 15:22:59(UTC)
redu4

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.01.2016(UTC)
Сообщений: 8

Автор: Alexey I Перейти к цитате


Автор: redu4 Перейти к цитате

тут больше вопрос в том - не критично ли то что ответы OCSP и TSP подписаны каким-то сертификатом, выданным не на нашу организацию.
поэтому и начинается вся свистопляска со своим OCSP и TSP серверами

Если нет своего УЦ, берете на свою организацию сертификат в любом АУЦ, который предоставляет возможность работы с OCSP и TSP, вам нужны будут только клиентские лицензии OCSP и TSP. Далее дорабатываете информационную систему, чтобы была возможность проверять (возможно в автоматическом режиме)ЭП документов пользователей, заверять документы (или пакет документов) усовершенствованной ЭП и отправлять в БД "на хранение".
В этом случае, по сути, будут исполняться функции доверенной третьей стороны из законопроекта https://regulation.gov.ru/projects#npa=83642

Цитата:

17) доверенная третья сторона – юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами;
18) средства доверенной третьей стороны – программные и (или) аппаратные средства, используемые для оказания услуг доверенной третьей стороной, прошедшие процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом;
19) метка доверенного времени – информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центром или оператором информационной системы и полученная в установленном Правительством Российской Федерации порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.»;




Если все обобщить по всем темам, то : Если у сертификата нет OCSP - усовершенствовать его до X long Type 1 нельзя(максимум что можно - cades-t), можно только заверить своим сертификатом(с прописанным внутри него OCSP сервером) - при этом купив соответственно клиентскую лицензию на ocsp.
Если есть OCSP в сертификате - на сервере нужна клиентская лицензия на ocsp для усовершенствования до x long type 1.
Для минимизации рисков связанных с TSP сервером - лучше купить лицензию на TSP сервер + для обращения к нему - дополнительно купить клиентскую лицензию на tsp.
Разницы в том - чьим сертификатом подписывает TSP - нет.

Цитата:

требования по визуализации и т.д. выполняем, но нужны ли какие-то еще лицензии на ПО ? как доказать что проверка подписи прошла с соблюдением всех требований ?
Лицензии или сертификаты соответствия? По встраиванию были темы на форуме, например, Какое ПО нуждается в сертификации?
Есть ещё темы:
Долгосрочное хранение документов
Обеспечению юридической значимости при долговременном хранении (50 лет и более)

Мы можем купить крипто про SVS - и тогда лицензия на это ПО будет гарантом того что проверка "прошла".

Если не покупаем :
Лицензия ФСБ на криптографию и шифрование - хотя шифрование происходит на стороне клиента, сервер только проверяет подпись и по возможности усовершенствует.
про встраивание - предполагается использовать серверный КриптоПро .NET на сервере(для генерации хэша) - "использует сертифицированное ФСБ России средство криптографической защиты КриптоПро CSP" и крипто про браузер плагин на клиенте для подписи.

Если мы не покупаем криптопро SVS, а пишем свой проверяльщик в соответствие с пунктами что он должен делать. Как доказывать то что все пункты пройдены ? Делать как в крипто-арме "печатную форму" по статусу проверки + подписывать своей ЭЦП ?
Offline Alexey I  
#9 Оставлено : 11 марта 2019 г. 19:43:59(UTC)
Alexey I

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.04.2009(UTC)
Сообщений: 111
Мужчина

Сказал «Спасибо»: 2 раз
Поблагодарили: 24 раз в 17 постах
Автор: redu4 Перейти к цитате
Для минимизации рисков связанных с TSP сервером - лучше купить лицензию на TSP сервер для обращения к нему - дополнительно купить клиентскую лицензию на tsp.

+ Часовая станция ведения единого времени (поверенная)+ обеспечение ИБ TSP сервера + сопровождение (инфраструктура и ИБ).
Возможно проще использовать TSP от УЦ как клиенту (можно и по защищенным каналам связи, на основе соглашений).
Лицензия вроде не нужна, если будет использовать для собственных нужд или привлечете лицензиата.

Насчет SVS, встраивания и "доказывать то что все пункты пройдены", полагаю разработчики (в т.ч. с КРИПТО-ПРО) грамотнее ответят :)
Offline redu4  
#10 Оставлено : 12 марта 2019 г. 9:44:50(UTC)
redu4

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.01.2016(UTC)
Сообщений: 8

Автор: Alexey I Перейти к цитате
Автор: redu4 Перейти к цитате
Для минимизации рисков связанных с TSP сервером - лучше купить лицензию на TSP сервер для обращения к нему - дополнительно купить клиентскую лицензию на tsp.

+ Часовая станция ведения единого времени (поверенная)+ обеспечение ИБ TSP сервера + сопровождение (инфраструктура и ИБ).
Возможно проще использовать TSP от УЦ как клиенту (можно и по защищенным каналам связи, на основе соглашений).
Лицензия вроде не нужна, если будет использовать для собственных нужд или привлечете лицензиата.

Насчет SVS, встраивания и "доказывать то что все пункты пройдены", полагаю разработчики (в т.ч. с КРИПТО-ПРО) грамотнее ответят :)

а нельзя просто синхронизировать время по ntp с например ntp.msk-ix.ru ?
Offline Alexey I  
#11 Оставлено : 13 марта 2019 г. 14:58:00(UTC)
Alexey I

Статус: Активный участник

Группы: Участники
Зарегистрирован: 29.04.2009(UTC)
Сообщений: 111
Мужчина

Сказал «Спасибо»: 2 раз
Поблагодарили: 24 раз в 17 постах
Автор: redu4 Перейти к цитате
а нельзя просто синхронизировать время по ntp с например ntp.msk-ix.ru ?


В этом случае будет подключение TSP сервера к сети Интернет. Лучше поднять свой NTP сервер и разместить в DMZ (он будет синхронизироваться с внешним ntp) и уже от своего ntp сервера синхронизировать время с TSP сервером (все равно через сертифицированный межсетевой экран)
thanks 1 пользователь поблагодарил Alexey I за этот пост.
Андрей Писарев оставлено 25.03.2019(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.