Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline unin68  
#1 Оставлено : 27 июля 2020 г. 9:28:24(UTC)
unin68

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.07.2020(UTC)
Сообщений: 2
Российская Федерация
Откуда: Уфа

Добрый день!

У нас имеется информационная система (не ЭДО), в которой пользователи подписывают документы личными подписями (около 100 пользователей). Им не всегда удобно носить с собой токен, иногда нужно оперативно подписать документ с планшета и т.д. Руководство хочет реализовать следующую схему:
1. В информационной системе написан сервис электронной подписи, который получает от пользователя запрос из интерфейса системы и подписывает документ / проверяет подпись.
2. Сервис развернут на серверной unix-системе с установленным Крипто-Про CSP 5.0.
3. Сервис при помощи функций Крипто-про подписывает документ закрытым ключом пользователя, который хранится на этом сервере.

Проверили на тестовой версии Крипто-про с небольшим количеством ключей (2-3), все работает. Сейчас встал вопрос о приобретении серверных лицензий и развертывании решения в нескольких филиалах. Соответственно вопросы:

1. Имеются ли какие-то ограничения на количество хранимых на сервере закрытых ключей, с которыми может работать Крипто-про? Крипто-про нормально будет работать, если загрузить на сервер 100-150 ключей ЭП?
У клиентских лицензий вроде были ограничения на количество зарегистрированных токенов.

2. И немного оффтоп. Не запрещается хранить много ключей ЭП на одном сервере? При условии, что сервер защищен и все пользователи наши сотрудники. На решения HSM + DSS денег нет (
Offline Александр Лавник  
#2 Оставлено : 27 июля 2020 г. 10:21:43(UTC)
Александр Лавник

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 30.06.2016(UTC)
Сообщений: 3,376
Мужчина
Российская Федерация

Сказал «Спасибо»: 53 раз
Поблагодарили: 773 раз в 715 постах
Автор: unin68 Перейти к цитате
Добрый день!

У нас имеется информационная система (не ЭДО), в которой пользователи подписывают документы личными подписями (около 100 пользователей). Им не всегда удобно носить с собой токен, иногда нужно оперативно подписать документ с планшета и т.д. Руководство хочет реализовать следующую схему:
1. В информационной системе написан сервис электронной подписи, который получает от пользователя запрос из интерфейса системы и подписывает документ / проверяет подпись.
2. Сервис развернут на серверной unix-системе с установленным Крипто-Про CSP 5.0.
3. Сервис при помощи функций Крипто-про подписывает документ закрытым ключом пользователя, который хранится на этом сервере.

Проверили на тестовой версии Крипто-про с небольшим количеством ключей (2-3), все работает. Сейчас встал вопрос о приобретении серверных лицензий и развертывании решения в нескольких филиалах. Соответственно вопросы:

1. Имеются ли какие-то ограничения на количество хранимых на сервере закрытых ключей, с которыми может работать Крипто-про? Крипто-про нормально будет работать, если загрузить на сервер 100-150 ключей ЭП?
У клиентских лицензий вроде были ограничения на количество зарегистрированных токенов.

2. И немного оффтоп. Не запрещается хранить много ключей ЭП на одном сервере? При условии, что сервер защищен и все пользователи наши сотрудники. На решения HSM + DSS денег нет (

Здравствуйте.

1) Такого ограничения нет.

Рекомендуется проверить в тестовой среде планируемую нагрузку на сервер, возможно, все упрется в характеристики сервера (рекомендаций по конфигурации сервера, наверно, здесь Вам никто не напишет).

2) Из Вашего второго вопроса вытекает другой вопрос - если бы все было так просто, то зачем вообще нужно решение КриптоПро DSS (+ КриптоПро HSM)?

Ответить подробно Вам смогут на info@cryptopro.ru
Техническую поддержку оказываем тут
Наша база знаний
Offline two_oceans  
#3 Оставлено : 27 июля 2020 г. 11:09:26(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Конечно я не пробовал на практике, но думается, что 100-150 слишком много.

Как мне кажется проблема возникнет с хранилищами сертификатов - немалое количество ПО написано так, что начала перечисляет контейнеры, потом для каждого контейнера ищет сертификат (перечислением всего хранилища) потом выводит всю эту кучу пользователю на выбор. Большое количество сертификатов будет неудобно как выбирать пользователю, так и запрашивать из общего хранилища для сервиса. Для плагина госуслуг, например, время показа списка сертификатов примерно пропорционально квадрату количества сертификатов (теоретическая оценка из времени для 15 сертификатов, наверняка Вам не хочется замедлить операции в 22500 раз для 150 сертификатов по сравнению с временем операции для одного сертификата, даже если взять время для одного 100 мс это выйдет 2250 секунд = 37+ минут), а диалоговое окно разных ИС бывает не показывает некоторые сертификаты уже при 10-20 сертификатах. Или будете для каждого пользователя запускать свой экземпляр сервиса с доступом только к хранилищу одного пользователя? По безопасности конечно желательно каждому свой экземпляр, но на 150 экземпляров сервер наверно должен быть огого по характеристикам, не считая технических сложностей по перенаправлению запроса на нужный экземпляр.

Конечно если сертификаты очень аккуратно обрабатываются ИС (например, у ИС отдельное хранилище сертификатов (база данных с краткой выжимкой из сертификата), с указанием имени контейнера каждого сертификата, с возможностью фильтровать по конкретному пользователю, пользователю показывается окно списка сертификатов из базы данных (не штатное от криптопровайдера) и в итоге ИС от криптопровайдера запрашивает уже конкретное имя контейнера), то возможно и будет работать в разумное время со 150 сертификатами, но мне как-то сомнительно.

Насчет количества именно "токенов", скорее всего надо учитывать ограничения операционной системы и драйверов токенов - скорее всего будет ограничение с этой стороны. Все-таки разработчики драйверов не рассматривают такую ситуацию. Знаю, что на Windows больше 10 (20) подключить нереально, на серверной unix-системе ограничение определенно есть (вряд ли что-то есть неограниченное в принципе), но больше ли оно чем 150 затрудняюсь ответить.

По безопасности ограничения по количеству нет, но есть проблема с тем что это контейнеры разных людей. Если бы было 150 контейнеров одного человека - вообще вопросов нет, а вот хранить в одном месте контейнеры разных людей может быть проблемой - как их изолировать друг от друга. Как минимум нужен ввод достаточно сложного, регулярно сменяемого пароля для пользователей такого сервиса плюс двойная изоляция от интернета брандмауэрами (один изолирует от интернета, второй дополнительно изолирует от первого) или физически не подключенная у интернету сеть, пин-коды на контейнеру не "по умолчанию".

Отредактировано пользователем 27 июля 2020 г. 11:13:00(UTC)  | Причина: Не указана

Offline unin68  
#4 Оставлено : 31 июля 2020 г. 8:59:41(UTC)
unin68

Статус: Новичок

Группы: Участники
Зарегистрирован: 27.07.2020(UTC)
Сообщений: 2
Российская Федерация
Откуда: Уфа

Всем спасибо за разъяснения. Постараюсь донести до коллег.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.